Добавлен: 26.06.2023
Просмотров: 44
Скачиваний: 3
Kerberos – это алгоритм аутентификации доступа к сетевым ресурсам, использующий центральную базу данных копий секретных ключей всех пользователей системы защиты информации и информационной безопасности, а также защиты информации на предприятии.
Многие сети банкоматов являются примерами удачной системы информационной безопасности и защиты информации, и являются оригинальными разработками банков, поэтому такую информационную безопасность скачать бесплатно невозможно – данная организация защиты информации не продается!
Открытая асимметричная методология защиты информации.
Зная историю защиты информации, можно понять, что в данной методологии ключи шифрования и расшифровки разные, хотя они создаются вместе. В такой системе защиты информации один ключ распространяется публично, а другой передается тайно, потому что однажды зашифрованные данные одним ключом, могут быть расшифрованы только другим.
Все асимметричные криптографические средства защиты информации являются целевым объектом атак взломщиком, действующим в сфере информационной безопасности путем прямого перебора ключей. Поэтому в такой информационной безопасности личности или информационно психологической безопасности используются длинные ключи, чтобы сделать процесс перебора ключей настолько длительным процессом, что взлом системы информационной безопасности потеряет какой-либо смысл.
Совершенно не секрет даже для того, кто делает курсовую защиту информации, что для того чтобы избежать медлительности алгоритмов асимметричного шифрования создается временный симметричный ключ для каждого сообщения, а затем только он один шифруется асимметричными алгоритмами.
Таким образом, алгоритмы шифрования предполагают использование ключей, что позволяет на 100% защитить данные от тех пользователей, которым ключ неизвестен.
Криптографические алгоритмы применяют с целью:
- шифрование информации;
- защиты данных и сообщений (информации) от модификации или подделки.
Аппаратно-программные средства криптографической защиты информации в банковской ИС обеспечивают аутентификацию отправителя и получателя электронных банковских документов и служебных сообщений банковской ИС, гарантируют их достоверность и целостность, невозможность подделки или искажения документов в шифрованном виде и при наличии ЭЦП криптографическая защита информации охватывает все этапы обработки электронных банковских документов с момента их создания до хранения в архивах банка. Использование различных криптографических алгоритмов на разных этапах обработки электронных банковских документов позволяет обеспечить непрерывную защиту информации в банке.
-
- Интегрированные системы безопасности информации в автоматизированных банковских системах
Интегрированная система безопасности – это совокупность функционально и информационно связанных друг с другом систем безопасности (охранной, пожарной и тревожной сигнализации; контроля и управления доступом; видео наблюдения; управления жизнеобеспечением и др.), работающих по единому алгоритму, имеющих общие каналы связи, программное обеспечение и базы данных (БД).
Такой принцип построения дает комплексам безопасности их главное преимущество – возможность настройки автоматических реакций одной системы на события, фиксируемые в другой системе. Совокупность таких реакций на возникающие события в ИСБ называют сценариями. По количеству и сложности сценариев, создаваемых ИСБ, можно судить о ее техническом уровне.
Цели:
Защита жизни и здоровья сотрудников банка, повышение доверия клиентов и посетителей;
Усиление трудовой дисциплины персонала за счет контроля рабочего времени сотрудников;
Защита материальных и информационных ценностей, находящихся в здании банка;
Обеспечение пожарной безопасности.
-
- Аппаратно-программные средства защиты информации в автоматизированных банковских системах
Программные и технические средства защиты информации включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.
К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:
специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
устройства для шифрования информации (криптографические методы).
модули доверенной загрузки компьютера
Программные средства защиты информации.
Встроенные средства защиты информации:
Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом.
Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации.
Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).
VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.
