Защита банковских информационных систем

Магистратура 2025/2026

Статус: Курс обязательный (Информационная безопасность в кредитно-финансовой сфере)

Кто читает: Базовая кафедра Банка России

Где читается: Общеуниверситетские кафедры

Когда читается: 2-й курс, 1, 2 модуль

Охват аудитории: для своего кампуса

Преподаватели: Елистратов Андрей Алексеевич, Стародубов Константин Владимирович

Язык: русский

Контактные часы: 78

Дополнительные материалы в LMS Задать вопрос

Аннотация

Информационная безопасность банковской системы является системообразующим фактором, обеспечивающим устойчивость экономики страны. Дисциплина направлена на формирование у студентов компетенций в области проектирования, внедрения и поддержки систем обеспечения информационной безопасности для финансовых организаций. В рамках курса студенты изучат принципы построения архитектуры безопасности современных банков, принципы создания средств и систем информационной безопасности, научатся выбирать и применять современные средства защиты информации, включая криптографические средства защиты информации, и освоят принципы безопасной разработки программного обеспечения, а также смогут обосновывать выбор конкретных СЗИ путем построения модели угроз и нарушителя. Особое внимание уделяется актуальным требованиям к обеспечению безопасности при обработке банковской тайны, персональных данных, включая биометрические персональные данные. Студенты познакомятся с перспективными направлениями, такими как обеспечение взаимодействия с внешними сервисами, например, такие как «Открытые API», развитие криптографических алгоритмов, в том числе постквантовых, и узнают, как правильно выстраивать взаимодействие с внешними системами в условиях современных угроз. А также как безопасно разрабатывать и использовать прикладное программное обеспечение (проведение пентестов, выполнение требований ОУД4 и т.д.). Курс также включает изучение нормативно-правовой базы отраслевых регуляторов (ФСТЭК России, ФСБ России, а также Банка России), и практические аспекты внедрения технологий для защиты критически важных инфраструктур. Ключевой блок программы посвящен моделированию угроз информационной безопасности на основе методологий, таких как БДУ ФСТЭК, OWASP Top 10 и других. Студенты изучат принципы обеспечения безопасности критической информационной инфраструктуры (КИИ) и научатся применять полученные знания в реальных проектах.

Цель освоения дисциплины

• Формирование компетенций в области проектирования, внедрения и сопровождения систем информационной безопасности для защиты инфраструктурных сервисов финансовых организаций. • Изучение принципов построения архитектуры безопасности современных банков и финансовых организаций. • Изучение принципов создания (разработки) средств защиты информации, их классы и парируемые угрозы. • Освоение современных средств защиты информации, включая криптографические защиту информации. • Обучение принципам безопасной разработки программного обеспечения, а также навыкам анализа уязвимостей и проведения тестирования на проникновение (пентестов). • Обоснование выбора средств защиты информации (СЗИ) и их адаптации к специфике финансовых организаций. • Изучение требований нормативно-правовой базы, разработанной отраслевыми регуляторами (ФСТЭК России, ФСБ России, Банк России), для защиты информации и критически важной инфраструктуры. • Освоение методов моделирования угроз информационной безопасности на основе современных методологий (например, БДУ ФСТЭК и OWASP Top 10) и порядка построения модели угроз и нарушителя. • Изучение перспективных направлений в области информационной безопасности, таких как квантовая и постквантовая криптография, новые криптографические алгоритмы, обеспечения безопасности стека платежных протоколов, в том числе биоэквайринга, и безопасное взаимодействие с внешними системами (например, "Открытые API"). • Развитие практических навыков обеспечения безопасности критической информационной инфраструктуры (КИИ), включая ее проектирование и эксплуатацию в условиях современных угроз.

