3.2 Организационные мероприятия

В первую очередь необходима разработка организационных мер защиты информации. При отсутствии надлежащей организации работы, отсутствии системы контроля, все технические средства могут оказаться бессмысленными.

С одной стороны, организационные мероприятия должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администраторами безопасности системы организаций, вступившие в проект. С другой стороны, руководство организаций проекта, эксплуатирующие средства автоматизации, должны регламентировать единым правилом автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам можно отнести такие как:

- идентификация пользователей ИС по паролю;

- регистрация входа \ выхода пользователей в ИС;

- учет всех носителей информации, регистрация их выдачи;

- физическая охрана ИСПДн, контроль доступа в помещение;

- блокирование терминалов пользователей;

- очистка освобождаемых областей оперативной памяти компьютера и внешних накопителей;

- регистрация фактов распечатки документов с указанием даты, времени и имени пользователя;

- наличие администратора (службы) безопасности, ответственных за ведение, нормальное функционирование и контроль работы средств защиты информации.

Также, к организационным мерам можно отнести отдельные мероприятия на стадии проектирования ИСПДн:

- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;

- определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;

- разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно распорядительной документации по защите информации (приказов, инструкций и других документов).

Имеет место для разработки таких документов, как:

- памятка держателя УЭК (приложение 6);

- положение о работе с персональными данными;

- инструкция администратора безопасности;

- инструкция пользователя ИСПДн;

- положение о парольной защите;

- положение об антивирусной защите;

- регламент проведения проверок безопасности ИСПДн.

В Памятке держателя УЭК указаны основные меры, предотвращающие порчу, утерю, кражу УЭК и прочие меры по предотвращению всяческих угроз.

В Положении о работе с персональными данными отражается:

- порядок получения, обработки, использования и хранения персональных данных;

- порядок передачи персональных данных третьим лицом;

- гарантии конфиденциальности персональных данных.

В инструкции администраторов безопасности организаций устанавливаются:

- правовая основа деятельности администратора;

- требования к уровню его знаний, квалификации и опыту;

- перечень вверенного ему оборудования и порядок доступа к нему;

- перечень и периодичность плановых мероприятий по контролю осуществления надлежащего функционирования системы защиты ИСПДн;

- полномочия администраторов по контролю за деятельностью пользователей ИСПДн, в частности, разработка и внедрение системы паролей доступа пользователей, организация разграничения доступа пользователей к техническим средствам защиты ИСПДн и информационным ресурсам ИСПДн, выявление допущенных пользователями нарушений инструкций и приостановление / прекращение их доступа в ИСПДн;

- ответственность за допущенные нарушения.

В инструкции пользователя ИСПДн указываются:

- требования к уровню владения техническими средствами обработки информации;

- полномочия доступа к техническим средствам защиты информации;

- полномочия доступа к информационным ресурсам, периферийным устройствам, материальным носителям информации;

- обязанности по соблюдению правил антивирусной защиты ИСПДн;

- ответственность за несоблюдение правил работы в ИСПДн.

Такие документы, как положение о парольной защите, положение об антивирусной защите и регламент проведения проверок безопасности ИСПДн носят технический характер и составляются в соответствии необходимым уровнем обеспечения безопасности ИСПДн, обусловленного ее классом.

3.3 Устройства, взаимодействующие с УЭК

В настоящем рассматриваемом проекте универсальная электронная карта взаимодействует со множеством новых технологий. Наряду с этим необходимо развивать аппаратно-технические средства, методы биометрического анализа (отпечаток пальца, отпечаток ладони, сканирование сетчатки глаза) для равномерного развития УЭК в сфере защиты.

И к тому же представляю пример, найденный мною, который даст повод еще раз убедиться в правильности выбора средств защиты:

Уязвимость в протоколе EMV (Europay, MasterCard, Visa), позволит злоумышленникам легко обходить авторизацию дебетовых и кредитных пластиковых карт.

К такому выводу пришли исследователи из Кембриджского университета, проанализировав карты, выпущенные на основе технологии “chip-and-PIN”.

Рисунок 16. Схема взлома картыс чипом EMV

Для демонстрации своего открытия (рисунок 16) специалисты использовали кард-ридер AlcorMicro, подсоединенный к ноутбуку. Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E StarterKit, используемой для конвертации интерфейсов УЭК и ПК. Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной УЭК, которую исследователи вставили в терминал.

После того, как карта была вставлена, написанный учеными скрипт на языке программирования Python, установленный на ноутбуке, перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения.

В этом самом коде подтверждения и кроется суть уязвимости. Дело в том, что после сравнения PIN, хранящегося на чипе пластиковой карты и введённого пользователем, на терминал передаётся один и тот же для всех карт код подтверждения - 0x9000.

Дело остаётся за малым - перехватить запрос и отправить в ответ 0x9000. В результате, какой бы PIN не ввёл пользователь, правильный или нет, терминал получит подтверждение доступа.

По словам авторов работы, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты.

Ниже представлен список технических устройств, которые необходимо усовершенствовать: