Безопасность банковских информационных технологий (БТ02)


Безопасность банковских информационных технологий (
Базовый теоретический курс (Код БТ02))

Аннотация:
Курс предназначен для комплексного обучения руководителей и специалистов теоретическим, правовым и организационно-техническим вопросам обеспечения безопасности банковских информационных систем. В курсе обобщен и систематизирован многолетний опыт специалистов Учебного Центра и НИП "ИНФОРМЗАЩИТА" по разработке систем обеспечения информационной безопасности, аналитических обследований крупнейших компьютерных сетей страны. Особое внимание уделяется технологии обеспечения информационной безопасности, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование информационных систем.
В процессе обучения специалисты знакомятся с кругом проблем и решений в области безопасности банковских информационных систем, приобретают систематизированные знания об основных источниках угроз, способах осуществления несанкционированного доступа к информационным банковским системам, типичных приемах и инструментах, используемых нарушителями, изучают методы и аппаратно-программные средства защиты информации от внутренних и внешних угроз. Один из разделов курса посвящен вопросам безопасности систем банковских электронных переводов, систем "Клиент-Банк".

Аудитория:

  • Руководители и специалисты отделов (управлений) информационных технологий, автоматизации и технической защиты информации банков, в обязанности которых входит обеспечение безопасности банковских компьютерных сетей, организация работ по созданию комплексных систем защиты информации в автоматизированных банковских системах, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации

  • Аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности автоматизированных систем и путей обеспечения их защиты

  • Администраторы средств защиты, контроля и управления безопасностью, ответственные за сопровождение и администрирование средств защиты информации, средств анализа защищенности автоматизированных систем

  • Менеджеры, ответственные за работу с персоналом по вопросам обеспечения информационной безопасности

Предварительная подготовка:
Общие представления об информационных системах, правовых, организационных и технических аспектах обеспечения информационной безопасности.

По окончании обучения Вы сможете:

  • Разрабатывать основные положения концепции построения и эффективного применения комплексных систем защиты информации в информационных системах

  • Организовывать деятельность служб технической защиты информации в действующих и проектируемых системах

  • Планировать защиту и рационально распределять соответствующие функции между подразделениями, сотрудниками банка, организовывать их взаимодействие на различных этапах жизненного цикла информационных подсистем

  • Разрабатывать организационно-распорядительные документы по вопросам защиты информации

  • Грамотно подходить к выбору необходимых программно-аппаратных средств защиты информации в компьютерных сетях

  • Организовывать поиск и использование оперативной информации о новых уязвимостях в системном и прикладном программном обеспечении, другой актуальной информации для обеспечения информационной безопасности

  • Проводить информационные обследования и анализ рисков информационных подсистем

  • Ориентироваться в проблемах информационной безопасности в сетях Internet/Intranet, уязвимостях сетевых протоколов и служб, атаках в IP-сетях

  • Ориентироваться в средствах защиты от несанкционированного доступа, межсетевых экранах, средствах контроля информационного наполнения, средствах анализа защищенности и средствах обнаружения атак для обеспечения безопасности в IP-сетях

Дополнительно:
Каждый слушатель курса получает фирменное учебное пособие и компакт-диск, содержащий пакет типовых организационно-распорядительных и основных правовых нормативно-методических материалов, на основе которых ведется обучение. Данный пакет является основой для разработки документов, регулирующих вопросы обеспечения информационной безопасности в банковских и финансовых структурах, включает типовые проекты документов, определяющих и регулирующих требования по соблюдению политики безопасности и др.
По окончании обучения и успешной сдачи тестов выпускники получают государственные документы о повышении квалификации в области информационной безопасности.

Программа курса:

  • Безопасность информационных технологий
    • Основные понятия безопасности информационных технологий. Субъекты информационных отношений, их интересы и безопасность, пути нанесения им ущерба. Основные термины и определения. Конфиденциальность, целостность, доступность. Объекты, цели и задачи защиты информационных систем.

