2.1.3 Управление системой безопасности объектов информатизации

Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности УЭК, целесообразно выделить следующие основные направления деятельности по обеспечению ее безопасности:

- информационно-аналитических исследований и прогнозных оценок безопасности, в том числе экономической;

- безопасности персонала, как госучреждений, так и коммерческих организаций, которые имеют доступ к информационным ресурсам;

- сохранности и физической защиты финансовых средств;

- безопасности информационных ресурсов;

- безопасность информационных центров, вплоть до инфокиосков.

Основными задачами направления информационно-аналитических исследований и прогнозных оценок безопасности являются:

- организация работ по выявлению информации, содержащей персональные данные, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;

- учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на финансовом рынке, фирмам и т.п.;

- выявление и прогнозирование уязвимых мест в деятельности, реальных и потенциальных угроз безопасности организаций, разработка и осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;

- анализ и прогнозирование негативных тенденций социально-эко-номического развития организаций с точки зрения влияния на их безопасность;

- информационное обеспечение руководства организаций в области безопасности;

- координация деятельности подразделений службы безопасности и обеспечения взаимодействия со всеми структурными подразделениями организаций в решении проблемы безопасности.

Главной заботой о безопасности персонала является охрана личности от любых противоправных посягательств на его жизнь, материальные ценности и личную информацию.

2.2 Характеристика объектов защиты

В данном проекте имеется множество объектов, подлежащих защите. Стоит рассмотреть только основные из них, но при этом не стоит забывать и про самые простые по технологическим параметрам, такие как: терминалы оплаты, банкоматы и другие средства сбора и приема информации.

К основной категории относится непосредственно сама универсальная электронная карта.

2.2.1 Универсальная электронная карта (уэк)

И меется 3 вида дизайна УЭК (приложение 3). На карте расположены и средства защиты, и идентификационные данные личности гражданина:

1. Передняя сторона:

1. Чип;

2. Номер карты;

3. Наименование банка;

4. Логотип УЭК;

5. Логотип платежного продукта.

2. З

   Рисунок 1. – УЭК

   адняя сторона:

1. Магнитная полоса;

2. Фотография личности;

3. Ф.И.О. держателя, пол и дата рождения;

4. Срок действия карты;

5. Образец подписи держателя;

6. Номер УЭК;

7. Номер пенсионного страхования;

8. Логотип дополнительного платежного продукта.

Из всего перечисленного больше всего в карте нас интересует чип и магнитная полоса.

Чип конфигурации EMV (аббревиатура мною представлена выше). Чип предназначен как на контактную, так и бесконтактную идентификацию личности (расчеты на контактную и бесконтактную форму доступа будут рассмотрены в следующем разделе).

Спецификация УЭК и чипа (приложение 4):

