Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ПОСТАНОВКА ЗАДАЧИ

2. АНАЛИТИЧЕСКАЯ ЧАСТЬ

2.1 Концепция безопасности объектов информатизации.

2.1.1 Цели и задачи системы безопасности

2.1.2 Принципы организации и функционирования системы безопасности

2.1.3 Управление системой безопасности объектов информатизации

2.2 Характеристика объектов защиты

2.2.1 Универсальная электронная карта (УЭК)

2.2.2 Банкомат

2.3 Список участников проекта

2.4 Перечень защищаемой информации и прикладного программного обеспечения

2.5 Статистические данные в сфере защиты

2.6 Угрозы информационной безопасности

2.7 Модель нарушителя

2.8 Анализ рисков

2.9 Построение частной модели угроз

2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг

2.10.1 Инфраструктура электронной идентификации и авторизации (eIdentification / eAuthentication)

2.10.2 Электронные паспорта

2.10.3 Карты, используемые для получения медицинских услуг

2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих

2.10.5 Сервисы меток времени

2.11 Неудача западных коллег

2.12 Вывод

3. КОСТРУКТОРСКАЯ ЧАСТЬ

3.1 Универсальная карта и её чипы

3.1.1 Контактный чип EMV

3.1.1.1 Элементы данных и файлы

3.1.1.2 Соображения безопасности

3.1.2 Бесконтактный чип

3.1.3 Со сдвоенным интерфейсом

3.1.4 Электронно-цифровая подпись как средство защиты чипа

3.2 Организационные мероприятия

3.3 Устройства, взаимодействующие с УЭК

3.3.1 Банкомат

3.3.2 POS-терминал

3.3.3 Домашний карт-ридер

3.3.4 RFID-считыватели

3.3.5 Биометрия, как составляющая метод защиты

3.3.5.1 Дактилоскопия

3.3.5.2 Биометрия лица

3.4 Организации, как информационный ресурс.

3.4.1 Межсетевые экраны

3.4.1.1 Check Point Firewall-1.

3.4.1.2 ViPNet Office Firewall.

3.4.1.3 ФПСУ-IP.

3.4.2 Система защиты каналов передачи данных

3.4.3 Антивирусные средства

3.4.3.1 Eset NOD32.

3.4.3.2 Антивирус Касперского.

3.4.4 Системы обнаружения атак

3.4.4.1 RealSecure

3.4.4.2 Форпост 1.3.

ЛИТЕРАТУРА

Приложение 1

Приложение 2

Приложение 3

Приложение 4

Приложение 5

ВВЕДЕНИЕ

На основании Федерального закона от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг» уже с 1 января 2012 года начнется выдача гражданам России универсальных электронных карт для обеспечения им доступа к государственным, муниципальным и иным услугам, а также возможности оплаты указанных услуг.

1. ПОСТАНОВКА ЗАДАЧИ

Разобрать комплексную систему защиты универсальной электронной карты по ее специализированной направленности.

Комплексная система защиты предназначена для обеспечения сохранности персональных данных, обрабатываемых в системе обработки персональных данных, и ограничения доступа к ним и защищаемой информации, для сбора, обработки и передачи. Согласно требованиям Федерального Закона 152-ФЗ РФ «О персональных данных».

2. АНАЛИТИЧЕСКАЯ ЧАСТЬ

С прошедших времен, когда информация была менее доступной и имела характер секретности во всех сферах деятельности, люди меньше были загружены страхом перед потерей своей конфиденциальной, так и корпоративной информации. Теперь, когда цивилизация пришла к эре информационной, дело обстоит довольно серьезно и встает вопрос: «Как защитить те или иные данные от злоумышников?» Взглянем на то, как все началось и развивалось, дабы понять, что делать дальше и как нам действовать уже в той или иной ситуации.

2.1 Концепция безопасности объектов информатизации

Концепция безопасности объекта информатизации (ОИ) представляет собой научно-обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты от противоправных действий.

Под безопасностью ОИ понимается состояние защищенности интересов владельцев, материальных ценностей и информационных ресурсов.

Обеспечение безопасности является неотъемлемой составной частью работоспособности данного проекта. Состояние защищенности представляет собой умение и способность надежно противостоять любым попыткам злоумышников нанести ущерб законным интересам граждан.

2.1.1 Цели и задачи системы безопасности

Главной целью системы безопасности является обеспечение устойчивого функционирования УЭК и предотвращение угроз её безопасности, защита интересов граждан от противоправных посягательств, охрана жизни и здоровья, недопущения хищения финансов, уничтожения данных, разглашения, утраты, утечки, искажения информации, нарушения работы технических средств.

