WWW.DISS.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА
(Авторефераты, диссертации, методички, учебные программы, монографии)

 

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Тверской государственный университет»

УТВЕРЖДАЮ

Декан математического факультета

_Цирулёв А.Н.

«_»2011 г.

Учебно-методический комплекс по дисциплине ”Математические методы защиты банковской информации”.

Для студентов 5-го курса.

Специальность 090102.65 ”Компьютерная безопасность”.

Форма обучения очная.

Обсуждено на заседании кафедры Составитель:

«1» сентября 2011 г. доцент кафедры КБ и ММУ _Суворов В.И.

Протокол № 1.

Зав. кафедрой КБ и ММУ _Андреева Е.А.

Тверь

ОГЛАВЛЕНИЕ

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

1.ЦЕЛИ И ЗАДАЧИ ДИСЦИПЛИНЫ

2.МЕСТО ДИСЦИПЛИНЫ В СТРУКТУРЕ ООП

3.ОБЩАЯ ТРУДОЕМКОСТЬ ДИСЦИПЛИНЫ

4. ТРЕБОВАНИЯ К УРОВНЮ ОСВОЕНИЯ ДИСЦИПЛИНЫ

5. ОБРАЗОВАТЕЛЬНЫЕ ТЕХНОЛОГИИ

6. ФОРМЫ КОНТРОЛЯ

УЧЕБНАЯ ПРОГРАММА

РАБОЧАЯ УЧЕБНАЯ ПРОГРАММА

ПЛАНЫ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ

СПИСОК ЛИТЕРАТУРЫ

ОБЯЗАТЕЛЬНАЯ ЛИТЕРАТУРА

ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ

САМОСТОЯТЕЛЬНОЙ РАБОТЫ СТУДЕНТОВ И ВЫПОЛНЕНИЮ

ПРАКТИЧЕСКИХ ЗАДАНИЙ

ТРЕБОВАНИЯ К РЕЙТИНГ-КОНТРОЛЮ.

ВОПРОСЫ ДЛЯ ПОДГОТОВКИ К ЗАЧЕТУ

ПЕРЕЧЕНЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

Учебно-методический комплекс по дисциплине «Математические методы защиты банковской информации» составлен в соответствии с Государственным образовательным стандартом специальности «Компьютерная безопасность».

1.Цели и задачи дисциплины Целями освоения дисциплины «Математические методы защиты банковской информации» является:

- обеспечение приобретений знаний и умений в соответствии с государственным образовательным стандартом, - содействие формированию практических навыков конструирования систем защиты информации, - применение математических методов в информационной безопасности электронного бизнеса.

2.Место дисциплины в структуре ООП Дисциплина « Математические методы защиты банковской информации»

является частью ядра образования в системе обучения методам криптографической информации, состоящего из дисциплин «Криптографические методы защиты информации», «Теоретико-числовые методы в криптографии», « Программно-аппаратные средства обеспечения безопасности», «Криптографические протоколы». Изучение дисциплины базируется также на курсах « Алгебра», « Теория вероятностей », «Теория чисел».

3.Общая трудоемкость дисциплины Общая трудоемкость дисциплины составляет 50 часов.

4. Требования к уровню освоения дисциплины В результате освоения дисциплины обучающийся должен:

Знать:

-характеристику платежной системы России;

-угрозы безопасности информации в платежной системе;

-криптографические средства защиты банковской информации.

Уметь:

-разрабатывать стойкие и эффективные схемы электронной подписи;

-моделировать системы электронных платежей;

-классифицировать задачи электронной коммерции.

Владеть:

-навыками использования основных криптографических протоколов, применяемых в финансовой и коммерческой деятельности;

5. Образовательные технологии В процессе освоения дисциплины используются следующие образовательные технологии, способы и методы: традиционные лекции и лабораторные практикумы, выполнение расчетно-графических работ, упражнения, моделирование, написание рефератов, творческие задания.

6. Формы контроля Занятия проводятся во 2-м семестре 5 курса и заканчиваются зачетом. Период времени, отведенный на обучение по данной дисциплине, планируется разделить на 2 модуля в каждом семестре, каждый из которых заканчивается контрольной точкой. За текущую работу в семестре студент может заработать 100 баллов, включая контрольные точки. Количество баллов за текущую работу выставляется в соответствии со сложностью темы и количеством заданий, выносимых для практических работ в аудитории и самостоятельных занятий.

УЧЕБНАЯ ПРОГРАММА

Содержание дисциплины:

1 Особенности применения криптографии в банковском деле 2 Базовые криптографические протоколы 3 Инфраструктура криптосистем 4 Системы электронных платежей 5 Криптографические протоколы в электронной коммерции и в электронном документообороте 6 Особенности реализации крипто систем.

РАБОЧАЯ УЧЕБНАЯ ПРОГРАММА

тографии в банковском деле протоколы в электронной коммерции и в электронном документообороте то систем

ПЛАНЫ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ

Применение криптографии в банковском деле Проведение расчетов между субъектами банковской системы осуществляется юридическими, организационных, технологических, технических и информационных средствами. Под совокупностью этих средств понимается механизм, называемый платежной системой. Через платежную систему и выполняются обязательства, возникающие в результате экономической деятельности.

Обычно в качестве субъектов платежной системы выделяют государство, коммерческие и общественные организации и предприятия и отдельных граждан.

Между субъектами платежной системы происходят разного рода информационные отношения (получение, хранение, обработка, распространение и использование информации). В информационных процессах основными интересами субъектов информационных отношений (сокр. СИО) являются обеспечение своевременного доступа к необходимой им информации, конфиденциальности информации, достоверности информации, защиты от дезинформации, защиты информации от незаконного ее тиражирования и возможности осуществления контроля и управления процессами обработки и передачи информации. В целом СИО хотят обеспечить свою информационную безопасность, причем не любыми средствами, а в зависимости от величины ущерба, который в принципе им может быть нанесен. Для проведения анализа множество СИО с законными интересами дополняют еще одним субъектом информационных отношений, таким как "злоумышленник". Поэтому теперь остальным СИО необходимо обеспечивать информационную безопасность, поддерживая доступность, целостность и конфиденциальность информации. Заметим, что вред для СИО может быть нанесен через определенную информацию и носители информации, в том числе автоматизированные системы обработки. Для этого требуется также обеспечение безопасности систем обработки и передачи информации, но в конечном счете цель обеспечения информационной безопасности заключена в обеспечении законных прав СИО.

Мировая статистика случаев компьютерных преступлений в банковской сфере показывает, что около 70% - это воровство денеги услуг и около 20% это воровство и подделка данных. Задача криптографии и применение криптографии в банковском деле устранение тех угроз, которые характерны для платежной системы. А это:

• несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

• ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

• несанкционированное копирование программ и данных;

• перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

• кража магнитных носителей, содержащих конфиденциальную информацию;

• кража распечатанных банковских документов;

• случайное или умышленное уничтожение информации;

• несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных;

• фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

• отказ от авторства сообщения, переданного по каналам связи;

• отказ от факта получения информации;

• ошибки в работе обслуживающего персонала;

• разрушение файловой структуры из-за некорректной работы программ или аппаратных средств;

• разрушение информации, вызванное вирусными воздействиями;

• разрушение архивной банковской информации, хранящейся на магнитных носителях;

• кража оборудования;

• ошибки в программном обеспечении;

• сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.

У данных угроз могут быть разные вероятности появления, которые зависят от конкретных факторов в банке.

На сегодняшний день мы можем наблюдать некую скрытую борьбу между банками за сохранение ведущих позиций и привлечение новых клиентов, а это осуществимо только при условии предоставления большего количества услуг и сокращения времени обслуживания. А это в свою очередь достигается лишь при обеспечении необходимого уровня автоматизации всех банковских операций.

