Главная База знаний "Allbest" Программирование, компьютеры и кибернетика Разработка системы технической защиты информации типичного объекта

Разработка системы технической защиты информации типичного объекта

Анализ технологий обработки информации. Построение системы защиты информации, порядок контроля за ее состоянием, определение и анализ угроз. Защита информации, которая циркулирует в системах звукоусиления. Техническая защита банковских операций.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 19.10.2011
Размер файла 474,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Страница:

Размещено на http://www.allbest.ru/

Министерство образования и науки Украины

Харковский национальный университет радиоэлектроники

ДИПЛОМНАЯ РАБОТА

Разработка системы технической защиты информации типового объекта

Содержание

  • Введение
  • 1. Анализ технологий обработки информации
  • 1.1 Электронные платежи
  • 1.2 Аналитическое обеспечение мероприятий безопасности
  • 1.2.1 Человеческий фактор в обеспечении информационной безопасности
  • 1.2.2 Риски персонала
  • 1.2.3 Анализ рисков
  • 1.3 Категорирование информации по важности
  • 1.4 План защиты
  • 1.5 Положения о безопасности
  • 2. Анализ угроз ТЗИ
  • 2.1 Короткое описание возможной утечки информации каналами ПЭМВН
  • 2.2 Защита информации которая циркулирует в системах звукоусиления
  • 2.2.1 Защита информации при проведении звукозаписи
  • 2.2.3 Защита речевой информации при ее передаче по каналам связи
  • 3. Построение системы защиты информации
  • 3.1 Определения и анализ угроз
  • 3.2 Разработка системы защиты информации
  • 3.3 Техническая защита банковских операций
  • 3.3.1 Общие положения
  • 3.3.2 Возможные угрозы банковским операциям
  • 3.3.3 Типичные мероприятия и средства ТЗИ от утечки
  • 3.3.4 Решение задач ТЗИ
  • 3.3.5 Блокирование каналов утечки информации
  • 3.3.6 Блокирование несанкционированного доступа
  • 3.4 Нормативные документы с ТЗИ
  • 3.4.1 Изучение государственных строительных норм Украины
  • 3.4.2 Общие положения
  • 3.4.3 Задание на проектирование мероприятий ТЗИ
  • 3.4.4 Разработка проектной документации
  • 3.4.5 Разработка проекта организации строительства
  • 3.4.6 Экспертиза проектной документации
  • 3.5 Реализация плана защиты информации
  • 3.5.1 Общие положения
  • 3.5.2 Организация проведения обследования
  • 3.5.3 Организация разработки системы защиты информации
  • 3.5.4 Реализация организационных мероприятий защиты
  • 3.5.5 Реализация первичных технических мероприятий защиты
  • 3.5.6 Реализация основных технических мероприятий защиты
  • 3.6 Требования из защиты информации, обрабатываемой ЭВМ
  • 3.6.1 Общие требования и рекомендации
  • 3.6.2 Основные требования и рекомендации из защиты служебной тайны и персональных данных
  • 3.6.3 Основные рекомендации из защиты информации
  • 3.6.4 Порядок обеспечения защиты конфиденциальной информации при эксплуатации АСС
  • 3.6.5 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ
  • 3.6.6 Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ
  • 3.6.7 Защита информации в локальных вычислительных сетях
  • 3.6.8 Защита информации при межсетевом взаимодействии
  • 3.6.9 Защита информации при работе с системами управления базами данных
  • 3.7 Требования из защиты информации помещаемой в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования
  • 3.7.1 Общие положения
  • 3.7.2 Условия подключения абонентов к сети
  • 3.7.3 Порядок подключения и взаимодействия абонентских пунктов с сетью, требования и рекомендации из обеспечение безопасности информации
  • 4. Порядок контроля за состоянием технической защиты информации
  • 4.1Таблица исходных данных для осуществления ТЗИ
  • 4.2 Методы и содержание контроля за подготовительными техническими мероприятиями
  • 5. Безопасность жизни и деятельности человека
  • Введение
  • 5.1 Анализ условий труда
  • 5.2 Техника безопасности
  • 5.3 Производственная санитария
  • 5.4 Пожарная профилактика в лаборатории
  • 6. Экономическая часть
  • 6.1 Общая характеристика программного продукта
  • 6.2 Планирование выполнения работ и построение линейного графика выполнения НИР
  • 6.3 Расчёт сметной стоимости научно-технической продукции
  • 6.4 Оценка научно-технического и экономического уровня НИР
  • 6.5 Выводы по оценке научно-технического и экономического уровня НИР
  • Выводы
  • Заключение
  • Перечень ссылок
  • Приложения

