- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
Заключение
Основным результатом учебного пособия является методика оценки и управления информационными рисками в автоматизированных банковских системах. В частности:
Проведен анализ функционирование АПБС в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы платежной системы, к разрушению ее системы безопасности и хищению денежных средств, сохранность информации АИС и предоставление доступа к ней в строгом соответствии с установленными приоритетами и правилами разграничения доступа. Анализ проблем оценки и управления рисками ИБ в АБС позволил сделать следующие выводы: наибольшее применение для анализа и оценки рисков в настоящее время находят экспертные методы; в отечественной практике отсутствуют методики анализа и оценки рисков, в настоящее время только предпринимаются попытки разработки таких методик; невозможно предложить единую, приемлемую для всех, универсальную методику, соответствующую некоторой концепции управления рисками.
Представлена модель нарушителя более общего вида и неформальная модель нарушителя, которая позволяет включить в процесс обработки большее количество информации о характере и особенностях проявления угроз. В качестве такой модели рассмотрена четырехкомпонентную модель.
Описана методика оценки и управления рисками ИБ в АБС на основе алгоритма Мамдани. Данный алгоритм используется для оценки и ранжирования информационных рисков АБС по нескольким критериям. При его использовании удается избежать одной из основных проблем задачи принятия решений — определения весовых коэффициентов важности критериев. Входными данными для алгоритма являются описание и значения нечетких переменных.
Изложена методика выбора рациональных затрат на управление информационными рисками в АБС. Введено понятие априорных (предварительных) затрат на уменьшение вероятности и последствий угроз и апостериорных (фактических) затрат при реализации угрозы. Учитывается разновременность указанных затрат путем их приведения к одному моменту. Для частного случая, когда априорные затраты на уменьшение вероятности обратно пропорциональны вероятности, а априорные затраты на уменьшение последствий обратно пропорциональны последствиям (в натуральных единицах), удалось получить простые аналитические выражения для оптимальных значений вероятности и последствий и минимальное значение затрат при этом. Интересным оказался результат — все три составляющих полных затрат равны между собой. В общем случае при нескольких типах последствий от одного угрозы и при учете нескольких угроз приведены виды целевых функций от многих переменных, для поиска минимальных значений которых необходимо решение с помощью вычислительных машин.
Проанализированы основные особенности и проблемы защиты информации в банковских системах.
Список используемых информационных источников
1. Абалмазов Э.И. Методы и инженерно- технические средства противодействия информационным угрозам.- М.: Гротек, 1997.
2. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.Руководящий документ Гостехкомиссии России, М.: ГТК РФ, 1992. 39с.
3. Агапов А.Б. Основы федерального информационного права России.- М.: Экономика, 1995.
4. Агеев А.С. Компьютерные вирусы и безопасность информации// Зарубежная радиоэлектроника.1989. N 12.
5. Аграновский А.В., Костечко Н.Н. Конфиденциальный доступ и защита информации в информационно- вычислительных сетях.- М.: Радио и связь, 2004.
6. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления // Руководство по борьбе с компьютерными преступлениями: Пер. с англ.- М.: Мир, 1999.
7. Алексеенко В.Н. Радиомониторинг в системе обеспечения безопасности коммерческих объектов. – М.: Росси Секьюрити. 1997.
8. Алексенцев А.И. О классификации конфиденциальной информации по видам тайны // Безопасность информационных технологий. 1999. № 3.
9. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии: Учебн. Пособие. 3-е изд., испр. и доп.- М.: Гелиос АРВ, 2005.
10. Аманов Ж.К. О некоторых вопросах уголовной ответственности за неправомерный доступ к компьютерной информации // Свобода слова и информационная безопасность государства, общества, личности: Сб. матер. межд. конф. 1 – 2 марта 2001 г. – Алматы: Интернет трейнинг центр, 2001.
11. Анин Б. Защита компьютерной информации. – СПб.: BHV- 2000-с 65.
12.Анин Б.Ю. Защита компьютерной информации .- СПб: БХВ- Петербург, 2000- с. 45.
13. Аносов В.Д., Стрельцов А.А., Ухлинов Л.М. Международные, федеральные и региональные аспекты информационной безопасности Российской Федерации // Информационное общество. 1997. № 1.
14Асаи К. Прикладные нечеткие системы./ Под ред. Тэтано Т., Асаи К., Сугэно М. - М.: Мир, 1993. – 354 с.
15. Бабаш А.И., Шанкин Г.П. История криптографии. – М.: Гелиос АРВ,2002.