2.1.2 Принципы организации и функционирования системы безопасности

Организация и функционирование системы безопасности должны соответствовать следующим принципам:

1) Комплексность:

- обеспечение безопасности УЭК, финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;

2.1.3 Управление системой безопасности объектов информатизации

Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности УЭК, целесообразно выделить следующие основные направления деятельности по обеспечению ее безопасности:

- информационно-аналитических исследований и прогнозных оценок безопасности, в том числе экономической;

- безопасности персонала, как госучреждений, так и коммерческих организаций, которые имеют доступ к информационным ресурсам;

2.2 Характеристика объектов защиты

В данном проекте имеется множество объектов, подлежащих защите. Стоит рассмотреть только основные из них, но при этом не стоит забывать и про самые простые по технологическим параметрам, такие как: терминалы оплаты, банкоматы и другие средства сбора и приема информации.

К основной категории относится непосредственно сама карта, о которой рассматривается данный материал.

2.2.1 Универсальная электронная карта (УЭК)

На УЭК расположены и средства защиты и индификационные данные личности гражданина:

1) Передняя сторона:

1. Чип;

2. Номер карты;

3. Наименование банка;

4. Логотип УЭК;

2.4 Перечень защищаемой информации и прикладного программного обеспечения

Одним из важных шагов при построении системы защиты информации, является определение информации, подлежащей защите. Определив номенклатуру информатизации, можно определить степень важности её. Итак, к объектам информатизации можно отнести (Приложение 2):

- конфиденциальную информацию держателя данного продукта;

- информацию по банковскому счёту;

2.5 Статистические данные в сфере защиты

С каждым годом нарастает технологический потенциал в сфере защиты информационных ресурсов, увеличивается с ним и количество взломов. Зачастую это происходит из корыстных деяний человека, ну а также ради познавательной программы, как учебный материал для закрепления умственных способностей определенного круга сообществ.

В 2007 году разработчики антивирусов столкнулись с резким увеличением числа вредоносных программ, нацеленных на банки (т.н. financial malware). Несмотря на то, что финансовые организации не предоставляют точной информации, можно сделать вывод, что число атак на банки также возросло.

2.6 Угрозы информационной безопасности

Угрозы информационной безопасности - потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению сведениями.

Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

Источниками внешних угроз являются:

- недобросовестные конкуренты;

2.7 Анализ рисков

При оценке тяжести ущерба необходимо иметь в виду непосредственные расходы на восстановление оборудования, информации, косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации и ослаблением позиции на рынке.

Кроме того, информационные потери связаны с задержками, нарушениями сроков и штрафными санкциями.

Анализ возможных угроз проводится при создании любой системы защиты, как информационной, так и личной, физической. Моделирование угроз предусматривает анализ способов ее хищения, изменения и уничтожения с целью оценки наносимого этими способами ущерба.

2.8 Построение частной модели угроз

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн

2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг

2.10.1 Инфраструктура электронной идентификации и авторизации (eIdentification / eAuthentication)

Большинство стран ЕС реализуют проекты использования различных электронных идентификационных карт, используемых в отдельных областях взаимодействия государства с гражданами, бизнесом и собственно государственными служащими.

При этом ряд стран использует отдельные карты, такие как:

- электронные идентификационные карты;

- карты доступа к услугам здравоохранения.

В ряде стран реализуются проекты, связанные с электронными паспортами.

Электронные карты, идентификационные номера и инфраструктура сервисов электронных карт и ЭЦП

2.10.2 Электронные паспорта

Многие страны реализуют национальные проекты выдачи электронных паспортов.

Германия была одной из первых стран, которая ввела в ноябре 2005 года электронный паспорт (ePass), который использует микрочип. Там хранятся такие данные, как фамилия, имя, отчество, дата рождения, национальность, а также оцифрованное изображение лица владельца.

Электронные паспорта нового поколения хранят также два отпечатка пальцев в цифровой форме. В соответствии с законодательством они хранятся только в паспорте, но не могут храниться в каких-либо базах данных.

Во Франции проект электронных паспортов реализуется с 2006 года. Паспорт использует бесконтактный чип и содержит оцифрованную фотографию владельца. В настоящее время он используется как документ, предъявляемый в поездках, но в будущем предполагается, что им можно будет пользоваться при получении госуслуг. Также планируется, что паспорта нового поколения будут хранить отпечатки пальцев.

2.10.3 Карты, используемые для получения медицинских услуг

Ряд стран реализует проекты использования отдельных карт для получения медицинских услуг.

Во Франции используется карта “Vitale 2” начиная с 2007 года. Она основана на стандарте IAS (Identification, Authentication and Signature). В ней используется крипто-процессор, обеспечивающий шифрование и механизмы электронной авторизации и ЭЦП. В блоке памяти на 32 Кбайта хранится изображение лица (оно также отпечатано на карте).

Карта содержит широкий спектр жизненно важной информации и используется как уникальный инструмент доступа к медицинским услугам.

