Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку

 Ідентифікація й аутентификація користувачів комплексу здійснюється на основі пропонованого електронного ідентифікатора (записаного на устрої зберігання) і уведеного псевдоніма й пароля доступу. Як устрої зберігання ефектронних ідентифікаторів і секретних ключів ЭЦП користувачів у даній версії PostCrypt-Mail застосовуються:

 жорсткий диск персонального комп'ютера (ПК);

 електронний брелок eToken.

 Користувачі комплексів Barrier-98 або «Клієнт-Банк» «Україна-Клієнт» можуть використовувати брелоки eToken, що поставляються в складі цих комплексів.

Комплекс PostCrypt-Mail допускає роботу на одному комп'ютері декелькох користувачів з різними електронними ідентифікаторами. Для декількох електронних ідентифікаторів користувачів може використовуватися одне й теж устрій зберігання. Максимальна кількість користувачів комплексу, зареєстро-ваних на одному ПК - 1024.

 До складу комплексу PostCrypt-Mail входять:

 АРМ керування комплексом;

 модуль захисту, що виконується, інформації PostCrypt-Mail;

 модуль, що підключається, ( plug-in) захисту інформації PostCrypt-Mail для Microsoft Outlook 97/98/2000, що дозволяє автоматично обробляти вхідні/вихідні повідомлення електронної пошти разом із вкладеннями;

 модуль, що підключається, ( plug-in) для командної оболонки Microsoft Windows, що дозволяє викликати виконується модуль, що, захисту інформації PostCrypt-Mail безпосередньо зі спливаючі меню Провідника Microsoft Windows;

 модуль, що підключається, ( plug-in) захисту інформації PostCrypt-Mail для Lotus Notes, що дозволяє автоматично обробляти вхідні/вихідні повідомлення електронної пошти разом із вкладеннями.

 Для шифрування повідомлень електронної пошти й файлів, що зберігаються на жорсткому диску ПК, застосовується криптографічний алгоритм, що відповідає ДЕРЖСТАНДАРТ 28147-89. Вироблення ЭЦП повідомлень електронної пошти й файлів, що зберігаються на жорсткому диску ПК, здійснюється відповідно до вимог ДЕРЖСТАНДАРТ 34.310-95 і ГОСТ 34.311-95. Розподіл ключів здійснюється за схемою Диффи-Хеллмана.

 Всі дії користувачів комплексу протоколюються в журнальних файлах.

 Для відновлення працездатності комплексу після можливих збоїв передбачена можливість створення/відновлення службових баз комплексу з архівних копій.

 Згідно НД ТЗИ 2.5-004-99 «Критерії оцінки захищеності комп'ютерних систем від несанкціонованого доступу» комплекс PostCrypt-Mail реалізує наступний функціональний профіль:

 КД-2, ДО-1, КВ-1, ЦВ-1, НІ-2, НР-2, НК-1, НА-2, АЛЕ-1, НЦ-1, НТ-2

 Розробка виконана відповідно до вимог до рівня гарантій Г-3.

 3.3Пропозиції по впровадженню програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку»

Програмний продукт «Модель системної інтеграції модулів захисту інформації в АБС банку» представляє собою експертно–управляючу систему, основану на реалізації алгоритма матриці контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку, викладеного в розділі 3.1 диплому.

 Програмний продукт представляє комплекс виконуємого модуля Protect.exe та баз даних, який повністю працездатний при запуску з контрольної дискети, USB –носія на ПЕОМ з операційною системою Windows XP SP2-3 при інсталяції на ПЕОМ оболонки бібліотек Borland ( BDE 5.1) для підтримки ODBC – інтерфейса.

 Зовнішній вигляд екранного інтерфейсу наданий на рис.3.24:

 Рис.3.24 Програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку»

В інтерактивному режимі в кожну з чарунків матриції вноситься досягнутий рівень виконання проектного рівня документації, дослідження, вибору та впровадження засобів і систем захисту інформації (рис.3.25-3.26):

Рис.3.25 Використання маніпулятора «миш» для встановлення рівня виконання заходів захисту інформації в підматриці «100» (пункт 1.1.1)

Рис.3.26 Використання маніпулятора «миш» для встановлення рівня виконання заходів захисту інформації в підматриці «100» (пункт 2.1.2)

З використанням меню задачі (рис.3.27) виконується побудова графічного рівня виконання пунктів матриці КСЗІ (рис.3.28).

