Программно-аппаратные средства защиты информации в биометрических системах информационной безопасности в финансовом секторе. Курсовой, итог. Курсовой проект по дисциплине мдк 02. 01 Программноаппаратные средства защиты информации Тема курсового проекта Программноаппаратные средства защиты информации в биометрических системах информационной безопасности в финансовом секторе
 Скачать 0.89 Mb.
|
|
МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА – Российский технологический университет» РТУ МИРЭА Колледж приборостроения и информационных технологий КУРСОВОЙ ПРОЕКТ по дисциплине «МДК 02.01 Программно-аппаратные средства защиты информации» <Наименование дисциплины> Тема курсового проекта: «Программно-аппаратные средства защиты информации в биометрических системах информационной безопасности в финансовом секторе» <Название темы курсовой работы/проекта> Студент группы__ЩИКО-02-18__ Затуливетер Б.П. <код группы> <подпись студента> <ФИО студента> Руководитель курсового проекта <должность> Нещеретняя Е.А <подпись руководителя> <ФИО руководителя> Работа представлена к защите «___»________2021 г. <подпись студента> «Допущен к защите» «___»________2021 г. <подпись руководителя> Москва 2021 ЗАДАНИЕ на курсовой проект студенту 4 курса группы ЩИКО-02-18 (ИБ-42) по специальности 10.02.05 Обеспечение информационной безопасности автоматизированных систем Затуливетер Богдана Павловна ТЕМА ЗАДАНИЯ: «Программно-аппаратные средства защиты информации в биометрических системах информационной безопасности в финансовом секторе» I Пояснительная записка Введение 1 АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ И ПРЕДМЕТНОЙ ОБЛАСТИ, ИССЛЕДОВАНИЕ ПОТОКОВ ИНФОРМАЦИИ БАНКА 1.1 Нормативно-правовая и терминологическая база в области защиты биометрических данных 1.2 Анализ предметной области 1.3 Организационная структура АО «Банк «Финам» 1.4 Структура потоков информации банка 2 УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, БИОМЕТРИЧЕСКИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В СФЕРЕ ФИНАНСОВ 2.1 Актуальные угрозы безопасности и способы противодействия им 2.2 Существующие системы и базы биометрических данных 2.3 Основные достоинства и недостатки используемой биометрической системы. Мероприятия для разрешения проблем, связанных с биометрией Заключение Список используемых источников Приложение 1 Приложение 2 Приложение 3 Приложения 4 Приложения 5 Дата выдачи 06.09.2021 Срок окончания 17.11.2021 Председатель ПЦК Информационная безопасность Е.В. Садыкова Руководитель курсового проекта Е.А. Нещеретняя КП-10.02.05. ИБ31 ПЗ Изм. Лист № докум. Подпись Дата Разраб. Затуливетер Б.П. Программно-аппаратные средства защиты информации в биометрических системах информационной безопасности в финансовом секторе Лит. Лист Листов Руковод. Нещеретняя Е.А. 3 39 КПИТ Пояснительная записка Содержание Введение ................................................................................................................. 5 1.АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ И ПРЕДМЕТНОЙ ОБЛАСТИ, ИССЛЕДОВАНИЕ ПОТОКОВ ИНФОРМАЦИИ БАНКА ............................... 7 1.1 Нормативно-правовая и терминологическая база в области защиты биометрических данных ......................................................................................... 7 1.2 Анализ предметной области .......................................................................... 11 1.3 Организационная структура АО «Банк «Финам» ........................................ 14 1.4 Структура потоков информации банка ......................................................... 15 2. УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, БИОМЕТРИЧЕСКИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В СФЕРЕ ФИНАНСОВ .. 19 2.1 Актуальные угрозы безопасности и способы противодействия им .......... 19 2.2 Существующие системы и базы биометрических данных ......................... 23 2.3 Основные достоинства и недостатки используемой биометрической системы. Мероприятия для разрешения проблем, связанных с биометрией . 28 Заключение .......................................................................................................... 31 Список использованных источников ................................................................ 33 Приложение 1 ...................................................................................................... 35 Приложение 2 ...................................................................................................... 36 Приложение 3 ...................................................................................................... 