2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих

В Австрии реализована инфраструктура, которая получила название Portal Group, которая обеспечивает базовую инфраструктуру аутентификации и авторизации для государственных служащих при доступе к соответствующим государственным информационным ресурсам и системам.

Для этого был разработан специальный протокол Portal Group Protocol, основанный на HTTP (стандартный транспортный протокол Интернет) и SOAP (протокол вызова Web-сервисов в децентрализованной, распределенной среде), использование которого радикально упрощает управление доступа государственных служащих к государственным информационным системам. Администраторы государственных порталов федеральных органов власти обязаны следовать соответствующим протоколам при построении доверенной среды. При этом администраторы данного госучреждения могут управлять доступом своих пользователей ко внешним государственным информационным системам без необходимости выполнения процесса администрирования пользователей администраторами этих внешних информационных систем.

2.10.5 Сервисы меток времени

Одним из элементов ИТ-инфраструктуры, которая обеспечивает пространство «цифрового доверия», являются системы, обеспечивающие штампы времени.

В целом ряде случаев при оказании государственных услуг в электронной форме, а также в иных областях коммерческой деятельности требуется, чтобы на электронных документах стояли точные штампы времени, которые фиксируют, например, время создания или доставки документа.

Подобного рода система реализована в Австрии Федеральной службой по метрологии на основе протокола RFC 3161.

2.11 Неудача западных коллег

Сегодня Евросоюз и США предлагают России то, от чего уже отказались страны, преуспевающие в сфере электронных технологий. В других странах нет унифицированной электронной карты, так как подобные комбинированные проекты завершались неудачами. В Евросоюзе УЭК не многофункциональные, а только идентифицирующие.

Рассмотрим более подробно причины отказа мировых держав от подобной системы.

1) Америка отказалась от подобной системы, мотивируя тем, что некоторые аппаратные элементы производятся за границей, и это позволяет иностранным государствам взломать систему.

2.12 Вывод

безопасность информация электронный идентификация

Информация, которая обрабатывается на предприятиях подлежит обязательной защите, в соответствии с 152 ФЗ «О персональных данных» по классам К2 и К3

Участников проекта множество и связь между ними будет происходить по каналам связи, для которых необходимо создать адаптивную защиту, предотвращающая все виды угроз.

Необходима защита компьютерной техники операторов и серверы обеспечивающие работоспособность всей системы проекта.

Так как физическая защита проекта соответствует стандартам и требованиям, необходимо рассмотреть и разработать проект безопасности ПДн по направлениям:

3. КОСТРУКТОРСКАЯ ЧАСТЬ

Защите подлежат персональные данные в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О защите персональных данных»

Состав работ: разработка методов защиты информационных систем персональных данных (ИСПДн).

Рисунок 8. Схема получения госуслуг через УЭК

3.1.1 Контактный чип EMV

Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.

Назначение выводов контактной площадки стандарта ISO 7816
(Рисунок 9):



Рисунок 9. Электронный чип

1. Vcc: Напряжение питания (+5 В);

2. Reset: Сигнал сброса карточки;

3. Clock: Синхронизация;

4. Reserved: Резервный контакт;

5. Gnd: Общий;

6. Reserved: Резервный контакт;

7. I/O: Линия последовательного ввода / вывода данных;

8. Reserved: Резервный контакт.

Схемотехнические положения контактов чипа представлены на рисунке 10.

3.1.1.1 Элементы данных и файлы

Приложение в ICC содержит набор информационных элементов. Терминал может получить доступ к этим элементам после успешного выбора приложения. Информационным элементам присваиваются имена, они имеют определенное описание содержимого, формат и кодирование. Информационный объект состоит из метки (tag), кода длины и значения. Метка однозначно идентифицирует объект в рамках данного приложения. Поле длина определяет число байт в поле значение. Объекты могут объединяться, образуя составные объекты. Определенное число простых или составных объектов могут образовывать записи. Присвоение меток регламентируется документами ISO/IEC 8825 и ISO/IEC 7816. Записи, содержащие информационные объекты, хранятся в файлах ICC. Структура файла и метод доступа зависят от назначения файла. Организация файлов определяется приложениями платежной системы PSA (Payment System Application). Проход к набору PSA в ICC разрешается с помощью выбора среды платежной системы PSE (Payment System Environment). Когда PSE присутствует, файлы, относящиеся к PSA, доступны для терминала через древовидную структуру каталога. Каждая ветвь этого дерева является файлом определения приложения ADF (Application Definition File) или файлом определения каталога DDF (Directory Definition File).

3.1.1.2 Соображения безопасности

1. Статическая аутентификация данных выполняется терминалом, использующим цифровую подпись, которая базируется на методике общедоступных ключей. Эта техника позволяет подтвердить легитимность некоторых важных данных, записанных в ICC и идентифицируемых с помощью AFL (Application File Locator).

