Современные информационно-коммуникационные технологии в отраслях экономики

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ВЫСШЕГО И СРЕДНЕГО СПЕЦИАЛЬНОГО ОБРАЗОВАНИЯ РЕСПУБЛИКИ УЗБЕКИСТАН

ОТРАСЛЕВОЙ ЦЕНТР ПЕРЕПОДГОТОВКИ И ПОВЫШЕНИЯ ПЕДАГОГИЧЕСКИХ КАДРОВ ПРИ ТАШКЕНТСКОМ ГОСУДАРСТВЕННОМ ЭКОНОМИЧЕСКОМ УНИВЕРСИТЕТЕ

Современные инфомационно- коммуникационные технологии в отраслях экономики

Руководитель модуля: к.э.н.,доц. Собирова Д.О.

Выполнила : Саттарова Зухра Илхамовна

информационный криптографический аутентификация

Ташкент - 2016



Необходимость обеспечения информационной безопасности (ИБ)

Вопросы обеспечения информационной безопасности (ИБ) для банка являются жизненно важными. Во-первых, банк с точки зрения информационной безопасности - компания «повышенного» риска. Банк - сосредоточение «живых» денег. При этом автоматизированная банковская система (АБС), неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам. Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк - «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.). В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов. Наконец, банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц.

Все это предъявляет жесткие требования к системе защиты корпоративной информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.

Со стороны регулирующих органов, к банку также предъявляется множество требований и предлагается комплекс рекомендаций по обеспечению ИБ. В их числе - постановления и инструкции ЦБ РУЗ; недавно вышедший во второй версии стандарт СТО БР ИББС-1.0-2006, посвященный системе управления ИБ банка; различные международные стандарты, например, ISO 13569 «Banking and related financial services- Information security guidelines»; требования Basel II; различные требования международных платежных систем, например, стандарт Payment Card Industry Data Security Standard (PCI DSS), и другие. К основным элементам системы ИБ Банка («контрольным» точкам), которые должны соответствовать требованиям регулирующих органов и стандартов, относятся:

· авторизация и аутентификация;

· защита от несанкционированного доступа (НСД) к системам, в том числе и внутренняя защита от НСД сотрудников банка;

· защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;

· обеспечение юридической значимости электронных документов;

· управление инцидентами ИБ;

· управление непрерывностью ведения бизнеса;

· внутренний и внешний аудит системы ИБ.

Какие существуют типичные атаки на банковские системы?

· Атаки на системы «front-end» - это атаки, направленные на манипулирование с транзакциями, в т.ч. и с финансовыми. Это могут быть, например, атаки на терминалы (POS терминалы или банкоматы), терминалы SWIFT и др. Данные атаки не получили широкого распространения, т.к. обеспечение ИБ транзакционных систем основано на использовании стойких криптографических алгоритмов, как для шифрования, так и для электронной подписи. Единственное, чему стоит уделить внимание - это надежной системе распределения ключей и физической безопасности терминалов.

· Атаки на системы «back-office». Это наиболее популярный вид атак, и совершаются они как «внешними» злоумышленниками, так и внутренними («инсайдерами»). Атаки направлены на манипуляции с базами данных, которые осуществляются как через приложения, так и напрямую. Типов атак очень много. Например, одна из самых популярных - это атака типа «салями», когда счет округляется в «нужную» сторону. Для противодействия можно использовать широкий спектр контрмер. Это мониторинг и аудит, управление доступом, физическая безопасность, организационные меры, разделение среды разработчиков и операционной среды и др.

С чего начинать построение системы информационной безопасности?

Необходимо понимать, что обеспечение информационной безопасности - процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области ИБ, и с учетом этих факторов сформулированы требования к системе ИБ, разработана политика и система управления ИБ, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков.

Таким образом, построение системы ИБ банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения ИБ. Обследование (аудит) существующей  системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т.е., обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию, иногда целесообразно выполнять тесты на проникновение.

Результатом работ по диагностическому обследованию, помимо рекомендаций и предложений, может являться спроектированная система ИБ. Работы по проектированию системы ИБ банка также включают следующие этапы.

1. Разработка Концепции обеспечения информационной безопасности. Определение основных целей, задач и требований, а также общей стратегии построения системы ИБ, идентификация критичных информационных ресурсов, выработка требований и базовых подходов к их реализации.

2. Создание политики ИБ.

