- •Содержание
- •Обозначения и сокращения
- •1 Аналитическая часть
- •1 Технико-экономическая характеристика предприятия
- •1.1 Характеристика подразделений банка и видов их деятельности
- •1.2 Законодательство рф в абс
- •1.3 Концепция построения и типизации Средств Защиты Информации
- •1.3.1 Виды угроз безопасности в телекоммуникационной системе
- •1.3.2 Атаки на уровне субд
- •1.3.3 Атаки на уровне ос
- •1.3.4 Атаки класса “отказ в обслуживании”
- •1.3.5 Возможные атаки на уровне сети
- •1.3.6 Методы защиты от атак
- •1.4 Банк-Клиент
- •1.4.1 Классификация
- •1.4.4 Эцп
- •1.4.5 Usb-Token
- •1.4.6 Кардинг
- •1.4.7 Уязвимости по
- •1.4.8 Дбо Атаки
- •1.6 Инсайдеры
- •1.7 Сетевые угрозы
- •1.7.1 Типы сетевых атак
- •1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- •1.7.3 Системы сетевой безопасности Cisco 2011
- •1.7.4 Средства обеспечения сетевой безопасности
- •1.7.5 Межсетевой экран
- •1.8 Антивирус
- •1.8.1 Технологии обнаружения вирусов
- •1.8.2 Режимы работы антивирусов
- •1.8.3 Антивирусный комплекс
- •1.9 Криптография и скзи
- •1.9.1 Методология с использованием ключа
- •1.9.1.1 Симметричная (секретная) методология
- •1.9.1.2 Асимметричная (открытая) методология
- •1.9.2 Распространение ключей
- •1.9.3 Алгоритмы шифрования
- •1.9.3.2 Асимметричные алгоритмы
- •1.9.4 Хэш-функции
- •1.9.5 Механизмы аутентификации
- •1.9.6 Электронные подписи и временные метки
- •1.9.7 Криптопровайдер
- •1.9.8 Рутокен Pinpad
- •2 Проектная часть
- •2.1 Программно-аппаратное обеспечение
- •2.2 Схема взаимодействия эшелонов защиты
- •2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- •2.1.2 Подробная схема безопасности сети банка.
- •2.2 Bsat – комплекс проверки соответствия сто бр иббс
- •2.3 Характеристика программно-аппаратного комплекса
- •3 Расчет затрат на создание программного продукта
- •1. Расчет на составление синтезированной схемы взаимодействия
- •3.1.1 Расчет длительности этапов проектировки
- •3.1.2 Расчет материальных затрат
- •3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- •3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- •3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- •3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- •3.1.7 Расчет прочих расходов
Содержание
СОДЕРЖАНИЕ 6
8
8
1.4.1 Классификация 45
1.4.2 Типы Банк-Клинтов 45
Толстый Банк-Клиент 45
Прародитель системы – в настоящий момент используется крайне редко. Его особенность в том, что пользователь системы работает с БД локально. Это означает, что копия его счета лежит у него в файле, и он аутентифицируется локально в БД, а там с помощью выданного банком ПО он и работает — создает платежки. Потом он соединяется сервером банка — по модему напрямую или через интернет, базы синхронизируются, подписи проверяются, и клиент может обрывать соединение и смотреть, что и как синхронизировалось, какие платежки ушли, какие нет, и сколько денег у него осталось. 45
Тонкий Банк-Клиент 46
Клиент работает со счетом из браузера. Это означает, что он работает уже через веб-интрефейс (иногда через специальный интерфейс на Java) и локальной базы у него нет, но, тем не менее, ему накатываются плагины к браузеру в виде Java-апплетов или ActiveX, чтобы делать подписи (электронная подпись ставится локально, так как секретный ключ находится у клиента. ActiveX, используется потому- что в Windows по умолчанию нет криптопровайдера для подписи согласно ГОСТ. Поэтому необходимо дополнительное ПО, которое будет ставить подпись по всем законам. 46
Интернет-Клиент 46
То же самое, что и тонкий, только тут я его выделил в отдельную группу, так как ActiveX не ставится, а используются одноразовые пароли, без установки ПО от банка. Такое чаще всего реализовано для физических лиц, которым электронная подпись не нужна. 46
Мобильный 46
То же, что и интернет, только подтверждение платежа происходит с помощью мобильного телефона. Например, с помощью посылки на телефон одноразового пароля. 46
АТМ 46
Работа со счетом осуществляется через банкомат. 46
1.4.3 Атаки на Юридических Лиц 47
1.4.4 ЭЦП 47
1.4.5 USB-Token 48
1.4.6 Кардинг 49
1.4.7 Уязвимости ПО 50
Рисунок -5 108
В качестве системы патч-менеджмента для крупного банка может выступить System Center Configuration Manager. Для филиалов и небольших банков данную задачу может выполнить специалист по информационной безопасности. 112
Обозначения и сокращения
АБС – Автоматизированная Банковская Система
ОС – Операционная Система
СУБД – Система управления базам данных
ЭЦИ – Электронная Цифоровая Подпись
USB-Token – Крипто устройство уникальной идентификации подписчика
ДБО - Дистанционное Банковское Обслуживание
Cisco – мировой лидер, по производству средств защиты информации в локальных сетях.