37 Приложение 4 ...................................................................................................... 37 Приложение 5 ...................................................................................................... 37 Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 4 Перечень сокращений ЕБС – единая биометрическая система ЕСИА – единая система идентификации и аутентификации ПД – персональные данные РФ – Российская Федерация ФСБ - Федеральная служба безопасности ФСТЭК - Федеральная служба по техническому и экспортному контролю ФЗ – Федеральный закон ГОСТ – межгосударственный стандарт ЗАО – закрытое акционерное общество АО – акционерное общество ПАО – публичное акционерное общество Отдел ОКО – операционно-кассовый отдел Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 5 Введение Проблема информационной безопасности в современных реалиях является одной из самых актуальных, ведь она затрагивает как каждого отдельного человека, так и государства. Защита информации предстает в виде совокупности мер, основные из которых организационных, программно-аппаратные, правовые и другие. Развитие информационных технологий и информационной безопасности привело к усложнению систем защиты. На сегодняшний день самой сложной и защищенной является система обеспечения информационной безопасности с многофакторной биометрической аутентификацией. Аутентификация – процесс подтверждения пользователя своей личности с помощью ключа, пароля или иной информации, доказывающей личность. Биометрическая аутентификация – способ аутентификации личности по специфическим биометрическим признакам, характерным определенному человеку. В современном обществе биометрия стала настолько популярна, что охватила практически все сферы человеческой деятельности. Такая популярность может быть связана с преимуществами над другими методами аутентификации. Достоинства биометрии привели к широкому распространению сканеров отпечатков пальца и распознавания лица в смартфонах, но видов биометрических технологий гораздо больше. Например, с 2009 года в России начали выдавать паспорта нового поколения, содержащие электронный носитель информации — бесконтактный чип. Данные на чипе Российского паспорта защищены с помощью технологии контроля доступа BAC (Basic access control) и содержат — фотографию владельца паспорта, отпечатки пальцев, информацию о дате и месте рождения владельца, дате выдачи паспорта и органе, выдавшем документ. Если рассматривать изменение рынка биометрических технологий начиная с 2010 года, то можно проследить тенденцию внедрения биометрии в повседневную жизнь. В относительно далеком 2010 году биометрическое оборудование в основном функционировало Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 6 в коммерческом секторе и в национальной безопасности, лишь небольшую долю составляли пользовательские устройства. К 2016 году ситуация резко изменилась, пользовательские устройства стали занимать 66% от общей доли рынка, а в 2021 составили рекордные 69%, при этом важно заметить, что доля коммерческого сектора и национальной безопасности составила 12% и 19% соответственно. Прочное укрепление биометрии в повседневной жизни может поставить под угрозу конфиденциальность обширного объема личной информации, при условии ненадлежащей защиты. Биометрическая идентификация имеет прямое отношение к конкретной личности, что, с одной стороны, обеспечит надежную аутентификацию пользователя, а с другой создаст ряд рисков, связанных, например, с незаконной обработкой и использованием данных. В настоящее время биометрия является неотъемлемой частью мирового рынка информационных технологий. Она является удобным механизмом обеспечения информационной безопасности. В данном проекте содержится анализ программно-аппаратной составляющей биометрических систем, анализируются преимущества и недостатки внедрения биометрических технологий в банковскую сферу. Таким образом, целью данной работы является анализ программно- аппаратных средств защиты информации биометрической системы безопасности в финансовом секторе, включая выявление ее достоинств и недостатков. Для этого будет решен ряд задач: • Теоретическое изучение программно-аппаратных средств защиты информации биометрической системы безопасности; • Исследование практического применения данных систем в общем и в банковской сфере в частности; • Поиск решений для устранения выявленных недостатков. Предметом исследования станут современные системы управления и контроля с применением биометрической аутентификации. Объектом исследования – литературные и Интернет-источники. Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 7 1.АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ И ПРЕДМЕТНОЙ ОБЛАСТИ, ИССЛЕДОВАНИЕ ПОТОКОВ ИНФОРМАЦИИ БАНКА 1.1 Нормативно-правовая и терминологическая база в области защиты биометрических данных Исторически первое законодательное упоминание о биометрии содержалось в Федеральном законе от 15 августа 1996 г. № 114-ФЗ «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», где говорилось, что паспорта граждан «могут содержать электронные носители информации с записанными на них персональными данными владельца паспорта, включая биометрические персональные данные». Выдача заграничных паспортов с такими носителями фактически началась лишь через 10 лет после появления этого закона. Затем последовал Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В нем имелась статья 11 «Биометрические персональные данные», которая существует по сей день с некоторыми дополнениями. Изначально законодатели определили предмет статьи как «сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность». В актуальной на данный момент редакции (от 31.12.2017) сведения уже не только физиологические, но и биологические; кроме того, указано, что они не только позволяют установить личность, но и используются для этого. В общем случае обработка биометрических ПД разрешается лишь с письменного разрешения субъекта, хотя есть ряд исключений — в основном связанных с охраной порядка, противостоянием терроризму и оборонными задачами. Также авторы закона упомянули о биометрических данных в статье 19 «Меры по обеспечению безопасности персональных данных при их обработке». Статья с тех пор была значительно расширена (с 4 пунктов до 11), но положения, связанные с биометрией, остались прежними: требования к хранению биометрических ПД устанавливаются Правительством РФ (см. далее), а сами данные должны защищаться от «неправомерного или случайного доступа к ним, их Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 8 уничтожения, изменения, блокирования, копирования, предоставления, распространения». Далее в нормотворческий процесс включилась стандартизация: в 2007 году были введены в действие ГОСТ Р ИСО/МЭК 19795-1–2007 «Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура» и ГОСТ Р ИСО/МЭК 19784-1–2007 «Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация». С тех пор постепенно переводились и утверждались разные части международных стандартов, имеющих отношение к сбору биометрических данных, их использованию и обработке. Одним из ключевых документов выделяется стандарт ГОСТ Р ИСО/МЭК 19794, который определяет требования ко всем основным биометрическим параметрам и к их измерению. Например, части 2-4 и 8 касаются отпечатков пальцев, часть 5 — изображения лица, а часть 14 — данных ДНК. По названиям стандартов можно заметить, что все они идентичны международным. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Именно этот документ подразумевался статьей 19 Федерального закона № 152-ФЗ, о которой говорилось выше. Под материальным носителем здесь понимаются исключительно машиночитаемые устройства хранения данных (т. Е. бумажные документы к этой категории не относятся). К самому носителю предъявлено 4 требования: обеспечивать уполномоченным лицам доступ к данным, определять информационную систему персональных данных и ее оператора, а также предотвращать перезапись данных вне информационной системы и несанкционированный доступ к ним. К технологиям хранения данных, в свою очередь, прописано три требования, первое из которых нам уже знакомо (доступ для уполномоченных лиц), а два других — это возможность использования цифровой подписи либо других способов обеспечить целостность и Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 9 неизменность данных, а также проверка на предмет того, есть ли письменное согласие субъекта на обработку его биометрических ПД. Глобальная рамка информационного законодательства — Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — изначально указаний на биометрию не содержал. 31 декабря 2017 года он пополнился статьей 14.1 «Применение информационных технологий в целях идентификации граждан Российской Федерации», которая составляет фундамент для единой биометрической системы (ЕБС) и ее применения, а также увязывает ее с единой системой идентификации и аутентификации (ЕСИА), знакомой любому пользователю ресурсов электронного правительства. Установлено, что организации разного рода (например, банки) идентифицируют пользователя в его присутствии и с его согласия, а затем передают его биометрические ПД в ЕБС. Порядок этого процесса и состав сведений определяются Правительством РФ; оно же назначает государственный орган, ответственный за регулирование этой сферы и за разработку конкретных регламентов – обработки данных, их размещения, требований к техническим средствам и т. П. В этой же статье вводится понятие оператора ЕБС, функции которого возлагаются на крупного оператора связи (т.