Статическая аутентификация требует существования сертификационного сервера (или центра), который имеет надежную защиту и способен подписывать общедоступные ключи эмитента карты. Каждый терминал должен содержать общедоступный ключ центра сертификации для каждого приложения, распознаваемого терминалом. Взаимодействие клиента, центра сертификации и эмитента карты показано на рисунке 10.

3.1.2 Бесконтактный чип

Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и считывателя.

3.1.3 Со сдвоенным интерфейсом

Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.

Механизмы защиты информации:

- Пассивная аутентификация - проверка разрешения на выполнение команды при помощи ввода PIN кода или пароля.

- Активная аутентификация - внутренняя и внешняя аутентификация методом challenge-response.

Аутентификация данных - использование защищенной передачи данных и команд (чтения, записи, обновления) по каналу.

Шифрование данных - использование шифрации данных в командах чтения, записи и обновления.

3.2 Организационные мероприятия

В первую очередь необходима разработка организационных мер защиты информации. При отсутствии надлежащей организации работы, отсутствии системы контроля, все технические средства могут оказаться бессмысленными.

С одной стороны, организационные мероприятия должны быть направлены на обеспечение правильности функционирования механизмов защиты, и выполняться администраторами безопасности системы организаций, вступившие в проект. С другой стороны, руководство организаций проекта, эксплуатирующие средства автоматизации, должны регламентировать единым правилом автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам можно отнести такие, как:

3.3 Устройства, взаимодействующие с УЭК

В настоящем рассматриваемом проекте универсальная электронная карта взаимодействует со множеством новых технологий. Наряду с этим необходимо развивать аппаратно-технические средства, методы биометрического анализа (отпечаток пальца, отпечаток ладони, сканирование сетчатки глаза) для равномерного развития УЭК в сфере защиты.

И к тому же представляю пример, найденный мною, который даст повод еще раз убедиться в правильности выбора средств защиты:

Уязвимость в протоколе EMV (Europay, MasterCard, Visa), позволит злоумышленникам легко обходить авторизацию дебетовых и кредитных пластиковых карт.

3.3.1 Банкомат

За последние 5-7 лет мы настолько привыкли к банкоматам и электронным платежам через терминалы, что теперь трудно вспомнить, а что же было до них. Да и не хочется вспоминать - ведь держать деньги на карте так удобно. Но, с ростом количества банкоматов, растет число тех людей, которые желают с их помощью незаконно обогатиться. И если раньше казалось, что такие махинации бывают только в кино, то на сегодняшний день они стали до боли реальными.

На сегодняшний день имеются конструктивные требования к банкоматам в зависимости от имеющихся опасностей.

3.3.2 POS-терминал

Использование POS-терминалов упрощает сложные банковские процедуры при покупках товаров, оплаты услуг и во многом другом. Но бывают люди с «нечистой душой», которые сотрудничают со злоумышниками, что позволит им распоряжаться денежными средствами безнаказанно.

Предлагаю авторизацию на рабочих местах с устройством POS-терминалом. Данные на авторизацию должны иметь отдельную электронную подпись на работника, который имеет доступ к работе данного оборудования. Причем каждая организация, применяющая в работе данное аппаратно-технические средство, должна регистрировать своих сотрудников на право работы с этим аппаратом. Своевременно, при увольнении работника, снимать их с центра авторизации. Все операции будут фиксироваться по карте в едином операционном центре и отслеживать краденые УЭК. Даже при прошествии определенного времени, факт кражи будет зафиксирован.

3.3.3 Домашний карт-ридер

Домашние карт-ридеры удобны своей доступностью и легкостью управления своими информационными ресурсами в портале управления.

Теперь, когда цифровые технологии будут доступны дома, не нужно будет далеко ходить. Допустим, злоумышленник имеет взломанную УЭК, при этом он имеет домашний карт-ридер. Тем самым он имеет свободу выбора, как распорядится чужими средствами или конфиденциальными данными, а именно: перевести денежные средства через оффшорные счета на свой расчетный счет, купить какие-либо товарные принадлежности или произвести злой умысел с его идентификационными данными.

По-моему мнению, необходима прошивка карт-ридера:

3.3.4 RFID-считыватели

RFID - метка, расположенная в чипе карты, добавляет ряд дополнительных возможностей. Карту можно предъявлять в качестве пропуска в госучреждения, на работу, в клубы, оплачивать билет на автотранспорте и прочее. По функциональности RFID - метка проста: она быстро идентифицирует владельца, не предъявляя УЭК. Но здесь кроется один «подводный камень» - эти метки можно легко считать. Для этого существуют RFID- считыватели, которыми как раз-таки могут воспользоваться злоумышленники.