Рис.3.27 Використання маніпулятора «миш» для управління режимами меню задачі

Рис.3.28 Графічне представлення результатів роботи модуля аналіза задачі (повноекранний режим графіків)

 3.4Оцінка рівня вразливості банківської інформації за результатами тестової роботи моделі системної інтеграції модулів захисту інформації в АБС АКБ „Промінвестбанк”

Стандартні функціональні профілі захищеності в КС, що входять до складу АС класу 2 (локальна та корпоративна мережі АБС «Промінвестбанку»), з підвищеними вимогами до забезпечення конфіденційності(К), цілісності(Ц) і доступності(Д) оброблюваної інформації розподіляються на 5 рівнів профілів захищенності із зростанням обсягів витрат на забезпечення кожного наступного рівня:

 Формат = <<клас КС>>.<K>,<Д>,<Ц>.<рівень>

 1 рівень - 2.КЦД.1 = { КД-2, КО-1, ЦД-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

 2 рівень - 2.КЦД.2 = { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }

 4 рівень - 2.КЦД.4 = { КД-3, КА-3, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 }

 5 рівень - 2.КЦД.5 = { КД-4, КА-4, КО-1, КК-2, ЦД-4, ЦА-4, ЦО-2, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 }

 На графіках рис.3.29 – 3.33 представлна оцінка стану виконання та експлуатації КСЗІ АКБ «Промінвестбанк», виконана з використанням запропонованої моделі системної інтеграції модулів захисту інформації в АБС АКБ &bdquo;Промінвестбанк&rdquo; (оцінки на графіках – умовно-тестові в зв&rsquo;язку з тим, що на документі по реальному рівню захисту КСЗІ в банку стоїть гриф «Банківська таємниця»).

 Робота запропонованого модуля системної інтеграції та оцінки рівня ефективності КСЗІ банку спирається на обробку інформації з фактично розгор-нутих в АБС «Промінвестбанку» комплексів програмно-апаратного захисту.

 Проведені дослідження оцінки стану захищеності інформації з використанням побудованої моделі та данних, отриманих з сегментів системи захисту інформації банку, показали, що фактичний профіль захищеності інформації суттєво не відповідає нормативному в наступних елементах загроз та систем захисту інформації:

  відсутність серверів сертифікатів в корпоративній мережі банку, що дозволяє проникнення мобільних Note-book та їх несанкціоноване підключення в мережі банку (маскування та підміна легалізованого комп&rsquo;ютера в мережі);

 Відсутність програмно-апаратних засобів боротьби з підключенням мобільних телефонів в локальні станції мережі та несанкціонованим виходом в глобальну мережу Інтернет без шлюзів безпеки (створення каналів витоку банківської інформації та каналів проникнення компьютерних вірусів із Інтернет- мережі в локальну мережу банку);

  Відсутність сертифікованих програмних комплексів захисту локальних та корпоративної мережі банку від доступу «хакерів» із глобальної мережі Інтернет;

  Недостатній рівень резервування банківської інформації в спеціальних «сховищах даних транзакцій», серед яких тільки на головному рівні є територіально відділене сховище. Фактично в банку використовується тільки вбудована технологія фірми SYBASE по багатократній реплікації кожної банківської транзакції на системі серверів по RAID-5 технології.

 З врахуванням вищезазначених недоліків інтегрований показник профілю захисту становить 0,73 від нормативного, тобто банку необхідно посилити увагу для побудови додаткових систем захисту інформації в виявлених напрямках.

 Аналіз даних показує що банк досягнув рівня Г-3 гарантій безпеки захисту інформації (по 5 бальній шкалі), що еквівалентно формулі [ ]:

 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }

Рис.3.29 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 010 - «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС )

 Рис.3.30 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»

Рис.3.31 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку»

Рис.3.32 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 040 - «Захист від витоку ПЕВМІН»

 Рис.3.33 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 050 - «Оперативне управління моніторами системи захисту інформації»

ВИСНОВКИ

Аналіз законодавчих та нормативних документів по приналежності бан-ківської інформації до конфіденційної показав, що згідно з главою 10 стаття 60 Закону України «Про банки та банківську діяльність» («Банківська таємниця та конфіденційність») - інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може зав-дати матеріальної чи моральної шкоди клієнту, є банківською таємницею.

 Банківською таємницею, зокрема, є:

 1) відомості про банківські рахунки клієнтів, у тому числі кореспон-дентські рахунки банків у Національному банку України;

 2) операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;

 3) фінансово-економічний стан клієнтів;

 4) системи охорони банку та клієнтів;

 5) інформація про організаційно-правову структуру юридичної особи - клієнта, її керівників, напрями діяльності;

 6) відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;

 7) інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;

 8) коди, що використовуються банками для захисту інформації.