Список условных сокращений

FB - Flash-Bios

АКП - автоматизированные клиринговые палаты

АП - абонентский пункт

АРМ - автоматизированное рабочее место

АС - автоматизированные системы

АСС - автоматизированные системы связи

АСОИБ - автоматизированные системы обработки информации

БД - базы данных

ВОЛС - волоконно-оптических линий связи

ВТСС - вспомогательные технические средства и системы

ВЧ - высокочастотный

ГСН - государственные строительные нормы

ГМД - гибкие магнитные диски

ЗП - закрытые помещения

ИД - информационная деятельность

ИсОД - информация с ограниченным доступом

КД - конструкторская документация

КЗ - контролируемая зона

КТ - контролированная территория

ЛОС - локальная однородная сеть

МЭ - межсетевой экран

НД - нормативные документы

НСД - несанкционированный доступ

ОС - операционная система

ОТС - основные технические средства

ОЭД - основные элементы данных

ПВЧГ - паразитная высокочастотная генерация

ПЭВМ - персональная электронно-вычислительная машина

ПЭМИН - побочные электромагнитные излучения и наводки

ПЭУ - правила эксплуатации установок

СВТ - средства вычислительной техники

СУБД - системами управления базами данных

ТЗ - техническое задание

ТЗИ - техническая защита информации

ТКУИ - технический канал утечки информации

ТСПИ - технические системы передачи информации

ТУ - технические условия

ЭВМ - электронно-вычислительная машина

ЭВТ - электронная вычислительная техника

ЭД - элементы данных

Введение

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.

Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д. [10]

Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности.

Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.

Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.

Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность.

техническая защита информация

1. Анализ технологий обработки информации

За последнее десятилетие развитие технологий, средств обработки и передачи информации помогли увеличить производительность и уменьшить стоимость банковских операций. Современные технологии позволяют практически моментально получать и использовать информацию о клиентах, продуктах и рисках, что, несомненно, оказывает влияние на конкурентоспособность банков. Однако пока очень немногие банки в полной мере используют эти возможности. Средства телекоммуникаций вместе с новыми информационными технологиями становятся инструментом при разработке новых продуктов и механизмов их распространения, что расширяет сферу деятельности банков. Электронные платежи и средства расчета в точке продажи - примеры использования новых технологий, коренным образом меняющих банковскую индустрию. Тем не менее, информационные технологии и поддерживающие их организационные структуры могут стать барьером на пути развития. Вложив большие средства в определенную технологию, очень сложно переориентироваться на какую-либо другую. Этого недостатка лишены новые конкуренты, которые будут сразу приобретать перспективные технологии.

Выход из этого тупика - разработка эффективных способов обработки данных. В идеале следует заставить клиентов расплачиваться за улучшение параметров обслуживания (например, скорости). Так, скажем, операции передачи денег традиционно имеют большой объем и все больше зависят от применяемых технологий для сокращения расходов. Выполнение этих операций для большого числа клиентов может дать банкам существенную прибыль. Объемы же операций, связанных с обработкой чеков и других бумажных документов будут уменьшатся пропорционально распространению электронных банковских карт.

Современные технологии предлагают альтернативы традиционным банковским продуктам и услугам. Изменения, которые привели к уменьшению объема локальных операций, оказываются в центре внимания.

Так, Deutsche Bank в 1992 г. объявил об убытках, связанных с обслуживанием частных лиц, в сумме DM 200 млн. Тем не менее он продолжал выполнять программу расширения сети самообслуживания путем эмитирования 3-х миллионов электронных карт [1].

Использование современных технологий создало новый рынок, где технологии становятся товаром в таких областях как обмен электронными данными, системы электронных платежей в точке продажи и т.д. Прежде всего это касается улучшения обслуживания клиентов и оказания более специфических услуг.

