- •Введение
- •1 Постановка задачи
- •2.1 Концепция безопасности объектов информатизации
- •2.1.1 Цели и задачи системы безопасности
- •2.1.2 Принципы организации и функционирования системы безопасности
- •2.1.3 Управление системой безопасности объектов информатизации
- •2.2 Характеристика объектов защиты
- •2.2.1 Универсальная электронная карта (уэк)
- •2.2.2 Банкомат
- •2.3 Список участников проекта
- •2.4 Перечень защищаемой информации и прикладного программного обеспечения
- •2.5 Статистические данные в сфере защиты
- •2.6 Угрозы информационной безопасности
- •2.7 Модель нарушителя
- •2.8 Анализ рисков
- •2.9 Построение частной модели угроз
- •2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
- •2.10.1 Инфраструктура электронной идентификации и авторизации
- •2.10.2 Электронные паспорта
- •2.10.3 Карты, используемые для получения медицинских услуг
- •2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
- •2.10.5 Сервисы меток времени
- •2.11 Неудача западных коллег
- •2.12 Вывод
- •3 Кострукторская часть
- •1) Универсальная карта и её чипы;
- •3) Организации, как информационный ресурс.
- •3.1 Универсальная карта и её чипы
- •3.1.1 Контактный чип emv
- •3.1.1.1 Элементы данных и файлы
- •3.1.1.2 Соображения безопасности
- •3.1.2 Бесконтактный чип
- •3.1.3 Чип со сдвоенным интерфейсом
- •3.1.4 Электронно-цифровая подпись как средство защиты чипа
- •3.2 Организационные мероприятия
- •Банкомат:
- •Rfid-считыватели.
- •3.3.1 Банкомат
- •3.3.1.1 Сенсорная панель
- •3.3.1.2 Фотодиоды
- •3.3.1.3 Светодиодная панель
- •3.3.3 Домашний карт-ридер
- •3.3.4 Rfid-считыватели
- •3.3.4.1 Сканер радиочастот
- •3.3.4.2 Экранированный чехол из медной пластины
- •3.3.5 Биометрия, как составляющая метода защиты
- •3.3.5.1 Дактилоскопия
- •3.3.5.2 Биометрия лица
- •3.4 Организации, как информационный ресурс.
- •3.4.1 Межсетевые экраны
- •3.4.1.2 Сспт-2
- •3.4.2 Система защиты каналов передачи данных
- •3.4.3 Антивирусные средства
- •3.4.3.2 Антивирус Касперского
- •3.4.4 Системы обнаружения вторжений
- •3.5 Вывод
- •4 Организационно-экономическая часть
- •4.1 Сфера применения
- •4.2 Описание эффекта от внедрения системы защиты информации
- •4.3 Экономические расчеты по Республике Марий Эл
- •4.3.1 Расчет капитальных затрат на внедрение
- •4.3.2 Предполагаемый доход
- •4.4 Вывод
- •5 Безопасность жизнедеятельности
- •5.1. Анализ опасных и вредных факторов на объекте информатизации
- •5.1.1 Эмоциональный фактор, в случае хищения уэк
- •5.1.2 Электромагнитное излучение rfid технологии
- •5.1.3 Освещенность аппаратно-технических средств
- •5 .2 Освещенность кабины банкомата
- •5.2.1 Технический расчёт искусственного освещения кабины банкомата
- •5.4 Вывод
- •Заключение
- •Л итература
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 9
1 ПОСТАНОВКА ЗАДАЧИ 13
2.1 Концепция безопасности объектов информатизации 19
2.1.1 Цели и задачи системы безопасности 23
2.1.2 Принципы организации и функционирования системы безопасности 24
2.1.3 Управление системой безопасности объектов информатизации 26
2.2 Характеристика объектов защиты 27
2.2.1 Универсальная электронная карта (УЭК) 27
2.2.2 Банкомат 31
2.3 Список участников проекта 32
2.4 Перечень защищаемой информации и прикладного программного обеспечения 32
2.5 Статистические данные в сфере защиты 33
2.6 Угрозы информационной безопасности 36
2.7 Модель нарушителя 39
2.8 Анализ рисков 41
2.9 Построение частной модели угроз 45
2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг 50
2.10.1 Инфраструктура электронной идентификации и авторизации 50
2.10.2 Электронные паспорта 58
2.10.3 Карты, используемые для получения медицинских услуг 59