3. Построение модели системы управления ИБ.

4. Подготовка технического задания на создание системы информационной безопасности.

5. Создание модели системы ИБ.

6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.

o Описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.

o Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.

o Спецификацию на комплекс технических средств системы ИБ.

o Спецификацию на комплекс программных средств системы ИБ.

o Определение настроек и режима функционирования компонентов системы ИБ.

7. Тестирование на стенде спроектированной системы ИБ.

8. Разработка организационно-распорядительных документов системы управления ИБ по обеспечению информационной безопасности (политик, процедур, регламентов и т.п.).

9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

При проектировании архитектуры системы ИБ необходимо учитывать, что ее эффективность может быть достигнута, если все компоненты представлены качественными решениями, функционируют как единый комплекс и, в случае распределенных систем, имеют централизованное управление. Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой ИБ, повысить коэффициент возврата инвестиций и улучшить управляемость системы. Основные классы угроз и содержат следующие компоненты:

· подсистему межсетевого экранирования;

· подсистему защиты внутренних сетевых ресурсов;

· подсистему защиты Web-ресурсов;

· подсистему обнаружения и предотвращения вторжений;

· антивирусную подсистему;

· подсистему контроля содержимого Интернет-трафика;

· подсистему аутентификации и авторизации пользователей;

· подсистему криптографической защиты информации;

· подсистему протоколирования, отчета и мониторинга средств защиты;

· подсистему физической защиты;

· подсистему защиты рабочих станций;

· подсистему управления ИБ.

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.

Какие продуктовые линейки можно рекомендовать современному банку при построении системы ИБ?

Самое главное - это выстроить максимально интегрированную систему для обеспечения высокой управляемости системы ИБ и отслеживания событий ИБ.

В первую очередь, необходимо обратить внимание на защиту внутренних ресурсов. Здесь важны системы разграничения доступа и контроля трафика. Для этого могут быть использованы, например, продукты Check Point Interspect и Infowatch.

При наличии сервиса интернет-банкинга или телефонного банкинга, необходимо обеспечение строгой аутентификации, то есть использование двухфакторной аутентификации, например, токенов Vasco или RSA SecureID. А также необходима защита рабочих мест клиентов банка - для этого могут быть использованы продукты Check Point Integrity или Cisco Security Agent. Также стоит уделить внимание защите шлюзов Интернет-банкинга - здесь можно порекомендовать продукт Check Point Connectra.

Необходимо обеспечить жесткий мониторинг и аудит системы ИБ. Здесь стоить отметить продукты Check Point Eventia Analyzer или CISCO Systems MARS, Особое внимание целесообразно уделить аспектам непрерывности ведения бизнеса и восстановления после катастроф, а также управления инцидентами ИБ.

Какие сложности могут возникать при организации проекта построения системы ИБ банка?

При проведении такого рода работ банк часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса? В-первую очередь, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы ИБ. Кроме того, наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов является определенной гарантией опыта компании-консультанта, а также дает право на расширенную поддержку и консультации с разработчиками решений. И, главное - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме.

Средства обеспечения информационной безопасности Банка

Для обеспечения информационной безопасности Банка используются следующие средства защиты:

· физические средства;

· технические средства;

· средства идентификации и аутентификации пользователей;

· средства разграничения доступа;

· средства обеспечения и контроля целостности;

· средства оперативного контроля и регистрации событий безопасности;

· криптографические средства.

Средства защиты должны применяться ко всем чувствительным ресурсам информационной системы Банка, независимо от их вида и формы представления информации в них.

Физические средства защиты

Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться Управлением безопасности путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в них посторонних лиц, хищение документов и носителей информации, самих средств информатизации, а также исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств съема информации.

Для обеспечения физической безопасности компонентов информационной системы Банка необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназначенного для обработки закрытой (конфиденциальной) информации, на:

· наличие специально внедренных закладных устройств;

· побочные электромагнитные излучения и наводки;

· введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки закрытой информации;

· оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.

Технические средства защиты

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

· средства разграничения доступа к данным;

· средства криптографической защиты информации;

· средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;

· средства реагирования на нарушения режима информационной безопасности;

· средства снижения уровня и информативности побочных излучений, создаваемых компонентами информационной системы Банка, предназначенными для обработки закрытой информации;

· средства снижения уровня акустических излучений;

· средства маскировки от оптических средств наблюдения;

· средства активного зашумления в радио и акустическом диапазонах.