Как известно, RFID - метки используются в автомобильных сигнализациях. Только лишь на опыте, полученном в этом направлении, можно усомниться в целесообразности подобной технологии в столь масштабном проекте. В средствах массовой информации не раз «проскальзывала» информация о взломах подобной технологии. Суть заключается в следующем, когда владелец автотранспортного средства нажимает кнопку на брелке, чип выдаёт кодированный сигнал. При этом злоумышник, недалеко стоящий, имеющий в арсенале RFID - считыватель может его скопировать

3.3.5 Биометрия, как составляющая метод защиты

3.3.5.1 Дактилоскопия

Выше мною была рассмотрена технологичность аппаратно-технических средств и были выявлены множество недостатков с процедурой идентификации. По-моему мнению, для обеспечения дополнительной защиты необходимо включить систему биометрического анализа в условиях:

- Домашнее пользование;

- В варианте с пропуском;

- Авторизация в банкоматах;

- Оплата в почтовых отделениях;

- Оплата транспортных услуг дальнего следования;

- Оплата в инфоматах, терминалах и в прочих, где это будет необходимо.

3.3.5.2 Биометрия лица

Биометрический анализ в настоящее время все больше находит применение. Это обусловлено тем, что подобная система позволяет контролировать ситуации без участия человека.

По соответствию социально приемлемому фактору на первое место выходят, безусловно, бесконтактные технологии, при которых пользователь имеет минимальное взаимодействие с устройством. Лидирующую позицию здесь занимает цифровое изображение лица - биометрика. Эта технология, в частности, была признана Международной организацией гражданской авиации (ICAO) обязательной для паспортно-визовых документов нового поколения, при этом два других биометрических параметра - отпечатки пальцев и изображение радужной оболочки глаза - являются дополнительными, и каждое государство может включать их в паспортно-визовые документы по своему усмотрению.

3.4 Организации, как информационный ресурс

На сегодняшний день автоматизированные системы являются основой обеспечения практически любых бизнес-процессов, как в коммерческих, так и в государственных организациях. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри АС конфиденциальной информации.

3.4.1 Межсетевые экраны

3.4.1.1 Check Point Firewall-1

Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1, обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших.

3.4.1.2 ViPNet Office Firewall

ViPNet Office Firewall является программным межсетевым экраном, обеспечивающим надежную защиту компьютеров локальной сети от несанкционированного доступа при работе по протоколу IP с другими локальными или глобальными сетями, например Интернет. Программное обеспечение (ПО) ViPNet Office Firewall устанавливается на сервер-шлюз локальной сети и контролирует весь IP-трафик, проходящий через этот шлюз.

Возможности:

- Динамическая и статическая трансляция сетевых адресов (NAT) - позволяет работать множеству внутренних клиентов под одним внешним IP-адресом. Реализована также статическая трансляция сетевых адресов, что позволяет публиковать во внешней сети (Интернете) сервера, находящиеся во внутренней сети, например, почтовый сервер, веб-сервер, FTP-сервер. Трансляция сетевых адресов доступна так же и для протоколов отличных от TCP, UDP, ICMP.

3.4.1.3 ФПСУ-IP

Семейство комплексов «ФПСУ-IP» разработано ООО “АМИКОН” при участии ООО Фирма “ИнфоКрипт”, целиком базируется на отечественных разработках и стандартах. Предназначено для межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях, построения частных сетей на базе общедоступных, оптимизации и повышения пропускной способности каналов связи. Комплекс обладает широким спектром предоставляемых сервисов, в том числе с применением технологии VPN (виртуальные частные сети) на базе построения множественных защищенных туннелей для обмена данными. Качество и надежность комплекса подтверждены сертификатом ФСТЭК (сертификат № 1091 от 31.10.2005г., по 3 классу защищенности в соответствии с РД на межсетевые экраны).

3.4.2 Система защиты каналов передачи данных

Необходимость объединения рабочих мест в распределенные сети для доступа к различным ресурсам и обмена информацией является объективной потребностью любой организации.

В большинстве случаев оптимальным, а часто и единственным доступным решением является использование сети Интернет для связи с удаленными филиалами, мобильными пользователями и другими сетями. Данное решение имеет ряд преимуществ - таких как уменьшение стоимости связи, гибкость структуры корпоративной сети организации.

3.4.3 Антивирусные средства

Поскольку информационная система в организации, согласно ТЗ, имеет 2 класс, то для выбора средства антивирусной защиты будем ограничиваться наличием доверия у органов ФСТЭК и ФСБ России к рассматриваемым средствам. В качестве знака доверия к средствам защиты можно считать наличие сертификата на защиту информации требуемого уровня защиты. Следовательно, для выбора антивирусных программ можно выбрать только те, которые могут использоваться для защиты информации в ИСПДн не ниже 2 класса включительно. Сертификаты на данную деятельность имеют средства антивирусной защиты «NOD32» и «Антивирус Касперского».