2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих 59
2.10.5 Сервисы меток времени 60
2.11 Неудача западных коллег 61
2.12 Вывод 63
3 КОСТРУКТОРСКАЯ ЧАСТЬ 65
3.1 Универсальная карта и её чипы 65
3.1.1 Контактный чип EMV 66
3.1.1.1 Элементы данных и файлы 67
3.1.1.2 Соображения безопасности 69
3.1.2 Бесконтактный чип 73
3.1.3 Чип со сдвоенным интерфейсом 75
3.1.4 Электронно-цифровая подпись как средство защиты чипа 77
3.2 Организационные мероприятия 81
3.3.1 Банкомат 85
3.3.1.1 Сенсорная панель 88
3.3.1.2 Фотодиоды 90
3.3.1.3 Светодиодная панель 91
3.3.2 POS-терминал 91
3.3.3 Домашний карт-ридер 92
3.3.4 RFID-считыватели 94
3.3.4.1 Сканер радиочастот 95
3.3.4.2 Экранированный чехол из медной пластины 96
3.3.5 Биометрия, как составляющая метода защиты 97
3.3.5.1 Дактилоскопия 97
3.3.5.2 Биометрия лица 101
3.4 Организации, как информационный ресурс. 104
3.4.1 Межсетевые экраны 105
3.4.1.1 TrustAccess-S 105
3.4.1.2 ССПТ-2 108
3.4.2 Система защиты каналов передачи данных 110
3.4.2.1 АПК «VipNet» 111
3.4.3 Антивирусные средства 116
3.4.3.1 Eset NOD32 117
3.4.3.2 Антивирус Касперского 119
3.4.4 Системы обнаружения вторжений 122
3.4.4.1 HoneypotManager 122
3.5 Вывод 125
4 ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ 127
4.1 Сфера применения 127
4.2 Описание эффекта от внедрения системы защиты информации 128
4.3 Экономические расчеты по Республике Марий Эл 131
4.3.1 Расчет капитальных затрат на внедрение 131
4.3.2 Предполагаемый доход 136
4.4 Вывод 138
5 БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ 140
5.1. Анализ опасных и вредных факторов на объекте информатизации 140
5.1.1 Эмоциональный фактор, в случае хищения УЭК 141
5.1.2 Электромагнитное излучение RFID технологии 146
5.1.3 Освещенность аппаратно-технических средств 146
5.2 Освещенность кабины банкомата 147
5.2.1 Технический расчёт искусственного освещения кабины банкомата 148
5.4 Вывод 149
ЗАКЛЮЧЕНИЕ 151
ЛИТЕРАТУРА 153
Приложение 1 156
Приложение 2 157
Приложение 3 158
Приложение 4 160
Приложение 5 162
Приложение 6 163
Приложение 7 169
Введение
На основании Федерального закона от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг» уже с 1 января 2012 года начнется выдача гражданам России универсальных электронных карт для обеспечения им доступа к государственным, муниципальным и иным услугам, а также возможности оплаты указанных услуг. На данный момент подготовлены сроки реализации проекта УЭК (приложение 1).
Универсальная электронная карта - единый федеральный стандарт. Она придет на смену всем социальным картам, которые локально выпускали субъекты федерации, а также заменит многие другие документы, такие как, например: полис обязательного медицинского страхования, студенческие билеты, проездные документы на транспорте и многие другие.
С помощью карты можно будет получить государственные, региональные и коммерческие услуги в электронном виде с использованием банкоматов, инфокиосков, персональных компьютеров, оснащенных считывателем, мобильных устройств. Универсальная электронная карта также будет приниматься в метро, автобусах, троллейбусах и трамваях. Достаточно поднести карту к бесконтактному считывателю.
Универсальная электронная карта также может использоваться при очном обращении в государственные и прочие организации для ускорения обслуживания граждан.
Подобно обычной банковской карте универсальная электронная карта может использоваться для оплаты товаров и услуг в магазинах и любых других организациях. В отличие от социальных карт, универсальную электронную карту можно применять для получения услуг в любых регионах страны, а не только в своем "домашнем" регионе.
