Файл: Система защиты информации в банковских системах(направления обеспечения безопасности 6 банка россии).pdf
Добавлен: 27.06.2023
Просмотров: 222
Скачиваний: 3
СОДЕРЖАНИЕ
1. направления обеспечения безопасности банка россии
1.2. Утечка информации из компьютерных сетей
1.3. Защита платежных документов
1.4. Внутренняя безопасность. Личная безопасность сотрудников
2. Службы банка россии, обеспечивающие безопасность банковской деятельности
3. Виды электронных банковских технологий
3.1. Отечественные автоматизированные системы банковских технологий
3.2. Зарубежные системы автоматизации банковской деятельности
3.3. Системы защиты информации от утечки по техническим каналам
3.4. Классификация, кодирование и контроль технико-экономической информации
4. Организация службы внутренней безопасности
4.1. Порядок организации охраны, пропускного режима
4.2. Порядок организации противопожарной охраны
5. ЛИЧНАЯ БЕЗОПАСНОСТЬ СОТРУДНИКОВ ЦЕНТРАЛЬНОГО БАНКА РОССИИ
• помехоустойчивым кодированием файлов для их надежного хранения при помощи модуля Return to Life.
Sekret Net. Ассоциация "Информзащита" предлагает систему защиты Sekret Net, предназначенную для защиты хранимой и обрабатываемой информации на персональных компьютерах в ЛВС от НСД и противодействия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе. В качестве защищаемого объекта выступает ЛВС персональных ЭВМ типа IBM PC/AT и старше, работающих под управлением операционной системы Novell Netware 3.1 (файловые серверы), объединенных при помощи сетевого оборудования Ethernet, Arknet или Tocen-Ring. Данная система включает средства:
• идентификации и аутентификации пользователей;
• разграничения доступа к ресурсам;
• контроля целостности;
• регистрации;
• управления средствами защиты.
Система Sekret Net имеет сертификат Гостехкомиссии РФ.
В данной системе отсутствуют средства шифрования информации, которые могут быть выбраны заказчиком. Их применение возможно при согласовании с ассоциацией "Информзащита".
При выборе одной из названных систем следует учитывать, что они строились на базе существующей концепции защиты. Однако именно в случае контроля и разграничения доступа к информации упомянутые системы могут оказаться достаточно эффективными. Насколько? Покажут время и оценка прочности по предлагаемым в данной книге методикам и на конкретной ЛВС. Попутно заметим, что проводимая в настоящее время сертификация подобных систем, к сожалению, не имеет смысла, так как их невозможно применять самостоятельно, а при установке на конкретной ЛВС они приобретают в новых условиях новое качество, т. е. в любом случае потребуются их проверка и испытания на конкретном изделии Внедрение перечисленных систем в разрабатываемую ЛВС потребует их адаптации к структуре и технологии обработки информации, присущим только данному объекту автоматизации
3.4. Классификация, кодирование и контроль технико-экономической информации
Автоматизированные системы обработки информации (АСОИ) или автоматизированные системы обработки данных (АСОД) в настоящее время получили различное воплощение. Поэтому классификация АСОД по видам может иметь структуру, представленную в приложении 1.
Столь широкий диапазон рассматриваемых систем выбран не только по причине общей проблемы защиты информации, но и потому, что все перечисленные виды АСОД могут входить в состав одной и той же региональной или глобальной вычислительной сети или АСУ. Очевидно, что концепция безопасности информации, теория и основные принципы построения ее защиты в них должны быть едиными. Такому подходу способствует также и то, что ввод-вывод, хранение, обработка и передача информации во всех видах АСОД строятся на базе типовых методов и средств. Поиск подобных методов и средств в обеспечении безопасности информации также является основной задачей при проектировании АСОД.
Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Государственной Думой 25 января 1995 г.
В приведенном ниже перечне сведения сгруппированы по тематическому принципу. Предлагаемое разделение на группы носит рекомендательный характер и может быть изменено в зависимости от специфики сведений, составляющих коммерческую тайну конкретного предприятия (организации). Сведения, включенные в данный перечень, могут быть коммерческой тайной только с учетом особенностей конкретного предприятия (организации).
1. Сведения о финансовой деятельности:
прибыль, кредиты, товарооборот;
финансовые отчеты и прогнозы;
коммерческие замыслы;
фонд заработной платы;
стоимость основных и оборотных средств;
кредитные условия платежа;
банковские счета;
плановые и отчетные калькуляции.
2. Информация о рынке:
цены, скидки, условия договоров, спецификация продукции;
объем, история, тенденции производства и прогноз для конкретного продукта;
рыночная политика и планы;
маркетинг и стратегия цен;
отношения с потребителями и репутация;
численность и размещение торговых агентов;
каналы и методы сбыта;
политика сбыта;
программа рекламы.
3. Сведения о производстве и продукции:
сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий;
сведения о планируемых сроках создания разрабатываемых изделий;
сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании;
сведения о модификации и модернизации ранее известных технологий, процессов, оборудования;
производственные мощности;
состояние основных и оборотных фондов;
организация производства;
размещение и размер производственных помещений и складов;
перспективные планы развития производства;
технические спецификации существующей и перспективной продукции;
схемы и чертежи отдельных узлов, готовых изделий, новых разработок;
сведения о состоянии программного и компьютерного обеспечения;
оценка качества и эффективности;
номенклатура изделий;
способ упаковки;
доставка.
