Добавлен: 17.05.2023
Просмотров: 105
Скачиваний: 2
СОДЕРЖАНИЕ
Глава 1. Теоретические основы системы защиты информации
1.1 Понятийный аппарат в области обеспечения безопасности информации
2.2. Компоненты системы защиты информации
Глава 2.Система защиты информации в банковских системах
2.2 Защита информации от компьютерных вирусов в банке
С развитием процесса автоматизации производства направление информационной безопасности и контроля доступа становится стратегически важным даже в отношении тех предприятий, чья деятельность напрямую не связана с компьютерными или интернет-технологиями. Это может относиться как к контролю доступа в помещение, так и доступа к определенной информации. Причем требования к способам контроля доступа на крупном предприятии не менее жесткие, чем для электронной коммерции: помимо высокой точности аутентификации важна скорость обработки данных об объекте.
Выделяют 4 вида автоматизированной идентификации объекта:
- Оптическая
- Магнитная
- Радиочастотная
- Биометрическая
Самый простой и в то же время самый распространенный способ идентификации — оптический. В его основе лежит принцип распознавания видимых символов. Широко применяем в штрих-кодах и похожих системах. Низкая надежность данного способа идентификации не позволяет защищать особо важную информацию, поскольку легко поддается подделке, поэтому используется в торговле для внутреннего учета.
Более прогрессивный способ идентификации — магнитный, основан на считывании нанесенных на магнитную полосу спецсимволов. Карты с магнитной полосой достаточно популярны как в качестве платежного инструмента, так и для контроля доступа в помещение. Однако карты с магнитной полосой в настоящее время не могут полностью защитить пользователя от незаконного копирования информации злоумышленниками. Мошенники, занимающиеся кражей данных с карт, так называемые «кардеры», на данный момент располагают целым арсеналом средств для считывания информации с магнитных полос и подделкой карт. Поэтому помимо магнитных полос карты оснащают дополнительными средствами защиты[14].
Среди современных средств защиты информации от посягательств выделяют радиочастотные RFID и биометрические системы идентификации. Они обладают высокой устойчивостью к взлому и краже информации.
Карты с RFID чипом относятся к бесконтактным смарт-картам, в основу действия которых заложен принцип кодирования карт при помощи нанесения на чип RFID-метки. Такие карты отличаются высокой надежностью, большим объемом записываемой информации, долговечностью[15]. Использование нескольких уровней криптозащиты делают практически невозможным их подделку. Запас прочности самого RFID-чипа огромен, срок эксплуатации RFID карт почти не ограничен, при этом стопроцентная идентификация может производиться даже через грязь, воду, пар, краску, пластмассу, древесину и даже сквозь металл. Уникальность RFID-карт состоит еще и в том, что благодаря высокой скорости считывания меток, RFID-карты могут применяться в системах контроля доступа автотранспорта[16].
В системе обеспечения безопасности все большее значение приобретает обеспечение информационной безопасности предприятия. Это связано с растущим объемом информации, с необходимостью ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации[17].
Проблемы, связанные с информационной безопасностью на предприятиях, могут быть решены только с помощью систематического и комплексного подхода. С методологической точки зрения, подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов.
В обеспечении информационной безопасности нуждаются разные субъекты информационных отношений[18]:
– государство в целом или отдельные его органы и организации;
– общественные или коммерческие организации (объединения),
предприятия (юридические лица);
– отдельные граждане (физические лица).
В зависимости от сочетания уровней конфиденциальности информации и характера условий размещений определяют категории объектов КСЗИ( рис.1).
Рисунок 1.Объекты системы защиты информации
Деятельность по созданию КСЗИ относится к лицензируемым видам деятельности и лицензируется Государственной службой специальной связи и защиты информации России. Право на проведение государственных экспертиз КСЗИ имеют лицензиаты в области ТЗИ, которые также входят в Реестр Организаторов экспертизы в сфере ТЗИ, который формирует и ведет Контролирующий орган. К проведению работ по созданию КСЗИ и государственной экспертизе КСЗИ привлекаются различные субъекты, для исключения нарушений и злоупотреблений в сфере защиты информации.
Задачи, ставящиеся перед КСЗИ вытекают из следующего принципа: выявления по возможности каналов утечки информации и угрозы информации и борьба с ними.
1. Создание и документальное закрепление организации методов защиты информации;
2. правовое регулирование защиты информации;
3. защита информации от случайных угроз (стихийное бедствие);
4. защита информации от шпионажа и диверсии;
5. защита информации от НСД;
6. защита информации от разрушающих программ, воздействующих в автоматизированных системах;
7. защита информации в распределительных автоматизированных системах обработки данных.
Для того, чтобы создать комплексную систему защиты информации на предприятии надо:
1. выполнить анализ информации циркулирующей на объекте защиты (выявление источников носителей информации, выявление объема информации);
2. выявить угрозы безопасности информации (моделирование объекта защиты, выявление рисков, оценка этих рисков);
3. разработать организационно-методических мероприятия;
4. ввести в эксплуатацию комплекс системы защиты информации, выполнить его сертификацию и отслеживать дальнейшее развитие.