Ожидается, что с помощью универсальной электронной карты будет доступно свыше 1000 государственных и региональных услуг и свыше 10000 коммерческих. Выбрать нужные услуги каждый гражданин сможет в своем личном кабинете на портале Федеральной уполномоченной организации "Универсальная электронная карта". По-умолчанию включены только несколько федеральных государственных услуг, связанных с медицинским и пенсионным обеспечением и услуга банковских платежей.
В соответствии с ФЗ-№152 от 27.07. 2006 г. «О персональных данных» органы государственной власти и местного самоуправления, уполномоченные организации, в том числе коммерческие организации и банки, оказывающие услуги гражданам, являются операторами, организующими (или) осуществляющими обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Все операторы, оказывающие услуги гражданам, обязаны обеспечить соблюдение требований, предусмотренных статьей 5 ФЗ-№152 «О персональных данных» (Приложение 2).
Начало было положено ОАО «Сбербанком» Российской Федерации 6 ноября 2009 года в г.Канаш.
Сбербанком России (РТС: SBER, ММВБ: SBER03) был осуществлен запуск первого этапа пилотного проекта «Замена технологии DUET» для апробации новой технологии стандарта EMV Объединенной российской платежной системы (ОРПС).
Первые 100 карт выданы жителям г.Канаш для использования в банкоматах и терминальной сети банка и для проезда в общественном транспорте. Запуск Сбербанком России указанного пилотного проекта по апробации новой технологии стандарта EMV ОРПС являлся подготовительным этапом последующей реализации проекта «Социальная карта Чувашской Республики».
В рамках пилотного проекта (опытный образец проекта) в банкоматах и терминалах банка г.Канаш, а также в ОПЕРУ ЦА Сбербанка России по этой карте можно выполнить основные операции (снятие и внесение наличных денежных средств, перевод с карты на карту, оплату услуг операторов мобильной связи и ЖКХ).
Использование в основе указанной технологии открытых платформ и стандартов позволят руководству субъекта Российской Федерации привлекать к участию в проекте другие коммерческие банки.
В последующем, данный проект, ориентированный на всех граждан России, будет построен на базе международного стандарта EMV, созданного AmericanExpress, JCB, MasterCard и Visa (почти те же игроки создали PCI DSS). А EMV ничего не знает об отечественной криптографии и требованиях ФСБ по использованию сертифицированных СКЗИ на базе ГОСТов при защите персональных данных и оказании госуслуг. Текущая спецификация стандарта EMV использует алгоритмы RSA, DES, 3DES, а также предлагает использовать в качестве дополнительного варианта криптографию на базе эллиптических кривых. Собственно тот же 3DES используется в технологии DUET в ОРПС.
На данный момент по созданию универсальной электронной карты и ее выпуску создана группа из трех банков, на основе которой и была создано ОАО «Универсальная Электронная Карта». Это ОАО было создано в июне 2010 года Сбербанком, банком "Уралсиб" и банком "Ак Барс" для создания универсальной электронной карты. На базе пилотного проекта Сбербанка по внедрению социальных карт, а также по выбору интегратора по решению ряда задач пилотного проекта компания PEAK Systems была признана победителем.
По словам президента-председателя правления Сбербанка Германа Грефа, эта карта будет максимально защищена, а следовательно и безопасна, потому как:
не содержит в себе базу данных о гражданине. Все данные о гражданине хранятся в базах данных государственных министерств и ведомств. Только они имеют доступ к записям. А карта лишь упрощает поиск записи;
в карту встроены как аппаратные, так и программные средства защиты, которые находятся под тщательным контролем государства;
для того, чтобы применить карту (кроме микроплатежей на транспорте), требуется ввести персональный идентификационный номер. Если гражданина вынуждают его ввести, то предусмотрены ложные ПИН-номера, которые позволят выиграть время и обеспечить оперативную помощь гражданину от силовых структур;
через личный кабинет на портале универсальной электронной карты гражданин сам выбирает спектр её применения, кроме значимых;
карта визуально защищена на уровне денежной банкноты, а порядок её выпуска и обращения централизован и находится под контролем государства.
В настоящее время пилотная программа существует в 4 регионах Российской Федерации: Москва, Татарская Республика, Башкирская Республика, Астраханская область.