СКЗИ – Средства Криптозащиты Информации
Рутокен Pinpad – Новый образец токенов, с втроеным дисплеем, предотвращающим возможную подмену подписываемых электронных документов.
BSAT – Программный продукт для проведения аудита, на предмет соответствия номам СТО БР ИББС
СТО БР ИББС - Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации
ВВЕДЕНИЕ
Коммерциализация отечественной банковской системы, обострение конкуренции между финансовыми институтами влекут за собой необходимость применения новых информационных технологий.
В настоящее время банки в основном используют автоматизированные банковские системы (АБС), которые дают возможность своевременного доступа к полной и достоверной информации, представленной в удобном для руководства, работников, клиентов и аналитиков виде.
Автоматизированная Банковская Система – это не просто системные программы или же прикладные программы, а комплекс, включающий в себя компьютеры, коммутационное оборудование, линии связи, технические работы и организационную структура банка.
В следующей главе дипломной работы рассмотрены основные «принципы политики информационной безопасности банка, отраженные в нормативных документах для сотрудников банка. Основная цель документа – борьба с несанкционированным доступом, а так же защитой от инсайдов.
Внедрение первых АБС в России, началось в 1994 году. Многие банки отказались от стандартной для тех дней «проводки» и начали разрабатывать программные комплексы для своих нужд. О надежности и качестве исполнения, можно было только мечтать. Основными особенностями комплексов тех лет, являлось исполнение по технологии «файл-сервер», при помощи таких продуктов как СУБД FOXPRO, dBase, Paradox или Btrieve.
Для подобных систем самые простые способы защиты, будь то парольный доступ, или же физическая защита компьютера, могла обеспечить необходимый уровень безопасности.
Серьезные изменения система претерпела в 1995 году. Когда банки начали активно внедрять АБС, на тот момент в России уже были известны такие фирмы-разработчики программного обеспечения для банков, как "АСОФТ", "ДИАСОФТ", "ПРОГРАМБАНК", "Инверсия", "R-Style" и др., имеющие по несколько десятков, а то и сотен инсталляций своего программного обеспечения в различных банках России. Именно тогда на рынке появились предложения «клиент-сервер». Изменилась концепция обработки информации внутри банков, в разы повысилась и производительность. Сразу стало понятно, что изменится и концепция защиты данных.
Защита АБС - это сложная, многоуровневая задача, включающая в себя следующие системы защиты:
физическую защиту;
регламентирование действий пользователей;
программную защиту.
Пренебречь одной из систем защиты – значит поставить под удар всю информационную структуру банка.
В условиях жесткой конкуренции между банками, каждый банк стремится сохранить свою репутацию не запятнанной, стараясь улучшить уровень информационной безопасности. Так же деятельность банков, в любом государстве контролируется внутренними структурами безопасности, формируются определенные требования к безопасности банковской структуры. В России контроль внутренней безопасности банков осуществляется Федеральной службой по техническому и экспортному контролю, Федеральной Службой Безопасности, так же разработка рекомендуемых стандартов возложена на Банк России СТО БР ИББС.
В следующей главе дипломной работы рассмотрены регламенты СТО БР ИББС и правовые акты, на основании которых осуществляется контроль деятельности со стороны государства, а также перспективы внедрения СТО БР ИББС в банках России в 2012 году, как нового стандарта информационной безопасности (в т.ч. АБС) для банков. Более детально рассмотрена программа , разработанная компанией LeetSoft ,предназначенная для проверки соответствия стандартам СТО БР ИББС системы безопасности АБС .
По утверждению топ-менеджеров и руководителей службы информационной безопасности трех банков ОАО АКБ "Пробизнесбанк", АБ "Газпромбанк" (ЗАО), ОАО КБ "Агроимпульс" * основными проблемами в сфере обеспечения безопасности являются:
сложность разумного сочетания технических и физических средств обеспечения безопасности банка вообще и информационной системы в особенности;
известная самостоятельность и автономность топ-менеджеров филиальной сети и возможность втягивания отдельных руководителей этого звена в несанкционированные и сомнительные операции;
недостаточно новых программных продуктов по защите от возможных мошеннических комбинаций внешних и внутренних коммуникаций, соответствующих все возрастающим требованиям рынка;
VPN с сертифицированными СКЗИ для смартфонов, Pocket PC
средства управления сетью масштаба Enterprise.
Основной причиной утечки информации является так называемый человеческий фактор (человеческая ошибка и человеческая непорядочность).