4. Сведения о научных разработках:
новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия;
программы НИР;
новые алгоритмы;
оригинальные программы.
5. Сведения о системе материально-технического обеспечения:
сведения о составе торговых клиентов, представителей и посредников;
потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей;
транспортные и энергетические потребности.
6. Сведения о персонале предприятия:
численность персонала предприятия;
определение лиц, принимающих решение.
7. Сведения о принципах управления предприятием:
сведения о применяемых и перспективных методах управления производством;
сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний органов управления;
сведения о планах предприятия по расширению производства;
условия продажи и слияния фирм.
8. Прочие сведения:
важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам;
принципы организации защиты коммерческой тайны.
Законом Российской Федерации от 2 декабря 1990 г. "О банках и банковской деятельности" введено понятие "банковской тайны".
Под банковской тайной (БТ) подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика.
Защита информации методом криптографического преобразования, или кодирование, заключается в преобразовании ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов или аппаратных решений и кодов ключей, т.е. в приведении её к неявному виду. Для ознакомления с кодированной информацией применяется обратный процесс - декодирование. Использование криптографии является одним из распространенных методов, значительно повышающих безопасность передачи данных в сетях ЭВМ, данных, хранящихся в устройствах памяти, и при обмене информацией между удаленными объектами.
Для кодирования обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм. Управление процессом кодирования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет просто и надежно декодировать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме кодирования.
Классификация криптографических методов преобразования информации, в частности, кодирования информации, приведена в приложении 2.
Основными требованиями, предъявляемыми к кодированию информации, являются:
1) применяемый метод кодирования должен быть устойчивым к попыткам раскрыть исходный текст, имея только зашифрованный текст;
2) объем ключа не должен затруднять его запоминание и пересылку;
3) длина закодированного текста не должна превышать длину исходного текста;
4) необходимые временные и стоимостные ресурсы на кодирование и декодирование информации должно определяться требуемой степенью зашиты информации.
Множество современных методов защитных преобразований можно классифицировать на четыре большие группы: перестановки, замены (подстановки), аддитивные и комбинированные.
Метод перестановки и подстановки характеризуются короткой длиной ключа, а надежность их защиты определяется сложностью алгоритмов преобразования.
Для аддитивного метода характерен простой алгоритм преобразования, а их надежность основана на увеличении длины ключа.
Комбинация методов перестановки и подстановки дает в результате сложное преобразование, называемое производным шифром. Этот шифр обладает более сильными криптографическими возможностями, чем отдельная перестановка и подстановка. Этот метод используется в федеральном стандарте NBS США, называемом также стандартом DES, и отечественном ГОСТе 28147-89, введенном в действие с 1990 года.
Все перечисленные методы относятся к так называемому симметричному кодированию: один и тот же ключ используется для кодирования и декодирования.
В последнее время появились методы асимметричного кодирования:
один ключ для кодирования (открытый), второй - для декодирования (закрытый).
Криптография с открытым ключом наиболее эффективна при кодировании передаваемых данных, а не данных, хранящихся в запоминающих устройствах. Кроме того, она прекрасно подходит для замены обычной подписи электронной, так называемой электронной подписью, применяемой в системах электронных платежей и при передаче сообщений с помощью устройств телесвязи.
В приложении 3 приведены сильные и слабые стороны классического криптографического алгоритма DES и криптографического алгоритма с открытым ключом RSA (название от первых букв фамилий авторов - Rivest, Shamir, Adelman).
В настоящее время создаются все более сложные криптосистемы, вскрытие которых становится почти невозможным.
Средства централизованного контроля и управления защитой информации в ЛВС включают:
• персональное автоматизированное рабочее место службы безопасности информации (АРМ СБИ);
• специальное программное обеспечение (СПО);
• организационные мероприятия.
В качестве АРМ СБИ (приложение 4) в больших ЛВС лучше всего использовать специально выделенную ПЭВМ, введенную в состав сети и размещенную в отдельном помещении, оборудованном средствами охранной сигнализации. Однако в большинстве случаев будущие владельцы ЛВС не захотят нести лишние расходы. Поэтому в менее ответственных системах целесообразно выполнение задач АРМ СБИ совместить с выполнением задач управления ЛВС на ПЭВМ администратора сети, выполняющего также роль супервизора системы. Однако согласно принципу разделения привилегий, исключающему сосредоточение всех полномочий у одного человека, в ответственных системах функции службы безопасности необходимо разделить между СБИ и руководством фирмы, в конторах — между СБИ и владельцем ЛВС. Это означает, что функции автоматизированного управления безопасностью могут выполняться с двух ПЭВМ: администратора и руководителя.
Нормальный режим работы ЛВС — когда функции управления выполняет администратор, а руководитель контролирует его действия и, при необходимости, может в этот процесс вмешаться. Все изменения, вносимые администратором (руководителем) в систему, должны автоматически регулироваться и сообщаться на ПЭВМ руководителя (администратора) в виде отображения на его дисплее краткого сообщения о характере произведенных изменений. Далее руководитель (администратор) может специальным запросом уточнить информацию. Совмещение указанных задач, однако, не означает отключение, даже на короткий период времени, функций обнаружения и блокировки НСД, а также контроля функционирования средств защиты.
Специальное программное обеспечение СЦКУ безопасности информации включает следующие программы:
• ввода списков идентификаторов пользователей сети;
• генерации и ввода кодов ключей-паролей (КП);
• ввода и контроля полномочий пользователей;