Идя навстречу требованиям клиентов, и в соответствии с другими факторами конкурентной борьбы, банки должны будут выбрать один из следующих путей развития:

1. Оказывать все виды услуг в большинстве своих отделений, включая, возможно, и небанковские услуги - универсальный банк;

2. Предоставлять узкому кругу клиентов небольшой, но специфичный перечень услуг в определенном регионе - специализированный банк.

Существующий круг клиентов - это ключевой ресурс банка, который необходимо сохранить и попытаться увеличить. С этой целью многие банки приспосабливают свои технологии для продажи новой продукции. Более того, они переопределяют назначение традиционных механизмов распределения (единые филиальные и корпоративные банковские сети) и вводят в эксплуатацию новые (телекоммуникационные средства связи с другими банками и корпоративными клиентами).

Растет необходимость жесткого контроля за расходами, особенно в условиях увеличения затрат на регулирование деятельности и появления на рынке новых дешевых товаров и услуг, производимых и оказываемых небанковскими организациями. Такой контроль может быть осуществлен с помощью централизованной обработки информации и совершенствования управлением. Эти меры, безусловно, оказывают воздействие на штат банка.

Возрастает необходимость обработки постоянно растущего потока информации о состоянии рынка для более точного определения места специфической продукции на расширяющемся рынке.

Возможность доступа клиента к банку с помощью существующих филиальных сетей теперь уже не является ключевым фактором успеха. Изменение требований клиентов, новые технологии и фиксировано высокая стоимость содержания таких сетей заставляют искать альтернативные стратегии. Предлагаются следующие подходы:

мобильные пункты продажи товаров и услуг;

механизмы прямой продажи товаров и услуг;

технологии расчета в точке продажи;

электронное и телефонное банковское обслуживание и др.

Применение новых технологий оказывает влияние на стратегические направления и направления бизнеса в деятельности банка.

Банки издавна внедряют и используют самые современные достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако сейчас этого уже недостаточно и победителями будут те, кто полностью перестроит свою деятельность в соответствии с современными технологиями.

Развитие современных информационных технологий может осуществляться под воздействием бизнеса и для бизнеса. Особенно важным в этом процессе является то, что информационные технологии развиваются в тесном взаимодействии с экономикой. Информационные технологии влияют на размер получаемых доходов и на то, как они складываются и распределяются.

Информационные технологии пронизывают каждый элемент цепи приоритетов банка, наполняя их новым содержанием и воздействуя на связь элементов между собой. Кроме того, технологии влияют на конкурентоспособность банков, изменяя жизненный цикл продукции, предлагаемой клиентам.

Стратегии применения информационных технологий определяют методы, с помощью которых они изменяют современный бизнес, и пути управления этими переменами.

Важным моментом является разработка архитектуры компьютерной системы банка. Под архитектурой системы понимается совокупность ее функциональных компонентов и их взаимодействие друг с другом. Целью разработки архитектуры компьютерной системы банка является создание внутренне логичной и гибкой системы, которая будет следовать за изменениями стратегии деятельности банка с минимальным разрушающим воздействием на нее. Любая архитектура должна сочетаться с стратегией банка и упрощать проведение ее в жизнь.

Появление каждой новой технологии обязательно влечет за собой отказ от существующих систем обработки данных. Естественно, это является барьером на пути внедрения новых разработок. Неуклонно возрастает в связи с этим интерес к стандартизованным и открытым системам, в которых программы и представления данные совместимы и их работа не зависит от поставщика оборудования и программ.

Это направление особенно важно при выработке взаимных соглашений и между организациями и их слиянии. Например, слияния Dutch Postbank и Naturale Nederlanden, английских Lloyds и Abbey Life, германских - Deutsche Bank и Deutsch Lebensversicherung - привели к возникновению проблем, связанных с информационными технологиями. Задача заключается в том, чтобы разработать такую архитектуру, которая свяжет вместе критичную деятельность клиентов и каналы распределения товаров и услуг банка, не нарушая при этом порядка работы организации [1].