 Таким чином, в комерційних банках захист інформації в автоматизованих системах накоплення, обробки та передачі банківської інформації повинен бути побудований за стандартами обробки конфіденційної інформації обмеженого користування :

 - ДСТУ 3396.2-97 - ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ &bdquo;Захист інфор-мації. Технічний захист інформації. Терміни та визначення&rdquo;;

 - НД ТЗІ СБУ 2.5-004-99 - Критерії оцінки захищенності інформації в комп&rsquo;ютерних системах від несанкціонованого доступу;

 - НД ТЗІ СБУ 2.5-005-99 - Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

 Згідно цим нормативним документам профіль захищеності інформації в комплексній системі захисту інформації (КСЗІ) комерційного банку повинен бути не нижче визначаємого формулою:

 2.КЦД.2а = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}.

 Тобто мати функції - ДВ-1 - ручне відновлення; ДЗ-1 – модернізація; ДР-1 – розподіл квот; ДС-1 - стійкість при обмежених відмовах; КА-2 - базову адміністративну конфіденційність; КД-2 - базову довірчу конфіденційність; КО-1 - повторне використання об'єктів; НИ-2 - одиночну ідентифікація та автентифікація; НК-1 - однонаправлений достовірний канал; НО-2 - розподіл обов'язків адміністраторів; НТ-2 - самотестування при старті; НР-2 - захищений журнал; НЦ-2 – прострої системи захисту інформації з гарантованою цілісністю; ЦА-2 – базова адміністративна цілісність; ЦД-1 - мінімальна довірча цілісність; ЦО-1 - обмежений відкат.

 Організаційна структура досліджує мого банку - акціонерне товариство закритого типу &ldquo;Акціонерний комерційний промислово-інвестиційний банк&rdquo; (Україна, 01001, Київ-1, пров. Шевченка, 12) станом на 31.12.2008 року представлене 825 установами, в тому числі:

 - ОПЕРУ Промінвестбанку - 1;

 - філії - 161;

 - безбалансові відділення - 662;

 - Представництво в Російській Федерації- 1.

 В Дніпропетровській області Промінвестбанк представлений 7 філіями – балансовими відділеннями Промінвестбанку та 52 безбалансовими відділеннями, які структурно входять до філій.

 Промінвестбанк є універсальним фінансовим інститутом, що надає весь спектр банківських послуг юридичним і фізичним особам. Банк переважно спеціалізується на кредитуванні підприємств промисловості, агропромислового комплексу, розрахунково-касовому обслуговуванні юридичних осіб.

 Здійснюється весь спектр валютно-обмінних операцій, а саме: купівля-продаж готівкової іноземної валюти, приймання на інкасо банкнот іноземних держав, виплата валюти за платіжними картками.

 У 2006 - 2009 роках Промінвестбанк продовжував співпрацювати з американською компанією MoneyGram Payment Systems, Inc. по здійсненню міжнародних грошових переказів в іноземній валюті за дорученням фізичних осіб по системі MoneyGram. Промінвестбанк є одним із найбільших агентів компанії MoneyGram в Україні та в країнах СНД (враховуючи Росію), які пропонують цю послугу.

 Протягом звітного року мережа пунктів обслуговування переказів Промінвестбанку збільшена з 425 до 599 пунктів (в 1,40 раза). В них здійснюються операції по відправленню та виплаті транскордонних термінових грошових переказів з 170 країн світу, в яких діють 100 тис. пунктів MoneyGram.

 З 2006 року Промінвестбанк розпочав здійснювати міжнародні грошові перекази в доларах США та євро за дорученням та на користь фізичних осіб по системі CONTACT. Ця система має 29 тис. пунктів обслуговування та дає можливість здійснювати грошові перекази з 81 країни світу.

 За рік мережа пунктів обслуговування переказів Промінвестбанку по системі CONTACT зросла до 599 пунктів.

 В березні 2006 року Промінвестбанк уклав договір з компанією Travelex Money Transfer, Ltd. (Англія) щодо впровадження в Промінвестбанку міжнародних грошових переказів по системі Travelex, яка дасть можливість здійснювати грошові перекази в доларах США та євро за дорученням та на користь фізичних осіб в 138 країнах світу. Здійснення переказів по системі Travelex розпочато в 2007 році.