    • Угрозы информационной безопасности и их классификация. Основные источники и пути реализации угроз. Модели нарушителей. Подходы к анализу рисков и определению требований к уровню обеспечения информационной безопасности. Российские, зарубежные (британский BS 7799 – ISO 17799 и германский BSI стандарты) и международные критерии защищенности систем (ISO 15408-99).

    • Виды мер обеспечения информационной безопасности. Основные принципы построения систем защиты.

    • Основные защитные механизмы. Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, фильтрация пакетов, трансляция адресов, контроль вложений, обнаружение и противодействие атакам, сканирование уязвимостей и др.

  • Безопасность электронных платежных систем
    • Электронная коммерция и ее основные виды. Коммерческая транзакция, ее основные этапы и участники. Традиционная и электронная коммерция. Интернет-коммерция. История возникновения и прототипы современных систем электронной коммерции (системы MoTo, MINITEL, EDI и EFT). Основные виды электронной коммерции: B2B и B2C, C2C, P2P, G2C и другие. Контактная и удаленная коммерция. Российские особенности электронной коммерции.

    • Безопасность электронной коммерции. Угрозы интересам участников коммерческой транзакции. Основные пути обеспечения безопасности коммерческой транзакции. Проблема анонимности коммерческой транзакций и ее решение. Инфраструктура безопасности электронной коммерции. Электронная подпись: основные определения и свойства. Классические SSL и финансовые сертификаты. Центры сертификации и регистрации ключей ЭЦП (электронной цифровой подписи) для электронной коммерции.

    • Безопасность традиционной системы электронных межбанковских расчетов. Основные принципы организации и функционирования электронной системы расчетов (электронные и квазиэлектронные расчеты, дискретные и непрерывные системы). Основные риски проведения расчетов. Основные требования, предъявляемые к безопасности проведения расчетов. Безопасность расчетов на основе корреспондентских отношений. Безопасность взаимодействия банка и расчетного центра.

    • Безопасность системы "Клиент-Банк". Структура, принципы функционирования и основные виды систем Клиент-Банк. Уязвимости системы и основные угрозы безопасности для клиента и банка. Основные требования, предъявляемые к безопасности системы Клиент-Банк. Безопасность и юридическая значимость платежей системы Клиент-Банк.

    • Безопасность платежных систем, использующих пластиковые карты. Технология проведения расчетов, уязвимости, основные виды мошенничеств и пути обеспечения безопасности в платежных карточных системах традиционной коммерции. Особенности использования пластиковых карт в электронной коммерции. Основные виды мошенничеств в электронной коммерции и решения в области безопасности расчетов. Виртуальные и одноразовые карты. Создание клубных систем расчетов. Использование специальных протоколов безопасности. Фундаментальный протокол безопасности электронных платежных транзакций SET. Основные проблемы расчетов с использованием пластиковых карт в электронной коммерции: аутентификация и анонимность платежных средств, микроплатежи.

    • Безопасность расчетов с использованием электронных денег. Технология проведения расчетов, уязвимости, основные виды мошенничеств и пути обеспечения безопасности в платежных системах на базе электронных чеков. Основные свойства цифровых наличных. Технология расчетов, уязвимости и угрозы транзакций, протоколы обеспечения безопасности.

  • Правовые основы обеспечения информационной безопасности
    • Законы РФ и другие нормативно-правовые документы, регламентирующие отношения субъектов в информационной сфере и деятельность организаций по защите информации. Защита информации ограниченного доступа, обязанности и права субъектов. Сертификация средств защиты и аттестация информационных систем. Требования руководящих документов Гостехкомиссии России и ФАПСИ. Вопросы законности применения средств криптографической защиты информации.

  • Организационные меры защиты
    • Состав и организационная структура системы обеспечения информационной безопасности. Распределение функций и порядок взаимодействия подразделений на различных этапах жизненного цикла информационных подсистем. Ответственные за информационную безопасность в подразделениях. Администраторы штатных и дополнительных средств защиты. Подразделения технической защиты информации. Положение о подразделении.

    • Регламентация процессов и действий персонала. Система организационно-распорядительных документов организации по вопросам обеспечения информационной безопасности. Регламентация действий всех категорий сотрудников, допущенных к работе с информационными системами.

