Перечень сокращений и условных наименований

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение

высшего образования

САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ

Факультет «Информационной безопасности и компьютерных технологий»

Кафедра «Проектирования и безопасности компьютерных систем»

ОТЧЕТ ПО ПРАКТИКЕ

Выполнил:

Студент 2 курса магистратуры, гр.P4255

Тишков Иван Владимирович

Руководитель практики:

__________________________________Оценка:___________________________

Дата защиты «_____» _________ 2016г.

Календарный план прохождения практики

студента 2 курса магистратуры

Ф. И. О.: Тишков Иван Владимирович

Специальность: Проектирование комплексных систем информационной безопасности

с "20" февраляпо "10" марта2017 г.

№ п/п

Характер выполняемой работы

Календарный срок

Рабочее место студента

Ознакомление с нормативными документами Банка России:

Инструкция о порядке обработки информации, содержащей сведения ограниченного распространения, на средствах вычислительной техники в системе Банка России;

Порядок ввода и вывода из эксплуатации средств вычислительной техники, предназначенных для обработки информации, содержащей сведения ограниченного распространения;

Политика в части обеспечения безопасности информационных ресурсов в Банке России;
Основные направления политики информационной безопасности Банка России;
Требования по обеспечению информационной безопасности электронных технологий обработки, хранения и передачи информации, содержащей сведения ограниченного распространения в системе Банка России;
Временная инструкция по организации физического и логического контроля доступа в локальных вычислительных сетях Банка России;


	6 Стандарт Банка России. Обеспечение информационной безопасности организации банковской системы Российской Федерации 7 Памятка в самости обеспечения безопасности информационных ресурсов в Банке России.
	Изучение регламентирующих документов Северо-Западного ГУ Банка России: Принципы построения комплексной информационной системы Главного управления Банка России по Санкт-Петербургу; Положение о правилах обмена электронными документами между БР, кредитными организациями, филиалами и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России; Временное положение о Центре управления и мониторинга Системы коллективной обработки оинформации; Руководство по обеспеченью информационно вычислительных ресурсов КЦОИ – 2 от воздействия вредоносного кода; Автоматизированная система банковских электронных срочных платежей (АС «БЭСП») Аналитическая подсистема. Руководство администратора; Автоматизированная система «Анализ корреспондентских счетов кредитных организаций» (АКС КО) Руководство по обеспечению ИБ;
	Изучение функциональных возможностей средств защиты информации используемых в Северо-Западном ГУ Банка России: 1. СЗИ от НСД «Secret Net»; 2. СЗИ от ВВК «Антивирус Касперского»;


	3. СЗИ от ВВК «Dr.Web»; 4. Контроль ПУ «Device Lock».
	Изучение документов технического проекта и рабочей документации Системы обеспечения информационной безопасности Коллективного центра обработки информации на базе Северо-Западного ГУ Банка России: Развитие Системы обеспечения информационной безопасности КЦОИ-2 первой очереди. Техническое задание; Решение о постановке под контроль СОИБ КЦОИ-2 (1-й очереди) объектов, функционирующих на платформе pSeries; Система обеспечения информационной безопасности КЦОИ-2 первой очереди. Пояснительная зависка к техническому проекту; Система обеспечения информационной безопасности КЦОИ-2 первой очереди. Руководство администратора ИБ СОИБ; Система обеспечения информационной безопасности КЦОИ-2 первой очереди. Руководство оператора ИБ СОИБ.
	Определение основных комплексов средств и мер обеспечения информационной безопасности автоматизированных систем.
	Подготовка отчета по результатам прохождения производственной практики.

