WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
Polityka Bezpieczeństwa Polityka bezpieczeństwa organizacji definiuje poprawne i niepoprawne sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie. Określaniem polityki bezpieczeństwa zajmuje się zarząd organizacji, managerzy odpowiedzialni za bezpieczeństwo w ścisłej współpracy z administratorami systemu informatycznego. Określanie strategii realizacji polityki bezpieczeństwa należy do administratorów, natomiast zadania opracowywania i realizacji taktyk współdzielą administratorzy i użytkownicy.
Podstawy i wymagania prawne ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI1 z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z dnia 1 maja 2004 r.) nr 100 REKOMENDACJA D GENERALNEGO INSPEKTORATU NADZORU BANKOWEGO NBP z 2002 r dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki
Zagadnienia szyfrowania danych oferowane przez Asseco Poland SA Systemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank ) Systemy szyfrowania połączeń transmisji danych (VPN) Szyfrowanie danych wynoszonych z banku w postaci elektronicznej
Rola Polityki Bezpieczeństwa w ochronie informacji ODPOWIEDZIALNOŚĆ ZA STWORZENIE I REALIZACJĘ POLITYKI BEZPIECZEŃSTWA SPOCZYWA NA KIEROWNICTWU BANKU * Rekomendacja D GINB Podstawowe elementy efektywnego procesu zabezpieczenia systemów informatycznych zawarte w Polityce Bezpieczeństwa: podział kompetencji i odpowiedzialności kierownictwa oraz pracowników banku procedury i zasady fizycznej oraz elektronicznej ochrony danych oraz systemów informatycznych analiza oraz testowanie środków i mechanizmów kontroli bezpieczeństwa zasady postępowania dotyczące zgodności systemów informatycznych z aktualnie obowiązującymi przepisami opis mechanizmów realizacji polityki bezpieczeństwa w praktyce
SSH – alternatywa dla Telnet Systemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank ) SSH (ang. secure shell) - "bezpieczna powłoka" jest standardem protokołów komunikacyjnych wykorzystywanych w sieciach komputerowych TCP/IP, w architekturze klient - serwer.
Ogólne założenia protokołu SSH Ogólne założenia protokołu SSH powstały w grupie roboczej IETF (Internet Engineering Task Force). Istnieją jego dwie wersje SSH1 i SSH2. W jego wersji 2, możliwe jest użycie dowolnych sposobów szyfrowania danych i 4 różnych sposobów rozpoznawania użytkownika, podczas gdy SSH1 obsługiwaje tylko stałą listę kilku sposobów szyfrowania i 2 sposoby rozpoznawania użytkownika (klucz RSA i zwykłe hasło). Rodzina „bezpiecznego protokołu” wykorzystuje PORT 22.
Elementy wdrożenia SSH w systemie DefBank SERWER – pakiet OpenSSH TERMINAL – oprogramowanie PUTTY PLIKI KONFIGURACYJNE SYSTEMU DEFBANK – oprogramowanie PUTTY
Systemy szyfrowania transmisji danych VPN Oddział CENTRALA A X Y B Wirtualna sieć prywatna (VPN) umożliwia szyfrowanie połączenia sieci korporacyjnej wykorzystującej transmisję w sieci publicznej
Przykład implementacji VPN
Proponowane urządzenia JUNIPER NETSCREEN NetScreen-5G T/5XT NetScreen-25/50 Fortigate 50/60 Fortigate 100 Fortigate 200/300
Zróżnicowana funkcjonalność Router FireWall Client VPN System uwierzytelniania użytkowników Wbudowany Antywirus Rejestrator zdarzeń – Juniper Netscreen Antyspam - Fortigate
System szyfrowania danych przeznaczonych do transportu Najważniejsze cechy proponowanego rozwiązania: ochrona danych na dyskach lokalnych, sieciowych, zewnętrznych urządzeniach (USB memory sticks, ZIP itp.) szybkie i wydajne szyfrowanie nieskomplikowana obsługa – maksymalnie uproszczona obsługa przy zachowaniu wysokiego poziomu bezpieczeństwa prosta dystrybucja w systemach Windows niskie koszty wdrożenia
Strona techniczna rozwiązania Algorytm kryptograficzny „Blowfish” Klucze kodujące o zmiennej długości 32-448 bitów Minimalne wymagania sprzętowe: zestaw komputerowy klasy P II lub AMD II, wolny port USB, system operacyjny Windows
Przykład zabezpieczenia danych
Systemy wykrywania i blokowania intruzów IDP
Implementacja w infrastrukturze IT Użytkownicy zdalni Użytkownicy zdalni Użytkownicy lokalni Instytucje zewnętrzne WAN Serwery aplikacyjne WAN Zapory Serwery bazodanowe Web Server Zapory Mail Server Zapory Zarządzanie
IDS – Intrusion Detection System Wszystkie ataki dochodzą do celu! System IDS wykrywający ataki i alarmujący określone zasoby ludzkie i informatyczne o ich wystąpieniu
NIPS – Network Intrusion Prevention System Ataki są blokowane przed uzyskaniem dostępu do zasobów Web Server User Users Server Firewall Mail Server System IPS wykrywający ataki i blokujący je w czasie rzeczywistym Zablokowane pakiety wykonujące atak
System backup’u danych
System backup’u danych Zapasowy serwer z kopią danych w trakcie pracy banku Rozwiązanie to zakłada uruchomienie dodatkowego serwera, na którym jest wykonywana pełna kopia podczas pracy systemu bankowego. Kopia ta dokonuje się na bazie oprogramowania C-Tree. Pozwala to skrócić czas odtwarzania danych w przypadku awarii serwera podstawowego. Przywracany jest stan bazy danych z okresu poprzedzającego bezpośrednio awarię serwera – dane, które zostały wprowadzone nie są tracone, jak to mogłoby mieć miejsce w rozwiązaniu dotychczas stosowanym. W czasie wystąpienia awarii serwera bankowego eliminującej go z pracy, serwer zastępczy przejmuje jego funkcje. W celu odciążenia sieci, dołączenie serwera zapasowego powinno być wykonane jako połączenie dedykowane lub zrealizowane za pomocą przełącznika sieciowego (Switch). W rozwiązaniu tym musi być zachowana zgodność systemu operacyjnego między serwerami. Przestrzeń dyskowa na serwerze zapasowym musi być dwukrotnie większa od wielkości plików systemu podstawowego serwera bankowego.