На технические средства защиты возлагается решение следующих основных задач:

· идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств (Advantor, Touch Memory, Smart Card и т.п.);

· регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;

· защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

· регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;

· защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.

Средства идентификации и аутентификации пользователей

В целях предотвращения работы с ресурсами информационной системы Банка посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя (или групп пользователей). Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей также может осуществляться:

· путем проверки наличия у пользователей каких-либо специальных устройств (магнитных карточек, ключей, ключевых вставок и т.д.);

· путем проверки знания ими паролей;

· путем проверки уникальных физических характеристик и параметров самих пользователей при помощи специальных биометрических устройств.

Средства разграничения доступа

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:

· на контролируемую территорию; в отдельные помещения;

· к компонентам информационной среды Банка и элементам системы защиты информации (физический доступ);

· к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т.д.);

· к активным ресурсам (прикладным программам, задачам и т.п.);

· к операционной системе, системным программам и программам защиты.

Средства обеспечения и контроля целостности

Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной модификации информации должен обеспечиваться:

· средствами разграничения доступа (в помещения, к документам, к носителям информации, к серверам, логическим устройствам и т.п.);

· средствами электронно-цифровой подписи; средствами учета;

· средствами подсчета контрольных сумм (для используемого программного обеспечения).

Средства оперативного контроля и регистрации событий безопасности

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение Концепции безопасности и привести к возникновению кризисных ситуаций. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:

· ведения и анализа журналов регистрации событий безопасности (системных журналов);

· получения твердой копии (печати) журнала регистрации событий безопасности;

· упорядочения журналов, а также установления ограничений на срок их хранения;

· оперативного оповещения администратора безопасности о нарушениях.

При регистрации событий безопасности в журнале должна фиксироваться следующая информация:

· дата и время события;

· идентификатор субъекта, осуществляющего регистрируемое действие;

· действие (тип доступа).

Криптографические средства защиты информации

Основными элементами системы, обеспечения безопасности информации Корпоративной информационной системы банка являются криптографические методы и средства защиты. Перспективным направлением, использования криптографических методов, является создание инфраструктуры безопасности и использованием открытых ключей (PKI, Public Key Infrastructure).

Организация в Банке системы информационной безопасности на основе инфраструктуры с открытым ключом позволит решить следующие задачи, дающие преимущества бизнесу Банка:

· организация обеспечения защищенного документооборота (в том числе платежного) с использованием имеющихся систем, как внутри Банка, так и при взаимоотношениях с организациями-корреспондентами и клиентами Банка. Это позволит повысить эффективность и снизить накладные расходы на администрирование системы и использовать единые стандарты защиты данных;

· возможность реализации системы информационной безопасности в Банке, централизованно контролируемой из центрального офиса Банка, при этом гибкой и динамически управляемой;

· универсализация методов обеспечения доступа пользователей и защиты транзакций для системы электронной почты, автоматизированной банковской системы, системы дистанционного банковского обслуживания, системы доступа в Internet и других систем с использованием уже имеющихся в этих приложениях механизмов обеспечения информационной безопасности;

· создание единого распределенного каталога учетных данных всех пользователей информационных систем Банка. Организация единого централизованно управляемого каталога позволит снизить расходы на администрирование и обеспечить оперативное управление учетными данными;

· использование имеющихся реализаций российских криптографических алгоритмов в операциях с сертификатами и при защите электронного документооборота.

Организация защищенного on-line взаимодействия удаленных сетей филиалов, дополнительных офисов и партнеров Банка на основе использования средств криптозащиты, в том числе при осуществлении финансовых операций, позволит:

· защитить конфиденциальную информацию Банка при ее передаче по каналам связи;

· защитить внутренние ЛВС Центрального офиса Банка, региональных филиалов, дополнительных офисов от несанкционированных воздействий извне;

· сделать информационные взаимодействия Банка более эффективным за счет централизации управления ресурсами;

· оптимизировать затраты на администрирование сетей удаленных подразделений.

Все средства криптографической защиты информации в Банке должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями.

Ключевая система применяемых в Банке средств криптографической защиты информации должна обеспечивать криптографическую живучесть, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и защита информации при ее передаче по каналам связи должна обеспечиваться также за счет применения в системе шифросредств абонентского шифрования. В корпоративной информационной системе, являющейся структурой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений.

Размещено на Allbest.ru