- •Введение
- •1 Постановка задачи
- •2.1 Концепция безопасности объектов информатизации
- •2.1.1 Цели и задачи системы безопасности
- •2.1.2 Принципы организации и функционирования системы безопасности
- •2.1.3 Управление системой безопасности объектов информатизации
- •2.2 Характеристика объектов защиты
- •2.2.1 Универсальная электронная карта (уэк)
- •2.2.2 Банкомат
- •2.3 Список участников проекта
- •2.4 Перечень защищаемой информации и прикладного программного обеспечения
- •2.5 Статистические данные в сфере защиты
- •2.6 Угрозы информационной безопасности
- •2.7 Модель нарушителя
- •2.8 Анализ рисков
- •2.9 Построение частной модели угроз
- •2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
- •2.10.1 Инфраструктура электронной идентификации и авторизации
- •2.10.2 Электронные паспорта
- •2.10.3 Карты, используемые для получения медицинских услуг
- •2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
- •2.10.5 Сервисы меток времени
- •2.11 Неудача западных коллег
- •2.12 Вывод
- •3 Кострукторская часть
- •1) Универсальная карта и её чипы;
- •3) Организации, как информационный ресурс.
- •3.1 Универсальная карта и её чипы
- •3.1.1 Контактный чип emv
- •3.1.1.1 Элементы данных и файлы
- •3.1.1.2 Соображения безопасности
- •3.1.2 Бесконтактный чип
- •3.1.3 Чип со сдвоенным интерфейсом
- •3.1.4 Электронно-цифровая подпись как средство защиты чипа
- •3.2 Организационные мероприятия
- •Банкомат:
- •Rfid-считыватели.
- •3.3.1 Банкомат
- •3.3.1.1 Сенсорная панель
- •3.3.1.2 Фотодиоды
- •3.3.1.3 Светодиодная панель
- •3.3.3 Домашний карт-ридер
- •3.3.4 Rfid-считыватели
- •3.3.4.1 Сканер радиочастот
- •3.3.4.2 Экранированный чехол из медной пластины
- •3.3.5 Биометрия, как составляющая метода защиты
- •3.3.5.1 Дактилоскопия
- •3.3.5.2 Биометрия лица
- •3.4 Организации, как информационный ресурс.
- •3.4.1 Межсетевые экраны
- •3.4.1.2 Сспт-2
- •3.4.2 Система защиты каналов передачи данных
- •3.4.3 Антивирусные средства
- •3.4.3.2 Антивирус Касперского
- •3.4.4 Системы обнаружения вторжений
- •3.5 Вывод
- •4 Организационно-экономическая часть
- •4.1 Сфера применения
- •4.2 Описание эффекта от внедрения системы защиты информации
- •4.3 Экономические расчеты по Республике Марий Эл
- •4.3.1 Расчет капитальных затрат на внедрение
- •4.3.2 Предполагаемый доход
- •4.4 Вывод
- •5 Безопасность жизнедеятельности
- •5.1. Анализ опасных и вредных факторов на объекте информатизации
- •5.1.1 Эмоциональный фактор, в случае хищения уэк
- •5.1.2 Электромагнитное излучение rfid технологии
- •5.1.3 Освещенность аппаратно-технических средств
- •5 .2 Освещенность кабины банкомата
- •5.2.1 Технический расчёт искусственного освещения кабины банкомата
- •5.4 Вывод
- •Заключение
- •Л итература
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7
1 Постановка задачи
Целью данного дипломного проекта является разработка комплексной системы защиты универсальной электронной карты по ее специализированной направленности, согласно требованиям Федерального Закона 152-ФЗ РФ «О персональных данных», законодательных актов, нормативно-методической документации в области защиты персональных данных с позиции операторов обработки данных и пользователей информационной технологии «универсальная электронная карта».
Комплексная система защиты предназначена для обеспечения сохранности персональных данных пользователей, обрабатываемых в системе обработки персональных данных операторов, и ограничения доступа к ним и защищаемой информации, для сбора, обработки и передачи. По уже опытным образцам электронных карт обрабатываются персональные данные, которые содержат ценную информацию о жизнедеятельности и финансовой обеспеченности пользователей. С учетом большой ценности данной информации, с учетом происходящих изменений в правовой области защиты информации необходимо рассмотреть их безопасное хранение и обработку у операторов информатизации.
2 АНАЛИТИЧЕСКАЯ ЧАСТЬ
Еще не так давно информация была менее доступной и имела характер секретности во всех сферах деятельности, люди не боялись потери своей конфиденциальной или корпоративной информации. Теперь же, когда цивилизация пришла к эре информационной, дело обстоит иначе и встает вопрос: «Как защитить те или иные данные от злоумышленников?»
Взглянем на то, как все начиналось и развивалось, дабы понять, что делать дальше и как действовать уже в той или иной ситуации.
