Файл: Система защиты информации в банковских системах(направления обеспечения безопасности 6 банка россии).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.06.2023

Просмотров: 222

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. направления обеспечения безопасности банка россии

1.2. Утечка информации из компьютерных сетей

1.3. Защита платежных документов

1.4. Внутренняя безопасность. Личная безопасность сотрудников

2. Службы банка россии, обеспечивающие безопасность банковской деятельности

3. Виды электронных банковских технологий

3.1. Отечественные автоматизированные системы банковских технологий

3.2. Зарубежные системы автоматизации банковской деятельности

3.3. Системы защиты информации от утечки по техническим каналам

3.4. Классификация, кодирование и контроль  технико-экономической информации

4. Организация службы внутренней безопасности

4.1. Порядок организации охраны, пропускного режима

4.2. Порядок организации противопожарной охраны

4.3. Видеоохранные устройства

5. ЛИЧНАЯ БЕЗОПАСНОСТЬ СОТРУДНИКОВ ЦЕНТРАЛЬНОГО БАНКА РОССИИ

ЗАКЛЮЧЕНИЕ

приложения

Приложение 2

Криптографическое закрытие информации

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

• помехоустойчивым кодированием файлов для их надежного хране­ния при помощи модуля Return to Life.

Sekret Net. Ассоциация "Информзащита" предлагает систему защиты Sekret Net, предназначенную для защиты хранимой и обрабатываемой информации на персональных компьютерах в ЛВС от НСД и противо­действия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе. В качестве защищаемого объекта вы­ступает ЛВС персональных ЭВМ типа IBM PC/AT и старше, работаю­щих под управлением операционной системы Novell Netware 3.1 (файло­вые серверы), объединенных при помощи сетевого оборудования Ethernet, Arknet или Tocen-Ring. Данная система включает средства:

• идентификации и аутентификации пользователей;

• разграничения доступа к ресурсам;

• контроля целостности;

• регистрации;

• управления средствами защиты.

Система Sekret Net имеет сертификат Гостехкомиссии РФ.

В данной системе отсутствуют средства шифрования информации, которые могут быть выбраны заказчиком. Их применение возможно при согласовании с ассоциацией "Информзащита".

При выборе одной из названных систем следует учитывать, что они строились на базе существующей концепции защиты. Однако именно в случае контроля и разграничения доступа к информации упомянутые системы могут оказаться достаточно эффективными. Насколько? Покажут время и оценка прочности по предлагаемым в данной книге методикам и на конкретной ЛВС. Попутно заметим, что проводимая в настоящее время сертификация подобных систем, к сожалению, не имеет смысла, так как их невозможно применять самостоятельно, а при установке на конкретной ЛВС они приобретают в новых условиях новое качество, т. е. в любом случае потребуются их проверка и испытания на конкретном изделии Внедрение перечисленных систем в разрабатываемую ЛВС потребует их адапта­ции к структуре и технологии обработки информации, присущим только данному объекту автоматизации

3.4. Классификация, кодирование и контроль  технико-экономической информации

Автоматизированные системы обработки информации (АСОИ) или ав­томатизированные системы обработки данных (АСОД) в настоящее время получили различное воплощение. Поэтому классификация АСОД по видам может иметь структуру, пред­ставленную в приложении 1.

Столь широкий диапазон рассматриваемых систем выбран не только по причине общей проблемы защиты информации, но и потому, что все перечисленные виды АСОД могут входить в состав одной и той же ре­гиональной или глобальной вычислительной сети или АСУ. Очевидно, что концепция безопасности информации, теория и основные прин­ципы построения ее защиты в них должны быть едиными. Такому под­ходу способствует также и то, что ввод-вывод, хранение, обработка и передача информации во всех видах АСОД строятся на базе типовых методов и средств. Поиск подобных методов и средств в обеспечении безопасности информации также является основной задачей при про­ектировании АСОД.

Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Госу­дарственной Думой 25 января 1995 г.

В приведенном ниже перечне сведения сгруппированы по тематическо­му принципу. Предлагаемое разделение на группы носит рекомендатель­ный характер и может быть изменено в зависимости от специфики сведе­ний, составляющих коммерческую тайну конкретного предприятия (орга­низации). Сведения, включенные в данный перечень, могут быть коммер­ческой тайной только с учетом особенностей конкретного предприятия (организации).

1. Сведения о финансовой деятельности:

прибыль, кредиты, товарооборот;

финансовые отчеты и прогнозы;

коммерческие замыслы;

фонд заработной платы;

стоимость основных и оборотных средств;

кредитные условия платежа;

банковские счета;

плановые и отчетные калькуляции.

2. Информация о рынке:

цены, скидки, условия договоров, спецификация продукции;

объем, история, тенденции производства и прогноз для конкретного продукта;

рыночная политика и планы;

маркетинг и стратегия цен;

отношения с потребителями и репутация;

численность и размещение торговых агентов;

каналы и методы сбыта;

политика сбыта;

программа рекламы.

3. Сведения о производстве и продукции:

сведения о техническом уровне, технико-экономических характери­стиках разрабатываемых изделий;

сведения о планируемых сроках создания разрабатываемых изделий;

сведения о применяемых и перспективных технологиях, технологиче­ских процессах, приемах и оборудовании;

сведения о модификации и модернизации ранее известных техноло­гий, процессов, оборудования;

производственные мощности;

состояние основных и оборотных фондов;

организация производства;

размещение и размер производственных помещений и складов;

перспективные планы развития производства;

технические спецификации существующей и перспективной продук­ции;

схемы и чертежи отдельных узлов, готовых изделий, новых разработок;

сведения о состоянии программного и компьютерного обеспечения;

оценка качества и эффективности;

номенклатура изделий;

способ упаковки;

доставка.