3.4.3.1 Eset NOD32

Антивирус ESET NOD32 -- решение для защиты рабочих станций и файловых серверов от вирусов, троянских программ, червей, рекламного ПО, шпионских программ, фишинг-атак, руткитов.

Возможности:

1. Проактивная защита и точное обнаружение угроз. Антивирус ESET NOD32 разработан на основе передовой технологии ThreatSense®. Ядро программы обеспечивает проактивное обнаружение всех типов угроз и лечение зараженных файлов (в том числе, в архивах) благодаря широкому применению

3.4.3.2 Антивирус Касперского

Антивирус Касперского для Windows Workstations -- это решение для комплексной защиты рабочих станций в корпоративной сети и за ее пределами от всех видов вредоносных и потенциально опасных программ, сетевых атак и нежелательных писем.

Преимущества:

1. Целостный подход. Приложение контролирует все входящие и исходящие потоки данных на компьютере -- электронную почту, интернет-трафик и сетевые взаимодействия. Глубокая интеграция всех компонентов программы позволяет избежать системных конфликтов и обеспечивает высокую скорость

3.4.4 Системы обнаружения атак

3.4.4.1 RealSecure

Система обнаружения атак RealSecure™ разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure™ позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure™ 6.0 построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) и технологии анализа журналов регистрации на узле (log monitoring). Данный продукт ориентирован на защиту как целого сегмента сети (network-based), так и на защиту конкретного узла (host-based) корпоративной сети. Система RealSecure одинаково эффективно обнаруживает как внешние атаки, так и внутренние злоупотребления, направленные на сервера приложений,

3.4.4.2 Форпост 1.3

Предназначен для выявления и блокирования сетевых атак в информационных системах (ИС), на основе анализа пакетов данных, циркулирующих в ИС. Система "Форпост" выявляет атаки на рабочие станции пользователей, серверы и коммуникационное оборудование ИС. Позволяет одинаково эффективно выявлять и блокировать атаки, как со стороны внешних, так и внутренних нарушителей.

Система "Форпост" обеспечивает:

- Обнаружение и блокирование сетевых атак, направленных на нарушение информационной безопасности ИС

4. ЭКОНОМИЧЕСКАЯ ЧАСТЬ

В организационно-экономической части дипломного проекта проводится экономическое обоснование внедрения системы безопасности УЭК.

Затраты на внедрение универсальной электронной карты составит 150-170 миллиардов рублей, сообщила министр экономического развития РФ Эльвира Набиуллина. При этом основные затраты будут за счет частных участников проекта.

Затраты на выпуск универсальной электронной карты гражданина РФ и инфраструктуру приема карт (транспорт, здравоохранение, органы социального обеспечения, образование за пять лет) оцениваются в 450 млрд рублей. Об этом говорится в презентации Сбербанка, подготовленной к заседанию президентской комиссии по модернизации и технологическому развитию экономики.

В Сбербанке подсчитали, что все потраченные государством деньги "в будущем - это комиссия за уже предоставление услуги". Это означает, что если услуга не предоставлена посредством карты и инфраструктуры приема карт, то государство не тратит ничего.

4.1 Организация работ

Целью проекта является разработка комплексной системы безопасности персональных данных в системе обработки персональных данных. Рассмотрим основные понятия и области применения.

Информационная безопасность - это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств.

Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики информации.

Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.

4.2 Сфера применения

Представленные средства защиты направлены для организации информационной безопасности информационных ресурсов клиентов и организаций, являющиеся хранителем персональных данных.

Защита направлена на пользование:

- в домашних условиях;

- в почтовых отделениях;

- в торговых центрах;

- в банках, в информатах, в платежных терминалах;

- в медучреждениях;

- в учебных заведениях (школы, вузы, институты, колледжи и пр.);

4.3 Расчет рисков

Оценить с достаточной степенью точности прямой экономический эффект от реализации проекта по обеспечению информационной безопасности сложно, так как его внедрение оказывает косвенное влияние на получение прибыли от инвестиций. Главным образом, рекомендуемая система рассматривалась как средство снижения рисков.

Определение ущерба и вероятности реализации угрозы определяем соответственно по таблице 3, таблице 4.

4.4 Расчёт капитальных затрат на внедрение защитных функций УЭК

Для представления общей суммы затраченных средств, по предложенным мною средств защиты аппаратно-программных устройств и программных обеспечений, привожу таблицу расчетов на единицу программно-технического оборудования и программного обеспечения.

4.4.1 Экономические расчеты по республике Марий Эл

Приступая к расчетам любого объекта необходима информация, которая как либо характеризует её целостность. Обратимся к статистическим данным как Росстата (Федеральная служба государственной статистики Российской Федерации) так и Маристата (Территориальный орган Федеральной службы государственной статистики по Республике Марий Эл).