Все началось в 1880 году с появления идеи расчетов с помощью предоплаченных карт. Именно тогда известный американский ученый Эдвард Беллами в своей книге "Смотря назад" (LookingBackwards) предложил использовать предоплаченные карты при расчетах. Однако его перспективная идея не нашла отклика. Через четверть века в 1914 году предпринимаются первые попытки применить кредитные карты, но все заканчиваются неудачей. В результате больше 35-ти лет ничего с идеей электронных денег не происходит.
В 1950 году компания DCI (DinersClubInternational) выпустила первую в мире универсальную платежную карту - DinersClub. Спустя год американский банк FranklinNationalBank выпустил первую кредитную карту. Еще через семь лет вновь американский банк, крупнейший в стране BankofAmerica, выпускает первую универсальную банковскую карточку BankAmericard, которая сейчас известна всему миру под названием Visa. Уже в 1965 году образована первая межбанковская карточная ассоциация - EurocardInternational.
Серьезный конкурент Visa появился только через восемь лет. В 1966 году все крупные банки Калифорнии приступили к эмитированию MasterСharge (позднее MasterCard).
Так протекал некий вводный этап истории электронных платежных систем. Следующий же период связан с развитием информационных технологий и их применением в банковской сфере.
Второй этап приходится на вторую половину ХХ века. Запомнилась она в истории бурным развитием информационных технологий и микроэлектроники в частности. Американские банки, снова впервые в мире, начинают активно внедрять электронные методы переводов денежных средств. Появляются технологии электронных переводов, такие как EFT (ElectronicFundsTransfer). В 1968 году свет увидела технология электронного обмена данных – ElectronicDataInterchange (EDI), которая была впоследствии положена в основу электронных транзакций. Электронные платежи развиваются все активнее, мир начинает относиться к кредитным карточкам без панического страха. В США формируются две межбанковские карточные ассоциации. Первая из них, NBI, известна сейчас как Visa International, вторая – ICA, соответственно MasterCard International.
1974 год стал в каком-то смысле переломным в плане американского господства в становлении электронных платежей: именно в этом году Роберт Морено во Франции регистрирует патент на технологию изготовления смарт-карт. США, правда, не отстают, и уже через год, в 1975 году, в Штатах появляются первые банковские автоматы для получения наличных - банкоматы.
Информационные технологии не стояли на месте, и уже в 1979 году в Америке для безналичных банковских платежей начато применение первых электронных терминалов, которые были названы EFTPOS и заложили основы электронных платежей.
В 1984 году предприятия финансового сектора начинают активно применять электронную почту при общении с клиентами. По сути, это был первый шаг на пути к электронному банкингу и интернет-банкингу. Проходит еще три года, и первые банки начинают предоставлять услуги в режиме он-лайн.
Приблизительно в это же время в историю электронных денег вступает и наша страна (тогда СССР). В 1988 году "Внешэкономбанк" СССР выпускает первую в государстве кредитную банковскую карточку – EurocardGold (всего около 30-ти). Классическая Visa пришла в нашу страну лишь в 1991 году: спустя почти 20 лет после появления карт Visa и MasterCard за рубежом российский "Кредо-банк" выпустил первую в стране международную кредитную банковскую карточку системы Visa International.
В общем, именно второй этап заложил основы для систем электронных платежей с помощью кредитных банковских карт. Третий же этап отличился развитием информационных технологий.
Третим этапом стал 1981 год. Создан первый классический персональный компьютер – IBM PC, а микроэлектроника стала бурно развиваться. Во второй половине 80-х годов в пластиковую кредитную карточку удалось вмонтировать микропроцессор, что предопределило появление принципиального нового вида денег – цифровой наличности. Однако революционным для истории электронных денег становится 1993 год, в котором доктор Дэвид Чаум, глава группы криптографии в голландском национальном исследовательском центре CWI, разработал программное решение – технологию eCash для работы с цифровой наличностью.
Впоследствии eCash стала фундаментом первой в мире электронной платежной системы DigiCash и прародителем всех существующих сегодня электронных платежных систем. Тем не менее, попав под реорганизацию, компания DigiCashInc. обанкротилась, а лицензия на технологию eCash была продана.
В чем же состояла суть новой революционной технологии?
Концепция eCash вводила в обиход понятие электронной валюты для оплаты товаров и услуг через компьютерные сети, которые к тому времени уже получили значительное распространение. Сама валюта хранится на жестком диске персонального компьютера, куда она закачивается с помощью специального клиентского программного обеспечения, которое необходимо предварительно установить. Принципы осуществления электронных платежей за прошедшие 12 лет не претерпели принципиальных изменений, разве что многие современные e-money-системы позволяют осуществлять платежи, не устанавливая специальное клиентское программное обеспечение на свой компьютер.
