- •Введение
- •1 Постановка задачи
- •2.1 Концепция безопасности объектов информатизации
- •2.1.1 Цели и задачи системы безопасности
- •2.1.2 Принципы организации и функционирования системы безопасности
- •2.1.3 Управление системой безопасности объектов информатизации
- •2.2 Характеристика объектов защиты
- •2.2.1 Универсальная электронная карта (уэк)
- •2.2.2 Банкомат
- •2.3 Список участников проекта
- •2.4 Перечень защищаемой информации и прикладного программного обеспечения
- •2.5 Статистические данные в сфере защиты
- •2.6 Угрозы информационной безопасности
- •2.7 Модель нарушителя
- •2.8 Анализ рисков
- •2.9 Построение частной модели угроз
- •2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
- •2.10.1 Инфраструктура электронной идентификации и авторизации
- •2.10.2 Электронные паспорта
- •2.10.3 Карты, используемые для получения медицинских услуг
- •2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
- •2.10.5 Сервисы меток времени
- •2.11 Неудача западных коллег
- •2.12 Вывод
- •3 Кострукторская часть
- •1) Универсальная карта и её чипы;
- •3) Организации, как информационный ресурс.
- •3.1 Универсальная карта и её чипы
- •3.1.1 Контактный чип emv
- •3.1.1.1 Элементы данных и файлы
- •3.1.1.2 Соображения безопасности
- •3.1.2 Бесконтактный чип
- •3.1.3 Чип со сдвоенным интерфейсом
- •3.1.4 Электронно-цифровая подпись как средство защиты чипа
- •3.2 Организационные мероприятия
- •Банкомат:
- •Rfid-считыватели.
- •3.3.1 Банкомат
- •3.3.1.1 Сенсорная панель
- •3.3.1.2 Фотодиоды
- •3.3.1.3 Светодиодная панель
- •3.3.3 Домашний карт-ридер
- •3.3.4 Rfid-считыватели
- •3.3.4.1 Сканер радиочастот
- •3.3.4.2 Экранированный чехол из медной пластины
- •3.3.5 Биометрия, как составляющая метода защиты
- •3.3.5.1 Дактилоскопия
- •3.3.5.2 Биометрия лица
- •3.4 Организации, как информационный ресурс.
- •3.4.1 Межсетевые экраны
- •3.4.1.2 Сспт-2
- •3.4.2 Система защиты каналов передачи данных
- •3.4.3 Антивирусные средства
- •3.4.3.2 Антивирус Касперского
- •3.4.4 Системы обнаружения вторжений
- •3.5 Вывод
- •4 Организационно-экономическая часть
- •4.1 Сфера применения
- •4.2 Описание эффекта от внедрения системы защиты информации
- •4.3 Экономические расчеты по Республике Марий Эл
- •4.3.1 Расчет капитальных затрат на внедрение
- •4.3.2 Предполагаемый доход
- •4.4 Вывод
- •5 Безопасность жизнедеятельности
- •5.1. Анализ опасных и вредных факторов на объекте информатизации
- •5.1.1 Эмоциональный фактор, в случае хищения уэк
- •5.1.2 Электромагнитное излучение rfid технологии
- •5.1.3 Освещенность аппаратно-технических средств
- •5 .2 Освещенность кабины банкомата
- •5.2.1 Технический расчёт искусственного освещения кабины банкомата
- •5.4 Вывод
- •Заключение
- •Л итература
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7
2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
В Австрии реализована инфраструктура, которая получила название PortalGroup, которая обеспечивает базовую инфраструктуру аутентификации и авторизации для государственных служащих при доступе к соответствующим государственным информационным ресурсам и системам.
Для этого был разработан специальный протокол PortalGroupProtocol, основанный на HTTP (стандартный транспортный протокол Интернет) и SOAP (протокол вызова Web-сервисов в децентрализованной, распределенной среде), использование которого радикально упрощает управление доступа государственных служащих к государственным информационным системам. Администраторы государственных порталов федеральных органов власти обязаны следовать соответствующим протоколам при построении доверенной среды. При этом администраторы данного госучреждения могут управлять доступом своих пользователей ко внешним государственным информационным системам без необходимости выполнения процесса администрирования пользователей администраторами этих внешних информационных систем.