 Протягом 2006 -2008 років банк активно працював на ринку платіжних карток. Загальна кількість випущених платіжних карток для клієнтів банку складала на кінець 2008 року 3407,4 тисяч штук проти 2781,4 тисяч за 2007 рік (приріст 626,0 тисяч, що складає 1,23 раза). Найбільшими темпами зростали картки міжнародних платіжних систем. Їх кількість зросла за рік на 538,8 тисяч (1,35 раза) і склала на 31 грудня 2008 року 2071,1 тисяч. Кількість банкоматів банку збільшилась за рік на 205 одиниць (в 1,2 раза) і складала на кінець року 1380 одиниць. В 2006 році банком запроваджено надання послуг клієнтам через систему &ldquo;Інтернет-Клієнт-Банк&ldquo;. Надалі збільшуватимуться обсяги та якість послуг населенню в сфері безготівкових платежів та грошових переказів, зберігання цінностей та продажа банківських металів, надання послуг по відкриттю і веденню пенсійних рахунків.

 Промінвестбанк має солідну клієнтську базу - майже 4 млн. громадян та суб'єктів господарської діяльності, надає клієнтам понад 300 видів послуг: від розрахунково-касового обслуговування до сучасних електронних послуг та операцій з банківськими металами, постійно вдосконалює форми обслуговування клієнтів.

 Промінвестбанк підтримує відносини з більш ніж 200 провідними іноземними фінансовими установами. Клієнти банку здійснюють свої розрахунки через 35 кореспондентських рахунків Промінвестбанку, що відкриті у 22 банках світу.

 Банк активно працює в системі банківських телекомунікацій SWIFT та REUTER, здійснює перекази фізичних осіб за міжнародними системами Money Gram та Contact, а у 2007 році - розчате здійснення грошових переказів за системою Western Union.

 Функціональний аналіз структури системи автоматизації в досліджує-мому комерційному банку показав, що банківські послуги АТЗТ «АК Промінвестбанк», які повинна обслуговувати АБС банку, розбиті на наступні сегменти послуг:

 Юридичним особам

 Фізичним особам

 Банкам

 Вкладні операції

 Валютні операції

 Курси валют

 Фондовий ринок

 Пластикові картки

 Банкомати та POS-термінали

 Інноваційно-інвестиційна діяльність

 Відповідно, Автоматизована банківська система (АБС) забезпечує:

 автоматизацію внутрібанківської діяльності, і насамперед внутрибан-кiвських операцій, пов&rsquo;язаних з обробкою платiжних та інших документів у тих пiдроздiлах банкiвської установи, які працюють безпосередньо з клiєнтами, включаючи територіально віддалені філії та без балансові відділення;

  автоматизацію виконання мiжбанкiвських розрахунків та інших зов-нiшньобанкiвських операцій;

 автоматизацію фінансових операцій в межах міжнародного банківсь-кого бізнесу.

 Вивчення структур різних банківських систем та проведене певне їх уза-гальнення дають змогу виділити такі основні функціональні підсистеми АБС :

 - операційний день банку (ОДБ),

 - управління кредитними ресурсами (Кредити),

 - управління валютними операціями (Валютні операції),

 - управління депозитами (Депозити),

 - управління цінними паперами (Цінні папери),

 - управління касою (Каса),

 - внутрибанківський облік (Внутрішній облік),

 - управління розрахунками з використанням пластикових карток (Карткові операції),

 - звітність, аналіз діяльності банку (Аналіз).

 Досліджуєма в дипломному проекті АБС(Автоматизована банківська сис-тема) — це технологічна система, яка забезпечує функціонування банківської установи. Ядром АБС є підсистема ОДБ (Операційний день банку), яка інфор-маційно зв&rsquo;язана з іншими функціональними підсистемами.

 Крім внутрішніх інформаційних зв&rsquo;язків, АБС характеризується великим спектором інформаційних зв&rsquo;язків із зовнішнім середовищем, в ролі якого вис-тупають клієнти банку, інші банки, фінансові та державні органи.

 Апаратно-структурна реалізація АБС в багатофілійному досліджуємому АКБ «Промінвестбанк», який у 2009 році після приходу нових російських інвесторів прийняв стратегію підвищення рівня захисту та сертифікованості банківських програмних продуктів, замінює автоматизовану банківську систему, засновану на засобах комплексної системи автоматизації фірми SYBASE та програмних продуктах власної розробки банку, спирається на новітню Автоматизовану Банківську систему "БАРС-Millennium" фірми «Уніті-Барс», яка впроваджена в Національному банку України, в Державному ощадному банку України та інших великих комерційних банках України.

 Основні загрози безпеці банківській інформації в дослідженій АБС та засоби захисту інформації можна розподілити на такі групи: інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові:

 Несанкціонований доступ — вид комп&rsquo;ютерних порушень, який полягає в отриманні користувачем доступу до об'єкта, на який у нього немає санкціонованого дозволу адміністратора системи.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19