16. Банковское дело : Справ. пособие/ М.Ю. Бабичев, Ю.А. Бабичева, О.В.Трохова, и др.; Под ред. Ю.А. Бабичевой. М.: Экономика, 1993. 397 с.
17. Барсуков В.С. Обеспечение информационной безопасности. – М.: Эко-Тренз, 1996.
18. Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. М.:Юридическая литература, 1991. 160 с.
19. Безопсность электронного бизнеса / В.А. Пярин А.С. Кузьмин, С.Н. Смирнов; Под ред. действ. Члена РАЕН, д.т.н., профессора В.А. Минаева. – М.: Гелиос АРВ, 2002.
20. Безопасность информационных технологий. Выпуск 1.М.:Госкомитет РФ по высшему образованию, МИФИ. 1994. 100 с.
21. Безруков Н.Н. Компьютерная вирусология. – Киев: УРЕ, 1991.
22. Белоусов И.В. Информационная безопасность телеккомуникационных сетей: проблемы и пути их решения // Безопасность информационных технологий, 1999.
23. Бизнес – Безопасность – Телеккомуникации: Терминологический словарь. 2-ое изд., дополненное / Е.Г.Новикова, А.В. Петраков , С.В. Рабовский , Г.А. Урьев.-М.: Норма , 2004.
24. Бияшев О.Г., Диев С.И., Размахнин М.К. Основные направления развития и совершенствования криптографического закрытия информации//Зарубежная радиоэлектроника. 1989. N 12.
25. Блачарски Д. Защита чужими руками // LAN/ Журнал сетевых решений. 2000. №3.
26. Богирев В.Г., Гончаров В.В., Серов Р.Е. Основы современной криптографии. – М.: Горячая линия – Телеком ,2001.
27. Браун Д., Гундерсон Л., Эванс М. Интерактивный анализ компьютерных преступлений // Открытые системы. 2000.№ 11. с. 40-49.
28. Бровкова М.Б., Байбурин В.Б. Введение в защиту информации. Учебн. Пособие.- М.: Инфра- М, Форум, 2004.
29. Бронштейн И. Н. Справочник по математике / Бронштейн И. Н., Семендяев К. А. – М.: Прогресс, 1957. – 361 с.
30.Будзко В. И. Количественные оценки отказоустойчивых и катастрофоустойчивых решений // Вопросы защиты информации. - 2003. - №2. - C. 19-32.
31. Буянов В.П., Уфимцев Ю.С. Методика информационной безопасности. – М.: Экзамен, 2004.
32. Вехов М. Компьютерные преступления: способы совершения, методики расследования.- М.: Право и закон, 1996.
33. Викторов А.Ф. Информационная война в современных условиях // Информационное общество. 1997.№1. с. 58-59.
34.Вихорев С. В. Классификация угроз информационной безопасности. – М.: ДМК Пресс, 2001. – 316 с.
35. Володин А.В., Устинов Г.Н., Цибин В.В. Сети передачи данных – модель угроз информационной безопасности // Вестник связи. 1999. №4. С. 52-57.
36.Вороненко П. Современные методы защиты информации. - М.: Банковский деловой мир, 1998. - 760 с.
37.Воронцова Л. В. , Фролов Д.Б. История и современность информационного противоборства. – М.: Горячая линия – Телеком, 2006.
38.Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники. Руководящий документ Гостехкомиссии России,- М.: ГТК РФ, 1992. 29с.
39.Гайкович В. Безопасность электронных банковских систем / Гайкович В., Першин А. – М.: Единая Европа, 1993. – 364 с.
40.Гайкович В.Ю., Першин А.Ю. Безопасность электронных банковских систем. М.:Единая Европа, 1994. 369 с.
41. Г.Дж. Симмонс. Защита информации. ТИИЭР, т.76 N5, май 1988г.
42. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.М:Энергоатомиздат, 1994.400 с. и 176 с.
43. Герасименко В.А. Проблемы защиты данных в системах их обработки// Зарубежная радиоэлектроника. 1989. N 12.
44. Герасименко В.А., Размахнин М.К., Родионов В.В. Технические средства защиты информации//Зарубежная радиоэлектроника. 1989. N 12.
45. Голубев В.В., Дубров П.А., Павлов Г.А. Компьютерные преступления и защита информации в вычислительных системах //Вычислительная техника и ее применение. М.:Знание, 1990, N 9, С.3-26.
46. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России.