Но выше были назван список угроз, характерных для платежной системы, из которого напрашивается вывод, что применение вычислительной техники наряду с разрешением возникающих проблем приводит к появлению нетрадиционных для банка угроз. Эти новые угрозы связаны с подверженностью информации физическому искажению или уничтожению, возможностью случайной или умышленной модификации, а также опасностью несанкционированного получения информации лицами, для которых она не предназначена. Тем не менее, главная задача - задача защиты банковской информации и в том числе внедрение криптографических средств в банковском деле. И естественно, что уровень мероприятий по защите информации с помощью криптографических методов, как правило, немного отстает от темпов автоматизации и, в принципе, такое отставание может может повлечь к серьезным последствиям. И неразвитость рынка криптографической продукции - одна из основных причин этого отставания. Например, в России раньше нормативная база по этим вопросам закрепляла большие полномочия за ФАПСИ (Федеральное агентство правительственной связи и информации при Президенте РФ, занимавшейся лицензированием, сертификацией и т. д.), которая, как сообщается, прекратила свое существование после административной реформы. Необходимо также отличать банковскую информацию от военных и государственных секретов - традиционных объектов криптографической защиты. Поэтому требования к средствам криптографической защиты банковской информации должны быть «мягче».

В условиях уязвимости информации в автоматизированных комплексах необходимо принятие мер защиты. Однако имеются некоторые трудности. Вопервых, производителями средств защиты в основном предлагаются отдельные компоненты для решения частных задач, и потребителям приходится решать вопросы совместимости этих средств системы защиты. Во-вторых, для обеспечения надежной защиты требуется решение целого комплекса технических и организационных проблем и разработка соответствующей документации. Втретьих, видимо, квалифицированный злоумышленник в реальной сложной системе всегда может «обмануть» производителя средств защиты. Поэтому совершенствование защиты должно происходить постоянно в процессе накопления новых знаний.

Система защиты работает в три этапа: анализ риска, реализация политики безопасности и поддержка политики безопасности. Политика безопасности направлена на достижение конфиденциальности, целостности и готовности. В платежной системе высший приоритет следует отдать обеспечению готовности системы к обслуживанию, так как перерывы в ее функционировании приводят к значительным убыткам для всех ее участников. Следующее по значимости свойство платежной системы - обеспечение целостности информации. И третья по значимости цель защиты информации в платежной системе - обеспечение конфиденциальности, так как ее нарушение не ведет к прямым убыткам участников расчетов и, как правило, не носит катастрофических последствий, хотя и является необходимой для защиты участников платежной системы от промышленного шпионажа и криминальных структур.

Очень важный элемент для платежной системы - защита юридической значимости платежных документов для справедливого разрешения споров и определения виновных в нанесенном ущербе, т.к. имея юридическую защищенность, участники доверяют системе платежей. Это является аргументом в пользу того, что для платежной системы более приоритетными являются криптографические методы обеспечения подлинности и целостности платежных документов, а не методы обеспечения конфиденциальности.

Защита банковской информации при ее передаче по телеграфным и почтовым каналам связи осуществляется в основном организационными мерами с использованием криптографических средств. Этими средствами являются системы кодов подтверждения. В России в некоторых регионах, используется модемная связь для передачи информации, а в качестве средств защиты применяются средства шифрования и электронной цифровой подписи (ЭЦП) различных фирм-производителей криптопродуктов. Криптографические методы для защиты от несанкционированного доступа почти не применяются при обработке и хранении банковской информации, а также не реализована комплексная защита информации на всех этапах ее обработки, хранения и передачи.

Криптографическая защита платежной системы как информационнотелекоммуникационной системы должна удовлетворять некоторым стандартным требованиям: стойкие криптоалгоритмы, имитозащищенность, устойчивые к компрометациям ключевые системы и др. Также платежная система имеет ряд специфических особенностей, накладывающие дополнительные требования на средства криптографической защиты. Например, платежная система должна требовать надежность и оперативность перевода платежей между участниками расчетов. Например, в некоторых странах с развитой платежной системой требуется проводить платежи в течение суток. Еще один фактор, влияющий на криптографическую защиту платежной системы – то, что Центральный банк перед коммерческими банками и коммерческие банки перед своими клиентами несут ответственность за нарушение сроков и корректность проводки платежей.

Необходимо также учесть то, что платежная система подвергается нападениям злоумышленников. В роли этих злоумышленников могут выступать как посторонние лица, так и сами пользователи платежной системы. Число участников платежной системы очень велико. Так, например, на сегодняшний момент участники платежной системы – это около 1400 расчетно-кассовых центров и более 3.5 тысяч коммерческих банков и их филиалов. Имеются и ряд других немало важных особенностей.

Считается, что для практических нужд платежной системы использование алгоритмов электронной цифровой подписи (ЭЦП) и шифрования достаточно.

Эти алгоритмы обеспечивают стойкость в течение трех лет. Российские ГОСТы выполняют это требование со значительным запасом. Однако есть определенные трудности в обеспечении требуемой скорости реализации системы ЭЦП на гостированном алгоритме. Поэтому требуется разработка новых алгоритмов ЭЦП и шифрования, лучше учитывающих требования по сохранности банковской информации (3 года) и являющихся за счет этого значительно более скоростными при реализации.

Очень важная роль отдается организации ключевой системы при использовании криптосистем в банковских платежных системах. Высокие требования по надежности, оперативности и безотказности платежной системы в целом, ее подверженность постоянным нападениям со стороны злоумышленников (включая легальных пользователей), придание юридической значимости электронным платежным документам и другие особенности платежной системы существенно влияют на выбор ключевых систем. С учетом этого можно сформулировать следующие требования для ключевых систем. Какой должна быть ключевая система? Во-первых, компрометации не должны влиять на безопасную работу участников платежной системы с нескомпрометированными ключами, т.е. необходима устойчивость к компрометации ключей у любого числа корреспондентов сети. Во-вторых, в ключевой системе должна быть возможность быстрого восстановления при любом числе компрометаций, и она должна предусматривать как можно меньшее число ключей, подлежащих сохранности организационными мерами пользователей. И третье требование к ключевой системе – обеспечение носителями ключевой информации высокой степени защиты их от копирования.

Владельцы подписи должны производить генерацию ключей ЭЦП, а регистрация, учет и рассылка открытых компонент ключей ЭЦП производятся централизованно администраторами безопасности на региональном и межрегиональном уровнях с обеспечением невозможности их фальсификации и подмены. Разработчики системы управления ключами (поддержание баз открытых ключей, замена ключей при нештатных ситуациях и т.п.) должны в максимальной степени автоматизировать ее и минимизировать число конечных пользователей в процессах управления ключами.

Выбор и построение системы криптозащиты должен также учитывать, до какой степени снижается производительность платежной системы и каковы дополнительные ограничения накладываются на технические средства и программное обеспечение. Поэтому эффективной системой защиты называют такую систему, которая не приводит к ощутимым трудностям в работе банка. В случае возникновения конфликтов необходимо иметь механизмы их справедливого разрешения, а, значит, криптографические системы должны иметь проработанные технологии разрешения конфликтных ситуаций, включая процедуры создания третейских судов, описание порядка разрешения споров с их помощью, требования к предоставляемой архивной информации для разрешения споров и требования к техническим средствам, используемым при разрешении споров.

Многие аспекты криптографической защиты банковской информации на сегодняшний день регламентированы международными стандартами. Это осуществляется Техническим комитетом ТК68 Международной организации стандартов (МОС/ТК68) "Банковское дело и соответствующие финансовые операции". Здесь непосредственная разработка стандартов по защите банковской информации осуществляется двумя подкомитетами: МОС/ТК68/ПК2 - "Операции, процедуры и безопасность" и МОС/ТК68/ПК6- "Карточки для финансовых операций, операции и соответствующие носители информации". МОС/ТК68/ПК занимается безналичными электронными расчетами при так называемых оптовых финансовых операциях, т.е. операциях по расчетам между финансовыми учреждениями и организациями и обслуживаемыми ими субъектами экономической деятельности. А МОС/ТК68/ПК6 занимается безналичными электронными расчетами в розничной торговле (а это использование наличных денег на потребительском рынке товаров и услуг населению. Собственно ТК68, так же, как и другие подкомитеты, занятые стандартизацией конкретных приложений, не занимается разработкой методов и средств криптографической защиты, а занимается разработкой стандартов по "встраиванию" стандартных механизмов защиты в банковские процедуры и технологии электронного обмена.

Стандартизация общих методов и средств защиты информации в информационных технологиях в рамках МОС возложена на специализированный подкомитет ПК27, который был создан в 1989 г. в рамках Объединенного технического комитета Международной организации по стандартизации и Международной электротехнической комиссии МОС/МЭКОТК1 "Информационные технологии". Международные стандарты, разработанные в рамках ПК27, определяют общие универсальные механизмы обеспечения безопасности в открытых системах. Здесь рассмотрены вопросы организации и управления, но без их привязки к конкретным приложениям.

Выше было сказано о криптографических схемах (таких как криптосистемы, схемы электронной подписи и т. п.) универсального назначения. По отношению к ним защита банковской информации - всего лишь одна из возможных областей применения. Но в в теории по криптографии есть два направления исследований, разрабатываемых специально и исключительно для банковских приложений. Это криптографическое обеспечение банковских карточек и банковские криптографические протоколы.

Банковские карточки называют также интеллектуальными карточками.

Пластиковая банковская карточка - это пластина размеров 85.6 мм на 53. мм. Она изготовлена из пластмассы, устойчивой к механическим и термическим воздействиям. Одна из основных функций пластиковой карточки - обеспечение идентификации использующего ее лица как субъекта платежной системы. Ввиду этого на нее наносятся логотипы банка-эмитента и платежной системы, обслуживающей карточку, имя держателя карточки, номер его счета, срок действия карточки и т.п. Еще на карточке может быть фотография держателя и его подпись. Алфавитно-цифровые данные - имя, номер счета и др. - могут быть нанесены рельефным шрифтом. Поэтому при ручной обработке принимаемых к оплате карточек быстро перенести данные на чек с помощью специального устройства, импринтера, осуществляющего "прокатывание" карточки (в точности так же, как получается второй экземпляр при использовании копировальной бумаги).

Криптографическая часть банковской карточки может включать в себя наряду с специфическими для банков компонентами криптоалгоритмы, реализующие схемы аутентификации, электронной подписи и т.п. Новое поколение пластиковых карточек отличается от всех предшествующих тем, что появились развитые возможности для реализации средств защиты информации. Сейчас интеллектуальные карточки становятся основным платежным средством. Имеющиеся в интеллектуальных карточках вычислительные возможности становятся все более эффективными в реализации сложных криптографических схем.

Хотя проблема компромисса между эффективностью реализации и стойкостью криптографических схем остается достаточно острой для банковских систем, использующих интеллектуальные карточки.

Еще одно направление, разработанное для банковских приложений - это банковские криптографические протоколы. Их задача - обеспечить безопасность систем электронных платежей. Цифровая подпись является одним из элементов криптографического протокола - способа обмена информацией, при котором стороны своих целей достигают, а противник не достигает. Цели сторон - целостность, конфиденциальность. Именно надежность криптографических алгоритмов обеспечивает достижение упомянутых целей. Понятно, что если взломать шифр или подделать ЭЦП можно при небольших затратах за небольшое время, то говорить о достижении целей не приходится. Параметры стандартов криптографических преобразований, длины ключей выбираются таким образом, что их взлом (помимо похищения ключа) невозможен в течение десятков лет. Что касается злоумышленников, то их успехи возможны только при использовании "слабых" или нестандартных криптопротоколов. Надежные криптопротоколы (и соответствующие шифрсредства) известны и используются многими странами более 50 лет для защиты дипломатической, военной и др.

переписки. Вопреки распространенным заблуждениям криптографическая стойкость таких систем может сохраняться еще в течение десятков лет. Для взлома такой системы потенциальный злоумышленник должен будет решить классические задачи из некоторых разделов математики, что маловероятно.

Автоматизированные системы банковских расчетов также называют системами электронных платежей, хотя представляют собой системы безналичного расчета с использованием современных средств связи. Сейчас в системах электронных платежей бумажные деньги полностью заменяются электронными деньгами, используемые клиентами для платежей при расчетах с банком или между собой. Еще одна особенность систем электронных платежей является обеспечение неотслеживаемости действий клиентов. Зарубежные специалисты объяснили необходимость обеспечения неотслеживаемости на примерах подобных следующему: кредитные карточки полностью идентифицируют их владельцев при каждом платеже. И если владелец кредитной карточки использует ее для покупки билетов на автобусы, то транспортная компания «знает» обо всех его поездках. Конечно же, это не серьезная угроза, но если рассматривать переводов крупных сумм и участие организованной преступности очевидно.

Поэтому разработчики осознают необходимость обезопасить автоматизированные банковские системы от действий злоумышленников. Некоторые противники неотслеживаемости говорят, что неотслеживаемость не нужна, т.к. если клиент не доверяет банку, то он никогда не положит в этот банк свои деньги. Но дело в том, что клиент не доверяет персоналу, работающему в банке и третьим лицам, которые могут перехватывать информацию в каналах связи. С другой стороны, всякий банк, который заботится о неотслеживаемости платежей, повышает доверие клиентов к себе.

Индивидуальным платежным средством в системах электронных платежей является электронный бумажник клиента. Электронный бумажник - это карманный вычислитель со встроенным в него защищенным модулем. Бумажник выдается клиенту и используется в системах электронных платежей как. Электронные бумажники, с одной стороны, обеспечивают неотслеживаемость действий клиента, а с другой - безопасность банка и высокую эффективность системы электронных платежей. Привычный кошелек превращается в портативное электронное устройство для оплаты покупок как в традиционных магазинах, так и в онлайне. Многие компании преследуют именно такую цель. С помощью электронного бумажника покупатели могут выбирать необходимую им кредитную карту и передавать информацию о карточке на терминал, который заносит информацию о покупке в электронный бумажник. Внешне бумажник напоминает обычное кожаное портмоне с карманами, но со встроенным экраном и клавиатурой.

СПИСОК ЛИТЕРАТУРЫ

Обязательная литература 1. Пярин В. А., Кузьмин А. С, Смирнов С. Н. Безопасность электронного бизнеса. — М.: Гелиос АРВ, 2002. 429 с.

2. Бабенко Л. К., Ищуков С. С., Макаревич О. Б. Защита информации с использованием смарт-карт и электронных брелоков. – М.: Гелиос, 2003. 352c Дополнительная литература 1. Запечников С. В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности. – Москва: Горячая линия – Телеком, 2007. 320 с.

2. Мельников В.В. Безопасность информации в автоматизированных системах. Финансы и статистика, 2003.

3. Максим М., Поллино Д. Безопасность беспроводных сетей. ДМК Пресс, Компания АйТи, 2004.

4. Левин М. Безопасность в сетях Internet и Intranet. Руководство пользователя. Познавательная книга Плюс, 2001.

5. Щербаков А. Ю. Компьютерная безопасность. Теория и практика.

Нолидж, 2001.

6. Ховард М., Леблан Д.. Защищенный код, Русская Редакция, 2003.

7. Норткат С., Купер М., Фирноу М., Фредерик К. Анализ типовых нарушений безопасности в сетях. Вильямс, 2001.

8. Гарфинкель С.. Все под контролем. Кто и как следит за тобой, УФактория, 2004.

9. Саломаа А. Криптография с открытым ключом.- М.: Мир, 1996.

10. Алферов А.П., Зубов А.Ю. и др. Основы криптографии. – Москва:

Гелиос АРВ,2001.

11. Анохин М.И., Варновский Н.П., Сидельников В.М., Ященко В.В.

Криптография в банковском деле. – М.: МИФИ, 1997.

(http://www.cryptography.ru/db/msg.html?mid=1169307&uri=node189.ht 12. Лубенская Т.В., Мартынова В.В., Скородумов Б.И. Безопасность информации в системе электронных платежей с пластиковыми карточками: Учебное пособие. – М.: МИФИ, 1997.

13. Скородумов Б.И. Информационная безопасность. Обеспечение безопасности информации электронных банков. Учебное пособие. – М.:

МИФИ, 1995. Гайкович В., Першин А. – Безопасность электронных банковских систем. – М.: Единая Европа, 1994.

14. Варфоломеев А. А., Домнина О. С., Пеленицин М. Б. – Управление ключами в системах криптографической защиты банковской информации. – М.: Издательство МИФИ, 1996.

15. Гайкович В., Першин А. – Безопасность электронных банковских систем. – М.: Единая Европа, 1994.

16. Ярочкин В. И. Безопасность банковских систем. Ось-89, 2004.

