- •Актуальность
- •Уровень потерь от киберпреступности в крупнейших экономиках
- •Лекция 1. Основные понятия информационной безопасности и защиты информации
- •Взаимосвязь кибербезопасности и смежных понятий
- •Кибербезопасность как культура (резолюция оон «создание глобальной культуры кибербезопасности»)
- •Экономический подход к кибербезопасности
- •Основные понятия защиты информации
- •Угрозы в финансовом секторе, pwc
- •Угрозы информационной безопасности
- •Атаки доступа
- •Атаки модификации
- •Атаки отказа в обслуживании
- •Комбинированные атаки
- •Интернет-атаки
- •Ботнеты
- •Шифровальщики
- •Политика информационной безопасности
- •1.Подходы к обеспечению информационной безопасности
- •2.Меры обеспечения информационной безопасности
- •3.Задачи комплексной защиты
- •4.Принципы обеспечения иб в бс
- •5.Соиб организации бс рф
- •6.Цели и задачи информационной безопасности банка
- •7.Разделы политики безопасности
- •8.Три уровня политик безопасности
- •9.Структура политики безопасности
- •10.Специализированные политики безопасности
- •Политика допустимого использования
- •Политика удаленного доступа
- •13.Процесс в иб
- •14.Физическая и логическая безопасность
- •14.Защита ресурсов
- •15.Определение административных полномочий
- •16.Роли и ответственности в безопасности сети
- •17.Аудит и оповещение
- •Два аспекта аудита
- •18.Типовые недостатки в реализации функций безопасности автоматизированных систем
- •Общие недостатки абс и банковских приложений
- •Типовые недостатки приложений дистанционного банковского обслуживания и электронных средств платежа Идентификация и аутентификация
- •Безопасность транзакций
- •Типовые недостатки веб-приложений
- •Типовые недостатки операционных систем
- •19.Уязвимости онлайн-банков 2016
- •20.Рейтинг самых распространенных уязвимостей систем дбо (доля уязвимых систем)
- •21.Распределение по субъектам
- •Лекция 4. Правовые основы обеспечения информационной безопасности
- •Глава 14. Защита персональных данных работника
- •Лекция 5. Стандарты информационной безопасности
- •Лекция 6. Безопасность операционных систем
- •Подходы к построению защищенных операционных систем
- •Административные меры защиты ос
- •Идентификация, аутентификация и авторизация субъектов доступа
- •Разграничение доступа к объектам операционной системы
- •Правила разграничения доступа
- •Основные модели разграничения доступа
- •Изолированная программная среда
- •Полномочное разграничение доступа с контролем информационных потоков
- •Типовые недостатки операционных систем. Управление доступом (рс бр иббс-2.6-2014)
- •Типовые недостатки операционных систем. Идентификация и аутентификация (рс бр иббс-2.6-2014)
- •Типовые недостатки операционных систем. Управление системой (рс бр иббс-2.6-2014)
- •Средства защиты в windows 7
- •Контроль учётных записей пользователей
- •Параметры управления учетными записями пользователя
- •Шифрование дисков bitlocker и bitlocker to go
- •Система шифрования файлов efs
- •Графический интерфейс шифрования файла с использованием efs
- •Служба управления правами
- •Защита данных от утечек и компрометации
- •Брандмауэр windows
- •Технология applocker для контроля используемого на компьютере по
- •Три типа правил в applocker
- •Лекция 7. Криптографическая защита информации основные понятия криптографической защиты информации
- •Шифрование данных
- •Классификации криптоалгоритмов
- •Действия, выполняемые криптоалгоритмом над числами
- •Алгоритм шифрования des
- •Комбинирование блочных алгоритмов
- •Другие симметричные криптоалгоритмы
- •Основные режимы работы блочного симметричного алгоритма
- •Порядок использования систем с симметричными ключами
- •Недостатки систем симметричного шифрования
- •Преимущества перед симметричными криптосистемами
- •Недостатки асимметричных криптосистем
- •Известныеалгоритмы ассиметричного шифрования
- •Функции хэширования
- •Свойства функции хэширования
- •Широко используемые функции хэширования
- •Основные процедуры цифровой подписи
- •Процедура проверки цифровой подписи
- •Возможности минимизации (компенсации) недостатков симметричного и асимметричного криптоалгоритмов
- •Инфраструктура открытых ключей pki поддерживает ряд приложений и стандартов
- •Лекция 8. Защита от вредоносных программ и спама
17.Аудит и оповещение
Аудит - способность регистрировать все важные, с точки зрения безопасности, действия, выполненные в компьютерной среде.
