Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку

 Секретний ключ перебуває тільки в клієнта й він повністю відповідає за його схоронність.

 У процесі заповнення анкети клієнта банку, після визначення посадових осіб, маючих права 1-й або 2-й підписів, система провадить генерацію ключової пари, при цьому відкритий ключ передається в банк у вигляді спеціально сформованого запиту.

 Даний запит містить всю уведену клієнтом інформацію й відкриті ключі, з допомогою яких будуть перевірятися цифрові підписи під платіжними доку-ментами.

 Одержання відгуку на даний запит провадиться в реальному часі й свід-чить про успішний обробці запиту й завершенні процесу реєстрації.

 Секретні ключі клієнта в банк не передаються й містяться на індивіду-альний носій разом з відповідними їм відкритими ключами. За схоронність секретногоключа несе відповідальність тільки його власник.

2.8 Структура та захист інформаційних потоків в системах «електронної пошти» (міжбанківська пошта НБУ, внутрішньобанківська пошта Проінвестбанку, глобальна Інтернет-пошта)

Електронна пошта — ЕП — складається загалом із вузлів — комп’ютерів, які мають змогу встановлювати один з одним з’єднання для передавання електронних листів (повідомлень) своїх абонентів. Вузли поділяються на абонентські пункти АП 1-го типу (АП-1) та абонентські пункти 2-го типу (АП-2) (поштамти).

 Кожний АП-1 передає в інші вузли лише ті повідомлення, які були підготовлені його абонентами, і приймає від решти АП лише адресовані його абонентам повідомлення. На відміну від АП-1, АП-2 передає на інший поштамт або на АП-1 будь-які повідомлення.

 Усяке повідомлення ЕП має бути адресованим, тобто мати свою електронну поштову адресу. Із погляду логіки для того, щоб адреса була інформативною, необхідно, аби вона включала в себе ідентифікатор абонента (кінцевого користувача — КК) і поштові координати, які визначають місцезнаходження КК. Правила адресації в різних системах ЕП відрізняються одне від одного, але ці логічні елементи присутні завжди.

 Електронна пошта НБУ являє собою програмно-технічну та адміністративно-технологічну мережу, яка забезпечує обмін даними в банківській системі України. Вона призначена для надійного та якісного приймання і передавання електронних повідомлень. Джерелами та одержувачами останніх можуть бути як різні програмні продукти (зокрема й прикладні програми), так і фізичні особи. Вони є кінцевими користувачами системи. Систему ЕП НБУ створюють поштові вузли. Розрізняють Центральний, регіональні та абонентські вузли — АВ.

 Центральний і регіональні вузли є абонентськими пунктами 2-го типу, а решта вузлів — АП 1-го типу. До них належать вузли, що розміщені в комерційних банках України, а також в урядових і державних установах, які взаємодіють з банківською системою. Організаційно вузли ЕП, за винятком АВ, є структурними підрозділами системи НБУ, котрі у своїй діяльності керуються чинним законодавством України, ухвалами НБУ, відповідними положеннями про ці підрозділи та положеннями про ЕП НБУ.

 Центральний вузол — ЦВ — це підрозділ Центрального управління НБУ, а регіональні вузли — РВ — підрозділи відповідних територіальних управлінь НБУ.

 Абонентський вузол може входити до складу будь-якої установи (КБ і т. ін.), що виконує всі умови, які ставляться в разі підімкнення абонентів до ЕП, і бере участь у роботі системи. Вузли можуть бути зв’язані між собою за допомогою виділених чи комутованих телефонних і телеграфних каналів зв’язку або через радіоканал і супутникові системи передавання даних.

 Система ЕП НБУ дає змогу інтегрувати локальні обчислювальні мережі — ЛОМ, які існують в її вузлах. Використовуючи ЕП, кожний користувач робочої станції — РС — ЛОМ її вузла може відправити повідомлення у вигляді текстового файла, підготовленого з використанням довільного текстового редактора; графічного файла, що містить графічні конструкції будь-якого вигляду; файла бази даних типу .DBF; файла табличного процесора. Інший абонент, який перебуває в іншому регіоні і є користувачем ЛОМ свого вузла, може приймати ці повідомлення на свою РС.

 Переваги ЕП НБУ такі: висока швидкість доставляння повідомлень та можливість автоматизувати в установі процес обробки документації, починаючи з її отримання.