4. Сведения о научных разработках:

новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия;

программы НИР;

новые алгоритмы;

оригинальные программы.

5. Сведения о системе материально-технического обеспечения:

сведения о составе торговых клиентов, представителей и посредни­ков;

потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей;

транспортные и энергетические потребности.

6. Сведения о персонале предприятия:

численность персонала предприятия;

определение лиц, принимающих решение.

7. Сведения о принципах управления предприятием:

сведения о применяемых и перспективных методах управления про­изводством;

сведения о фактах ведения переговоров, предметах и целях совеща­ний и заседаний органов управления;

сведения о планах предприятия по расширению производства;

условия продажи и слияния фирм.

8. Прочие сведения:

важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам;

принципы организации защиты коммерческой тайны.

Законом Российской Федерации от 2 декабря 1990 г. "О банках и бан­ковской деятельности" введено понятие "банковской тайны".

Под банковской тайной (БТ) подразумевается обязанность кредитно­го учреждения сохранять тайну по операциям клиентов, ограждение бан­ковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика.

Защита информации методом криптографического преобразования, или кодирование, заключается в преобразовании ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов или аппаратных решений и кодов ключей, т.е. в приведении её к неявному виду. Для озна­комления с кодированной информацией применяется обратный процесс - декодирование. Использование криптографии является одним из распростра­ненных методов, значительно повышающих безопасность передачи данных в сетях ЭВМ, данных, хранящихся в устройствах памяти, и при обмене инфор­мацией между удаленными объектами.

Для кодирования обычно используется некоторый алгоритм или уст­ройство, реализующее заданный алгоритм. Управление процессом кодирова­ния осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа по­зволяет просто и надежно декодировать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алго­ритме кодирования.

Классификация криптографических методов преобразования инфор­мации, в частности, кодирования информации, приведена в приложении 2.

Основными требованиями, предъявляемыми к кодированию инфор­мации, являются:

1) применяемый метод кодирования должен быть устойчивым к по­пыткам раскрыть исходный текст, имея только зашифрованный текст;

2) объем ключа не должен затруднять его запоминание и пересылку;

3) длина закодированного текста не должна превышать длину исход­ного текста;

4) необходимые временные и стоимостные ресурсы на кодирование и декодирование информации должно определяться требуемой сте­пенью зашиты информации.

Множество современных методов защитных преобразований можно классифицировать на четыре большие группы: перестановки, замены (под­становки), аддитивные и комбинированные.

Метод перестановки и подстановки характеризуются короткой длиной ключа, а надежность их защиты определяется сложностью алгоритмов пре­образования.

Для аддитивного метода характерен простой алгоритм преобразова­ния, а их надежность основана на увеличении длины ключа.

Комбинация методов перестановки и подстановки дает в результате сложное преобразование, называемое производным шифром. Этот шифр об­ладает более сильными криптографическими возможностями, чем отдельная перестановка и подстановка. Этот метод используется в федеральном стан­дарте NBS США, называемом также стандартом DES, и отечественном ГОСТе 28147-89, введенном в действие с 1990 года.

Все перечисленные методы относятся к так называемому симметрич­ному кодированию: один и тот же ключ используется для кодирования и де­кодирования.

В последнее время появились методы асимметричного кодирования:

один ключ для кодирования (открытый), второй - для декодирования (закры­тый).

Криптография с открытым ключом наиболее эффективна при кодиро­вании передаваемых данных, а не данных, хранящихся в запоминающих уст­ройствах. Кроме того, она прекрасно подходит для замены обычной подписи электронной, так называемой электронной подписью, применяемой в систе­мах электронных платежей и при передаче сообщений с помощью устройств телесвязи.

В приложении 3 приведены сильные и слабые стороны классического крип­тографического алгоритма DES и криптографического алгоритма с открытым ключом RSA (название от первых букв фамилий авторов - Rivest, Shamir, Adelman).

В настоящее время создаются все более сложные криптосистемы, вскрытие которых становится почти невозможным.

Средства централизованного контроля и управления защитой информа­ции в ЛВС включают:

• персональное автоматизированное рабочее место службы безопас­ности информации (АРМ СБИ);

• специальное программное обеспечение (СПО);

• организационные мероприятия.

В качестве АРМ СБИ (приложение 4) в больших ЛВС лучше всего использо­вать специально выделенную ПЭВМ, введенную в состав сети и разме­щенную в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы ЛВС не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления ЛВС на ПЭВМ администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необ­ходимо разделить между СБИ и руководством фирмы, в конторах — между СБИ и владельцем ЛВС. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух ПЭВМ: администра­тора и руководителя.

Нормальный режим работы ЛВС — когда функции управления вы­полняет администратор, а руководитель контролирует его действия и, при необходимости, может в этот процесс вмешаться. Все изменения, вносимые администратором (руководителем) в систему, должны авто­матически регулироваться и сообщаться на ПЭВМ руководителя (адми­нистратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администра­тор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий пе­риод времени, функций обнаружения и блокировки НСД, а также кон­троля функционирования средств защиты.

Специальное программное обеспечение СЦКУ безопасности инфор­мации включает следующие программы:

• ввода списков идентификаторов пользователей сети;

• генерации и ввода кодов ключей-паролей (КП);

• ввода и контроля полномочий пользователей;

Смотрите также файлы