Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку
формування
й приймання поштових повідомлень — процеси, що розділені в часі і виконуються
незалежно від процесів встановлення з’єднань між вузлами та
передаванням даних;
система
ЕП використовує архітектуру, коли повідомлення запам’ятовується на
одному вузлі, а далі передається за маршрутом до іншого вузла доти, доки воно
не буде доставлене адресатові. Така архітектура забезпечує передавання даних
навіть у разі можливих відказів засобів зв’язку;
ЕП
НБУ дає змогу передавати повідомлення одночасно багатьом користувачам завдяки
введенню спеціального механізму «група вузлів» і вказуванню кількох адресатів
при формуванні «поштового конверта». Таким чином передаються повідомлення, що
стосуються багатьох або всіх абонентів, наприклад, загальні дані типу
коригувань списку учасників, адрес вузлів ЕП тощо;
система
ЕП НБУ допомагає організовувати взаємодію між програмними комплексами
автоматизації банківської діяльності, які містяться в різних вузлах. При цьому
забезпечується весь сервіс щодо зберігання, документування й надійності
доставляння кореспонденції;
В
ЕП ведеться довідник вузлів ЕП, який міститься в кожному вузлі системи у
вигляді файла з іменем «SPRUSNBU.DBF». Цей довідник фактично описує адресний
простір вузлів ЕП. Він ведеться в ЦВ, служби якого забезпечують актуалізацію
довідника й готують коректури для розсилання по всіх інших вузлах ЕП НБУ.
Кожний вузол має належне лише йому поштове ім’я.
Для
АВ, які містяться в банківських установах, ім’я вузла складається з
чотирьох знаків, де перший знак є постійним (латинська буква «U»), другий —
латинська буква, яка визначає регіон (область) України (наприклад, «А» —
Вінницька область, «В» — Волинська і т. д.), третій знак задає код типу або
множини банківських установ, а четвертий — номер вузла в даному типі чи множині
банківських установ.
Система
має суто ієрархічну трирівневу структуру. На 1-му рівні перебуває ЦВ, на 2-му
містяться регіональні вузли, а на 3-му — абонентські вузли. Кожний АВ входить
лише до одного регіонального, а регіональні вузли входять до ЦВ. Завдяки тому,
що РЕВ — це, як правило, обласні вузли (крім Київського), забезпечується
охоплення всієї території країни.
На
множині вузлів пошти для забезпечення передавання повідомлень визначається
набір маршрутів, де описуються шляхи доступу від одного вузла до іншого. Ці
маршрути використовуються при транспортуванні поштових повідомлень. З огляду на
ієрархічну структуру ЕП доставляння поштового повідомлення — ПОП — між двома
РЕВ можливе лише через ЦВ. Ясна річ, що і ПОП АВ одного РЕВ до АВ іншого РЕВ
іде транзитом через ЦВ. Можливі маршрути в ЕП можна записати у вигляді:
АВ(а)
® РЕВ ® АВ(б), АВ(а) ® РЕВ(а) ® ЦВ ® РЕВ(б) ® АВ(б).
Поштові
повідомлення, або «поштові конверти», є тими одиницями інформації, які
передаються між вузлами системи ЕП. Отже, передавання інформації відбувається
не безперервним потоком, а певними порціями (пакетами, файлами), які називають
конвертами.
Важливою
функцією в ЕП є забезпечення й підтвердження факту доставлення конверта. Тому в
ЕП є функція генерації та обліку підтверджень доставлення поштових повідомлень.
Такі підтвердження формуються лише в кінцевому вузлі-одержувачі. Підтвердження
формується як файл-квитанція про доставлення ПОП у момент, коли воно потрапляє
до вхідного каталогу у вузлі-адресаті. Квитанція формується автоматично
програмами АК, якщо в заголовку ПОП, яке надійшло, установлено ознаку видачі
підтвердження доставлення.
Зрозуміло,
що це дає змогу використовувати ЕП для розв’язування
найрізноманітніших функціональних задач і операцій банківської та фінансової
діяльності. Насамперед ЕП НБУ використовується для забезпечення можливості
виконання міжбанківських розрахунків. Саме на базі ЕП НБУ створена й функціонує
система електронних міжбанківських платежів (СЕП) банків України.
Перспективою
розвитку ЕП крім поліпшення якісних показників її роботи (скорочення строку
доставляння повідомлень, зменшення кількості відказів, можливість підімкнення
нових вузлів, збільшення обсягів передавання тощо) є також розробка часткових
шлюзів передавання та приймання даних із інших мереж, зокрема й із мережі
ІНТЕРНЕТ. Зрозуміло, що при цьому постає проблема додаткових облікових і
контрольних функцій, оскільки ЕП НБУ є системою закритого типу й такою, що
забезпечує виконання специфічних завдань і послуг. Аналогічні проблеми
пов’язані зі створенням шлюзу ЕП НБУ на інші поштові системи.
Основні
засоби захисту банквської інформації в каналах електронної пошти НБУ є
наступними:
захист
цілісності та конфіденційності за рахунок спеціального структурування та
криптозахисту вихідного повідомлення (конверта);
застосування
системи антивірусного программного забезпечення на робочих станціях ЛОМ банку,
а також на транзитно-транспортних ПЕОМ «електронної пошти НБУ»;
застосування
захисних шлюзів між мережею «електронної пошти НБУ» та глобальною мережею
Інтернет і мережами комерційних банків;
впровадження
контрольної системи ідентифікації та аутентефікації користувачів мережі
«електронної пошти»;
застосування
поіменної маршрутизації «поштових конвертів» за унікальною ІР-адресою;
застосування
автоматів зашифрування та розшифрування потоків «електронної пошти».
РОЗДІЛ
3
ПОБУДОВА
МОДЕЛІ СИСТЕМНОЇ ІНТЕГРАЦІЇ МОДУЛІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АБС АКБ
«ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ
3.1Постановка
алгоритму задачі формування та опис елементів матриці контролю комплексної
системи захисту інформації (КСЗІ) інформаційних об’єктів комерційного
банку
В
дипломному дослідженні матриця контролю стану побудови та експлуатації
комплексної системи захисту інформації в комерційному банку представлена у
вигляді 7-рівневої структурної матриці (табл.3.1), на кожному рівні в якої є 5
визначальних сегментів (напрямів захисту інформації в банку).
Основні
структурні рівні сегментів КСЗІ банку (табл.3.1, рис.3.1):
1.
Перший рівень (100) матриці контролю КСЗІ банку - «Визначення банківської
інформації та її носіїв, які підлягають захисту»
2.
Другий рівень (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз
інформації та каналів витоку, модифікації чи знищення банківської інформації»
3.
Третій рівень (300) матриці контролю КСЗІ банку - «Проведення дослідження
технології функціонування АБС банку, оцінка уязвимості та ризиків»
4.
Четвертий рівень (400) матриці контролю КСЗІ банку - «Визначення вимог до
елементів КСЗІ»
5.
П’ятий рівень (500) матриці контролю КСЗІ банку - «Здійснення вибору
заходів та засобів захисту інформації»
Таблиця
3.1
Матриця
контролю комплексної системи захисту інформаційних об’єктів
комерційного банку
<<< Структурні рівні сегментів КСЗІ банку
010
020
030
040
050
Сегменти
КСЗІ банку >>> Захист об’’єктів інформаційної
діяльності банку (територіально-апаратна інфраструктура АБС) Захист
обчислювальних мереж, баз даних і програм АБС Захист міжфілійних корпоративних
мереж та каналів зв’язку Захист від витоку ПЕВМІН Оперативне
управління моніторами системи захисту інформації
Основні
етапи побудови структурного рівня КСЗІ банку >>> Документальне
забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів
Вровадження программно-апаратних засобів Документальне забезпечення
Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження
программно-апаратних засобів Документальне забезпечення Структурно-кадрове
забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних
засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна
розробка заходів Вровадження программно-апаратних засобів Документальне
забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів
Вровадження программно-апаратних засобів
011
012
013
014
021
022
023
024
031
032
033
034
041
042
043
044
051
052
053
054
100
Визначення
банківської інформації та її носіїв, які підлягають захисту 111
112
113
114
121
122
123
124
131
132
133
134
141
142
143
144
151
152
153
154
200
Виявлення
джерел загроз інформації та каналів витоку, модифікції чи знищення банківської
інформації 211
212
213
214
221
222
223
224
231
232
233
234
241
242
243
244
251
252
253
254
300
Проведення дослідження технології функціонування АБС банку, оцінка
уязвимості
та ризиків
311
312
313
314
321
322
323
324
331
332
333
334
341
342
343
344
351
352
353
354
400
Визначення
вимог до елементів КСЗІ 411
412
413
414
421
422
423
424
431
432
433
434
441
442
443
444
451
452
453
454
500
Здійснення
вибору заходів та засобів захисту інформації 511
512
513
514
521
522
523
524
531
532
533
534
541
542
543
544
551
552
553
554
600
Впровадження
та експлуатація вибраних засобів та технологій захисту інформації 611
612
613
614
621
622
623
624
631
632
633
634
641
642
643
644
651
652
653
654
700
Контроль
та управління сегментом захисту інформації 711
712
713
714
721
722
723
724
731
732
733
734
741
742
743
744
751
752
753
754
Рис.3.1.
Структурна схема сегментів КСЗІ банку (в нумерації матриці контролю)
6.
Шостий рівень (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація
вибраних засобів та технологій захисту інформації»
7.
Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління
сегментом захисту інформації»
На
кожному с структурних рівнів матриці розташована інформація по 5 характерним
сегментам КСЗІ комерційного банку:
а)
сегмент 010 - «Захист об’’єктів інформаційної діяльності
банку (територіально-апаратна інфраструктура АБС)»
б)
сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»
в)
сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів
зв’язку»
г)
сегмент 040 - «Захист від витоку ПЕВМІН»
д)
сегмент 050 - «Оперативне управління моніторами системи захисту інформації»
При
побудові алгоритму задачі створення інтегрованого контролю за поточним станом
створення та експлуатації КСЗІ комерційного банку в ячейках матриці, наведеної
в табл.3.1, використані наступні комплексні показники:
1.