Во многом прибыльность банка зависит от обеспечения высшего руководства нужной, своевременной и точной информацией. Системы управления информацией должны быть действительными помощниками в деятельности банка, обеспечивая, например, информацию о положении на рынке, прибыльности банковской продукции, состоянии клиентов и т.д. Получаемая с их помощью информация может использоваться банком для улучшения обслуживания клиентов или для представления им с целью использования в собственных интересах.

Банкам необходима постоянная информация о степени риска их деятельности. Оценка риска - это процесс, который коренным образом может быть изменен с помощью современных технологий. В него могут быть вовлечены более "интеллектуальные" системы, которые способны оценивать процентные ставки, курсы валют, кредитоспособность клиента и т.п., выдавая при этом рекомендации относительно возможных действий и их результатов.

Современные технологии дают банкам огромные преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:

электронные платежи и расчеты в точке продажи;

клиентские терминалы, осуществляющие прямую связь с банком;

домашнее банковское обслуживание с помощью персонального компьютера или телефона;

обмен электронными данными в сети с расширенным набором услуг;

технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.

Одна из важных проблем банков сегодня - это управление инвестициями в электронные банковские системы с тем, чтобы последние полностью отражали перемены в банковской индустрии. Успех на новых стратегических направлениях бизнеса во многом зависит от реализации информационных систем.

1.1 Электронные платежи

Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности [1].

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.

На пути создания систем электронных платежей, особенно глобальных, охватывающих большое число финансовых институтов и их клиентов в различных странах, встречается множество препятствий. Основными из них являются:

1. Отсутствие единых стандартов на операции и услуги, что существенно затрудняет создание объединенных банковских систем. Каждый крупный банк стремится создать свою сеть ОЭД, что увеличивает расходы на ее эксплуатацию и содержание. Дублирующие друг друга системы затрудняют пользование ими, создавая взаимные помехи и ограничивая возможности клиентов.

2. Возрастание мобильности денежных масс, что ведет к увеличению возможности финансовых спекуляций, расширяет потоки "блуждающих капиталов". Эти деньги способны за короткое время менять ситуацию на рынке, дестабилизировать ее.

3. Сбои и отказы технических и ошибки программных средств при осуществлении финансовых расчетов, что может привести к серьезным осложнениям для дальнейших расчетов и потере доверия к банку со стороны клиентов, особенно в силу тесного переплетения банковских связей (своего рода "размножение ошибки"). При этом существенно возрастает роль и ответственность операторов и администрации системы, которые непосредственно управляют обработкой информации.

Любая организация, которая хочет стать клиентом какой-либо системы электронных платежей, либо организовать собственную систему, должна отдавать себе в этом отчет.

Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые расчеты производятся между различными торговыми организациями. Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя.

Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.

Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны - первый дает ключ к финансовому состоянию, второй - помогает при принятии решений и выработке политики.

Чаще всего распространены торговые расчеты следующих двух видов: [16]

Прямой депозит (direct deposit).

Смысл этого вида расчетов заключается в том, что организация поручает банку осуществлять некоторые виды платежей своих служащих или клиентов автоматически, с помощью заранее подготовленных магнитных носителей или специальных сообщений. Условия осуществления таких расчетов оговариваются заранее (источник финансирования, сумма и т.д.). Они используются в основном для регулярных платежей (выплаты различного рода страховок, погашение кредитов, зарплата и т.д.). В организационном плане прямой депозит более удобен, чем, например, платежи с помощью чеков.

С 1989 г. число служащих, использующих прямой депозит, удвоилось и составило 25% от общего количества. Более 7 млн. американцев получают сегодня заработную плату в виде прямого депозита. Банкам прямой депозит сулит следующие выгоды:

уменьшение объема задач, связанных с обработкой бумажных документов и, как следствие, экономия значительных сумм;

увеличение числа депозитов, так как 100% объема платежей должны быть внесены на депозит.

Кроме банков в выигрыше остаются и хозяева, и работники; повышаются удобства и уменьшаются затраты.

Расчеты при помощи ОЭД.

В качестве данных здесь выступают накладные, фактуры, комплектующие ведомости и т.д.

