Обеспечение целостности информации

 

6. ОПИСНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ

Политика безопасности определяется на основе изучения анализа рисков. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность.

Во всех отделениях банка должна быть разработана инструкция по обеспечению безопасности информации. В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием имени пользователя и пароля.

Основное внимание должно быть уделено злоумышленным действиям со стороны нарушителей.

1. Защита территории банка

Защита территории должна проводиться отделом охраны. Вся территория и помещения банка находится под видеонаблюдением. Сигналы с камер должны просматриваться в режиме реального времени сотрудниками охраны для быстрого реагирования на какие-либо происшествия.

Записи видеокамер хранятся на жестком диске для обеспечения возможности дальнейшего просмотра событий требуемого времени. По истечению определенного времени более поздние видеозаписи, в которых больше не нуждаются, будут удаляться для очищения памяти

2. Доступ к сети Интернет

Доступ к сети Интернет обеспечивается только в рабочих целях и не может использоваться для какой-либо другой, незаконной деятельности.

Администратор контролирует содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.

3. Защита программно-аппаратных средств

Сотрудники банка должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится вся потоковая информация.

Сотрудникам запрещено самостоятельно изменять конфигурацию программно-аппаратных средств. Все изменения производит непосредственно администратор.

Все компьютеры должны защищаться паролем при загрузке системы. Данные должны быть скопированы в случае халатности или небрежности приведшей к потере оборудования.

Все компьютеры, подключенные к локальной сети, должны быть оснащены средствами антивирусной защиты.

4. Организационно-правовые средства защиты

Регламентируют весь технологический цикл работы банка, от методики подбора кадров до положений о функциональных обязанностях любого банковского сотрудника.

5. Оперативно-технические средства

Предназначены для скрытого, конспиративного контроля за действиями людей и за информацией, оказывающие существенное влияние на безопасность банка.

6. Морально-психологические средства

Включают в себя мероприятия СБ по работе как с персоналом и посетителями банка, так и с категорией лиц вне банка, сведения и действия которых могут оказать существенное влияние на безопасность банка.

7. Специальные средства и методы

Используются для получения, сбора и анализа информации о конкурентах и фирмах, представляющих источник опасности для банка.

 

7. КОНЦЕПЦИЯ СИСТЕМЫ

Система защиты АС должна реализовывать следующие задачи:

1. Идентификацию и аутентификацию пользователей при входе вАС (ввод логина и пароля в регистрационном окне при входе в систему);
2. Предоставления пользователю права доступа к данным АС (в зависимости от регистрации пользователь имеет доступ только к той информации, на которую ему назначены права);
3. Обеспечение целостности данных (проверка таблиц системы на изменение хранимой в них информации, в целях выявления несанкционированного доступа к информации);
4. Разграничение полномочий пользователей (каждый пользователь имеет определенный набор прав доступа к информации, содержащейся в АС).

Эти задачи были реализованы при помощи различных подсистем, каждая из которых реализует свои задачи:

• Подсистема управления доступом предназначена для обеспечения идентификации, проверки подлинности и контроля доступа субъектов при входе в систему;
• Подсистема регистрации и учета предназначена для обеспечения регистрации и учета входа/выхода субъектов доступа в/из систему/ы;
• Подсистема обеспечения целостности предназначена для обеспечения целостности информации при передаче данных.

 

8.РЕАЛИЗАЦИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ

Значительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.

Приведены следующие общие рекомендации:

• в системе должен быть администратор безопасности;
• за каждое устройство должен быть назначен ответственный за его эксплуатацию;
• системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)
• жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
• если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
• установка любого программного обеспечения должна производиться только работником IT-службы;
• для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;
• должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Подключение к Интернету преследует следующие цели:

• получение информации из Интернета;
• размещение в Интернете своей информации о предоставляемых услугах, продаваемых товарах и т.д.
• организация совместной работы удаленных офисов или работников на дому.

На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенныйFirewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки администратора безопасности, который контролирует ее и пересылает дальше.

Политика безопасности предусматривает меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.