17. Электронные бумажники на подходе (http://www.revkom.ru/info/?id=1919) 18. Криптографический протокол (www.enigma.by/crypt4.html) 19. http://www.ibusiness.ru/offline/2003/238/25105/ 20. Пластиковая карточка как платежный инструмент (основные понятия) (www.citforum.ru/marketing/articles/art_8.shtml)

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ САМОСТОЯТЕЛЬНОЙ РАБОТЫ СТУДЕНТОВ И ВЫПОЛНЕНИЮ ПРАКТИЧЕСКИХ ЗАДАНИЙ

Характеристика платежной системы России Под платежной системой понимается совокупность юридических, организационных, технологических, технических и информационных средств, обеспечивающих проведение расчетов между субъектами банковской системы в стране.

Платежная система представляет собой механизм, через который обязательства, возникающие в результате экономической деятельности, выполняются посредством перевода денежных средств. Систему платежей можно представить в виде структуры, включающей различных участников, предоставляющих и использующих платежные средства:

в основе этой структуры находятся конечные пользователи (предприятия и частные лица), обменивающиеся безналичными деньгами и имеющие счета в банках;

посредником в этой системе являются коммерческие банки (КБ), предоставляющие в распоряжение участников средства платежа и осуществляющие перевод финансовых средств;

в вершине этой структуры находится Центральный банк. Только Центральный банк, не будучи подвержен опасности банкротства, способен придать расчетам окончательный и необратимый характер.

Межбанковские расчеты в России обусловлены структурой системы Центрального банка России и базируются на осуществлении платежей через корреспондентские счета коммерческих банков, открытые главным образом в расчетнокассовых центрах ЦБ РФ (РКЦ). Основная функция РКЦ -- проведение расчетов между учреждениями банков с необходимым ведением коррсчетов.

Банком России создана широкая сеть РКЦ, которая строится по иерархическому принципу и включает более 1400 РКЦ. В каждом регионе существует головной расчетно-кассовый центр (ГРКЦ) и ряд районных РКЦ, являющихся самостоятельными расчетными единицами. Каждый РКЦ ведет корреспондентские счета коммерческих банков и счета своих клиентов, организует расчеты между ними и с другими участниками расчетов. Система расчетов через РКЦ пока является преобладающей в нашей стране, однако в последнее время получили распространение расчеты коммерческих банков между собой через прямые корреспондентские отношения, то есть в этом случае банки открывают коррсчета непосредственно друг у друга.

С точки зрения информационного взаимодействия расчетная система ЦБ РФ любого региона представляется иерархической схемой, в которой можно выделить следующие уровни и объекты:

на верхнем уровне системы находятся ГРКЦ;

на среднем уровне расположены районные РКЦ;

нижний уровень системы образуют комбанки и клиенты РКЦ.

Центральный банк Российской Федерации проводит работы по внедрению электронных межбанковских расчетов. Указанные работы ведутся на двух уровнях: внутрирегиональные межбанковские электронные расчеты и межрегиональные электронные расчеты. Электронные расчеты проводятся в соответствии с временной нормативной базой, разработанной в ЦБ РФ для проведения эксперимента по электронным платежам. В этих документах представлены основные положения совершения межрегиональных электронных платежей, определено понятие электронного платежного документа, описаны технология совершения электронных расчетов, порядок контроля и квитовки межбанковских электронных платежей, форматы интерфейса данных, протокол обмена, структуры файлов и сообщений.

Коммерческие банки могут осуществлять расчеты между собой напрямую, минуя систему расчетов ЦБ РФ. Такие расчеты осуществляются через систему прямых корреспондентских отношений между отдельными банками, учет проводимых расчетных операций осуществляется на специальном балансовом счете. Такие расчеты производятся, как правило, электронным способом и используются коммерческими банками для ускорения расчетов между собой. Сфера применения таких расчетов пока ограничена из-за отсутствия надежных и оперативных систем связи, а также из-за необходимости резервировать значительные ресурсы для поддержания стабильного уровня ликвидности.

Коммерческие банки осуществляют также и расчеты внутри своей структуры по схеме "головной банк -- филиалы" (минуя систему РКЦ). Особенно такая схема характерна для крупных коммерческих банков со множеством филиалов в разных регионах России.

Коммерческие банки могут осуществлять также на основе прямых корреспондентских отношений и межгосударственные расчеты через счета, открытые в коммерческих банках соответствующих государств. Такое право предоставляется банкам, получившим генеральную или расширенную лицензию.

Угрозы безопасности информации в платежной системе Можно выделить следующие субъекты платежной системы:

государство (в лице его органов и организаций);

коммерческие и общественные организации и предприятия (юридических лиц);

отдельных граждан (физических лиц).

В процессе своей деятельности субъекты вступают друг с другом в отношения, связанные с получением, хранением, обработкой,распространением и использованием информации, т. е. информационные отношения.

Субъекты по отношению к информации могут выступать в качестве (возможно одновременно):

- источников (поставщиков) информации;

- пользователей (потребителей) информации;

- собственников информации;

- владельцев систем передачи, сбора и обработки информации.

Субъекты информационных отношений (СИО) являются участниками информационных процессов при соблюдении их интересов, которые могут заключаться в:

- обеспечении своевременного доступа к необходимой им информации;

- обеспечении конфиденциальности всей информации или ее части;

- обеспечении достоверности (полноты, точности, адекватности, целостности) информации;

- обеспечении защиты от дезинформации;

- обеспечении защиты информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т. п.);

- разграничении ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

- обеспечении возможности осуществления контроля и управления процессами обработки и передачи информации.

Таким образом, в целом субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности причем не любыми средствами, а в зависимости от величины ущерба, в общем случае потенциального, который им может быть нанесен.

Для целей анализа необходимо множество СИО с законными интересами дополнить таким субъектом информационных отношений, как "злоумышленник".

Для обеспечения информационной безопасности субъектов необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

- доступность информации, то есть свойство средств и технологии обработки информации, заключающееся в их способности обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов;

- целостность информации, то есть свойство информации, заключающееся в ее неизменности по отношению к некоторому фиксированному ее состоянию (полнота, точность).

- конфиденциальность -- свойство информации, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью средств и технологий обработки сохранять указанную информацию в тайне от субъектов, не обладающих полномочиями на доступ к ней.

Необходимо при этом иметь в виду, что ущерб субъектам информационных отношений может быть нанесен опосредованно, через определенную информацию и ее носители, в том числе автоматизированные системы обработки. Это требует также обеспечения безопасности систем обработки и передачи информации, хотя в конечном счете цель обеспечения информационной безопасности заключается в обеспечении законных интересов субъектов информационных отношений.

Рассмотрим более детально суть интересов СИО, которые в общем случае не всегда являются непротиворечивыми, что собственно и приводит к конфликтам в платежной системе и правонарушениям.

Плательщик заинтересован в:

корректном изменении его расчетного счета в обслуживающем банке;

- своевременном осуществлении платежа;

- неразглашении информации о факте проведения и сумме платежа, о получателе средств, остатке средств на счете.

Банк плательщика заинтересован в:

- корректном изменении его корреспондентского счета в РКЦ;

- своевременном осуществлении платежей своих клиентов;

- неразглашении информации об объемах и участниках (клиентах) операций;

- разграничении ответственности за возможные нарушения с другими участниками процесса расчетов.

РКЦ плательщика, РКЦ получателя платежа и ГРКЦ заинтересованы в:

- корректном изменении корреспондентских счетов рассчитываемых банков;

- своевременном обслуживании банков;

- разграничении ответственности за возможные нарушения с другими участниками процесса расчетов;

- неразглашении информации об объемах и адресатах операций (рассчитываемых банках и их клиентах).

Государство заинтересовано в:

корректном проведении расчетов между банками (в пределах остатков на коррсчетах);

- достоверности проводимых расчетов (на предмет неконтролируемой незаконной эмиссии безналичных денег);

- своевременном осуществлении расчетов между плательщиком и получателем.

Банк получателя платежа заинтересован в:

корректном изменении его корреспондентского счета в РКЦ;

- своевременном осуществлении платежа;

- неразглашении информации об объемах и адресатах операций клиентов банка;

- разграничении ответственности за возможные нарушения с другими участниками процесса расчетов.

Получатель платежа заинтересован в:

- корректном изменении его расчетного счета в обслуживающем его банке;

- своевременном осуществлении платежа;

- неразглашении информации о объемах операций и корреспондентах.

Таким образом, основные интересы СИО заключаются в:

- корректном изменении расчетного счета;

- своевременном осуществлении платежа;

- неразглашении информации о объемах операций и корреспондентах.

Действия злоумышленника направлены на достижение собственных целей, что приводит к нанесению ущерба СИО.

Мировой опыт и анализ случаев компьютерных преступлений в банковской сфере показывает, что они составляют: 1) воровство денег -- 36%; 2) воровство услуг -- 34%; 3) воровство информации -- 12%; 4) подделка данных -- 8%; 5) вымогательство -- 4%; 6) нанесение ущерба программам -нанесение ущерба оборудованию -- 2%; 8) помехи нормальной работе -- 2%.

Перечислим наиболее характерные угрозы информации в платежной системе:

несанкционированный доступ посторонних лиц, не принадлежащих к числу банковских служащих, и ознакомление с хранимой конфиденциальной информацией;

- ознакомление банковских служащих с информацией, к которой они не должны иметь доступа;

- несанкционированное копирование программ и данных;

- перехват и последующее раскрытие конфиденциальной информации, передаваемой по каналам связи;

- кража магнитных носителей, содержащих конфиденциальную информацию;

- кража распечатанных банковских документов;

- случайное или умышленное уничтожение информации;

- несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных;

- фальсификация сообщений, передаваемых по каналам связи, в том числе и навязывание ранее переданного сообщения;

- отказ от авторства сообщения, переданного по каналам связи;

- отказ от факта получения информации;

- ошибки в работе обслуживающего персонала;

- разрушение файловой структуры из-за некорректной работы программ или аппаратных средств;

- разрушение информации, вызванное вирусными воздействиями;

- разрушение архивной банковской информации, хранящейся на магнитных носителях;

- кража оборудования;

- ошибки в программном обеспечении;

- сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.

- Оценка вероятности появления данных угроз и ожидаемых размеров потерь зависит от многих конкретных факторов в конкретном банке и является трудной задачей.

- сбои оборудования, в том числе и за счет отключения электропитания и других факторов, препятствующих работе оборудования.

Оценка вероятности появления данных угроз и ожидаемых размеров потерь зависит от многих конкретных факторов в конкретном банке и является трудной задачей.

Проблемы криптографической защиты платежной системы В условиях конкурентной борьбы сохранение ведущих позиций и привлечение новых клиентов возможно только при условии предоставления большего количества услуг и сокращения времени обслуживания. Это достижимо лишь при обеспечении необходимого уровня автоматизации всех банковских операций. В то же время, как уже отмечалось в разделе 2.2, применение вычислительной техники не только разрешает возникающие проблемы, но и приводит к появлению новых, нетрадиционных для банка угроз, связанных с подверженностью информации физическому искажению или уничтожению, возможностью случайной или умышленной модификации и опасностью несанкционированного получения информации лицами, для которых она не предназначена. В этих условиях на первый план выходят задачи защиты банковской информации и в том числе внедрение криптографических средств. Однако анализ существующего положения показывает, что уровень мероприятий по защите информации, как правило, отстает от темпов автоматизации. Такое отставание может обернуться чрезвычайно серьезными последствиями.

Одной из основных причин этого отставания является неразвитость и неотрегулированность рынка криптографической продукции. Существующая в России на сегодняшний день нормативная база по этим вопросам закрепляет большие полномочия за ФАПСИ (лицензирование, сертификация и т. д.). При этом недостаточно учитываются отличия банковской информации от традиционных объектов криптографической защиты (военные и государственные секреты), что приводит к завышенным требованиям к средствам криптографической защиты банковской информации. В настоящее время (1996 г.) нет такого нормативного документа, как требования, в которых бы учитывались все особенности платежной системы. Поэтому ниже будут изложены основные теоретические и методологические аспекты криптографической защиты платежной системы.

Уязвимость информации в автоматизированных комплексах обуславливается большой концентрацией вычислительных ресурсов, их территориальной распределенностью, долговременным хранением больших объемов данных на магнитных носителях, одновременным доступом к ресурсам большого числа пользователей различных категорий. В этих условиях необходимость принятия мер защиты, наверное, не вызывает сомнений. Однако здесь существует ряд объективных трудностей.

Во-первых, производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя решение вопросов формирования системы защиты и совместимости этих средств своим потребителям.

Во-вторых, для обеспечения надежной защиты необходимо решить целый комплекс технических и организационных проблем и разработать соответствующую документацию.

В-третьих, видимо, невозможно в реальной сложной системе предусмотреть и обеспечить защиту от всех действий квалифицированного злоумышленника.

Необходимо постоянно совершенствовать защиту в процессе накопления новых знаний.

Автоматизированный комплекс можно считать защищенным, если все операции выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов, ресурсов и операций. Основу для формирования требований к защите составляет список угроз. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты. Чем больше требований к защите и соответствующих правил, тем эффективнее механизмы защиты и тем более защищенным оказывается автоматизированный комплекс.

Проектирование и реализация системы защиты осуществляется в три этапа:

1. Анализ риска.

2. Реализация политики безопасности.

3. Поддержка политики безопасности.

На первом этапе производится анализ уязвимых элементов автоматизированного комплекса, определение и оценка видов угроз и подбор оптимальных средств защиты. Анализ риска заканчивается принятием политики безопасности. Политикой безопасности называется комплекс взаимосвязанных мер, направленных на обеспечение высокого уровня безопасности. Как уже отмечалось в разделе 2.2, эти меры должны быть направлены на достижение определенного сочетания трех свойств: а) конфиденциальности (засекреченная информация должна быть доступна только тому, кому она предназначена);

б) целостности (информация, на основе которой принимаются решения, должна быть достоверной и полной, должна быть защищена от возможных непреднамеренных и злоумышленных искажений);

в) готовности (информация и соответствующие автоматизированные службы должны быть всегда доступны и готовы к обслуживанию пользователей).

Различная расстановка приоритетов среди этих трех свойств является главным отличием платежной системы от традиционных объектов криптографической защиты. Для государственных секретов приоритеты расставлены в порядке перечисления: первый приоритет -- конфиденциальность, второй -- целостность, третий -- готовность. Для платежной системы приоритеты переставляются.

Высший приоритет следует отдать обеспечению готовности системы к обслуживанию, так как перерывы в функционировании платежной системы приводят к значительным убыткам для всех ее участников, созданию экономического хаоса в государстве и повышению социальной напряженности в обществе. Следующим по значимости для платежной системы является обеспечение целостности информации, так как ее нарушение может привести к значительным убыткам отдельных участников платежной системы, а также вызвать напряженность в обществе и экономике за счет хищений денежных средств по фальшивым платежным документам. Обеспечение конфиденциальности является третьей по значимости целью защиты информации в платежной системе, так как ее нарушение не ведет к прямым убыткам участников расчетов и, как правило, не носит катастрофических последствий, хотя и является необходимой для защиты участников платежной системы от промышленного шпионажа и криминальных структур.

Исключительно важным элементом для платежной системы является защита юридической значимости платежных документов для справедливого разрешения споров и определения виновных в нанесенном ущербе, так как только юридическая защищенность создает доверие к системе платежей у ее участников и повышает их дисциплинированность при совершении расчетов. Это является еще одним аргументом в пользу того, что для платежной системы более приоритетными являются криптографические методы обеспечения подлинности и целостности платежных документов, а не методы обеспечения конфиденциальности.

Имеющиеся данные позволяют так охарактеризовать современное (1996 г.) состояние криптографической защиты платежной системы России.

Защита банковской информации при ее передаче по телеграфным и почтовым каналам связи осуществляется в основном организационными мерами в сочетании с использованием криптографических средств -- системы кодов подтверждения. В отдельных регионах, использующих для передачи информации модемную связь, в качестве средств защиты применяются средства шифрования и электронной цифровой подписи (ЭЦП) различных фирм-производителей криптопродуктов. Почти у всех этих средств нет сертификатов ФАПСИ.

При обработке и хранении банковской информации почти не применяются криптографические методы для защиты от несанкционированного доступа, комплексная защита информации на всех этапах ее обработки, хранения и передачи не реализована.

На основании проведенного анализа данных о применяемых средствах криптографической защиты можно сформулировать следующие концептуальные положения по проблеме криптографической защиты платежной системы:

1. Система межбанковских расчетов в настоящее время практически не оснащена сертифицированными средствами криптографической защиты и подтверждения подлинности. Безопасность банковской информации во многом осуществляется охранными и режимными мерами.