Планируемые результаты обучения

• Применяет требования базового состава мер защиты информации, установленных для процессов защиты информации, определенных в ГОСТ Р 57580.1-2017.
• Решает задачи по определению содержания базового состава мер защиты информации по отношению к уровням защиты информации, определяемым ГОСТ Р 57580.1-2017
Решает задачи по оценке соответствия банковской организации требованиям ГОСТ Р 57580.1-2017 в соответствии с ГОСТ Р 57580.2-2018
• Виды инфраструктурных сервисов и особенности их информационной безопасности. Решает задачи по выбору необходимых сер защиты информации
• Применяет требования базового состава мер защиты информации, входящих в состав системы организации и управления защитой информации, установленных для процессов защиты информации, определенных в ГОСТ Р 57580.1-2017.
• Решает задачи по определению мер системы организации и управления защитой информации на системных уровнях для каждого отдельного процесса (направления) защиты информации.
• Решает задачи по оценке мер системы организации и управления защитой информации на системных уровнях для каждого отдельного процесса (направления) защиты информации.
• Решает задачи по оценке состава и содержания организационных мер, связанных с обработкой финансовой организацией персональных данных.
• Владеет знаниями требований к обеспечению защиты информации при осуществлении банковской деятельности.
• Владеет знаниями по определению информации, подлежащей защите, при осуществлении банковской деятельности.
• Решает задачи по определению технологических участков обработки защищаемой банковской информации.
• Решает задачи по определению мер безопасности на каждом технологическом участке обработки защищаемой банковской информации.
• Решает задачи по определению данных, обрабатываемых в автоматизированных банковских системах и программном обеспечении, подлежащих регистрации и хранению.
Применяет нормативные правовые акты Российской Федерации, в соответствии с которыми обеспечивается защита банковской информации.
• Владеет знаниями об основных принципах шифрования информации.
• Владеет знаниями о распространенных алгоритмах шифрования, навыками их программной реализации.
• Владеет знаниями об основных принципах работы современных алгоритмов блочного симметричного шифрования.
• Решает задачи по шифрованию с применением современных алгоритмов.
• Называет современные стандарты симметричного шифрования.
• Создает программные реализации криптографических алгоритмов.
• Называет криптосистемы с открытым ключом.
• Решает задачи дешифрования при применении криптосистем с открытым ключом с параметрами малой битовой длины.
• Называет стандарты хеширования.
• Называет стандарты электронной подписи.
• Решает задачи подмены при применении алгоритмов электронной подписи с параметрами малой битовой длины
• Описывает концепцию инфраструктуры открытого ключа.
• Называет перспективные направления в криптографии.
• Определяет принципы квантового и постквантового распределения ключей.
• Называет основные протоколы квантового распределения ключей.
• Называет виды и принципы генераторов случайных чисел.
• Называет атаки на криптографические алгоритмы.
• Называет принципы синтеза криптографических протоколов.
• Называет механизмы криптографической защиты в протоколах.
• Называет структуру и механизмы безопасности блокчейн.
• Называет цели защищенных протоколов и способы их достижения.
• Применяет общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru)
• Применяет модели угроз безопасности информации, разрабатываемые ФСТЭК России.
• Применяет описания векторов (шаблоны) компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.)
• Применяет нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и функционируют системы и сети
• Решает задачи по определению негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации.
• Решает задачи по определению возможных объектов воздействия угроз безопасности информации.
• Решает задачи по оценке способов реализации (возникновения) угроз безопасности информации
• Решает задачи по определению возможных угроз безопасности информации и оценке их актуальности для систем и сетей - актуальные угрозы безопасности информации.
• Решает задачи по определению возможных антропогенных источников угроз безопасности информации – актуальных нарушителей.
• Решает задачи по оценке возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации.
• Решает задачи по оценке сценариев реализации угроз безопасности информации в программном обеспечении
• Применяет требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах Стандарта Банка России «СТО БР ФАПИ.СЕК-1.6-2024»
• Решает задачи по оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде Открытых банковских интерфейсов требованиям Стандарта Банка России «СТО БР ФАПИ.ПАОК-1.0-2024»
• Применяет требования и рекомендации для обеспечения безопасности при удаленной идентификации Стандарта Банка России «СТО БР БФБО 1.8-2024»
• Владеет знаниями о принципах технологии авторизации OAuth 2.0, OpenID Connect
• Решает задачи по определению требований для обеспечения безопасности сервера авторизации для передачи финансовой информации.
• Решает задачи по определению требований для обеспечения безопасности клиента, получающего финансовую информацию.
• Решает задачи по определению требований безопасности и мер защиты к процессам получения клиентом результата авторизации с применением режимов Poll, Ping и Push.
• Решает задачи по определению мер защиты информации при проведении дистанционной идентификации.
• Решает задачи по определению мер защиты информации при проведении дистанционной аутентификации.
• Основы обеспечения информационной безопасности при обработки биометрических персональных данных.
• Обеспечение информационной безопасности при осуществление оплаты с помощью биометрии.
• Определяет этапы разработки средств защиты информации.
• Решает задачи по формированию требований к средствам защиты информации.
• Решает задачи по моделированию угроз, актуальных для внедрения средств защиты информации.
• Решает задачи по определению организационных и технических мер для обеспечения защиты информации в ходе эксплуатации информационных систем.
• Применяет принципы создания и применения СЗИ.
• Определяет классификацию криптографических средств защиты информации.
• Определяет этапы разработки средств криптографической защиты информации.
• Решает задачи по формированию требований к средствам криптографической защиты информации при различных моделях нарушителя.
• Понимает процессы, реализация которых направлена на достижение цели разработки безопасного ПО.
• Решает задачи по анализу уязвимости программного обеспечения.
• Владеет навыками проведения тестирования на проникновение (пентестов).
• Решает задачи по проведению контрольных мероприятий по информационной безопасности.
• Понимает компетенции участников команды, связанные с обеспечением информационной безопасности в жизненном цикле программного обеспечения.
• Владеет навыками оценки уровня доверия программного обеспечения по ОУД4.

Содержание учебной дисциплины

Построение инфраструктуры банковской организации с учетом технических и организационных мер защиты
Организация деятельности службы безопасности в банковской системе
Архитектура защищенной банковской информационной системы
Криптография
Введение в построение модели угроз и нарушителей информационной безопасности
Обеспечение информационной безопасности финансовых сервисов
Принципы разработки средств защиты информации
Принципы разработки безопасного программного обеспечения

Элементы контроля

Активность на занятиях
Экзамен
Выполнение тестов
Практическая работа
Оценивается: 1 и 2 модуль 2025/2026

Промежуточная аттестация

2025/2026 2nd module
0.1 * Активность на занятиях + 0.2 * Выполнение тестов + 0.2 * Практическая работа + 0.2 * Практическая работа + 0.3 * Экзамен

Список литературы

Авторы

Котова Ирина Николаевна

Программа дисциплины