Программный комплекс SecretNetобеспечивает такие подсистемы как:

• Подсистема управления доступом
• Подсистема регистрации и учёта
• Подсистема обеспечения целостности

1. Подсистема управления доступом

• Входной информацией в этой подсистеме являются логин и пароль, которые при добавлении нового пользователя хранятся в таблице кодов паролей. При успешной регистрации пользователь может работать с той информацией и теми таблицами, к которым имеет доступ.
• Выходной информацией в этой подсистеме являются главная экранная форма, при вводе определенного логина и пароля переходит на назначенную этому пользователю форму

Управление доступом пользователей

Рисунок 8

После ввода пароля пользователь попадает в свою учетную запись.

2. Подсистема регистрации и учета

Входной информацией в этой подсистеме является логин и пароль, которые при добавлении нового пользователя хранятся в ТКП. При вводе информации (логина и пароля) в экранную форму регистрации, она сравнивается с информацией, хранящейся в таблице (паролей), при совпадении этой информации происходит регистрация пользователя в системе.

Выходной информацией в этой подсистеме является таблица регистрации.

Администратор может просматривать все события, происходящие в системе.

Проверка событий в SecretNet

Рисунок 9

А так же проверять журнал входа\выхода пользователей

Журнал событий в SecretNet

Рисунок 10

• При попытке НСД  в систему, администратору придет сообщение о нарушении целостности на одном из устройств. После 3-х неудачных попыток входа система заблокирует данного пользователя. Сообщение о блокировке сразу же придет администратору.

Блокирование доступа

Рисунок 11

 

 

3. Подсистема обеспечения целостности

Для защиты целостности на логическом уровне в банке установлена система SecretNet, которая обеспечивает разграничение доступа пользователей в зависимости от их допуска к различным видам тайн.

Для сохранности паролей в системе используется шифрование MD5

MD5 – это 128-битная система вычисления контрольной суммы.После того, как пользователь введет свой пароль, от пароля вычисляется хэш-функция MD5. Результат сравнивается со значением, хранящимся в базе. Если значения равны, то пароль верен.

Для обработки MD5 получает некоторую строку. Эта строка преобразуется в последовательность из нулей и единиц. К получившейся последовательности приписывается 1. В результате длина последовательности увеличивается на 1. Затем к последовательности приписываются нули, пока длина не станет по модулю 512 равна 448 (lengthmod 512=448). Далее к последовательности дописываются младшие 32 бита числа равного длине первоначальной последовательности, а затем — старшие. Длина последовательности становится кратной 512. Для подсчета результата используются четыре двойных слова (32 бита). Эти двойные слова инициализируются шестнадцатеричными значениями, где первым следует самый младший байт.

 

Подсчет контрольной суммы в MD5

Рисунок 12

 

 

9.ОРГАНИЗАЦИОННЫЙ КОМПОНЕНТ

Инструкция администратора:

Регистрация. После запуска приложения необходимо безошибочно ввести свои регистрационные данные (имя и пароль)ю При вводе данных необходимо учесть язык ввода и делать различия между прописными и печатными буквами. После ввода данных нажать кнопку ОК. При загрузке формы главного меню появится сообщение о целостности данных. Если целостность данных нарушена, необходимо вызвать администратора системы.

Если пользователь, вошедший в программу, не является администратором, то перед ним появится экранная форма в соответствии с должностными обязанностями.

Если пользователь, зарегистрировавшийся в программе, является администратором, то перед ним появится экранная форма, которая содержит:

Журналы. Просмотр журналов регистрации пользователей и событий с возможностью их очищения. Для удаления записей необходимо пометить записи на удаление и нажать кнопку удалить.

Разграничение доступа. Просмотр и назначение прав пользователям. Для назначения прав необходимо выбрать должность, пометить галочкой права предоставляемые пользователю и нажать кнопку Назначить.

Целостность. Предоставляет возможность считать контрольную сумму таблицы кодов паролей, журнала регистрации и журнала событий, а так же пересчитывать эталонную контрольную сумму.

Добавление пользователей. Предоставляет возможность добавления нового пользователя и генерации пароля для уже существующего пользователя. Для создания нового пользователя необходимо ввести данные (имя, учетный номер, должность, длину пароля) и выбрать один или несколько наборов данных (установить галочки), после чего нажать кнопку Создать.

При возникновении нестандартной ситуации необходимо вызвать администратора системы.

Администратор обязан: