275

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 251-300

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Безопасность аппаратной и сетевой инфраструктуры 275 леннику, поскольку помимо транзакционной информации передается и служебная, которую расшифровать намного сложнее, нежели ПИНблок. Совокупность применения двух методов позволила бы много¬ кратно повысить безопасность системы в целом, даже с применением нестойких алгоритмов. Поэтому когда речь заходит о защите ПЦ, в первую очередь тщатель¬ но анализируются возможные риски и степень снижения этих рисков при доступе и передаче секретных данных. В данной ситуации необхо¬ димо также учитывать тот факт, что построение системы сетевой защи¬ ты ПЦ оказывает значительное влияние на рядовой персонал, работаю¬ щий в ПЦ. Чем больше барьеров защиты, тем сложнее злоумышленнику получить данные, но также и труднее работать в условиях полного огра¬ ничения доступа и самим сотрудникам ПЦ. Необходимый баланс между удобством доступа к данным и их безопасностью регламентируется оп¬ ределенным правилами внутри ПЦ. Подразделения сетевой безопасно¬ сти ПЦ разрабатывают комплекс документации, внутренних правил, со¬ гласно которым уполномоченные сотрудники имеют право получать доступ к данным для их обработки. Задача строгого разделения прав пользователей присуща всем ПЦ, и ей уделяется огромное значение. При разделении прав пользуются ос¬ новным принципом: предоставление прав, необходимых только для вы¬ полнения служебных обязанностей. Так, например, сотруднику дого¬ ворного отдела для выполнения служебных обязанностей доступ к уст¬ ройству шифрования (HSM) вряд ли будет необходим, но с большой вероятностью понадобится доступ в публичную сеть Интернет для полу¬ чения дополнительной информации о контрагентах. И наоборот, сотруд¬ нику отдела персонализации потребуется доступ к данным магнитной по¬ лосы печатаемых карт и вряд ли будет необходим доступ к публичным сетям. Руководствуясь такими правилами, администраторы вычислитель¬ ных сетей ПЦ совместно с сотрудниками отдела сетевой безопасности ус¬ танавливают соответствующие права доступа для каждого из сотрудни¬ ков. На практике такую политику организовать очень сложно, поскольку за понятием «необходимые права» стоит большое количество различных комплексов: сетевые маршрутизаторы, брандмауэры, операционные систе¬ мы, базы данных, программные комплексы и т. д.