2. Существующие организационные и технические меры не обеспечивают полноценную защиту от несанкционированного подключения к сетям внутрибанковского и межбанковского обмена.

3. Не решены до конца вопросы защиты от умышленного или непреднамеренного нарушения целостности банковской информации, хранимой в ЭВМ (внесение изменений, уничтожение информации и ряд других).

4. Создание системы безопасности необходимо проводить одновременно с внедрением телекоммуникационных систем и систем автоматизированной обработки банковской информации.

5. Система криптографической защиты информации не должна существенно влиять на технологию обработки банковских документов, должна допускать их автоматизированную обработку совместно с ЭЦП и не вносить значительных временных задержек в процесс обработки платежей.

6. Для криптографической сопрягаемости различных систем межбанковских расчетов криптографическая защита должна строиться на единых принципах и алгоритмах криптографического преобразования и ЭЦП.

7. Средства криптографической защиты должны иметь различную реализацию (программную, программно-аппаратную, аппаратную) и давать возможность пользователям выбирать наиболее приемлемую для конкретных условий.

8. Средства криптографической защиты должны быть максимально просты в эксплуатации, учитывая невысокую профессиональную подготовку операторского состава.

Критерии и требования к криптографическим средствам защиты банковской информации Если рассматривать платежную систему как информационнотелекоммуникационную систему, то ее криптографическая защита должна удовлетворять стандартным требованиям для таких систем: стойкие криптоалгоритмы, имитозащищенность, устойчивые к компрометациям ключевые системы и др. Вместе с тем, как уже неоднократно подчеркивалось выше, платежная система обладает рядом специфических особенностей, которые накладывают дополнительные требования на средства криптографической защиты как в техническом, так и в организационном плане. Перечислим эти особенности:

1. Жесткие требования системы на надежность и оперативность перевода денежных средств (платежей) между участниками расчетов. Так, в большинстве государств с развитой платежной системой существует законодательное требование о проводке платежей в течение одного операционного дня (суток).

2. Экономическая (финансовая, материальная) ответственность Центрального банка перед коммерческими банками и коммерческих банков перед своими клиентами за нарушение сроков и правильности проводки платежей. Эта ответственность закрепляется в соответствующих Договорах и при необходимости должна регулироваться в арбитражных судах.

3. Обязательное наличие арбитров (третейских судов) для разбирательства возможных споров между участниками платежной системы и наличие механизмов разрешения таких споров.

4. Высокая подверженность платежной системы нападениям злоумышленников. При этом злоумышленниками могут являться как посторонние для платежной системы лица, так и легальные пользователи платежной системы.

5. Возможность оценить ущерб (в денежном выражении) от тех или иных угроз платежной системе и как следствие сопоставить затраты на реализацию конкретных мер защиты с возможными потерями от ее отсутствия.

6. Информация, обрабатываемая в платежной системе, не составляет государственную тайну.

7. Владельцами информации, циркулирующей в платежной системе, являются в основном коммерческие банки или их клиенты.

8. Большое количество платежных документов, обрабатываемых в платежной системе в течение суток (около 1 миллиона).

9. Согласно нормативным документам ЦБ РФ сроки хранения платежных документов составляют 3 года.

10. Значительные расстояния между участниками платежной системы (протяженность страны охватывает 11 часовых поясов).

11. Большое количество участников платежной системы (корреспондентов сети). В настоящее время в число участников платежной системы входят около 1400 расчетно-кассовых центров и свыше 3.5 тысяч коммерческих банков и их филиалов.

12. Неразвитость телекоммуникационной системы страны, отсутствие качественных каналов связи со многими участниками платежной системы.

13. Доменная (региональная) структура потоков платежных документов (свыше 75% платежей производятся внутри региона).

14. Наличие центров обработки платежной информации в регионах, в которых скапливаются большие массивы данных (звездообразные структуры организации региональных сетей) и как следствие высокие требования по производительности средств обработки банковской информации в таких центрах.

15. Использование в различных регионах различных систем обработки информации (on-line, off-line), наличие большого количества программнотехнических платформ (в основном иностранного производства), на которых реализуется доставка и обработка платежных документов, использование различных по своим техническим характеристикам ПЭВМ.

16. Недостаточное количество квалифицированных кадров в области информатизации и безопасности.

Анализ перечисленных особенностей в сочетании со стандартными требованиями к криптографической защите приводит к следующим качественным критериям выбора средств криптографической защиты платежной системы.

Для практических нужд платежной системы достаточно использование алгоритмов электронной цифровой подписи (ЭЦП) и шифрования, обеспечивающих стойкость в течение трех лет. Реализация российских ГОСТов на алгоритмы шифрования и ЭЦП обеспечивает это требование со значительным запасом.

Вместе с тем разработчики испытывают определенные трудности в обеспечении требуемой скорости реализации системы ЭЦП на гостированном алгоритме. Это обстоятельство требует разработки новых алгоритмов ЭЦП и шифрования, более реально учитывающих требования по сохранности банковской информации (3 года) и являющихся за счет этого значительно более скоростными при реализации.

Организация ключевой системы играет исключительно важную роль при использовании криптосистем в банковских платежных системах. Высокие требования по надежности, оперативности и безотказности платежной системы в целом, ее подверженность постоянным нападениям со стороны злоумышленников (включая легальных пользователей), придание юридической значимости электронным платежным документам и другие особенности платежной системы оказывают существенное влияние на выбор ключевых систем. С учетом этого можно сформулировать следующие требования для ключевых систем:

- ключевая система должна быть устойчивой к компрометации ключей у любого числа корреспондентов сети, то есть компрометации не должны влиять на безопасную работу участников платежной системы с нескомпрометированными ключами;

- ключевая система должна позволять быстрое восстановление при любом числе компрометаций;

- ключевая система должна предусматривать как можно меньшее число ключей, подлежащих сохранности организационными мерами пользователей;

- носители ключевой информации должны обеспечивать высокую степень защиты их от копирования;

Генерация ключей ЭЦП должна производиться владельцами подписи, регистрация, учет и рассылка открытых компонент ключей ЭЦП должна производиться централизованно администраторами безопасности на региональном и межрегиональном уровнях с обеспечением невозможности их фальсификации и подмены.

Системы управления ключами должны быть в максимальной степени автоматизированы и предполагать минимальное участие конечных пользователей в процессах управления ключами (поддержание баз открытых ключей, замена ключей при нештатных ситуациях и т. п.).

При выборе и построении системы криптозащиты необходимо учитывать, насколько она снижает производительность платежной системы и какие дополнительные ограничения она накладывает на технические средства и программное обеспечение. Эффективная система защиты не должна приводить к ощутимым трудностям в работе банка.

Исходя из договорных отношений между участниками расчетов и необходимости иметь механизмы справедливого разрешения конфликтов, криптографические системы должны иметь проработанные технологии разрешения конфликтных ситуаций, включая процедуры создания третейских судов, описание порядка разрешения споров с их помощью, требования к предоставляемой архивной информации для разрешения споров и требования к техническим средствам, используемым при разрешении споров. Кроме того, должны быть проработаны юридические и организационные аспекты правильного составления разделов договоров, описывающих механизмы разрешения конфликтов и ответственности сторон.

Некоторые аспекты криптографической защиты банковской информации в настоящее время уже регламентированы международными стандартами. Международная стандартизация банковской деятельности осуществляется Техническим комитетом ТК68 Международной организации стандартов (МОС/ТК68) "Банковское дело и соответствующие финансовые операции".

В рамках данного комитета непосредственная разработка стандартов по защите банковской информации осуществляется двумя подкомитетами:

МОС/ТК68/ПК2 -- "Операции, процедуры и безопасность";

МОС/ТК68/ПК6 -- "Карточки для финансовых операций, операции и соответствующие носители информации".

Сферой деятельности подкомитета МОС/ТК68/ПК2 являются безналичные электронные расчеты при так называемых оптовых финансовых операциях, т. е.

операциях по расчетам между финансовыми учреждениями и организациями и обслуживаемыми ими субъектами экономической деятельности.

Сферой деятельности подкомитета МОС/ТК68/ПК6 являются безналичные электронные расчеты в розничной торговле, т. е. область традиционного использования наличных денег на потребительском рынке товаров и услуг населению.