Согласно статистическим данным Маристата в республике Марий Эл проживают граждане в возрасте от 14 лет 598 732 человека. Сумма, необходимая на выдачу УЭК составит 598 732 х 265 = 158 663 980рублей. В эту сумму входят такие статьи расходов, как:

- выпуск пластиковых карт;

- ЭЦП гражданина;

4.5 Эксплуатационные затраты

Главной особенностью поддержания работоспособности системы данного проекта необходимы дополнительные инвестиции. Сюда относятся заработные платы работников, усовершенствование технологий, ремонт или модернизация, обновление программных продуктов.

При подробном описании эксплуатационных затрат выделяются 3 основных вида затрат: затраты на восстановление, затраты на обслуживание, затраты на обновление.

4.6 Вывод

Для подобного проекта такого масштаба указанные мною затраты - это лишь незначительная часть в общей смете. По этой причине стоит отметить тот факт, что затраты на защиту оправдают те ожидания, на которые изначально ставился упор, в решении усложнить степень защиты в использовании универсальной электронной картой. Случись «брешь» в защите информации, то число противников в использовании данного продукта (УЭК) значительно увеличится, и если время от времени будут случаться неприятные неожиданности, то масса противников будет увеличиваться как «снежный ком» и в последующем может возникнуть вопрос, как задали себе западные коллеги по Гамлету: «Быть или не быть?». Именно поэтому к вопросу защиты нужно отнестись серьезнее. Для этого у нас в стране есть и умы и средства.

5. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ

С развитием научно-технического прогресса немаловажную роль играет возможность безопасного пользования людьми технологиями. В связи с этим была создана и развивается наука о безопасности труда и жизнедеятельности человека. Вопросам безопасности жизнедеятельности с каждым годом уделяется все большее внимание, т.к. забота о здоровье человека стала государственной важности ввиду ввода универсальной электронной карты.

Работа вышеуказанных технологических средств сопровождается активизацией внимания и других психологических функций. Они подвергаются воздействию вредных и опасных факторов технических средств, таких как электромагнитное поле, недостаточное освещение и психоэмоциональное напряжение. Нерациональные конструкция и размещение места технических средств вызывают необходимость обеспечивать конструктивные благоприятные изменения.

5.1 Анализ опасных и вредных факторов на объекте информатизации

Объектами информатизации являются универсальная электронная карта и его компоненты (RFID-метка), банкоматы, инфоматы и платежные терминалы и т.д.

Среди опасных и вредных факторов в этом проекте, которые могут способствовать негативному влиянию на жизнедеятельность, можно выделить:

- электромагнитное излучение RFID технологии;

- освещенность аппаратно-технических средств;

5.2 Электромагнитное излучение RFID технологии

RFID - это беспроводная технология, объединяющая стационарные или мобильные считывающие устройства и метки, передающие информацию при помощи радиочастотных (RF) сигналов. В то время как широкомасштабное развертывание RFID-технологии - относительно новое явление, другие технологии с использованием радиочастот уже широко распространены: телевидение, радио, мобильные телефоны. Поскольку были опасения по поводу их возможного отрицательного влияния на здоровье, в последнее время были проведены многочисленные исследования по воздействию облучения в радиочастотном диапазоне. На сегодня не получено убедительных доказательств связи между радиочастотным облучением (в безопасных пределах) и каким-либо негативным воздействием на здоровье

5.3 Освещенность аппаратно-технических средств

Недостаточное освещение вызывает зрительный дискомфорт, выражающийся в ощущении неудобства или напряжённости. Длительное пребывание в условиях зрительного дискомфорта приводит к отвлечению внимания, уменьшению сосредоточенности, зрительному и общему утомлению. Кроме создания зрительного комфорта свет оказывает на человека психологическое, физиологическое и эстетическое воздействие. Свет - один из важнейших элементов организации пространства и главный посредник человеком и окружающим его пространством.

5.3.1 Характеристики освещения и световой среды

Существуют два источника света - это Солнце (естественное освещение) и искусственные источники, созданные человеком. Основные искусственные источники света, применяемые ныне - электрические источники, прежде всего лампы накаливания и газоразрядные лампы. Источник света излучает энергию в виде электромагнитных волн, имеющих различные длины. Человек воспринимает электромагнитные волны как свет только в диапазоне от 0,38 до 0,76 мкм. Сравнительная оценка ламп дана в табл.1.

5.3.2 Расчет искусственного освещения банкоматов

Цель светотехнического расчета - подбор осветительного оборудования. Расчет освещенности уточняет тип светильника, мощность источников света, расположение. При этом влияние светящихся элементов источников света, их цветопередача и особенности сумеречного зрения не учитываются.

