ЛК11. Защита информации в НСМЭП

1. Общие сведения в СЗИ в НСМЭП.

2. Объекты и методы защиты.

3. Функциональные требования к системе защиты.

4. Политика управления доступом.

5. ЗИ при ее передаче по внутренним каналам.

6. Средства управления доступом.

7. ЗИ при ее хранении.

8. ЗИ во внешних каналах.

В НСМЭП используется DES для выработки МАС-кодов, 3DES для шифрования информации, RSA-система используется на уровне взаимодействия с расчетным банком.

В НСМЭП существует 3 вида ключей:

1) транспортные;

2) системные (идентификация карточки системой: 6 вариантов);

3) банковские (идентификация карточки в банке).

Основные элементы системы защиты (программно-аппаратные):

- модуль безопасности терминалов;

- скоростной модуль безопасности;

Объекты:

1) платежные карточки (сумма остатка, pin-код, системные и банковские ключи, операционная система);

2) платежная транзакция (контроль целостности и доступности, защита от повторов, причастность);

3) модули безопасности (ключи и ПО);

4) информация о клиентах (конфиденциальность и доступность);

5) базы данных и архивы системы (целостность, доступность, конфиденциальность);

Все методы защиты можно разделить на 4 группы:

1) криптографические;

2) методы технической защиты;

3) организационно-технические методы (комплекс правил, регламентирующих работу системы с целью предотвращения или снижения вероятности нарушения безопасности системы);

4) нормативно-правовые методы;

ISO 7498 – требования к СЗИ

В данном стандарте все требования разбиты на 9 классов:

1) защита информации:

- политика управления доступом;

- средства управления доступом;

- ЗИ при ее передаче по внутренним каналам

- целостность информации при ее хранении;

- ЗИ во внешних каналах;

2) безопасная защита:

- тестирование программно-аппаратных платформ;

- требования по защите от сбоев;

- деление информации;

3) идентификация и аутентификация:

- управление и защита параметров аутентификации пользователей;

- реакция на неудачные попытки;

- генерация и проверка паролей;

4) аудит:

- возможность автоматического реагирования на вторжение в систему;

- регистрация и учет обмена;

- распознавание вторжений в систему;

- контроль доступа и защита протокола аудита;

- отбор событий для регистрации и учета;

5) контроль доступа к системе:

- ограничения на сеанс работ;

- блокировка сеансов работ;

6) конфиденциальность доступа к системе:

- анонимность сеансов работы;

- наблюдаемость сеансов работы;

7) информационный обмен – причастность;

8) контроль за использованием ресурсов;

9) контроль за использованием ресурсов;

ISO 10181 – существует 3 схемы управления доступом:

1) на основе списков доступа;

2) на основе полномочий доступа – НСМЭП;

3) на основе меток безопасности;

Внутренние каналы:

- терминал «карточка;

- модуль безопасности «карточка;

Места хранения информации: карточки, терминалы, модули безопасности, БД и т.д.

Канал связи ГПЦ с расчетным банком защищается с помощью RSA, а остальные внешние каналы защищаются с использованием 3DES и имитовставки с использованием DES.

Тестирование программно-аппаратной платформы производится при включении " элемента в систему.