Практически ТК68, так же, как и другие подкомитеты, занятые стандартизацией конкретных приложений, не занимается разработкой собственно методов и средств криптографической защиты. Его деятельность в этом направлении ограничивается разработкой стандартов по "встраиванию" стандартных механизмов защиты в банковские процедуры и технологии электронного обмена.

Специализированным подкомитетом, на который в рамках МОС возложена стандартизация общих методов и средств защиты информации в информационных технологиях, является подкомитет ПК27, созданный в 1989 г. в рамках Объединенного технического комитета Международной организации по стандартизации и Международной электротехнической комиссии МОС/МЭКОТК "Информационные технологии".

В качестве рабочих органов в составе ПК27 образованы 3 рабочие группы по следующим направлениям деятельности:

Рабочая группа РГ1 "Методы защиты информации: требования и рекомендации";

Рабочая группа РГ2 "Методы и механизмы защиты информации";

Рабочая группа РГ3 "Критерии оценки безопасности".

Структура и направления деятельности рабочих групп ПК27 отражают комплексный подход к обеспечению безопасности информационных технологий, когда вопросы проектирования, встраивания средств защиты и сертификации безопасных технологий решаются в неразрывной связи на базе единой системы взглядов и принципов, закрепляемых в виде международных стандартов. При этом базовые принципы обеспечения безопасности в открытых системах, отвечающих эталонной модели, определены стандартом ISO 7498-2 "Эталонная модель взаимодействия открытых систем. Часть 2. Архитектура безопасности", согласно которому в открытых системах должны обеспечиваться:

конфиденциальность информации;

управление и контроль за доступом к информации и ресурсам системы;

целостность и подлинность информации;

защита от отказов получателя/отправителя сообщения от факта его передачи/приема и содержания.

Стандарт также определяет базовые услуги (всего 14) по защите информации, реализуемые на соответствующих уровнях эталонной модели, и перечень механизмов защиты, реализующих данные услуги. В концептуальном плане определены требования к системе управления безопасностью.

Разрабатываемые в рамках ПК27 международные стандарты определяют общие универсальные механизмы обеспечения безопасности в открытых системах, включая вопросы организации и управления, но без их привязки к конкретным приложениям. В вопросах информационной безопасности ПК27 выполняет курирующую роль по отношению к другим техническим комитетам, занимающимся стандартизацией информационных технологий в конкретных приложениях, в частности, по отношению к ТК68, с которым установлены официальные связи.

Возможные темы практических заданий Криптографические средства защиты банковской информации 1. Протоколы аутентификации 2. Протоколы электронной подписи 3. Хэш-функции 4. Протоколы распределения криптографических ключей 5. Протоколы с аппаратной поддержкой 6. Банковские криптографические протоколы Электронные платежи Проблемы арбитража Законные затемненные подписи Электронная монета Переводимая электронная монета Электронные бумажники 7. 7. Интеллектуальные карточки в банковских системах

ТРЕБОВАНИЯ К РЕЙТИНГ-КОНТРОЛЮ.

Модуль 1. Промежуточный контроль – 30 б.

Выступления с докладами на практических занятиях.

2. Рубежный контроль – 20 б.

Тест 1. Контрольная работа по темам 1-3.

Итого за модуль – 50 б.

Модуль 1. Промежуточный контроль – 30 б.

Выступления с докладами на практических занятиях.

2. Рубежный контроль – 20 б.:

Итого за модуль – 50 б.

Итоговая отчетность – зачет.

ВОПРОСЫ ДЛЯ ПОДГОТОВКИ К ЗАЧЕТУ

Особенности информационной безопасности банковских и платежных систем Безопасность электронных платежей Электронные платежи в банке Вопросы безопасности электронных платежей Методы защиты в платежных и банковских системах. Криптографические методы защиты Оценка надежности криптоалгоритмов Классификация методов шифрования информации Абсолютно стойкий шифр. Гаммирование Поточные шифры Идентификация и проверка подлинности Основные понятия и концепции Особенности применения пароля для аутентификации пользователя Взаимная проверка подлинности пользователей Протоколы идентификации с нулевой передачей знаний Упрощенная схема идентификации с нулевой передачей знаний Схема идентификации Гиллоу-Куискуотера Электронная цифровая подпись Проблема аутентификации данных и электронная цифровая подпись Алгоритмы электронной цифровой подписи Алгоритм цифровой подписи RSA Отечественный стандарт цифровой подписи

ПЕРЕЧЕНЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Класс ПЭВМ класса Intel c установленным программным обеспечением: MS Windows, (MS Office, PowerPoint, AcrobatReader) и мультимедийными средствами (проектор, экран, телевизор).

Программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций и ПрООП ВПО по специальности Компьютерная безопасность.



 


Похожие работы:

«БЮЛЛЕТЕНЬ Национального объединения строителей Новости Национального объединения строителей 6 Назначения НОСТРОЙ 16 Е.В. Басин. Строительство — локомотив экономики 31 К.Ю. Королевский. Подготовка к съездам Нацобъединений 38 началась В.Н. Забелин. Саморегулирование — не панацея, но 42 инструмент Федеральный закон от 27 июля 2010 г. № 240-ФЗ 93 Постановление Правительства Российской Федерации 131 от 21 июня 2010 г. № 468 Унифицированное положение о порядке выдачи сведений 156 из реестра членов...»

«И.Н. Христолюбов МЕТОДИЧЕСКИЙ КОМПЛЕКС ПО ДИСЦИПЛИНЕ ДОРОЖНЫЕ УСЛОВИЯ, БЕЗОПАСНОСТЬ ДВИЖЕНИЯ, ЭКСПЛУАТАЦИЯ ДОРОГ Учебно-методическое пособие Омск • 2009 3 Федеральное агентство по образованию ГОУ ВПО Сибирская государственная автомобильно-дорожная академия (СибАДИ) И.Н. Христолюбов МЕТОДИЧЕСКИЙ КОМПЛЕКС ПО ДИСЦИПЛИНЕ ДОРОЖНЫЕ УСЛОВИЯ, БЕЗОПАСНОСТЬ ДВИЖЕНИЯ, ЭКСПЛУАТАЦИЯ ДОРОГ Учебно-методическое пособие Омск СибАДИ ОГЛАВЛЕНИЕ Введение.. Цели и задачи...»

«ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ Государственное образовательное учреждение высшего профессионального образования ИВАНОВСКАЯ ГОСУДАРСТВЕННАЯ ТЕКСТИЛЬНАЯ АКАДЕМИЯ (ИГТА) Кафедра безопасности жизнедеятельности Методические указания к выполнению расчетной части БЖД дипломных проектов студентов специальности 170700 (все формы обучения) Иваново 2005 Методические указания предназначены для студентов всех форм обучения специальности 170700, выполняющих раздел Безопасность и экологичность дипломных...»

«Виктор Павлович Петров Сергей Викторович Петров Информационная безопасность человека и общества: учебное пособие Аннотация В учебном пособии рассмотрены основные понятия, история, проблемы и угрозы информационной безопасности, наиболее важные направления ее обеспечения, включая основы защиты информации в экономике, внутренней и внешней политике, науке и технике. Обсуждаются вопросы правового и организационного обеспечения информационной безопасности, информационного обеспечения оборонных...»

«Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Амурский государственный университет Кафедра безопасности жизнедеятельности УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС ДИСЦИПЛИНЫ ЭЛЕКТРОБЕЗОПАСНОСТЬ Основной образовательной программы по специальности: 280101.65 Безопасность жизнедеятельности в техносфере Благовещенск 2012 2 Печатается по решению редакционно-издательского совета инженерно-физического...»

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ 14/12/11 Одобрено кафедрой Нетяговый подвижной состав ХОЛОДИЛЬНОЕ ОБОРУДОВАНИЕ ВАГОНОВ Методические указания к выполнению лабораторных работ для студентов V курса специальности 190302 ВАГОНЫ (В) РОАТ Москва – 2009 С о с т а в и т е л и : д-р. техн. наук, проф. К.А. Сергеев, канд. техн. наук, доц. А.А. Петров Р е ц е н з е н т – канд. техн. наук, доц. Т.Г. Курыкина © Московский государственный университет путей сообщения, ВВЕДЕНИЕ При...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ МАМИ Иванов К.С., Графкина М.В., Сурикова Т.Б., Сотникова Е.В. АДСОРБЦИОННАЯ ОЧИСТКА ВОДЫ Методические указания к лабораторной работе по курсу Промышленная экология для студентов специальности 280202.65 Инженерная защита окружающей среды и направления подготовки 280700.62 Техносферная безопасность Одобрено...»