2.2. Компоненты системы защиты информации
Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ т. д.
Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
— характер деятельности предприятия;
— состав защищаемой информации, ее объем, способы представления и отображения;
— численный состав и структура кадров предприятия;
— техническая оснащенность предприятия;
— экономическое состояние предприятия; — организационная структура предприятия; — нормативно-правовое обеспечение деятельности предприятия. В меньшей степени на организацию КСЗИ на предприятии могут влиять:
— режим работы предприятия;
— технология производства и управления;
— тип и объем производства; — местоположение и архитектурные особенности предприятия;
— форма собственности предприятия. Компоненты КСЗИ со слабой защитой
– должны обеспечивать защиту информации в пределах серийных средств обработки информации с использованием общедоступных организационно - правовых мер.
Компоненты со средней защитой – дополнительно к вышеуказанным мерам должны иметь системы (средства) разграничения доступа и средства регулирования (управления) защитой информации.
Компоненты сильной защиты – должны обеспечиваться комплексом средств защиты и обязательная организационная структура по защите информации (служба защиты информации).
Компоненты очень сильной защиты – компоненты должны строиться на основе типового проектирования с наличием непрерывного цикла защиты информации.
Компоненты особой защиты – данные компоненты должны реализовываться на основе индивидуального проектирования, а также реализовываться мандатный доступ к информации.
Более светлым цветом показано то, что возможно может быть допущено, более темным цветом – то, что должно быть.
Рисунок 2. Классификационная структура типовых компонентов КСЗИ (с учетом требуемых уровней защиты)
Применительно к конфиденциальной информации можно указать следующие четыре требуемых уровня защиты информации:
1. Очень высокая защита (особо конфиденциально);
2. Высокая защита (строго конфиденциально);
3. Средняя защита (конфиденциально);
4.Низкая защита (открытая информации).
По активности реагирования на несанкционированные действия все компоненты КСЗИ (средства защиты информации) целесообразно делить на следующие три типа:
1.Пассивные. В которых не предусматривается сигнализация о несанкционированных действиях и не предусматривается воздействие на нарушителя.
2.Полуактивные. Предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие на нарушителя.
3.Активные. Предусматривается сигнализация о несанкционированных действиях и воздействие на нарушителя.
Рисунок 3. Типовые объекты защиты
Процесс подготовки к внедрению системы защиты информации можно разделить на несколько этапов:
1) разработка необходимой документации;
2) анализ существующей системы защиты информации;
3) внедрение системы и средств защиты информации;
4) проведение испытаний новой системы защиты информации;
5) поддержка и обслуживание.
Комплексный аудит информационной безопасности (ИБ) предприятия – это комплекс организационно-технических мероприятий, проводимых независимыми экспертами, по оценке функционирования существующей системы обеспечения ИБ (механизмов защиты и контроля, применяемых в организации) заказчика.
Целью комплексного аудита является проверка системы обеспечения ИБ заказчика на соответствие существующим стандартам и нормативным документам в области защиты информации и выработка рекомендаций по устранению выявленных несоответствий.
Результатом комплексного аудита является формирование отчетов с детальными выводами и рекомендациями по конкретным доработкам существующей системы обеспечения ИБ с учетом текущих требований заказчика, либо разработка проекта оптимальной архитектуры системы обеспечения ИБ в соответствии с нормативными требованиями. Дополнительно может быть разработан план реализации предложенных рекомендаций.
Глава 2.Система защиты информации в банковских системах
2.1 Безопасный режим банка
Банковская информация всегда была объектом пристального внимания разного рода злоумышленников, поэтому банки превратились в оборудованные по последнему слову техники «бастионы». Однако действия злоумышленников совершенствуются не менее интенсивно, чем средства их предупреждения, поэтому для защиты информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации. Таким образом, сегодня требуется новая современная технология защиты информации в автоматизированных информационных системах и сетях передачи данных.
Несмотря на предпринимаемые дорогостоящие меры, функционирование банковских автоматизированных информационных систем выявило наличие слабых мест в защите информации. Открытый характер систем, их широкое распространение порождает новые формы преступности.
В настоящее время особенно опасными для банка являются компьютерные преступления. Уровень потерь, связанных с несанкционированным доступом к банковской информации, достаточно высок, при этом сохраняется тенденция к росту потерь.
Действия злоумышленников часто достигают цели по следующим причинам:
- в большинстве банков используются однотипные стандартные вычислительные средства — IBM-совместимые персональные компьютеры; локальные вычислительные сети со стандартной техникой и программным обеспечением; программное обеспечение автоматизированных банковских систем написано на стандартных языках программирования;
- возрастает компьютерная грамотность клиентов. Недооценка вопросов безопасности влечет за собой финансовые потери, потерю клиентов и доверия на рынке услуг.
Следовательно, при создании автоматизированных банковских систем необходимо уделять внимание их безопасности, т.е. профессионально обеспечить их защиту.
Безопасность АБС — это защищенность банковской системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Безопасность АБС включает безопасность сотрудников, безопасность помещений и ценностей и информационную безопасность.