Состоявшаяся в Москве межбанковская конференция «Актуальные вопросы обеспечения ИБ банков и защиты информации при осуществлении перевода денежных средств в НПС РФ» была посвящена таким ключевым проблемам ИБ, как доверенное пространство при совершении платежей и повышение безопасности банковских приложений.

Несмотря на то что механизмы защиты банковских сервисов развиваются давно и успешно, объем мошенничества в этой сфере растет незамедляющимися темпами. На первом этапе кредитные организации сделали акцент на укреплении собственной информационной безопасности. Но статистика последнего времени показывает, что основные хищения средств мошенниками стали происходить не у банков, а у их клиентов, что чревато потерей престижа финансовых институтов. Поэтому в настоящее время акценты ИБ смещаются на обеспечение безопасности удаленных клиентов, чему призван способствовать и принятый Федеральный закон № 161 «О национальной платежной системе», устанавливающий ответственность банков за хищения клиентских средств мошенниками. Таким образом, приоритетными становятся вопросы обеспечения безопасности клиентов, в первую очередь добросовестных.

Заметим, что ориентация на защищенность клиента должна предусматривать повышение контроля уровня защищенности самим клиентом. В этой связи необходимым является обеспечение более ясного понимания пользователем существующих угроз и уязвимостей систем ДБО, что требует проведения с клиентами соответствующей разъяснительной работы. Новеллой Федерального закона № 161-ФЗ стала обязанность платежных систем информировать клиентов о существующих рисках и требованиях к защите данных.

Широкое использование и большое разнообразие систем ДБО делают весьма актуальным развитие проектов по их нормативному обеспечению и разработке отраслевого стандарта требований, предъявляемых банками к поставщикам решений ИБ.

Совершенно очевидно, что безопасность работы клиентов теснейшим образом связана с обеспечением доверенной среды при совершении платежей. На фоне роста киберпреступности целью является создание между клиентами банков и банковскими ИС электронного взаимодействия, гарантирующего передачу аутентичной платежной информации. Создание доверенной среды позволяет клиенту эффективно обеспечивать и контролировать уровень защищенности взаимодействия с сервисами ДБО.

Обработка информации, критичной с точки зрения безопасности, должна происходить в доверенной среде - функционально замкнутой, изолированной вычислительной среде на основе резидентных компонентов безопасности (РКБ). Проверенными должны быть не только ПО, ОС и данные, необходимо также гарантировать отсутствие вредоносности аппаратных средств, что решается вынесением необходимых операций в изолированную аппаратную среду (такое решение и получило название РКБ). Ясно, что установить РКБ на каждый компьютер клиента дорого и нерационально, поэтому эффективным является установление доверенной вычислительной среды только на время связи, то есть доверенного сеанса связи (ДСС)(1).

Основными конкурентными преимуществами ДСС по сравнению с другими вариантами обеспечения защиты информации сегодня являются возможность использования произвольной ПЭВМ, интервал существования доверенной среды на период ДСС (далее на пользователя ограничения не налагаются), низкая цена.

В качестве изолированной аппаратной среды предлагается средство обеспечения ДСС (СОДС) «МАРШ!», которое представляет собой загрузочный USB-носитель со специальными свойствами памяти и предустановленным ПО, включающим ОС, браузер, собственную криптографическую подсистему, средства организации доверенного канала взаимодействия и функциональное ПО. СОДС «МАРШ!» является совместной разработкой ЗАО «ОКБ САПР» и ФГУП «Конструкторское бюро полупроводникового машиностроения» ГК «Ростехнологии».

«МАРШ!» выпускается в ряде вариантов. Интереснейший из них - это универсальное устройство «МАРШ!», выполняющее одновременно функции СОДС и средства электронной подписи (СЭП) (в настоящее время разработано для системы ДБО, производимой компанией «Российские финансовые коммуникации»). Без преувеличения можно утверждать, что СОДС/СЭП «МАРШ!» является поистине революционным средством обеспечения безопасности ДБО.

«МАРШ!» представляет собой уникальное средство, которое в то же время характеризуется приемлемой стоимостью и минимальными затратами в процессе эксплуатации, простотой использования и высокой эффективностью. Сферами его применения в первую очередь являются системы ДБО, ИС в здравоохранении, системы обработки информации, содержащей ПДн граждан, ИС электронного правительства.

«МАРШ!», как и системы ДБО, рассчитано на самый широкий круг пользователей, не обладающих специальными знаниями, поэтому они как нельзя лучше подходят друг другу.

Литература:
1. Конявский В. А. Доверенный сеанс связи. Развитие парадигмы доверенных вычислительных систем - на старт, внимание, МАРШ! // Комплексная защита информации Сборник материалов XV Международной научно-практической конференции (1-4 июня 2010 г., Иркутск (Россия)). -М., 2010. - С. 166-169.