Для осуществления ОЭД необходима реализация следующего набора основных услуг:

электронная почта по стандарту Х.400;

передача файлов;

связь "точка-точка";

доступ к базам данных в режиме on-line;

почтовый ящик;

преобразование стандартов представления информации.

Примерами существующих в настоящее время систем торговых расчетов с использованием ОЭД могут служить:

National Bank и Royal Bank (Канада) связаны со своими клиентами и партнерами с помощью IBM Information Network;

Bank of Scotland Transcontinental Automated Payment Service (TAPS), основанная в 1986 г., связывает Bank of Scotland с клиентами и партнерами в 15 странах с помощью корреспондентских банков и автоматизированных клиринговых палат [1].

Электронные межбанковские расчеты бывают в основном двух видов:

Клиринговые расчеты с использованием мощной вычислительной системы банка-посредника (клирингового банка) и корреспондентских счетов банков-участников расчетов в этом банке. Система основана на зачете взаимных денежных требований и обязательств юридических лиц с последующим переводом сальдо. Клиринг также широко используется на фондовых и товарных биржах, где зачет взаимных требований участников сделок проводится через клиринговую палату или особую электронную клиринговую систему.

Межбанковские клиринговые расчеты осуществляются через специальные клиринговые палаты, коммерческие банки, между отделениями и филиалами одного банка - через головную контору. В ряде стран функции клиринговых палат выполняют центральные банки. Автоматизированные клиринговые палаты (АКП) предоставляют услуги по обмену средствами между финансовыми учреждениями. Платежные операции в основном сводятся либо к дебютированию, либо к кредитованию. Членами системы АКП являются финансовые учреждения, которые состоят в ассоциации АКП. Ассоциация образуется для того, чтобы разрабатывать правила, процедуры и стандарты выполнения электронных платежей в пределах географического региона. Необходимо отметить, что АКП не что иное, как механизм для перемещения денежных средств и сопроводительной информации. Сами по себе они не выполняют платежных услуг. АКП были созданы в дополнение к системам обработки бумажных финансовых документов. Первая АКП появилась в Калифорнии в 1972 г., в настоящее время в США функционируют 48 АКП. В 1978 г. была создана Национальная Ассоциация АКП (National Automated Clearing House Association; NACHA), объединяющая все 48 сети АКП на кооперативных началах [1].

Объем и характер операций постоянно расширяются. АКП начинают выполнять деловые расчеты и операции обмена электронными данными. После трехлетних усилий различных банков и компаний была создана система СТР (Corporate Trade Payment), предназначенная для автоматизированной обработки кредитов и дебетов. По мнению специалистов в ближайшее время тенденция расширения функций АКП будет сохраняться.

Прямые расчеты, при которых два банка осуществляют связь непосредственно между собой с помощью счетов "лоро-ностро", возможно, при участии третьего лица, играющего организационную или вспомогательную роль. Естественно, объем взаимных операций должен быть достаточно велик для оправдания затрат на организацию такой системы расчетов. Обычно такая система объединяет несколько банков, при этом каждая пара может связываться непосредственно между собой, минуя посредников. Однако в этом случае возникает необходимость управляющего центра, занимающегося защитой взаимодействующих банков (рассылкой ключей, управлением, контролем функционирования и регистрацией событий).

В мире существует достаточно много таких систем - от небольших, связывающих несколько банков или филиалов, до гигантских международных, связывающих тысячи участников. Наиболее известной системой этого класса является SWIFT.

В последнее время появился третий вид электронных платежей - обработка электронных чеков (electronic check truncation), суть которого состоит в прекращении пути пересылки бумажного чека в финансовой организации, в которой он был предъявлен. В случае необходимости дальше "путешествует" его электронный аналог в виде специального сообщения. Пересылка и погашение электронного чека осуществляются с помощью АКП [1].

В 1990 г. NACHA анонсировала первый этап тестирования национальной экспериментальной программы "Electronic Check Truncation". Ее целью является сокращение расходов на обработку огромного количества бумажных чеков.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

1. Определенный счет в системе первого банка уменьшается на требуемую сумму.

2. Корреспондентский счет второго банка в первом увеличивается на ту же сумму.

3. От первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

4. С корреспондентского счета первого банка во втором списывается требуемая сумма.