Студент_________________

(подпись)

Руководитель практики________________

(подпись)

Оглавление

Перечень сокращений и условных наименований

1 Описание предприятия

1.1 История Центрального банка

1.2 Правовой статус и функции Банка России

4 Средства защиты информации, используемые в Северо-Западном ГУ Банка России

4.1 СЗИ от НСД «Secret Net»

4.2 СЗИ от ВВК «Антивирус Касперского»

4.3 СЗИ от ВВК «Dr.Web»

4.4 Контроль ПУ «Device Lock»

5 Документы технического проекта и рабочая документация Системы обеспечения информационной безопасности Коллективного центра обработки информации на базе Северо-Западного ГУ Банка России

Описание объекта

История Центрального банка

Центральный банк Российской Федерации (Банк России) был учреждён 13 июля 1990 года в результате преобразования Российского республиканского банка Госбанка СССР, существовавшего с октября 1987 года. Был подотчётным Верховному Совету РСФСР. Первоначальное название — Государственный банк РСФСР.

2 декабря 1990 года Верховный Совет РСФСР принял Закон о Центральном банке РСФСР (Банке России), в соответствии с которым Банк России стал юридическим лицом, главным банком РСФСР и был подотчётен Верховному Совету РСФСР. В июне 1991 года был принят Устав Банка России, который сохранил подотчетность Верховному Совету РСФСР.

В ноябре 1991 года Центральный банк РСФСР стал единственным на территории РСФСР органом государственного денежно-кредитного и валютного регулирования экономики республики. На него возлагались полномочия Госбанка СССР по эмиссии и определению курса рубля.

20 декабря 1991 года Государственный банк СССР был упразднён и все его активы, пассивы и имущество на территории РСФСР были переданы Центральному банку РСФСР (Банку России), который несколько месяцев спустя был переименован в Центральный банк Российской Федерации (Банк России).

В течение 1991—1992 годов в России под руководством Банка России была создана широкая сеть коммерческих банков на основе филиалов спецбанков. Также была изменена система счетов, созданы расчетно-кассовые центры (РКЦ) Банка России. С 1992 года Банк России начал осуществлять куплю-продажу иностранной валюты на созданном им валютном рынке, устанавливать и публиковать официальные котировки иностранных валют по отношению к рублю. В этот же период начался процесс передачи Банком России функций кассового исполнения государственного бюджета вновь созданному Федеральному казначейству.

В соответствии с Конституцией Российской Федерации (ст. 75) и Законом «О Центральном банке Российской Федерации (Банке России)» (ст.22), банк осуществляет функции и полномочия независимо от федеральных органов государственной власти, органов государственной власти субъектов федерации и органов местного самоуправления. Государство не отвечает по обязательствам Банка России, а Банк России — по обязательствам государства (ст.2) (см. также раздел о правовом статусе).

В 1992—1995 годах для поддержания стабильности банковской системы Банк России создал систему надзора и инспектирования коммерческих банков, а также систему валютного регулирования и валютного контроля. В качестве агента Министерства финансов Банк России организовал рынок государственных ценных бумаг (ГКО) и стал принимать участие в функционировании.

С 1995 года Банк России прекратил использование прямых кредитов для финансирования дефицита федерального бюджета и перестал предоставлять целевые централизованные кредиты отраслям экономики.

С 1998 года Банк России для преодоления последствий финансового кризиса проводил политику реструктуризации банковской системы, направленную на улучшение работы коммерческих банков и повышение их ликвидности. Также было создано Агентство по реструктуризации кредитных организаций (АРКО) и Межведомственный координационный комитет содействия развитию банковского дела в России (МКК). В 2001 году в результате эффективных действий Банка России, АРКО и МКК банковский сектор экономики в основном преодолел последствия кризиса.

В 2003 году Банк России начал внедрять систему международных стандартов финансовой отчётности.

В декабре 2003 года был принят Федеральный закон «О страховании вкладов физических лиц в банках Российской Федерации», в котором были определены правовые, финансовые и организационные основы функционирования системы обязательного страхования вкладов физических лиц в банках Российской Федерации, а также компетенция, порядок образования и деятельности организации, осуществляющей функции по обязательному страхованию вкладов, порядок выплаты возмещения по вкладам.

1 сентября 2013 года банку перешли функции упразднённой Федеральной службы по финансовым рынкам, сделав банк финансовым мегарегулятором.

