- •Введение
- •1 Постановка задачи
- •2.1 Концепция безопасности объектов информатизации
- •2.1.1 Цели и задачи системы безопасности
- •2.1.2 Принципы организации и функционирования системы безопасности
- •2.1.3 Управление системой безопасности объектов информатизации
- •2.2 Характеристика объектов защиты
- •2.2.1 Универсальная электронная карта (уэк)
- •2.2.2 Банкомат
- •2.3 Список участников проекта
- •2.4 Перечень защищаемой информации и прикладного программного обеспечения
- •2.5 Статистические данные в сфере защиты
- •2.6 Угрозы информационной безопасности
- •2.7 Модель нарушителя
- •2.8 Анализ рисков
- •2.9 Построение частной модели угроз
- •2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
- •2.10.1 Инфраструктура электронной идентификации и авторизации
- •2.10.2 Электронные паспорта
- •2.10.3 Карты, используемые для получения медицинских услуг
- •2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
- •2.10.5 Сервисы меток времени
- •2.11 Неудача западных коллег
- •2.12 Вывод
- •3 Кострукторская часть
- •1) Универсальная карта и её чипы;
- •3) Организации, как информационный ресурс.
- •3.1 Универсальная карта и её чипы
- •3.1.1 Контактный чип emv
- •3.1.1.1 Элементы данных и файлы
- •3.1.1.2 Соображения безопасности
- •3.1.2 Бесконтактный чип
- •3.1.3 Чип со сдвоенным интерфейсом
- •3.1.4 Электронно-цифровая подпись как средство защиты чипа
- •3.2 Организационные мероприятия
- •Банкомат:
- •Rfid-считыватели.
- •3.3.1 Банкомат
- •3.3.1.1 Сенсорная панель
- •3.3.1.2 Фотодиоды
- •3.3.1.3 Светодиодная панель
- •3.3.3 Домашний карт-ридер
- •3.3.4 Rfid-считыватели
- •3.3.4.1 Сканер радиочастот
- •3.3.4.2 Экранированный чехол из медной пластины
- •3.3.5 Биометрия, как составляющая метода защиты
- •3.3.5.1 Дактилоскопия
- •3.3.5.2 Биометрия лица
- •3.4 Организации, как информационный ресурс.
- •3.4.1 Межсетевые экраны
- •3.4.1.2 Сспт-2
- •3.4.2 Система защиты каналов передачи данных
- •3.4.3 Антивирусные средства
- •3.4.3.2 Антивирус Касперского
- •3.4.4 Системы обнаружения вторжений
- •3.5 Вывод
- •4 Организационно-экономическая часть
- •4.1 Сфера применения
- •4.2 Описание эффекта от внедрения системы защиты информации
- •4.3 Экономические расчеты по Республике Марий Эл
- •4.3.1 Расчет капитальных затрат на внедрение
- •4.3.2 Предполагаемый доход
- •4.4 Вывод
- •5 Безопасность жизнедеятельности
- •5.1. Анализ опасных и вредных факторов на объекте информатизации
- •5.1.1 Эмоциональный фактор, в случае хищения уэк
- •5.1.2 Электромагнитное излучение rfid технологии
- •5.1.3 Освещенность аппаратно-технических средств
- •5 .2 Освещенность кабины банкомата
- •5.2.1 Технический расчёт искусственного освещения кабины банкомата
- •5.4 Вывод
- •Заключение
- •Л итература
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7
2.1 Концепция безопасности объектов информатизации
Концепция безопасности объекта информатизации (ОИ) представляет собой научно-обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты от противоправных действий.
Под безопасностью ОИ понимается состояние защищенности интересов владельцев, материальных ценностей и информационных ресурсов.
Обеспечение безопасности является неотъемлемой составной частью работоспособности данного проекта. Состояние защищенности представляет собой умение и способность надежно противостоять любым попыткам злоумышленников нанести ущерб законным интересам граждан.
Объектами безопасности являются:
- граждане, использующие УЭК (доступ к определенным данным, которые могут заинтересовать определенный круг злоумышленников);
- их финансовые средства;
- информационные ресурсы (информация с ограниченным доступом, составляющая конфиденциальную информацию, предоставленная в виде документов и массивов данных, независимо от формы и вида их представления).
- банкоматы, инфокиоски, терминалы, выступающие в качестве средства доступа к информационным ресурсам;
- сам продукт проекта – универсальная электронная карта.
Субъектами правоотношений при решении проблемы безопасности являются:
- государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
- предприятие как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих служебную, коммерческую тайны (персональные данные);
- другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования коммерческой организации как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.);
- службы безопасности, организации и частные охранно-детективные структуры.
Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
27.07.2006 года был утвержден Федеральный Закон №152-ФЗ РФ, предназначенный для любых организаций, обрабатывающих персональные данные. Но особенно этот закон актуален для учреждений, обрабатывающих в больших объемах персональные данные граждан, не связанных с ними трудовыми отношениями. Это государственные органы, предприятия финансового сектора (банки, страховые компании и т.д.), медицинские и образовательные учреждения. Чем больше объем этих данных и серьёзнее их характер, тем выше класс ИСПДн и необходимость использования сертифицированных средств защиты информации. При этом необходимо учитывать, что система электронного доступа должна быть в то же время современной и максимально эффективной в использовании.
В последующем разработаны два стандарта для финансового сектора: СТО БР ИББС и PCI DSS.
1) СТО БР ИББС. Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее — организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах. Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе нормативными актами Банка России.
Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации применяются по решению организации БС РФ.
2) Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платежных карт.
Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.
С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.
По той причине, что Федеральный Закон №152-ФЗ РФ от 27.07.2006 года отвечает требованиям для организаций как финансового сектора, так и муниципального, и коммерческого секторов он для нас и будет ключевым в нашем проекте.