    • Обязанности сотрудников по обеспечению информационной безопасности. Соглашение-обязательство сотрудника. Инструкция по организации парольной защиты. Инструкция по антивирусной защите. Порядок работы с ключевыми носителями.

    • Регламентация процесса авторизации. Инструкция по внесению изменений в списки пользователей. Обязанности администраторов штатных и дополнительных средств защиты.

    • Регламентация процесса внесения изменений в аппаратно-программную конфигурацию подсистем. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств. Формуляры рабочих станций, серверов и задач. Фонд алгоритмов и программ. Регламентация процессов разработки, испытания, внедрения и сопровождения задач.

    • Регламентация процесса информационного обмена со сторонними организациями. Инструкция по обеспечению информационной безопасности при работе в Internet.

    • Регламентация применения средств защиты информации. Положение о Центре управления ключевыми системами. Планы защиты подсистем. Концепция информационной безопасности.

    • Регламентация действий в нештатных ситуациях. Планы обеспечения непрерывной работы и восстановления работоспособности информационных подсистем. Порядок резервирования и резервного копирования ресурсов информационных систем.

    • Определение требований к защищенности ресурсов. Обследование подсистем, инвентаризация и категорирование ресурсов информационных систем. Положение о категорировании ресурсов. Перечень информационных ресурсов, подлежащих защите.

  • Средства защиты от внутренних нарушителей
    • Задачи, решаемые средствами защиты информации от несанкционированного доступа. Место и роль аппаратно-программных средств. Требования руководящих документов Гостехкомиссии России к средствам защиты информации от несанкционированного доступа.

    • Основные возможности и защитные механизмы. Демонстрация основных возможностей. Средства аппаратной поддержки (ROM BIOS, Secret Net Touch Memory Card, COM-считыватели TM и Smart Card, электронный замок). Перспективы развития.

  • Обеспечение безопасности компьютерных сетей
    • Проблемы обеспечения безопасности в сетях. Типовая IP-сеть организации. Угрозы, уязвимости и атаки. Средства обнаружения уязвимостей узлов IP-сетей и атак на узлы, протоколы и сетевые службы. Получение оперативной информации о новых уязвимостях и атаках. Способы устранения уязвимостей и противодействия вторжениям нарушителей.

    • Межсетевые экраны. Назначение и виды. Основные возможности и варианты размещения. Достоинства и недостатки. Основные защитные механизмы: фильтрация пакетов, трансляция сетевых адресов, промежуточная аутентификация, script rejection, проверка почты, виртуальные частные сети, противодействия атакам, нацеленным на нарушение работоспособности сетевых служб, дополнительные функции. Общие рекомендации по применению. Политика безопасности при доступе в сети общего пользования. Демилитаризованная зона.

    • Контроль информационного наполнения (контента) электронной почты и Web-трафика. Компоненты и функционирование систем контроля контента. Политики безопасности, сценарии и варианты применения и реагирования.

    • Виртуальные частные сети (VPN). Назначение, основные возможности, принципы функционирования и варианты реализации. Структура защищенной корпоративной сети. Варианты, достоинства и недостатки VPN-решений. Общие рекомендации по их применению.

    • Средства выявления уязвимостей узлов сетей и средства обнаружения атак на узлы, протоколы и сетевые службы. Назначение, возможности, принципы работы. Место и роль в общей системе обеспечения безопасности. Сравнение возможностей с межсетевыми экранами. Средства обеспечения адаптивной сетевой безопасности. Варианты решений по обеспечению безопасности сети.

Комментарии запрещены.
Наши акции:
14 мая в Учебном центре "Трайтек" г.Саратов пройдет двухдневный курс "Поисковые системы и конкурентная разведка в Интернете". Курс ведет А.И. Масалович (Академия Информационных Систем г.Москва).
Отзывы:

Татаисэнерго:

Отзыв о проведении семинара на тему «Построение моделей данных с помощью ERwin Data Modeller. Практический курс».