В Великобритании реализована система аутентификации государственных служащих EmployeeAuthenticationService - EAS. Это межведомственный проект, в рамках которого реализована процедура доступа государственных служащих к информационным системам с информацией, которая не носит открытый характер. Эта система является частью Правительственного шлюза, и с помощью нее служащие региональных и муниципальных органов власти могут пройти аутентификацию в одной точке и получить доступ к закрытым системам центрального Правительства, что позволяет решить эту сложную задачу эффективно в рамках единой инфраструктуры доступа.
2.10.5 Сервисы меток времени
Одним из элементов ИТ-инфраструктуры, которая обеспечивает пространство «цифрового доверия», являются системы, обеспечивающие штампы времени.
В целом ряде случаев при оказании государственных услуг в электронной форме, а также в иных областях коммерческой деятельности требуется, чтобы на электронных документах стояли точные штампы времени, которые фиксируют, например, время создания или доставки документа.
Подобного рода система реализована в Австрии Федеральной службой по метрологии на основе протокола RFC 3161.
2.11 Неудача западных коллег
Сегодня Евросоюз и США предлагают России то, от чего уже отказались страны, преуспевающие в сфере электронных технологий. В других странах нет унифицированной электронной карты, так как подобные комбинированные проекты завершались неудачами. В Евросоюзе УЭК не многофункциональные, а только идентифицирующие.
Рассмотрим более подробно причины отказа мировых держав от подобной системы.
1) Америка отказалась от подобной системы, мотивируя тем, что некоторые аппаратные элементы производятся за границей, и это позволяет иностранным государствам взломать систему.
2) Королева Великобритании 22 декабря 2010 г. приняла «Закон об идентифицирующих личность документах» (IdentityDocumentsBill), который, в частности, предусматривает ликвидацию национального реестра идентификационных данных (NationalIdentityRegister) и прекращение включения в паспорта биометрических данных (отпечатков пальцев). Создание этого реестра обошлось казне в 4, 5 миллиарда фунтов стерлингов.
3) Немцы также считают опасным введение единой базы данных на всех жителей страны.
Единой карты, на которой были бы зафиксированы все данные о ее владельце и с помощью которой можно было бы получить самые разнообразные услуги, включая их оплату, в Германии нет. Зато у каждого есть куча отдельных карточек с микрочипом: одна для страховки, другая банковская, третья кредитная, библиотечная, железнодорожная - для пассажиров, желающих путешествовать первым классом со скидкой. Все они важны и нужны каждому немцу.
Но почему же в Германии до сих пор не существует общей карты?
Помимо того, что правительство сознательно отвергает сбор данных о личности на одном носителе, который позволяет создать объемную картину о каждом жителе страны, существует не менее значимая причина - это защита информации, хранящейся на единой электронной карте, от хакеров. Ведь такая система повышает опасность воровства чуть ли не всех данных о личности.
Наглядным тому примером послужило проведение тестирования системы защиты новых электронных удостоверений личности, которые должны быть введены с 1 ноября 2010 года, экспертами компьютерного клуба Chaos, в ходе которого в этой системе были выявлены существенные недостатки.
Как удалось установить, устройство для чтения удостоверений личности, которое пользователь подключает к компьютеру, в частности, чтобы идентифицироваться при совершении сделок в интернете, позволяет хакерам легко получить доступ к персональным данным, в том числе к секретному PIN-коду.
4) Финляндия - страна самых толстых в мире кошельков, потому что там огромное количество всевозможных пластиковых карт, без которых жизнь в Финляндии не была бы столь удобной. Это и удостоверение личности, и медицинская страховка, и водительские права, по две банковские карты, по две-три дисконтные карточки сетевых магазинов, карточки в библиотеку и спортивный зал.
Но объединять карточки в одну финны не хотят, так как с точки зрения безопасности не разумно хранить все данные в одной "корзине".
5) Франция. Чего у французов не найдешь в портмоне, так это электронного удостоверения личности. Предполагалось, что он будет многофункциональным и содержать информацию разных видов. Помимо имени, даты и места рождения, образца подписи, фото в него будут внесены отпечатки пальцев, личный криптоключ владельца для цифровой подписи документов и определенное количество памяти на электронном чипе для хранения самой разнообразной информации.
Однако против электронного удостоверения резко высказались многочисленные организации правозащитников и юристов, которые назвали его "тоталитарным и в высшей степени вредным".
6) Южная Корея. В Южной Корее также сделали электронное правительство, но из-за высокого уровня электронного мошенничества население отказалось пользоваться этими услугами.