WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

1. WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

2. Polityka Bezpieczeństwa Polityka bezpieczeństwa organizacji definiuje poprawne i niepoprawne sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie. Określaniem polityki bezpieczeństwa zajmuje się zarząd organizacji, managerzy odpowiedzialni za bezpieczeństwo w ścisłej współpracy z administratorami systemu informatycznego. Określanie strategii realizacji polityki bezpieczeństwa należy do administratorów, natomiast zadania opracowywania i realizacji taktyk współdzielą administratorzy i użytkownicy.

3. Podstawy i wymagania prawne • ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI1z dnia 29 kwietnia 2004 r.w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych(Dz. U. z dnia 1 maja 2004 r.) nr 100 • REKOMENDACJA D GENERALNEGO INSPEKTORATU NADZORU BANKOWEGO NBP z 2002 r dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki

4. Zagadnienia szyfrowania danych oferowane przez Asseco Poland SA • Systemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank ) • Systemy szyfrowania połączeń transmisji danych (VPN) • Szyfrowanie danych wynoszonych z banku w postaci elektronicznej

5. Rola Polityki Bezpieczeństwa w ochronie informacji ODPOWIEDZIALNOŚĆ ZA STWORZENIE I REALIZACJĘ POLITYKI BEZPIECZEŃSTWA SPOCZYWA NA KIEROWNICTWU BANKU * Rekomendacja D GINB Podstawowe elementy efektywnego procesu zabezpieczenia systemów informatycznych zawarte w Polityce Bezpieczeństwa: • podział kompetencji i odpowiedzialności kierownictwa oraz pracowników banku • procedury i zasady fizycznej oraz elektronicznej ochrony danych oraz systemów informatycznych • analiza oraz testowanie środków i mechanizmów kontroli bezpieczeństwa • zasady postępowania dotyczące zgodności systemów informatycznych z aktualnie obowiązującymi przepisami • opis mechanizmów realizacji polityki bezpieczeństwa w praktyce

6. SSH – alternatywa dla TelnetSystemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank ) SSH (ang. secure shell) - "bezpieczna powłoka" jest standardem protokołów komunikacyjnych wykorzystywanych w sieciach komputerowych TCP/IP, w architekturze klient - serwer.

7. Ogólne założenia protokołu SSH Ogólne założenia protokołu SSH powstały w grupie roboczej IETF (Internet Engineering Task Force). Istnieją jego dwie wersje SSH1 i SSH2. W jego wersji 2, możliwe jest użycie dowolnych sposobów szyfrowania danych i 4 różnych sposobów rozpoznawania użytkownika, podczas gdy SSH1 obsługiwaje tylko stałą listę kilku sposobów szyfrowania i 2 sposoby rozpoznawania użytkownika (klucz RSA i zwykłehasło). Rodzina „bezpiecznego protokołu” wykorzystuje PORT 22.

8. Elementy wdrożenia SSH w systemie DefBank • SERWER – pakiet OpenSSH • TERMINAL – oprogramowanie PUTTY • PLIKI KONFIGURACYJNE SYSTEMU DEFBANK – oprogramowanie PUTTY

9. A B Systemy szyfrowania transmisji danych VPN Wirtualna sieć prywatna (VPN) umożliwia szyfrowanie połączenia sieci korporacyjnej wykorzystującej transmisję w sieci publicznej Oddział CENTRALA X Y

10. Przykład implementacji VPN

11. Proponowane urządzenia JUNIPER NETSCREEN NetScreen-5GT/5XT NetScreen-25/50 Fortigate 50/60 Fortigate 100 Fortigate 200/300

12. Zróżnicowana funkcjonalność • Router • FireWall • Client VPN • System uwierzytelniania użytkowników • Wbudowany Antywirus • Rejestrator zdarzeń – Juniper Netscreen • Antyspam - Fortigate

13. System szyfrowania danych przeznaczonych do transportu Najważniejsze cechy proponowanego rozwiązania: • ochrona danych na dyskach lokalnych, sieciowych, zewnętrznych urządzeniach (USB memory sticks, ZIP itp.) • szybkie i wydajne szyfrowanie • nieskomplikowana obsługa – maksymalnie uproszczona obsługa przy zachowaniu wysokiego poziomu bezpieczeństwa • prosta dystrybucja w systemach Windows • niskie koszty wdrożenia

14. Strona techniczna rozwiązania • Algorytm kryptograficzny „Blowfish” • Klucze kodujące o zmiennej długości 32-448 bitów • Minimalne wymagania sprzętowe: zestaw komputerowy klasy P II lub AMD II, wolny port USB, system operacyjny Windows

15. Przykład zabezpieczenia danych

16. Systemy wykrywania i blokowania intruzów IDP

17. WAN WAN Implementacja w infrastrukturze IT Użytkownicy zdalni Użytkownicy zdalni Użytkownicy lokalni Instytucje zewnętrzne Serwery aplikacyjne Zapory Serwery bazodanowe WebServer Zapory MailServer Zapory Zarządzanie

18. Wszystkie ataki dochodzą do celu! IDS – Intrusion Detection System System IDS wykrywający ataki i alarmujący określone zasoby ludzkie i informatyczne o ich wystąpieniu

19. Server Users WebServer MailServer User Zablokowane pakiety wykonujące atak Firewall Ataki są blokowane przed uzyskaniem dostępu do zasobów NIPS – Network Intrusion Prevention System System IPS wykrywający ataki i blokujący je w czasie rzeczywistym

20. System backup’u danych

21. System backup’u danych Zapasowy serwer z kopią danych w trakcie pracy banku Rozwiązanie to zakłada uruchomienie dodatkowego serwera, na którym jest wykonywana pełna kopia podczas pracy systemu bankowego. Kopia ta dokonuje się na bazie oprogramowania C-Tree. Pozwala to skrócić czas odtwarzania danych w przypadku awarii serwera podstawowego. Przywracany jest stan bazy danych z okresu poprzedzającego bezpośrednio awarię serwera – dane, które zostały wprowadzone nie są tracone, jak to mogłoby mieć miejsce w rozwiązaniu dotychczas stosowanym. W czasie wystąpienia awarii serwera bankowego eliminującej go z pracy, serwer zastępczy przejmuje jego funkcje. W celu odciążenia sieci, dołączenie serwera zapasowego powinno być wykonane jako połączenie dedykowane lub zrealizowane za pomocą przełącznika sieciowego (Switch). W rozwiązaniu tym musi być zachowana zgodność systemu operacyjnego między serwerami. Przestrzeń dyskowa na serwerze zapasowym musi być dwukrotnie większa od wielkości plików systemu podstawowego serwera bankowego.