«МЕТОДИЧЕСКИЕ УКАЗАНИЯ ВЫПОЛНЕНИЯ РАЗДЕЛА БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ ДЛЯ ВЫПУСКНИКОВ СПЕЦИАЛЬНОСТИ 190702 ОРГАНИЗАЦИЯ И БЕЗОПАСНОСТЬ ДВИЖЕНИЯ Омск 2011 Министерство образования и науки РФ Сибирская государственная автомобильно-дорожная академия (СибАДИ) Кафедра Безопасности жизнедеятельности МЕТОДИЧЕСКИЕ УКАЗАНИЯ ВЫПОЛНЕНИЯ РАЗДЕЛА БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ ДЛЯ ВЫПУСКНИКОВ СПЕЦИАЛЬНОСТИ 190702 ОРГАНИЗАЦИЯ И БЕЗОПАСНОСТЬ ДВИЖЕНИЯ...»

«Название: Безопасность жизнедеятельности. Пособие для студентов технических направлений. Авторы: Морозов А.Г., Хоперсков А.В. Учебное пособие является результатом чтения лекций и ведения лабораторного практикума авторами по дисциплине Безопасность жизнедеятельности на факультете математики и информационных технологий в Волгоградском государственном университете. Основная задача дисциплины – формирование понимания рисков, связанных с деятельностью человека; приемов рационализации...»

«Министерство образования и науки Российской Федерации ФГАОУ ВПО УрФУ имени первого Президента России Б.Н.Ельцина А. А. Дурнаков, Н. А. Дядьков АРХИТЕКТУРА И СИСТЕМА КОМАНД ЦИФРОВЫХ СИГНАЛЬНЫХ ПРОЦЕССОРОВ СЕМЕЙСТВА ADSP - 21XX Учебное электронное текстовое издание Подготовлено кафедрой Радиоэлектроника информационных систем Научный редактор доц., канд. техн. наук В. А. Добряк Методические указания к лабораторной работе по курсу Электроника и схемотехника для студентов всех форм обучения...»

«Министерство образования и науки Российской Федерации Омский государственный университет им. Ф.М. Достоевского Факультет компьютерных наук Кафедра информационной безопасности С.В. Усов ДИСКРЕТНАЯ МАТЕМАТИКА УЧЕБНО-МЕТОДИЧЕСКОЕ ПОСОБИЕ ДЛЯ СТУДЕНТОВ НАПРАВЛЕНИЯ ИНФОРМАТИКА И ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА Омск 2011 УДК 510+519 ББК 22.176я73 У 760 Рецензент: к.т.н. Лавров Д.Н. Усов С.В. Дискретная математика. Учебно-методическое пособие для У 760 студентов направления Информатика и вычислительная...»

«СТАНДАРТ ОРГАНИЗАЦИИ СТО 56947007ОАО ФСК ЕЭС 29.240.01.053-2010 Методические указания по проведению периодического технического освидетельствования воздушных линий электропередачи ЕНЭС Стандарт организации Дата введения - 24.08.2010 ОАО ФСК ЕЭС 2010 Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ О техническом регулировании, объекты стандартизации и общие положения при разработке и применении стандартов организаций...»

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ МАМИ Кафедра: Экология и безопасность жизнедеятельности Утверждено на заседании кафедры Э и БЖД МЕТОДИЧЕСКИЕ УКАЗАНИЯ по выполнению дипломной работы Специальность 280202.65 Инженерная защита окружающей среды Разработала: Графкина М.В. МОСКВА 2008 г 2 СОДЕРЖАНИЕ 1. Цели и задачи дипломной работы 2.Организация выполнения дипломной работы 2.1. Общие требования к дипломным работам 2.2. Структура дипломной работы...»

«Н.А. Троицкая, М.В. Шилимов ТранспорТноТехнологические схемы перевозок оТдельных видов грузов Допущено УМО вузов РФ по образованию в области транспортных машин и транспортно-технологических комплексов в качестве учебного пособия для студентов вузов, обучающихся по специальности Организация перевозок и управление на транспорте (автомобильный транспорт) направления подготовки Организация перевозок и управление на транспорте УДК 629.3(075.8) ББК 39.3-08я73 Т70 Рецензенты: В. М. Беляев, д-р техн....»

«Г.И. Гречнева, В.А. Шнайдер ОЦЕНКА ПРОЕКТНЫХ РЕШЕНИЙ И БЕЗОПАСНОСТЬ ДВИЖЕНИЯ Учебное пособие Омск – 2010 Министерство образования и науки РФ ГОУВПО Сибирская государственная 3 автомобильно-дорожная академия (СибАДИ) Г.И. Гречнева, В.А. Шнайдер ОЦЕНКА ПРОЕКТНЫХ РЕШЕНИЙ И БЕЗОПАСНОСТЬ ДВИЖЕНИЯ Учебное пособие Омск СибАДИ 2010 УДК 625.72 ББК 39.311-04 4 Г 81 Рецензенты: канд. техн. наук, главный специалист отдела дорожного проектирования НПО Мостовик И.Б. Старцев; директор ГП Омская проектная...»

«Содержание Пояснительная записка..3 Методические рекомендации по изучению предмета и 1. выполнению контрольных работ..6 Рабочая программа дисциплины 2. Технология органических веществ.13 Контрольная работа 1 по дисциплине 3. Технология органических веществ.69 Контрольная работа 2 по дисциплине 4. Технология органических веществ.77 1 Пояснительная записка Данные методические указания по изучению дисциплины Технология органических веществ и выполнению контрольных работ предназначены для студентов...»

«Федеральное агентство по образованию ГОУ ВПО Уральский государственный технический университет УПИ имени первого Президента России Б.Н. Ельцина Е.Е. Барышев, В.С. Мушников, И.Н. Фетисов РАСЧЕТ МОЛНИЕЗАЩИТНЫХ ЗОН ЗДАНИЙ И СООРУЖЕНИЙ Учебное электронное текстовое издание Подготовлено кафедрой Безопасность жизнедеятельности Научный редактор: доц., канд. хим. наук И.Т. Романов Методические указания к практическому занятию по курсам Безопасность жизнедеятельности, Основы промышленной безопасности...»

«Федеральное агентство по образованию АМУРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ГОУВПО АмГУ УТВЕРЖДАЮ Зав. кафедрой БЖД _А.Б. Булгаков _2008 г. Безопасность труда УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС для специальности 280101 Безопасность жизнедеятельности в техносфере Составители: Булгаков А.Б., доцент кафедры БЖД, канд. техн. наук Аверьянов В.Н., старший преподаватель кафедры БЖД, канд. физ.-мат. наук (практические и лабораторные занятия) Благовещенск 2008 г. Печатается по решению редакционно-издательского...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ Ю.Ф. Каторин А.В. Разумовский А.И. Спивак ЗАЩИТА ИНФОРМАЦИИ ТЕХНИЧЕСКИМИ СРЕДСТВАМИ Учебное пособие Санкт-Петербург 2012 Каторин Ю.Ф., Разумовский А.В., Спивак А.И. Защита информации техническими средствами: Учебное пособие / Под редакцией Ю.Ф. Каторина – СПб: НИУ ИТМО, 2012. – 416 с. Учебное пособие посвящено теме борьбы с...»

«УЧЕБНО – МЕТОДИЧЕСКОЕ ПОСОБИЕ ПРИНЦИПЫ АНТИТЕРРОРИСТИЧЕСКОЙ ЗАЩИЩЕННОСТИ (В УСЛОВИЯХ ГОРОДА, ОБЛАСТИ) Новосибирск 2005 2 • Казанцев Егор Александрович Автор: Консультанты: • Козлов Н.Ф. – И.О. председатель комитета по взаимодействию с правоохранительными органами и негосударственными охранными организациями МЭРИИ Новосибирска; профессор, академик Академии проблем безопасности, обороны и правопорядка; • Нечитайло В.И. – руководитель подразделения по борьбе с терроризмом УФСБ России по...»








 
© 2013 www.diss.seluk.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Методички, учебные программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.