-
- Стандартизация технических решений современного автоматизированного банка в области информационных технологий
Стандарты в области информационной безопасности организаций банковской системы Российской Федерации
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2008)
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» (СТО БР ИББС-1.1-2007)
Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2008» (СТО БР ИББС-1.2-2009)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009)
Описание формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации
1.6 Система обеспечения информационной безопасности организации: комплексный подход к построению
Система безопасности потенциальных и реальных угроз непостоянна, поскольку те могут появляться, исчезать, уменьшаться или нарастать. Все участники отношений в процессе обеспечения безопасности информации, будь то человек, государство, предприятие или регион, представляют собой многоцелевые сложные системы, для которых трудно определить уровень необходимой безопасности.
На основании этого система обеспечения информационной безопасности организации рассматривается как целый комплекс принятых управленческих решений, направленных на выявление и предотвращение внешних и внутренних угроз. Эффективность принятых мер основывается на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и рассматривание других неблагоприятных моментов, представляющих опасность для развития предприятия и достижения поставленных целей. Обеспечение информационной безопасности организации базируется на принятии таких мер, как:
Анализ потенциальных и реальных ситуаций, представляющих угрозу безопасности информации предприятия;
Оценка характера угроз безопасности информации;
Принятие и комплексное распределение мер для определения угрозы;
Реализация принятых мер по предотвращению угрозы.
Основная цель обеспечения комплексной системы безопасности информации для защиты предприятия, это:
Создать благоприятные условия для нормального функционирования в условиях нестабильной среды;
Обеспечить защиту собственной безопасности;
Возможность на законную защиту собственных интересов от противоправных действий конкурентов;
Обеспечить сотруднику сохранностью жизни и здоровья.
Предотвращать возможность материального и финансового хищения, искажения, разглашения и утечки конфиденциальной информации, растраты, производственные нарушения, уничтожение имущества и обеспечить нормальную производственную деятельность.
Качественная безопасность информации для специалистов - это система мер, которая обеспечивает:
Защиту от противоправных действий;
Соблюдение законов во избежание правового наказания и наложения санкций;
Защиту от криминальных действий конкурентов;
Защиту от недобросовестности сотрудников.
Эти меры применяются в следующих сферах:
- Производственной (для сбережения материальных ценностей);
- Коммерческой (для оценки партнерских отношений и правовой защиты личных интересов);
- Информационной (для определения ценности полученной информации, ее дальнейшего использования и передачи, как дополнительный способ от хищения);
- Для обеспечения предприятия квалифицированными кадрами.
Обеспечение безопасности информации любого коммерческого предприятия основывается на следующих критериях:
- Соблюдение конфиденциальности и защита интеллектуальной собственности;
- Предоставление физической охраны для персонала предприятия;
- Защита и сохранность имущественных ценностей.
- При создавшейся за последние годы на отечественном рынке обстановке рассчитывать на качественную защиту личных и жизненно важных интересов можно только при условии:
- Организации процесса, ориентированного на лишение какой-либо возможности в получении конкурентом ценной информации о намерениях предприятия, о торговых и производственных возможностях, способствующих развитие и осуществление поставленных предприятием целей и задач;
- Привлечение к процессу по защите и безопасности всего персонала, а не только службы безопасности.
6 рекомендаций разработчикам системы информационной безопасности:
- Все используемые средства для защиты должны быть доступными для пользователей и простыми для технического обслуживания.
- Каждого пользователя нужно обеспечить минимальными привилегиями, необходимыми для выполнения конкретной работы.
- Система защиты должна быть автономной.
- Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они являются помехой для выполнения работ.
- Разработчики системы безопасности должны учитывать максимальную степень враждебности окружения, то есть предполагать самые наихудшие намерения со стороны злоумышленников и возможность обойти все защитные механизмы.
- Наличие и место расположение защитных механизмов должно быть конфиденциальной информацией.
- Организация обеспечения безопасности информационных банковских систем основывается на тех же принципах защиты и предполагает постоянную модернизацию защитных функций, поскольку эта сфера постоянно развивается и совершенствуется. Казалось бы, еще недавно созданные новые защитные системы со временем становятся уязвимыми и недейственными, вероятность их взлома с каждым годом возрастает.