Через год после появления eCash, в 1994 году, в США была осуществлена первая в истории покупка через интернет. В этом же году в России появилась первая отечественная микропроцессорная карта системы "Золотая Корона". Технология eCash стремительно набирала популярность во всем мире, и в 1995 году система на ее основе получила ежегодную премию Европейской комиссии по информационным технологиям (InformationTechnologyEuropeanAward (ITEA'95). После первого тестирования и экспериментов лицензию на технологию eCash купили восемь крупных финансовых институтов, а американский банк MarkTwainBank первым в мире приступил к эмиссии "цифровых наличных" по технологии DigiCash. В том же 1995 году, если верить данным Федеральной резервной системы США, уже 90% совокупной стоимости всех транзакций Америки производилось в электронной форме.
1995 год был богат на знаковые события истории электронных платежных систем. К примеру, бельгийская компания Proton первой в мире ввела в обращение моновалютную микропроцессорную карточку для мелких покупок, английская компания Mondex провела разработку первого в мире "электронного кошелька".
В 1996 году Банком международных расчетов были опубликованы результаты официальных исследований рынка электронных денег, на основе которых выдвинута идея эмитирования электронных денег центральными банками. В этом же году ассоциация Visa International представила собственный электронный кошелек Visa Cash. Начинается разработка единых требований к изготовлению микропроцессорных карт (технологии EMV), участие в этом принимают все крупные участники рынка электронных платежей.
К тому времени интернет развился достаточно для того, чтобы породить полноценную электронную коммерцию, и впервые были поставлены вопросы информационной безопасности электронных платежей во всемирной паутине. В результате этого вслед за технологией EMV был разработан специальный протокол для осуществления безопасных транзакций в интернете - Secure Electronic Transaction (SET).
В 1997 году в Сингапуре ассоциацией Visa International произведена первая транзакция с помощью SET.
Успешная операция была замечена прогрессивными финансовыми институтами: в США открыт первый в мире виртуальный банк, предоставляющий все банковские услуги через интернет, учредителем "первенца" стал американский банк Cardinal Bank Shares.
Россия также старается не отставать от мирового прогресса, и в 1998 году отечественным банком "Таврический" сообщено о разработке российского аналога цифровой наличности.
В 2000 году ассоциация из 12-ти крупнейших производителей микропроцессорных карт, специализированного программного обеспечения и кредитных ассоциаций объявляет о создании первого универсального электронного кошелька. После этого дальнейшее развитие электронных денег практически полностью связано со стремительным вхождением интернета в нашу жизнь.
На четвертом этапе уже можно подвести некоторые итоги. В современном мире активно работает несколько десятков электронных платежных систем, самые известные из них E-Gold, PayPal, PayAce и StormPay. В России зарубежные системы не так развиты, но хорошие позиции занимают отечественные компании WebMoney, Cyberplat, E-Port, "Яндекс. Деньги", "Рапида". Не так давно крупнейший почтовый сервер России Mail.ru запустил совместно с ИК "Финам" свой проект электронный платежной системы - MoneyMail.
Большинство современных платежных систем как зарубежных, так и российских сегодня может функционировать полностью через web-интерфейс, не требуя установки клиентского программного обеспечения. Электронные деньги прочно вошли в повседневную жизнь современного человека. Тем не менее, их развитие задерживает, например, государственная политика, связанная информационной безопасностью, и т.п.
Ряд платежных систем, например российский Cyberplat, кроме различных криптографических алгоритмов, для обеспечения безопасности своих транзакций активно применяет и электронную цифровую подпись. Однако безопасность электронных платежей по-прежнему остается основной причиной, по которой люди не бросаются поголовно к цифровой наличности. В то же время в некоторых странах, например в Сингапуре, уже ведут работы по приданию электронным деньгам статуса законного платежного средства, поэтому электронная наличность может фактически приобрести статус бессрочного обязательства государства и стать обязательной к приему всеми субъектами государства наравне с другими возможными платежными средствами.
Стоит отметить, что за прошедшее время как появились первые кредитные карточки, взломы, по данным клиентов, не прекращались. Начиналось с малого: как кража непосредственно у владельцев, подделка подписей, так и до целой коррумпированной структуры - это кража информации самих сотрудников, «не чистых на руку», передачи ее третьим лицам, до сложного аппаратного обеспечения злоумышленников, вплоть до производства пластиковых карт с украденными идентификационными данными. Неизвестно, как будут обстоять дела в ближайшем будущем, когда появятся универсальные электронные карты, ведь все понимают, что здесь нужен четкий контроль за всем происходящим.
Ниже в моей работе я определяю основные аппаратно-технические средства, с которыми будет использоваться универсальная электронная карта, дабы понять и разобраться в минусах и плюсах её универсальности. Также необходимо найти и определить недостатки уже существующей системы защиты, чтобы разработать дополнительную степень защиты, как один из вариантов ее усовершенствования.