 Система ЕП НБУ реалізована як ІР-мережа транспорту криптографованих файлів (алгоритм RSA – системи закритих та відкритих ключів), не є системою діалогової взаємодії і має такі особливості:

 формування й приймання поштових повідомлень — процеси, що розділені в часі і виконуються незалежно від процесів встановлення з’єднань між вузлами та передаванням даних;

 система ЕП використовує архітектуру, коли повідомлення запам’ятовується на одному вузлі, а далі передається за маршрутом до іншого вузла доти, доки воно не буде доставлене адресатові. Така архітектура забезпечує передавання даних навіть у разі можливих відказів засобів зв’язку;

 ЕП НБУ дає змогу передавати повідомлення одночасно багатьом користувачам завдяки введенню спеціального механізму «група вузлів» і вказуванню кількох адресатів при формуванні «поштового конверта». Таким чином передаються повідомлення, що стосуються багатьох або всіх абонентів, наприклад, загальні дані типу коригувань списку учасників, адрес вузлів ЕП тощо;

 система ЕП НБУ допомагає організовувати взаємодію між програмними комплексами автоматизації банківської діяльності, які містяться в різних вузлах. При цьому забезпечується весь сервіс щодо зберігання, документування й надійності доставляння кореспонденції;

 В ЕП ведеться довідник вузлів ЕП, який міститься в кожному вузлі системи у вигляді файла з іменем «SPRUSNBU.DBF». Цей довідник фактично описує адресний простір вузлів ЕП. Він ведеться в ЦВ, служби якого забезпечують актуалізацію довідника й готують коректури для розсилання по всіх інших вузлах ЕП НБУ. Кожний вузол має належне лише йому поштове ім’я.

 Для АВ, які містяться в банківських установах, ім’я вузла складається з чотирьох знаків, де перший знак є постійним (латинська буква «U»), другий — латинська буква, яка визначає регіон (область) України (наприклад, «А» — Вінницька область, «В» — Волинська і т. д.), третій знак задає код типу або множини банківських установ, а четвертий — номер вузла в даному типі чи множині банківських установ.

 Система має суто ієрархічну трирівневу структуру. На 1-му рівні перебуває ЦВ, на 2-му містяться регіональні вузли, а на 3-му — абонентські вузли. Кожний АВ входить лише до одного регіонального, а регіональні вузли входять до ЦВ. Завдяки тому, що РЕВ — це, як правило, обласні вузли (крім Київського), забезпечується охоплення всієї території країни.

 На множині вузлів пошти для забезпечення передавання повідомлень визначається набір маршрутів, де описуються шляхи доступу від одного вузла до іншого. Ці маршрути використовуються при транспортуванні поштових повідомлень. З огляду на ієрархічну структуру ЕП доставляння поштового повідомлення — ПОП — між двома РЕВ можливе лише через ЦВ. Ясна річ, що і ПОП АВ одного РЕВ до АВ іншого РЕВ іде транзитом через ЦВ. Можливі маршрути в ЕП можна записати у вигляді:

 АВ(а) ® РЕВ ® АВ(б), АВ(а) ® РЕВ(а) ® ЦВ ® РЕВ(б) ® АВ(б).

 Поштові повідомлення, або «поштові конверти», є тими одиницями інформації, які передаються між вузлами системи ЕП. Отже, передавання інформації відбувається не безперервним потоком, а певними порціями (пакетами, файлами), які називають конвертами.

 Важливою функцією в ЕП є забезпечення й підтвердження факту доставлення конверта. Тому в ЕП є функція генерації та обліку підтверджень доставлення поштових повідомлень. Такі підтвердження формуються лише в кінцевому вузлі-одержувачі. Підтвердження формується як файл-квитанція про доставлення ПОП у момент, коли воно потрапляє до вхідного каталогу у вузлі-адресаті. Квитанція формується автоматично програмами АК, якщо в заголовку ПОП, яке надійшло, установлено ознаку видачі підтвердження доставлення.

 Зрозуміло, що це дає змогу використовувати ЕП для розв’язування найрізноманітніших функціональних задач і операцій банківської та фінансової діяльності. Насамперед ЕП НБУ використовується для забезпечення можливості виконання міжбанківських розрахунків. Саме на базі ЕП НБУ створена й функціонує система електронних міжбанківських платежів (СЕП) банків України.

 Перспективою розвитку ЕП крім поліпшення якісних показників її роботи (скорочення строку доставляння повідомлень, зменшення кількості відказів, можливість підімкнення нових вузлів, збільшення обсягів передавання тощо) є також розробка часткових шлюзів передавання та приймання даних із інших мереж, зокрема й із мережі ІНТЕРНЕТ. Зрозуміло, що при цьому постає проблема додаткових облікових і контрольних функцій, оскільки ЕП НБУ є системою закритого типу й такою, що забезпечує виконання специфічних завдань і послуг. Аналогічні проблеми пов’язані зі створенням шлюзу ЕП НБУ на інші поштові системи.

 Основні засоби захисту банквської інформації в каналах електронної пошти НБУ є наступними:

 захист цілісності та конфіденційності за рахунок спеціального структурування та криптозахисту вихідного повідомлення (конверта);

 застосування системи антивірусного программного забезпечення на робочих станціях ЛОМ банку, а також на транзитно-транспортних ПЕОМ «електронної пошти НБУ»;

 застосування захисних шлюзів між мережею «електронної пошти НБУ» та глобальною мережею Інтернет і мережами комерційних банків;

 впровадження контрольної системи ідентифікації та аутентефікації користувачів мережі «електронної пошти»;

 застосування поіменної маршрутизації «поштових конвертів» за унікальною ІР-адресою;

 застосування автоматів зашифрування та розшифрування потоків «електронної пошти».