5. Определенный счет во втором банке увеличивается на требуемую сумму.

6. Второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения.

7. Протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Для расширения применения электронных платежей проводится стандартизация электронного представления финансовых документов. Она была начата в 70-х годах в рамках двух организаций [1]:

1) ANSI (American National Standart Institute) опубликовал документ ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange Among Financial Institute, Спецификация обменных сообщений для дебетных и кредитных карточек обмена между финансовыми организациями). В 1988 аналогичный стандарт был принят ISO и получил название ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);

2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) разработало серию стандартов межбанковских сообщений.

В соответствии со стандартом ISO 8583 финансовый документ содержит ряд элементов данных (реквизитов), расположенных в определенных полях сообщения или электронного документа (электронной кредитной карточки, сообщения в формате Х.400 или документа в синтаксисе EDIFACT). Каждому элементу данных (ЭД) назначается свой уникальный номер. Элемент данных может быть как обязательным (то есть входить в каждое сообщение данного вида), так и необязательным (в некоторых сообщениях может отсутствовать).

Битовая шкала определяет состав сообщения (те ЭД, которые в нем присутствуют). Если некоторый разряд битовой шкалы установлен в единицу, это означает, что соответствующий ЭД присутствует в сообщении. Благодаря такому методу кодирования сообщений уменьшается общая длина сообщения, достигается гибкость в представлении сообщений со многими ЭД, обеспечивается возможность включения новых ЭД и типов сообщений в электронный документ стандартной структуры [5].

Существует несколько способов электронных межбанковских платежей. Рассмотрим два из них: оплата чеком (оплата после услуги) и оплата аккредитивом (оплата ожидаемой услуги). Другие способы, как например оплата с помощью платежных требований или платежных поручений, имеют сходную организацию.

Оплата чеком основана на бумажном или другом документе, содержащим идентификацию подателя. Этот документ является основанием для перевода определенной в чеке суммы со счета владельца на счет подателя. Платеж чеком включает следующие этапы:

получение чека;

представление чека в банк;

запрос о переводе со счета владельца чека на счет подателя;

перевод денег;

уведомление о платеже.

Основными недостатками таких платежей являются необходимость существования вспомогательного документа (чека), который легко подделать, а также значительные затраты времени на выполнение платежа (до нескольких дней).

Поэтому в последнее время более распространен такой вид платежей как оплата аккредитивом. Он включает следующие этапы:

уведомление банка клиентом о предоставлении кредита;

уведомление банка получателя о предоставлении кредита и перевод денег;

уведомление получателя о получении кредита.

Такая система позволяет осуществлять платежи в очень короткие сроки. Уведомление о предоставлении кредита можно направлять по (электронной) почте, на дискетах, магнитных лентах.

Каждый из рассмотренных выше видов платежей имеет свои преимущества и свои недостатки. Чеки наиболее удобны при оплате незначительных сумм, а также при нерегулярных платежах. В этих случаях задержка платежа не очень существенна, а использование кредита нецелесообразно. Расчеты с помощью аккредитива обычно используются при регулярной оплате и для значительных сумм. В этих случаях отсутствие клиринговой задержки позволяет экономить много времени и средств за счет уменьшения периода оборота денег. Общим недостатком этих двух способов является необходимость затрат на организацию надежной системы электронных платежей [1].

1.2 Аналитическое обеспечение мероприятий безопасности

Среднее украинское коммерческое предприятие рассматривается как некоторый объект.

В общем случае объект, как некоторое образование, имеет свои структуру, функции и источники существования.

В применении к среднему предприятию, структуру фирмы в общем случае можно представить как совокупность помещений, персонала, оборудования, транспорта, коммуникаций, сырья, готовой продукции, информации, имиджа; функции фирмы могут быть самыми разными.

Обеспечение безопасности фирмы в этих условиях можно рассматривать как реализацию комплекса защитных мероприятий в отношении объекта, если принять условие, что объекту что-либо угрожает. Для формализации этих процессов целесообразно ввести такие понятия: источники угроз объекту (потенциальные противники), угрозы объекту (цели угроз, угрозы, как таковые, результаты (реакции) воздействия угроз). Учитывая состав объекта, угрозы возможно разделить на виды: угрозы физического воздействия, угрозы психологического воздействия, угрозы информационного воздействия. Источники этих угроз можно представить как угрозу структуре, функциям и источниками существования объекта [5].