Посегментне змістовне значення параметрів в першій строці (100)
матриці
контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які
підлягають захисту»
а)
сегмент100-010
«Захист
об’’єктів інформаційної діяльності банку
(територіально-апаратна інфраструктура АБС)»
1.1.1
Викладення у законодавчих, нормативних і методичних документах питань, що
визначають перелік банківської інформації на об'єктах АБС, яка підлягають
захисту й порядок визначення такої банківської інформації.
1.1.2
Опис функцій органів, відповідальних за визначення банківської інформації, що
підлягають захисту на об'єктах АБС
1.1.3
Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку
банківської інформації, яка підлягає захисту на об'єктах АБС.
1.1.4
Опис набору засобів для забезпечення оперативності і якості визначення
інформації, що підлягає захисту на об'єктах АБС.
б)
сегмент 100-020
«Захист
обчислювальних мереж, баз даних і програм АБС»
1.2.1
Викладення у законодавчих, нормативних і методичних документах питань, що
визначають перелік банківської інформації, яка використовується в процесах і
програмах АБС, що підлягають захисту й порядок визначення такої банківської
інформації.
1.2.2
Опис функцій органів, відповідальних за визначення банківської інформації, що
підлягає захисту при використанні її у процесах і програмах АБС.
1.2.3
Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку
банківської інформації, яка підлягає захисту при використанні її у процесах і
програмах АБС.
1.2.4
Опис набору засобів для забезпечення оперативності і якості визначення
інформації, що підлягає захисту при використанні її у процесах і програмах АБС
.
в)
сегмент 100-030
«Захист
міжфілійних корпоративних мереж та каналів зв’язку»
1.3.1
Викладення у законодавчих, нормативних і методичних документах питань, що
визначає перелік банківської інформації, передаваємої по каналах зв'язку АБС,
яка підлягає захисту й порядок визначення такої банківської інформації.
1.3.2
Опис функцій органів, відповідальних за визначення банківської інформації, ,
передаваємої по каналах зв'язку АБС, яка підлягає захисту.
1.3.3
Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку
банківської інформації, яка підлягає захисту при передачі її по каналах
зв'язку.
1.3.4
Опис набору засобів для забезпечення оперативності і якості визначення
інформації, що підлягає захисту при передачі їх по каналах зв'язку.
г)
сегмент 100-040
«Захист
від витоку ПЕВМІН»
1.4.1
Викладення у законодавчих, нормативних і методичних документах питань, що визначають
перелік банківської інформації, яка витікає за рахунок ПЕМІН, підлягає захисту
й порядок визначення таких банківської інформації.
1.4.2
Опис функцій органів, відповідальних за визначення банківської інформації, яка
витікає за рахунок ПЕМІН та підлягає захисту.
1.4.3
Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку
банківської інформації, яка підлягає захисту в умовах можливого витоку за
рахунок ПЕМІН.
1.4.4.
Опис набору засобів для забезпечення оперативності і якості визначення
інформації, що підлягає захисту в умовах можливого витоку її за рахунок ПЕМІН.
д)
сегмент 100-050
«Оперативне
управління моніторами системи захисту інформації»
1.5.1
Викладення у законодавчих, нормативних і методичних документах питань, що визначають
перелік банківської інформації, яка підлягає захисту в процесі керування
системою захисту й порядок визначення такої банківської інформації.
1.5.2
Опис функцій органів, відповідальних за визначення банківської інформації, що
підлягає захисту в процесі керування системою захисту.
1.5.3
Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку
банківської інформації, яка підлягає захисту в процесі керування системою
захисту.
1.5.4
Опис набору засобів для забезпечення оперативності і якості визначення
інформації, що підлягає захисту в процесі керування системою захисту.
2.
Посегментне змістовне значення параметрів в другійстроці (200) матриці контролю
КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікції чи
знищення банківської інформації»
а)
сегмент 200-010
«Захист
об’’єктів інформаційної діяльності банку
(територіально-апаратна інфраструктура АБС)»
2.1.1
Викладення у законодавчих, нормативних і методичних документах питань, що
визначають порядок виявлення потенційних каналів витоку інформації на об'єктах
АБС .
2.1.2
Опис функцій органів, відповідальних за виявлення потенційних каналів витоку
інформації на об'єктах АБС .
2.1.3
Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних
каналів витоку інформації на об'єктах АБС .
2.1.4
Опис набору засобів для забезпечення оперативності і якості виявлення
потенційних каналів витоку інформації на об'єктах АБС .
б)
сегмент 200-020
«Захист
обчислювальних мереж, баз даних і програм АБС»
2.2.1
Викладення у законодавчих, нормативних і методичних документах питань, що
визначають порядок виявлення потенційних каналів витоку інформації в процесах і
програмах АБС .
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20
|