Банк России перешел к режиму плавающего валютного курса в ноябре 2014 года. Таким образом, курс рубля не определяется правительством или центральным банком, он не является фиксированным и какие-либо цели по уровню курса или темпам его изменения не устанавливаются. Банк России в нормальных условиях не совершает валютных интервенций с целью повлиять на динамику курса рубля. Это отличает режим плавающего валютного курса от многочисленных разновидностей режима управляемого курса.

СЗИ от НСД «Secret Net»

Назначение:

Программно-аппаратный комплекс для обеспечения информационной безопасности в локальной вычислительной сети, рабочие станции и сервера которой работают под управлением семейств операционных систем Windows и UNIX (Secret Net LSP).

Основные функции, реализуемые системой Secret Net:

• контроль входа пользователей в систему;

• разграничение доступа пользователей к ресурсам файловой системы и устройствам компьютера;

• создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера (замкнутой программной среды);

• разграничение доступа пользователей к конфиденциальным данным;

• контроль потоков конфиденциальной информации в системе;

• контроль вывода на печать и добавление грифов в распечатываемые документы (маркировка документов);

• контроль целостности защищаемых ресурсов;

• контроль подключения и изменения устройств компьютера;

• функциональный контроль ключевых компонентов Secret Net;

• защита содержимого дисков при несанкционированной загрузке;

• уничтожение (затирание) содержимого файлов при их удалении;

• теневое копирование выводимой информации;

• регистрация событий безопасности в журнале Secret Net;

• мониторинг и оперативное управление защищаемыми компьютерами (только в сетевом режиме функционирования);

• централизованный сбор и хранение журналов (только в сетевом режиме функционирования);

• централизованное управление параметрами механизмов защиты (только в сетевом режиме функционирования).

Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.

Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.

Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.

Контроль целостности

СЗИ «Secret Net» включает в свой состав подсистему проверки целостности. СЗИ позволяет осуществлять контроль целостности файлов, каталогов, ключей реестра и их значений. По каждому из объектов может быть задан один из четырех типов контроля: сравнение содержимого объекта, атрибутов объекта, прав доступа, существование объекта. Алгоритмами проверки содержимого могут быть: сравнение содержимого, алгоритм CRC-7, имитовставка, электронно-цифровая подпись, хэш-функция.

Регистрация событий

СЗИ «Secret Net» для регистрации событий использует стандартные средства, присутствующие в ОС Windows NT, дополняя их возможностью регистрации ряда специальных событий. Важной особенностью реализации механизма регистрации событий является возможность использования как общего для всех пользователей перечня регистрируемых событий, так и персонального перечня, составляемого индивидуально для каждого пользователя.

Персональный идентификатор

Персональный идентификатор – отдельное аппаратное устройство, предназначенное для хранения персональных данных, которые необходимы для идентификации и аутентификации пользователя. В идентификаторе так же хранятся криптографические ключи пользователя. Для хранения криптографических ключей также могут использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители, аппаратный ключ и т. д.

Secret Net имеет действующий сертификат ФСТЭК России № 2707, срок действия – до 7 сентября 2018 г. Подтверждает соответствие руководящих документов по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно. Приказ Мин. обороны РФ № 2143, подтверждает соответствие приказа МО РФ 1996 г № 058: по 3 классу защищенности информации от НСД, по 2 уровню контроля отсутствия НДВ, по соответствию РДВ. Может использоваться для защиты информации, содержащей сведения, составляющие ГТ (не выше «совершенно секретно»)

СЗИ от ВВК «Dr.Web»

Dr. Web — семейство антивирусов, предназначенных для защиты от почтовых и сетевых червей, руткитов, файловых вирусов, троянских программ, стелс-вирусов, полиморфных вирусов, бестелесных вирусов, макровирусов, вирусов, поражающих документы MS Office, скрипт-вирусов, шпионского ПО (spyware), программ-похитителей паролей, клавиатурных шпионов, программ платного дозвона, рекламного ПО (adware), потенциально опасного ПО, хакерских утилит, программ-люков, программ-шуток, вредоносных скриптов и других вредоносных объектов, а также от спама, скаминг-, фарминг-, фишинг-сообщений и технического спама. Разрабатывается компанией Доктор Веб..