Изображение в табличной (матричной) форме приведенных выше положений и понятий можно назвать матрицей анализа безопасности фирмы.

Построение этой матрицы стало возможно только на основе предложенного "объектового" подхода к вопросам безопасности фирмы. Дело в том, что на сегодняшний день в большинстве случаев коммерческое применение понятия безопасности несколько обезличено. Фирме предлагаются услуги в области охраны (личная охрана, охрана периметра помещений), ТЗИ. Ядром всего этого процесса является анализ выбранного нами объекта. Анализ конкретного объекта обычно осуществляется руководством фирмы или службой безопасности фирмы. Другими словами, первой конкретной задачей ответственного за безопасность фирмы лица должен быть анализ защищаемого объекта, только после этого можно говорить о выделении разнообразных источников угроз этому объекту.

Рис.1 - Анализ угроз

1.2.1 Человеческий фактор в обеспечении информационной безопасности

Преступления, в том числе в информационной сфере, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, - ее необходимый элемент, а с другой - он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения. Особенно это актуально в сфере информационной безопасности, т.к. утечка информации в подавляющем большинстве случаев происходит по вине сотрудников банков.

Анализ сообщений средств массовой информации и оперативных сводок правоохранительных органов о криминальных и диверсионно-террористических актах против коммерческих структур в Москве и других городах России позволяет сделать однозначный вывод о высокой степени осведомленности преступников относительно режима дня и динамики деятельности предпринимателей: жертв, как правило, неизменно встречали в районе проживания или места работы, либо с предельной точностью по времени и месту перехватывали на трассе [1].

Заблаговременно были изучены основные и запасные маршруты перемещения коммерсантов. Преступники располагали подробными сведениями о составе семьи и родственниках будущих жертв, марках и номерных знаках личных и служебных автомашин, соседях и т.п.

Неотъемлемым составляющим элементом любой планируемой преступной акции является сбор информации. Представляется возможным выделить следующие основные методы, которые используются злоумышленниками в настоящее время для добывания сведений о коммерческих структурах:

наблюдение, в том числе с помощью мобильных и стационарных оптико-технических средств, скрытое фотографирование, видеозапись; выведывание информации;

проведение опросов, интервьюирования, анкетирования, "направленных" бесед и т.п.;

хищение, скрытое копирование, подделка каких-либо внутренних документов лицами, внедренными или приобретенными в коммерческих структурах, которые согласились или оказались вынужденными осуществлять указанные действия по корыстным побуждениям, в результате угроз, по физическому принуждению либо иным причинам;

перехват информации на различных частотных каналах внутренней и внешней радио - и телевизионной связи коммерческих структур;

получение информации техническими средствами путем использования различных источников сигналов в помещениях коммерческих структур как связанных с функционирующей аппаратурой (персональные компьютеры), так и через специально внедренную технику негласного съема информации (спецзакладки, в том числе дистанционного управления);

добывание информации о коммерческих структурах посредством применения системы аналитических методов (структурный анализ, финансовый анализ, анализ себестоимости продукции, анализ научно-технических образцов, оценка квалификационных особенностей рабочих и служащих, изучение основных материальных фондов и т.п.).

При всем многообразии и несомненных достоинствах вышеперечисленных методов в настоящее время все же использование сотрудников коммерческих структур в качестве источников внутренней информации рассматривается как наиболее надежный, быстрый и эффективных способ получения конфиденциальных данных.

Отметим также, что кроме добывания собственно конфиденциальной информации по различным вопросам такой внутренний источник из числа сотрудников коммерческих организаций может быть одновременно использован для получения уточняющих сведений, которые бы дополняли данные, добытые техническими средствами и иными методами.

Помимо этого агентурные информационные источники сегодня все более активно и настойчиво используются для оказания выгодного криминальным структурам, а также конкурентам влияния на стратегию и тактику поведения руководителей соответствующих коммерческих предприятий, а также для воздействия на позицию лиц, принимающих ответственные решения в сфере налогообложения, таможенной политики, экспортно-импортных квот, землеотвода и т.д. [1].