РОЗДІЛ 3

 ПОБУДОВА МОДЕЛІ СИСТЕМНОЇ ІНТЕГРАЦІЇ МОДУЛІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АБС АКБ «ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ

3.1Постановка алгоритму задачі формування та опис елементів матриці контролю комплексної системи захисту інформації (КСЗІ) інформаційних об’єктів комерційного банку

В дипломному дослідженні матриця контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку представлена у вигляді 7-рівневої структурної матриці (табл.3.1), на кожному рівні в якої є 5 визначальних сегментів (напрямів захисту інформації в банку).

 Основні структурні рівні сегментів КСЗІ банку (табл.3.1, рис.3.1):

 1. Перший рівень (100) матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

 2. Другий рівень (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікації чи знищення банківської інформації»

 3. Третій рівень (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків»

 4. Четвертий рівень (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»

 5. П’ятий рівень (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації»

Таблиця 3.1

 Матриця контролю комплексної системи захисту інформаційних об’єктів комерційного банку

                       <<< Структурні рівні сегментів КСЗІ банку

 010

  020

  030

  040

  050

Сегменти КСЗІ банку >>> Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС) Захист обчислювальних мереж, баз даних і програм АБС Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку Захист від витоку ПЕВМІН Оперативне управління моніторами системи захисту інформації

Основні етапи побудови структурного рівня КСЗІ банку >>> Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів

 011

  012

  013

  014

  021

  022

  023

  024

  031

  032

  033

  034

  041

  042

  043

  044

  051

  052

  053

  054

    100

 Визначення банківської інформації та її носіїв, які підлягають захисту  111

  112

  113

  114

  121

  122

  123

  124

  131

  132

  133

  134

  141

  142

  143

  144

  151

  152

  153

  154

    200

 Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації  211

  212

  213

  214

  221

  222

  223

  224

  231

  232

  233

  234

  241

  242

  243

  244

  251

  252

  253

  254

    300

  Проведення дослідження технології функціонування АБС банку, оцінка

уязвимості та ризиків

  311

  312

  313

  314

  321

  322

  323

  324

  331

  332

  333

  334

  341

  342

  343

  344

  351

  352

  353

  354

    400

 Визначення вимог до елементів КСЗІ  411

  412

  413

  414

  421

  422

  423

  424

  431

  432

  433

  434

  441

  442

  443

  444

  451

  452

  453

  454

    500

 Здійснення вибору заходів та засобів захисту інформації  511

  512

  513

  514

  521

  522

  523

  524

  531

  532

  533

  534

  541

  542

  543

  544

  551

  552

  553

  554

    600

 Впровадження та експлуатація вибраних засобів та технологій захисту інформації  611

  612

  613

  614

  621

  622

  623

  624

  631

  632

  633

  634

  641

  642

  643

  644

  651

  652

  653

  654

    700

 Контроль та управління сегментом захисту інформації  711

  712

  713

  714

  721

  722

  723

  724

  731

  732

  733

  734

  741

  742

  743

  744

  751

  752

  753

  754

Рис.3.1. Структурна схема сегментів КСЗІ банку (в нумерації матриці контролю)

 6. Шостий рівень (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації»

 7. Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»

 На кожному с структурних рівнів матриці розташована інформація по 5 характерним сегментам КСЗІ комерційного банку:

 а) сегмент 010 - «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

 б) сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»

 в) сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку»

 г) сегмент 040 - «Захист від витоку ПЕВМІН»

 д) сегмент 050 - «Оперативне управління моніторами системи захисту інформації»

 При побудові алгоритму задачі створення інтегрованого контролю за поточним станом створення та експлуатації КСЗІ комерційного банку в ячейках матриці, наведеної в табл.3.1, використані наступні комплексні показники:

 1. Посегментне змістовне значення параметрів в першій строці (100)

 матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

 а) сегмент100-010

 «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

 1.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації на об'єктах АБС, яка підлягають захисту й порядок визначення такої банківської інформації.

 1.1.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягають захисту на об'єктах АБС

 1.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту на об'єктах АБС.

 1.1.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту на об'єктах АБС.

 б) сегмент 100-020

 «Захист обчислювальних мереж, баз даних і програм АБС»

 1.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка використовується в процесах і програмах АБС, що підлягають захисту й порядок визначення такої банківської інформації.

 1.2.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту при використанні її у процесах і програмах АБС.

 1.2.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при використанні її у процесах і програмах АБС.

 1.2.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при використанні її у процесах і програмах АБС .

 в) сегмент 100-030

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19