Оповещение - способность оповещать об этих действиях в читабельной форме
Два аспекта аудита
- Какие события особенно важны для безопасности (все нарушения безопасности, такие как: неавторизованный доступ к системе неправильный пароль; аннулированный пароль; неавторизованный доступ к ресурсу; все попытки доступа к чувствительным/важным областям систем; все выдаваемые команды безопасности, использующие административные полномочия; все попытки доступа к ресурсам операционных систем, за исключением доступа по умолчанию.);
- Как долго должны храниться записи регистрации
18.Типовые недостатки в реализации функций безопасности автоматизированных систем
Общие недостатки АБС и банковских приложений;
Типовые недостатки приложений дистанционного банковского обслуживания и электронных средств платежа;
Типовые недостатки веб-приложений;
Типовые недостатки систем управления базами данных;
Типовые недостатки операционных систем;
Типовые недостатки телекоммуникационного оборудования;
Типовые недостатки технологий виртуализации
Общие недостатки абс и банковских приложений
УПРАВЛЕНИЕ ДОСТУПОМ Отсутствие ограничений на количество одновременных подключений (сессий) пользователя в АБС. Упрощает использование нарушителями учетных записей, принадлежащих сотрудникам организации БС РФ
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ Использование процедур самостоятельного восстановления или смены забытых пользователями паролей. Отсутствие предварительной аутентификации при смене пароля пользователем.
РЕГИСТРАЦИЯ СОБЫТИЙ И ПРОСМОТР ЖУРНАЛОВ РЕГИСТРАЦИИ СОБЫТИЙ Наличие в данных журналов регистрации событий конфиденциальных и чувствительных данных (пароли пользователей, данные платежных карт и т.п.)
ЗАЩИТА ДАННЫХ Отсутствие в АБС механизмов очистки остаточной информации при удалении данных
КОНФИГУРАЦИЯ БЕЗОПАСНОСТИ Отсутствие механизмов защиты от несанкционированного доступа к настройкам приложения
Типовые недостатки приложений дистанционного банковского обслуживания и электронных средств платежа Идентификация и аутентификация
Использование однофакторной аутентификации при выполнении финансовых операций;
Предсказуемый алгоритм формирования однократных паролей и (или) возможность повторного использования однократных паролей
Безопасность транзакций
Использование для подтверждения транзакций средств авторизации, допускающих возможность формирования подтверждения третьими лицами;
Использование для формирования электронной цифровой подписи ключевых носителей, допускающих экспорт закрытой части ключа подписи;
Отсутствие возможности подписания электронных платежных поручений юридических лиц электронными подписями двух уполномоченных лиц;
Возможность повторного использования электронного платежного документа;
Типовые недостатки веб-приложений
Размещение компонентов веб-приложения
Совместное расположение журналов регистрации событий и системных файлов;
-наличие на веб-сервере тестовых приложений и сценариев, а также программных компонентов, не входящих в состав абс.
Управление сессиями
Использование предсказуемых идентификаторов сессий.
Возможность повторного использования идентификатора сессии (в том числе ис- пользование одинаковых идентификаторов в нескольких сессиях одного пользователя, неизменность идентификатора сессии после повторной аутентификации пользователя).
Возможность использования идентификатора сессии после ее завершения
Защита данных
отсутствие в параметрах веб-формы, предназначенных для ввода конфиденциальной информации, директив, запрещающих кеширование данных.
передача конфиденциальной и аутентификационной информации в сообщениях http-get