47. Давыдовский А.И., Максимов В.А. Введение в защиту информации// Интеркомпьютер.1990. N 1. С.17-20.
48. Дейтел Г. Введение в операционные системы: В 2-х т. Т.2. Пер. с англ. М.: Мир, 1987. 398 с.
49.Демидов Н.Н., Чохонелидзе А.Н., Неффа В.М. Персонификация и профилирование пользователей ресурсов Интернета на основе экспертного оценивания // КомпыоЛог. - 2002. №1.- С. 7-12.
50. Дружинин Г.В.,Сергеева И.В. Качество информации.М.:Радио и связь, 1990. 172 с.
51. Запечников С.В.,Милославская Н.Г., Толстой А.И.Основы построения виртуальных частных сетей. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2003.
52. Защита информации в персональных ЭВМ/Спесивцев А.В., Вегнер В.А., Крутяков А.Ю. и др. М.:Радио и связь, МП "Веста", 1992. 192 с.
53. Информация о преступлениях в сфере высоких технологий. – М.: ГИЦ МВД РФ, 2003.
54. Исаев А.А. Применение специальных познаний для квалификации преступлений. – Алматы: Мектеп, 1997.
55. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров//Компьютер-пресс.1992. N 3. С.37-46.
56. Карпинский О. Защита информации, виртуальные частные сети (VPN). Технология ViPNet / По материалам компании Infotecs // Gazeta.Ru.- 2001.- 18с.
57. Карпинский О. Защита информации, виртуальные частные сети (VPN). Технология ViPNet / По материалам компании Infotecs // Gazeta.Ru.- 2001.- 18с.
58. Катаев С.Л. Социальные аспекты компьютерной преступности // Центр иссл. пробл. комп. преступн. – Киев, 2002 .
59. Кляйн Д. Как защититься от "взломщика". Обзор методов парольной защиты и набор рекомендаций по ее улучшению //Программирование, 1991, N 3, С.59-63.
60. Козлов В.Е. Теория и практика с компьютерной преступностью. – М.: Горячая линия – Телеком, 2002.
61. Комментарий к уголовному кодексу Российской Федерации / Под общ. ред. д.юр.н., Председателя Верховного Суда РФ В.М. Лебедева. изд., дополненное / Норма , 2004.
62. Конституция Российской Федерации от 12 декабря 1993 г.// Российская газета: офиц. изд. 1993. № 23 ФМ.
63. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии России, М.:ГТК РФ, 1992. 9 с.
64. Концепция создания системы платежей крупных сумм. Рабочие материалы //Департамент информатизации ЦБ РФ, 1994.
65. Крылов В.В. Информация как элемент криминальной деятельности // Вестник Моск. ун-та. Сер. 11. Право. - М., 1998.-№4.-С.50-64.
66.Кудрявцев Б. Н. Генезис преступлений. - М.: Инфра-М, 1998. - 214с.
67.Леоненков А. В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. - СПб.: БХВ - Петербург, 2003. - 736 с.
68. Малюк А.А. Информационная безопасность: Концептуальные и методологические основы защиты информации. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2004.
69.Мельников Ю. Общие принципы защиты банковской информации// Банковские технологии. Конфидент. 1995. - №7. - C. 21– 26.
70. Моисеенков И.Э. Американская классификация и принципы оценивания безопасности компьютерных систем//Компьютер-пресс. 1992. N2,N 3. С.47-54.
71. Моисеенков И.Э. Основы безопасности компьютерных систем//Компьютерпресс.-1991. N10. С.19-24, N11. С.7-21, N12.
72.Невский А. Г. Практика управления информационной безопасностью. – М.: Наука, 2000. – 284 с.
73.Никонова Е. Банковские технологии в Интернете// Банковские технологии. Конфидент. 1997. - № 3. - C. 41-44.
74. Оспанов Е.Т. Орудие преступления – компьютер // Бюллетень ГСУ и ЭКУ МВД РК. – Алма-Ата: МВД РК, 1995.- №1-2(1-5).-С.35-41.
75.Остапенко А. Г., Кащенко А. Г., Кащенко Г. А., Оптимальный выбор варианта системы защиты информации по критерию стоимость/эффективность при заданном уровне остаточного интегрального уровня // V международная научно – техническая конференция кибернетика и технологии XXI века. Воронеж 2004. – C. 86-92.
76. Остапенко Г.А. Информационные операции и атаки в социотехнических системах. Учебное пособие Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2007.
77.Петренко С. А. Аудит безопасности Intranet / Петренко С. А., Петренко А. А. – М.: ДМК Пресс, 2002. – 416 с.
78.Петренко С. Л. Анализ и управление информационными рисками / Петренко С. Л., Симонов С. В. – М.: Синтег, 2003. – 371 с.
79.Попова В.В., Вехов В.Б., Илюшин Д.А. Тактические особенности расследования преступлений в сфере компьютерной информации: Научн.- практ. пособие. Изд. 2-е, доп. и испр. – М.: ЛексЭст, 2004. с. 34-78.
80. Постановление Правительства Российской Федерации “ О сертификации средств защиты информации ” № 870 от 26 июня 1995 г.
81.Проблемы квалификации хищения денежных средств со счетов банка с использованием средств компьютерной техники. Журнал “Российский судья”- июнь 2006г.
82.Родин Г. Некоторые соображения о защите программ//Компьютер-пресс.1991. N 10.- С.15-18.
83.Румянцев А.А. Экономическая эффективность научных исследований (методология измерения). - М.: Экономика, 1974. - 167 с.
84.Саати Т. Математические модели конфликтных ситуаций. - М.: Сов. радио, 1977. – 351 c.
85.Саати Т. Принятие решений. Метод анализа иерархий. – М.: Радио и связь, 1993. – 294 с.
86.Саати Т., Кернс К. Аналитическое планирование. Организация систем. - М.: Радио и связь, 1991. – 319 с.
87.Севрук В. Т. Банковские риски. - М.: Дело ЛТД, 1996. - 72 с.
88.Симонов С. Анализ рисков, управление рисками // Jet Info. 1999. - №1. - C. 3-18.
89.Симонов С. В. Анализ рисков, управление рисками // Jet Info. - 2003. - № 2. C. 19-27.
90.Симонов С. В. Анализ рисков в информационных системах. Практические аспекты // Конфидент № 2. – 2001. – №3. – C. 28-35.
91.Симонов С. В. Анализ рисков, управление рисками // JetInfo. 1999. - № 1. – C. 21-27.
92.Симонов С. В. Анализ рисков, управление рисками // Jet Info. - 1999. - № 2. – C. 32-37.
93.Симонов С. В. Методология анализа рисков в информационных системах // Конфидент. 2001. - № 1. – C. 59-65.
94.Симонов С. В. Обзор примеров взлома банковских структур // Jet Info. 2000. - № 1. – C 15-19.
95.Словарь основных понятий и определений. Геополитика и национальная безопасность / М.И. Абрахманов и др.- М., 1998.
96.Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ от НСД к информации. Руководящий документ Гостехкомиссии России, М.:ГТК РФ, 1992. 25с.
97.Термины и определения в области защиты от НСД к информации. Руководящий документ Гостехкомиссии России, М.:ГТК РФ, 1992. 13с.
98.Уголовный кодекс Российской Федерации от 13 июня 1996 г. // Собрание законодательства РФ офиц. изд. 1996 № 25.
99.Удалов В.И., Спринцис Я.П. Безопасность в среде взаимодействия открытых систем//Автоматика и вычислительная техника.1990.N3, С.3-11.
100.Халяпин Д.Б. , Ярочкин В.И. Основы защиты промышленной и коммерческой информации. Термины и определения. Словарь ИПКИР.- М., 1994.
101.Хофман Л.Дж. Современные методы защиты информации: Пер. с англ.М.:Сов.радио, 1980, 264 с.
102.Ярочкин В.И., Шевцова Г.А. Словарь терминов и определений по безопасности и защите информации. – М.: Ось-89, 1996.
103.ISO/IEC 17799 Information technology - Code of practice for information security
management.
104.http://www.mitre.org/resources/centers,/sepq/Tisk/sys_cng_niitre.html.
105.http://www.iiiitre.oig/iesqurces/centcrs/scpo/risk/risk_matnx.html.
106.http://www.riskwatch.com.
107.http://www.computer-security-policies.com.
108.http://www.citforum.ru/security/articles/risk.
Учебное издание
Пархоменко Андрей Петрович
Мешкова Алла Федоровна
Менжулин Роман Вальерьевич
ОСНОВНЫЕ ПРОБЛЕМЫ И ОСОБЕННОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ: МОДЕЛИ НАРУШИТЕЛЕЙ
В авторской редакции
Подписано к изданию 12.12.2008.
Уч.-изд.л. 10,1.
ГОУВПО «Воронежский государственный технический
университет»