Потери банков от несанкционированных и сомнительных операций, мошеннических комбинаций внешних и внутренних коммуникаций, связанных с вмешательством в деятельность информационной системы банков, колоссальны. Средняя банковская кража с применением электронных средств составляет около $9.000, а один из самых громких скандалов связан с попыткой украсть $700 млн. (Первый национальный банк, Чикаго)*.
Надо сказать, что банки не охотно публикуют истории, связанные с электронным кражами (вторжениями во внутреннюю систему), так как это сильно бьет по репутации банка, тем не менее привожу топ-5 «электронных» краж в мире за 2009 год:
1.Атака по беспроводному соединению – 1,8 млрд фунтов стерлингов. Эта атака была осуществлена в результате подключения к системе безопасности процессингового центра компании CardSystems Solutions Inc. Внедренный в систему вирус передавал злоумышленникам данные об имени владельца кредитной карты, банке и номере счета. В результате злоумышленники завладели более чем 40 млн номеров кредитных карт. Специалисты назвали это преступление крупнейшим делом о взломе и краже личных данных. Еще одна атака подобного рода была проведена в США, когда 11 злоумышленников по беспроводному соединению внедрились в компьютерные сети крупных магазинов – TJX Companies, Barnes & Noble, Sports Authority. И в первом, и во втором случае похищенные номера кредитных карт продавались на российских и американских сайтах.
2. Банкоматный флешмоб – $9 млн
Получив доступ к номерам более чем 1,5 млн зарплатных банковских карт и 1,1 млн номеров социального страхования, в один и тот же день и час злоумышленники сняли наличность в 49 городах США со 130 банкоматов. Вся операция длилась не более 30 минут. Деньги были переведены на счета в США, России, Эстонии, Украине. Специалисты называют эту атаку одной из самых изощренных в мире.
3. Повторная атака Гонсалеса – 130 млн кредиток, 8 млн фунтов стерлингов
Альберт Гонсалес – это хакер, который принимал участие в беспроводной атаке на компьютерные сети магазинов (см. п. 5). В этом году его обвинили в еще одном преступлении – в результате атаки на систему электронных расчетов Heartland Payment Systems сетей магазинов 7-Eleven и Hannaford Brothers злоумышленник завладел более чем 130 млн номеров кредитных карт и снял с них сумму в 8 млн фунтов стерлингов. Хакер был арестован. Во время ареста у него было изъято $1,65 млн наличными.
4. Гениальное разоблачение – закрытие форума Darkmarket, более $70 млн сохраненных денег
Этот случай – не преступление, а разоблачение. В 2008 году ФБР и полиция Великобритании закрыли сайт DarkMarket – форум, на котором хакеры обменивались краденой финансовой информацией. Одновременно с этим были арестованы 56 киберпреступников в Англии, Германии, США и Турции. В результате закрытия форума удалось предотвратить махинации на сумму порядка $70 млн. Сайт успешно работал около трех лет. Последние два года на сайте под прикрытием общались сотрудники ФБР. Доступ к Darkmarket был возможен только по личному приглашению.
5. Бразильский фишер – более 30 млн фунтов стерлингов
Недавно арестованный бразильский фишер Валдир Пауло де Алмейда (Valdir Paulo de Almeida) был руководителем преступной группировки, подозревавшейся в похищении более $37 млн с банковских счетов. В его команду входило 18 хакеров, которые использовали для кражи денег фишинг-атаки и трояны. Эта преступная группировка ежедневно рассылала пользователям более трех миллионов зараженных электронных писем.
Это огромные суммы, не сравнимые с затратами банков на обеспечение информационной безопасности, не говоря уже об утерянной репутации, в некоторых случаях – раскрытии персональных данных владельцев банковских счетов. Потери банков и на этом не заканчиваются, для исключения возможности повторных атак, необходимо внедрить необходимые средства защиты и даже сложно представить в какую сумму может встать банку замена скомпрометированных данных.
Стоит отметить, что идеальной системы быть не может, и подчас каждый должен выбрать идеальный баланс между ценой, производительностью, удобством, качеством и эффективностью.
По данным последних исследований в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, финансовые потери компаний от большинства угроз год от года снижается. Однако есть несколько рисков, убытки от которых растут. Одно из них — намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей (инсайд).
Так же стоит сказать в главе «такой-то» будет рассказано об основных способах борьбы с инсайдом.
Во второй главе более детально рассмотрены варианты программных продуктов, а так же аппаратные средства защиты АБС, которые в настоящий момент пользуются наибольшей популярностью в банках и кредитных организациях РФ для повышения уровня информационной защищенности предприятий.
Наиболее эффективные аппаратные средства защиты АБС:
1.Идентификация и аутентификация АБС (пользователей процессов и т.д.);
2.Контроль доступа к ресурсам АБС (управление доступом);
3.Регистрация и анализ событий, происходящих в АБС;
4.Контроль целостности объектов АБС;
5.Шифрование данных;
Каждое из представленных средств представлено в виде одного или нескольких программных, или аппаратных средств.