ISO/IEC 7810	Стандартизация размера карты ID1 (85,60 × 53,98)
ISO 7816–1	Определяет физические характеристики карт
ISO 7816–2	Задает размеры и расположение контактов
ISO 7816–3	Стандартизирует сигналы и протоколы связи
IEC 512-2:1979	Спецификации для электромеханических компонентов оборудования
FIPS Pub 180-1:1995	Стандарт на безопасные хэши. Спецификация терминала платежных систем для карт с интегральными схемами
ISO 639:1988	Коды названий языков
ISO 3166:1997	Коды названий стран
ISO 4217:1995	Коды валют и фондов
ISO/IEC 7811-1:1995	Идентификационные карты – Метод записи
ISO/IEC 7811-3:1995	Идентификационные карты – Метод записи
ISO/IEC 7813:1995	Идентификационные карты – Карты для финансовых операций
ISO/IEC DIS7816-1:1998	Идентификационные карты – Карты с интегральными схемами, имеющими внешние контакты
ISO/IEC 7816-3:1989	Электрические сигналы и протоколы передачи
ISO/IEC 7816-3:1992	Протокол типа T=1, асинхронный полудуплексный протокол блочной передачи
ISO/IEC 7816-3:1994	Выбор типа протокола
ISO/IEC 7816-4:1995	Команды обмена
ISO/IEC 7816-5:1994	Процедура для выработки прикладных идентификаторов
ISO/IEC 7816-6:1996	Информационные элементы
ISO 8731-1:1987	Алгоритмы аутентификации сообщений (DEA)
ISO 8372:1987	Обработка информации. Режимы работы для 64-бито-вых блочных алгоритмов шифрования/дешифрования
ISO/IEC 8825:1990	Информационная технология. Соединение открытых систем.
	Спецификация базовых правил кодирования для синтаксической Аннотации ASN
ISO 8583:1987	Сообщения банковских карт – Спецификации сообщений – Содержимое финансовых транзакций
ISO 8583:1993	Сообщения транзакций банковских карт – Спецификации Сообщений
ISO 8859:1987	Обработка сообщений – 8-битовые графические символьные наборы
ISO/IEC 9796-2: 1997	Информационная технология – Методы безопасности – Схема восстановления сообщений с цифровой подписью.
ISO/IEC 9797:1994	Информационная технология - Методы безопасности – Механизм информационной целостности, использующий функцию криптографической проверки на базе алгоритма блочного шифра
ISO/IEC 10116: 1997	Информационная технология – режимы работы алгоритмов n-битовых блочных шифров
ISO/IEC 10118-3: 1998	Информационная технология - Методы безопасности – хэш-функции

Магнитная полоса — носитель информации с ограниченным объемом памяти. Использование пластиковых карт с магнитной полосой позволяет автоматизировать ввод информации в системы управления. Сфера применения пластиковых карт с магнитной полосой очень велика. Это дисконтные карты, подарочные сертификаты, идентификационные и клубные карты, топливные, транспортные, страховые и многие другие.

Магнитная полоса различается по своим свойствам на высококоэрцитивную (HiCo) и низкокоэрцитивную (LoCo). Степень коэрцитивности влияет на устойчивость записанной информации к размагничиванию. Пластиковые карты с магнитной полосой HiCo более надежны и долговечны, так как информация на магнитных полосах HiCo менее подвержена размагничиванию внешними магнитными полями, чем на полосах LoCo. По цвету магнитные полосы различаются следующим образом: HiCo — полоса черного цвета, LoCo — полоса коричневого цвета.

Магнитная полоса предполагает машинное считывание. Для стандартных считывающих устройств (ридеров) магнитная полоса делается шириной 12,7 мм (0,5 дюйма) и располагается на расстоянии 4 мм от края карточки.

На магнитной полосе находится три дорожки, по которым можно нанести ту или иную информацию. Все три дорожки, как правило, используются в крупных банковских платёжных системах. В локальных платёжных системах, дисконтных системах, а также в системах контроля доступа используется чаще всего одна (обычно вторая), реже — две (первая и вторая) дорожки.

1-я дорожка - цифробуквенная информация: до 76 знакомест QWERTYUIOPASDFGHJKLZXCVBNM 1234567890 : ; = + ( ) – ‘ - ! @ # ^ & * <> / \ Все латинские буквы ЗАГЛАВНЫЕ. Информация будет окружена служебными символами: "%" в начале строки,"?" в конце строки. Служебный знак "? " добавляется в конце каждой строки базы данных и означает конец записи на магнитную полосу и при считывании не отображается.

2-я дорожка - только цифры: 1234567890 и знак "=", до 37 знакомест. Пробел отображается на магнитной полосе знаком "=". Знак "?" означает конец записи на магнитную полосу и при считывании не отображается. Информация будет окружена служебными символами:";" в начале строки, "?" в конце строки.

3-я дорожка - только цифры: 1234567890 и знак "=", до 104 знакомест. Пробел отображается на магнитной ленте знаком "=". Знак "?" означает конец записи на магнитную ленту и при считывании не отображается. Информация будет окружена служебными символами:"_" в начале строки,"?" в конце строки.

Для изготовления магнитных карт используют оригинальные пластиковые заготовки с нанесённой на них магнитной полосой.