При анализе нарушений защиты большое внимание следует уделять не только самому факту как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Ценность такого анализа обуславливается еще и тем, что совершаемые без причины преступления (если речь не идет о халатности) очень и очень редки. Исследовав причину преступлений или нарушений можно либо повлиять на саму причину (если это возможно), либо ориентировать систему защиты именно на такие виды преступлений или нарушений.

Прежде всего, кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту - доступ к системе. Доступ может быть разным, с разными правами, к разным частям системы, через сеть, но он должен быть.

По данным Datapro Information Services Group 81.7% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 17.3% нарушений совершаются лицами со стороны (1% приходится на случайных лиц). По другим данным, физическое разрушение составляет около 25% нарушений (пожар, наводнение, порча) и только 1-2% составляют нарушения со стороны посторонних лиц. На долю служащих, таким образом, остается 73-74% всех преступлений. Различаясь в цифрах, результаты обоих исследований говорят об одном: главный источник нарушений - внутри самой АСОИБ. И вывод отсюда также однозначен: неважно, есть ли у АСОИБ (автоматизированные системы обработки информации) связи с внешним миром и есть ли внешняя защита, но внутренняя защита должна быть обязательно [1].

Можно выделять четыре основные причины нарушений: безответственность, самоутверждение, месть и корыстный интерес пользователей (персонала) АСОИБ.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АСОИБ считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Такой вид нарушения называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным "шалостям". В случае необходимости администратор защиты использует их временно или постоянно.

Нарушение безопасности АСОИБ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИБ информации. Даже если АСОИБ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение - очень квалифицирован и опасен. Проникновение - опаснейший вид нарушений, правда, он встречается чрезвычайно редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь в конце концов вводит АСОИБ в состояние зависания, после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Проникновение - наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновении обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновения может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться, Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая и самая жесткая вместе с постоянным контролем - от проникновении. Целью таких действий должно служить одно - обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой [1].

Способы предотвращения нарушений вытекают из природы побудительных мотивов - это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

1.2.2 Риски персонала

Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [11].

1. Наибольший риск:

системный контролер;

администратор безопасности.

2. Повышенный риск:

оператор системы;

оператор ввода и подготовки данных;

менеджер обработки;

системный программист.

3. Средний риск:

инженер системы;

менеджер программного обеспечения.

4. Ограниченный риск:

прикладной программист;

инженер или оператор по связи;

администратор баз данных;

инженер по оборудованию;

оператор периферийного оборудования;

библиотекарь системных магнитных носителей;

пользователь-программист;

пользователь-операционист.

5. Низкий риск:

инженер по периферийному оборудованию;

библиотекарь магнитных носителей пользователей;

пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.

1.2.3 Анализ рисков

Анализ риска состоит из следующих основных этапов.

Этап 1. Описание состава системы:

аппаратные средства;

программное обеспечение;

данные;

документация;

персонал.

Этап 2. Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.

Этап 3. Оценка вероятностей реализации угроз.

Этап 4. Оценка ожидаемых размеров потерь.

Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).

Этап 5. Анализ возможных методов и средств защиты.

Этап 6. Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.

1.3 Категорирование информации по важности

Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой [10]:

1. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.

2. Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.

Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух степеней градации.

1. Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.

2. Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.

Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.

1.4 План защиты

Анализ риска завершается принятием политики безопасности и составлением плана защиты со следующими разделами:

1. Текущее состояние. Описание статуса системы защиты в момент подготовки плана.

2. Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.

3. Ответственность. Список ответственных сотрудников и зон ответственности.

4. Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.

5. Пересмотр положений плана, которые должны периодически пересматриваться.

Ключевым вопросом начального этапа создания системы безопасности является назначение ответственных за безопасность системы и разграничение сфер их деятельности. Как правило, при начальной постановке таких вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы систем склонны относить эту задачу к компетенции общей службы безопасности, тогда как последняя, в свою очередь, считает, что подобная проблема должна находиться в компетенции специалистов по компьютерам.

1.5 Положения о безопасности

Страница:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены