Система безопасности POS-сети
Автор: Козлов Дмитрий Викторович, Садовникова Наталья Петровна
Журнал: НБИ технологии @nbi-technologies
Рубрика: Инновации в информатике, вычислительной технике и управлении
Статья в выпуске: 1 т.14, 2020 года.
Бесплатный доступ
В работе рассматривается подход к построению системы безопасности POS-сетей. Кроме того, дана концепция системы мониторинга и анализа угроз в POS-сетях и предложена ее архитектура.
Pos-сети, информационная безопасность, мониторинг, siem-система, анализ угроз
Короткий адрес: https://sciup.org/149129801
IDR: 149129801 | DOI: 10.15688/NBIT.jvolsu.2020.1.1
Текст научной статьи Система безопасности POS-сети
DOI:
Объем безналичных расчетов с каждым годом увеличивается. Соответственно растет количество POS-устройства и операций по их использованию и обслуживанию. Система электронных платежей представляет собой сложную структуру с множеством различных подсистем и элементов, распределенных на большой территории и
требующих серьезных ресурсов для поддержки их функционального состояния. Мошенничество в сфере электронных платежей становится все более серьезной проблемой из-за роста безналичных платежей и появления новых угроз и методов несанкционированного доступа к информации POS-сетей. Защита информации в процессе совершения платежных операций требует более жесткого контроля и определения угроз в оперативном режиме. Скорость определения и реагирования на киберугрозу зависит от того, сможет ли система предотвратить утечку критически важной информации. В неблагоприятном случае потери от мошеннической атаки растут экспоненциально с течением времени.
Основным стандартом информационной безопасности платежных карт является PCI DSS, который был принят в 2004 г. [4]. В стандарте представлены единые требования безопасности при передаче, хранении и обработки данных о держателях платежных карт. в информационных инфраструктурах организаций. Компаниям присваивается определенный уровень в зависимости от количества транзакций. Каждому уровню соответствует свой набор требований, которые должны выполняться. Стандарт предусматривает проведение ежегодных аудиторских проверок компаний, а также ежеквартальные сканирования сетей.
Стандарт безопасности платежных приложений Payment Card Industry Payment Application – Data Security Standard (PCIPA-DSS) предназначен для производителей программного обеспечения, участвующего в обработке платежных транзакций.
Большинство компаний не проходят оценку соответствия существующим стандартам и не могут считаться защищенными от кибератак, но даже полное соответствие требованиям PCI DSS и PA-DSS не означает абсолютную безопасность. Pos-устройствадоста-точно серьезно защищены на уровне физической архитектуры и операционной системы, но существует потенциальная возможность несанкционированного доступа к данным через приложения, которые взаимодействуют с терминалом.
В связи с этим существует необходимость создания комплексной системы безопасности основанной на мониторинге и анализе событий POS-системы в режиме реального времени.
Прежде всего необходимо отметить, что контроль безопасности данных должен сопро- вождать все процессы, связанные с обслуживанием платежных операции:ввод и вывод информации, регистрация и обработка информации о сбоях, организация взаимодействия с платежными приложениями, шифрование, аутентификацию и пр.
Система безопасности должна быть интегрирована с системой администрирования POS-сети [2]. Для этого необходимо реализовать функции: оповещения операторов об инцидентах, зафиксированных в процессе работы POS-сети, анализа поведения пользователей и др. [5–7]. Система безопасности должна позволять добавлять новые типы анализируемых инцидентов и позволять оператору анализировать состояние сети в реальном времени с учетом всех возможных взаимодействий между ее структурными элементам. Кроме того, необходимо обеспечить высокую производительность системы состоящей из большого количества элементов (в районе 5–10 тысяч) и эффективный способ их отображения в общей структуре POS-сети [1–2].
На рисунке представлена архитектура системы безопасности POS-сети. Оператор системы администрирования получает всю необходимую информацию об объекте мониторинга (POS-оборудование, его состояние, конфигурацию и выполняемые им действия) в режиме онлайн. В то же время оператор получает всю необходимую информацию от самого устройства и других объектов, взаимодействующих с устройством.
Каждая операция, выполняемая устройством или выполняемая на устройстве, регистрируется и доставляется оператору в режиме реального времени. Собранная информация анализируется на наличие инцидентов, указывающих на наличие угрозы безопасности для системы.
Инциденты ранжируются по степени угрозы, и в соответствие с этим, определяются действия по их обработке. Это может быть информирование оператора о событии, отправка уведомлений, полная или частичная блокировка определенных функций (как отдельного устройства или всей системы) и т. д.
Архитектура системы безопасности POS-сети
Список литературы Система безопасности POS-сети
- Выбор способа отображения сети pos-устройств для построения эффективной системы мониторинга / Д. В. Козлов, Н. П. Садовникова, Л. В. Дружинина, Д. В. Петрова // Управление развитием крупномасштабных систем (MLSD'2018): материалы Одиннадцатой Международной конференции, 1-3 окт. 2018 г., Москва, Россия. В двух томах. Т. II / под общ. ред. С. Н. Васильева, А. Д. Цвиркуна. - М.: ИПУ РАН, 2018. - С. 404-406.
- Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 № 195-ФЗ (ред. от 27.12.2019): (с изм. и доп., вступ. в силу с 01.02.2020). - Электрон. текстовые дан. - Режим доступа: http://ivo.garant.ru/#/document/12125267/paragraph/1/highlight/кодекс российской федерации об административных правонарушениях от 3012 2001 n 195-фз:3. - Загл. с экрана.
- Козлов, Д. В. Концепция системы контроля безопасности функционирования pos-сетей в реальном времени / Д. В. Козлов, Н. П. Садовникова // Информационное общество: образование, наука, культура и технологии будущего. - 2017. - № 1. - С. 44-51.
- Стандарт безопасности платежных приложений (PA-DSS), версия 3.0.
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации". - Электрон. текстовые дан. - Режим доступа: http://ivo.garant.ru/#/document/12148555/paragraph/3471/doclist/0/selflink/0/highlight/самоубийство интернет:0. - Загл. с экрана.
- RU (домен). - Электрон. дан. - Режим доступа: http://www.tadviser.ru/index.php/Статья:. Ru_(домен).
- 78 % населения страны: как Интернет проникает в Россию. - Электрон. дан. - Режим доступа: https://www.gazeta.ru/tech/2019/09/18/12658993/mediascope.shtml. - Загл. с экрана.