е. такого, который «занимает существенное положение» в 2/3 регионов страны). Закон требует применять криптографическую защиту информации при передаче биометрических ПД через интернет; если физическое лицо отказывается пользоваться такой защитой, то идентификацию без шифрования можно будет провести только с персонального компьютера и после уведомления о рисках. С мобильного устройства, в том числе планшетного компьютера, удаленная биометрическая идентификация без криптозащиты будет невозможна. Нарушение требований статьи 14.1 влечет гражданскую, административную или уголовную ответственность. Требования ФСБ к банкам связаны именно с криптозащитой — т. Е. надежность шифрования должна соответствовать той, которая применяется при обеспечении безопасности гостайны. Ведомство вправе этого требовать, поскольку, согласно этому же закону, оно вместе со ФСТЭК исполняет контрольно-надзорные функции. Появление статьи 14.1 Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 10 Федерального закона №149-ФЗ, о которой говорилось выше, — это результат «пакетного» изменения в нескольких законодательных актах. Многие из них касаются только финансовой сферы, однако стоит обратить внимание, например, на поправки к Федеральному закону от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». К статье 7 «Права и обязанности организаций, осуществляющих операции с денежными средствами или иным имуществом» добавилось несколько пунктов. Установлено, что банк имеет право вносить биометрические ПД клиентов в ЕБС и удаленно идентифицировать пользователей с помощью биометрии в том случае, если он участвует в системе страхования вкладов, не нарушает законодательство и не подвергается мерам по предупреждению банкротства. Физическому лицу, прошедшему удаленную идентификацию с помощью биометрии, можно оказывать базовые банковские услуги (операции со вкладами, выдачу кредитов, перевод денег) в том случае, если клиент не фигурирует в списке причастных к экстремистской деятельности, если его средства или имущество не арестованы по подозрению в финансировании терроризма и, если у банка нет подозрений, что пользователь отмывает доходы либо опять же финансирует терроризм. Эти и другие упоминавшиеся выше изменения в законодательстве, датированные последним днем 2017 года, составляют Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Он призван образовать фундамент для Единой биометрической системы, регламентировать связанные с ней процедуры (такие, например, как сбор биометрических данных) и области ее применения — пока что главным образом в финансовых сферах наподобие банковской деятельности. Основные термины: Аутентифицировать – доказать или показать неоспоримость происхождения или достоверность чего-либо; определить подлинность. Биометрический – имеющий отношение к биометрии. Биометрические характеристики – биологические и поведенческие характеристики субъекта, которые могут быть зарегистрированы и Изм. Лист № докум. Подпись Дата КП-10.02.05. ИБ42 08.10.21 Лист Разраб. Затуливетер Б.П. 11 использованы в качестве отличительных повторяющихся признаков, которые могут быть использованы для автоматической идентификации личности. Биометрические данные – биометрический образец на любой стадии обработки, биометрический шаблон, биометрический признак или биометрические характеристики субъекта. Биометрические системы безопасности – системы контроля доступа, основанные на идентификации человека по биологическим признакам, таким как структура ДНК, рисунок радужной оболочки глаза, сетчатка глаза, геометрия и температурная карта лица, отпечаток пальца, геометрия ладони. Часто используются еще и уникальные динамические особенности человека – подпись и клавиатурный почерк, голос, походка. Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Конфиденциальность – это свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющий доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от лиц, не имеющих полномочий на право доступа к ней. Целостность – это сохранение данных в том виде, в каком они были созданы. Доступность – состояние информации, при котором субъекты, имеющие права доступа определенных лиц, могут реализовывать их беспрепятственно (ознакомится, документировать, модифицировать или уничтожить). |