Dr. Web сертифицирован на соответствии требованиям к средствам антивирусной защиты (Приказ ФСТЭК России от 20.03.2012 г. № 28) по Профилям защиты средств антивирусной защиты типа «А», «Б», «В» и «Г» второго класса защиты.

Контроль ПУ «Device Lock»

DeviceLock– программное средство, предназначенное для защиты и администрирования локальных и сетевых компьютеров путем предотвращения неконтролируемых действий пользователя при обмене информацией через компьютерные порты и устройства со сменными носителями.

Использование неавторизованных USB-устройств представляет угрозу корпоративным сетям и данным. Причем не только конфиденциальная информация может "уйти" из корпоративной сети через USB-порт, но и вирусы или троянские программы могут быть занесены внутрь корпоративной сети, минуя серверные сетевые экраны и антивирусы. Точно так же дело обстоит с записывающими CD/DVD-приводами.

Обеспечивая контроль над пользователями, имеющими доступ к портам и устройствам локального компьютера, DeviceLock закрывает потенциальную уязвимость в защите простым и экономичным способом. DeviceLock полностью интегрируется в подсистему безопасности Windows, функционируя на уровне ядра системы, и обеспечивает прозрачную для пользователя защиту.

Программный комплекс DeviceLock обеспечивает выполнение ряда требований руководящих и нормативных документов по защите конфиденциальной информации и персональных данных. DeviceLock успешно применяется в качестве сертифицированного средства защиты информации от НСД при построении автоматизированных систем для работы с конфиденциальной информацией, а так же в информационных системах любых классов для работы с персональными данными.

DeviceLock имеет действующий сертификат ФСТЭК России № 3465 от 05.11.2015 г. Программный комплекс соответствует требованиям документов «Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России», утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 - по 4 классу защиты и «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)» (ФСТЭК России, 2014), руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999).

Программные методы защиты

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития. По функциональному назначению их можно разделить на следующие группы:

-идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

-определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

-контроль работы технических средств и пользователей,

-регистрация работы технических средств и пользователей при обработке информации ограниченного использования,

-уничтожения информации в ЗУ после использования,

-сигнализации при несанкционированных действиях,

-вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Резервное копирование

Резервное копирование информации заключается в хранении копии программ на носителе: стримере, гибких носителях, оптических дисках, жестких дисках. На этих носителях копии программ могут находится в нормальном- несжатом или заархивированном виде. Резервное копирование проводится для сохранения программ от повреждений как умышленных, так и случайных, и для хранения редко используемых файлов.

Большинство наиболее популярных современных программ резервирования предоставляют, в том или ином виде, базу данных о зарезервированных файлах и некоторую информацию о том, на какой ленте находятся последние зарезервированные копии. Гораздо реже встречается возможность интеграции с технологией структурированного, или иерархического хранения информации (HSM, Hierarchical Storage Management).

HSM помогает увеличить емкость доступного пространства жесткого диска на сервере за счет перемещения статичных файлов, к которым последнее время не обращались, на менее дорогие альтернативные запоминающие устройства, такие как оптические накопители или накопители на магнитной ленте. HSM оставляет на жестком диске фиктивный файл нулевой длины, уведомляющий о том, что реальный файл перенесен. В таком случае, если пользователю потребуется предыдущая версия файла, то программное обеспечение HSM сможет быстро извлечь его с магнитной ленты или с оптического накопителя.

Заключение

Выбор способов защиты информации в информационной системе – сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон.

Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

5. Необходимо постоянно усовершенствовать механизм защиты.

Список используемой литературы

1) Технические средства и методы защиты информации:Учебник для вузов / Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. – М.: ООО «Издательство Машиностроение», 2009 – 508 с.

2) СЗИ Secret Net 7 Руководство администратора. Принципы построения

3) СЗИ Secret Net 7. Инструкция по делегированию административных полномочий СЗИ Secret Net 7 Руководство пользователя