При выборе расположения светильников необходимо руководствоваться двумя критериями:

а) обеспечение высокого качества освещения, ограничение ослепленности и необходимой направленности света на рабочее место;

б) наиболее экономичное создание нормированной освещенности.

5.3.2.1 Методика расчета

Расчет производится по методу коэффициента использования светового потока.

1. Выбирается источник света.

2. Устанавливается система освещения по данным соответствующего варианта или по реальным данным для расчета, выполняемого в дипломном проекте.

3. Определяется тип светильника в соответствии с заданием или по реальным условиям.

5.4 Вывод

В данной части дипломного проекта были рассмотрены вопросы воздействия вредных и опасных факторов на людей, использующие УЭК и аппаратано-технические устройства (банкомат инфоматы, платежные терминалы). Был произведён контрольный технический расчет осветительного прибора банкомата. Данное помещение удовлетворяет всем гигиеническим нормам условий труда.

Список литературы

1. СНиП 23-05-95 "Естественное и искусственное освещение". М.: Минстрой России, 1995

2. СанПиН 2.2.2/2.4.1340-03 "Гигиенические требования к персональным электронно-вычислительным машинам и организации работы".

3. СанПиН 2.2.2/2.4.2198-07. "Изменение № 1 к СанПиН 2.2.2/2.4.1340-03"

4. СанПиН 2.2.2/2.4.2620-10 "Изменение № 2 К СанПиН 2.2.2/2.4.1340-03"

5. СанПиН 2.2.2/2.4.2732-10 "Изменение № 3 К СанПиН 2.2.2/2.4.1340-03"

Приложение 1

Спецификация УЭК и чипа:

ISO/IEC 7810	Стандартизация размера карты ID1 (85,60 Ч 53,98)
ISO 7816-1	Определяет физические характеристики карт
ISO 7816-2	Задает размеры и расположение контактов
ISO 7816-3	Стандартизирует сигналы и протоколы связи
IEC 512-2:1979	Спецификации для электромеханических компонентов оборудования
FIPS Pub 180-1:1995	Стандарт на безопасные хэши. Спецификация терминала платежных систем для карт с интегральными схемами
ISO 639:1988	Коды названий языков
ISO 3166:1997	Коды названий стран
ISO 4217:1995	Коды валют и фондов
ISO/IEC 7811-1:1995	Идентификационные карты - Метод записи
ISO/IEC 7811-3:1995	Идентификационные карты - Метод записи
ISO/IEC 7813:1995	Идентификационные карты - Карты для финансовых операций
ISO/IEC DIS7816-1:1998	Идентификационные карты - Карты с интегральными схемами, имеющими внешние контакты
ISO/IEC 7816-3:1989	Электрические сигналы и протоколы передачи
ISO/IEC 7816-3:1992	Протокол типа T=1, асинхронный полудуплексный протокол блочной передачи
ISO/IEC 7816-3:1994	Выбор типа протокола
ISO/IEC 7816-4:1995	Команды обмена
ISO/IEC 7816-5:1994	Процедура для выработки прикладных идентификаторов
ISO/IEC 7816-6:1996	Информационные элементы
ISO 8731-1:1987	Алгоритмы аутентификации сообщений (DEA)
ISO 8372:1987	Обработка информации. Режимы работы для 64-бито-вых блочных алгоритмов шифрования/дешифрования
ISO/IEC 8825:1990	Информационная технология. Соединение открытых систем.
	Спецификация базовых правил кодирования для синтаксической Аннотации ASN
ISO 8583:1987	Сообщения банковских карт - Спецификации сообщений - Содержимое финансовых транзакций
ISO 8583:1993	Сообщения транзакций банковских карт - Спецификации Сообщений

Приложение 2

Номенклатура информатизации:

- конфиденциальную информацию держателя данного продукта;

- информацию по банковскому счёту;

- информацию по пенсионному страхованию;

- информацию по медицинскому страхованию;

- информацию по здоровью;

- информацию по образованию держателя;

- налоговые отношения держателя;

- водительское удостоверение;

- паспорт технического средства;

- идентификацию в качестве пропуска на рабочие места, в госучреждения и пр.;

Приложение 3

Приложение 4

Памятка «О мерах безопасного использования банковских карт»

Соблюдение рекомендаций, содержащихся в Памятке, позволит обеспечить максимальную сохранность банковской карты, ее реквизитов, ПИН и других данных, а также снизит возможные риски при совершении операций с использованием банковской карты в банкомате, при безналичной оплате товаров и услуг, в том числе через сеть Интернет.

Общие рекомендации:

- Никогда не сообщайте ПИН третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной организации, кассирам и лицам, помогающим Вам в использовании банковской карты.

Приложение 5

Структура автоматизированной информационной системы персональных данных

Размещено на http://www.allbest.ru/

Размещено на Allbest.ru

...