Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку

 формування й приймання поштових повідомлень — процеси, що розділені в часі і виконуються незалежно від процесів встановлення з’єднань між вузлами та передаванням даних;

 система ЕП використовує архітектуру, коли повідомлення запам’ятовується на одному вузлі, а далі передається за маршрутом до іншого вузла доти, доки воно не буде доставлене адресатові. Така архітектура забезпечує передавання даних навіть у разі можливих відказів засобів зв’язку;

 ЕП НБУ дає змогу передавати повідомлення одночасно багатьом користувачам завдяки введенню спеціального механізму «група вузлів» і вказуванню кількох адресатів при формуванні «поштового конверта». Таким чином передаються повідомлення, що стосуються багатьох або всіх абонентів, наприклад, загальні дані типу коригувань списку учасників, адрес вузлів ЕП тощо;

 система ЕП НБУ допомагає організовувати взаємодію між програмними комплексами автоматизації банківської діяльності, які містяться в різних вузлах. При цьому забезпечується весь сервіс щодо зберігання, документування й надійності доставляння кореспонденції;

 В ЕП ведеться довідник вузлів ЕП, який міститься в кожному вузлі системи у вигляді файла з іменем «SPRUSNBU.DBF». Цей довідник фактично описує адресний простір вузлів ЕП. Він ведеться в ЦВ, служби якого забезпечують актуалізацію довідника й готують коректури для розсилання по всіх інших вузлах ЕП НБУ. Кожний вузол має належне лише йому поштове ім’я.

 Для АВ, які містяться в банківських установах, ім’я вузла складається з чотирьох знаків, де перший знак є постійним (латинська буква «U»), другий — латинська буква, яка визначає регіон (область) України (наприклад, «А» — Вінницька область, «В» — Волинська і т. д.), третій знак задає код типу або множини банківських установ, а четвертий — номер вузла в даному типі чи множині банківських установ.

 Система має суто ієрархічну трирівневу структуру. На 1-му рівні перебуває ЦВ, на 2-му містяться регіональні вузли, а на 3-му — абонентські вузли. Кожний АВ входить лише до одного регіонального, а регіональні вузли входять до ЦВ. Завдяки тому, що РЕВ — це, як правило, обласні вузли (крім Київського), забезпечується охоплення всієї території країни.

 На множині вузлів пошти для забезпечення передавання повідомлень визначається набір маршрутів, де описуються шляхи доступу від одного вузла до іншого. Ці маршрути використовуються при транспортуванні поштових повідомлень. З огляду на ієрархічну структуру ЕП доставляння поштового повідомлення — ПОП — між двома РЕВ можливе лише через ЦВ. Ясна річ, що і ПОП АВ одного РЕВ до АВ іншого РЕВ іде транзитом через ЦВ. Можливі маршрути в ЕП можна записати у вигляді:

 АВ(а) ® РЕВ ® АВ(б), АВ(а) ® РЕВ(а) ® ЦВ ® РЕВ(б) ® АВ(б).

 Поштові повідомлення, або «поштові конверти», є тими одиницями інформації, які передаються між вузлами системи ЕП. Отже, передавання інформації відбувається не безперервним потоком, а певними порціями (пакетами, файлами), які називають конвертами.

 Важливою функцією в ЕП є забезпечення й підтвердження факту доставлення конверта. Тому в ЕП є функція генерації та обліку підтверджень доставлення поштових повідомлень. Такі підтвердження формуються лише в кінцевому вузлі-одержувачі. Підтвердження формується як файл-квитанція про доставлення ПОП у момент, коли воно потрапляє до вхідного каталогу у вузлі-адресаті. Квитанція формується автоматично програмами АК, якщо в заголовку ПОП, яке надійшло, установлено ознаку видачі підтвердження доставлення.

 Зрозуміло, що це дає змогу використовувати ЕП для розв’язування найрізноманітніших функціональних задач і операцій банківської та фінансової діяльності. Насамперед ЕП НБУ використовується для забезпечення можливості виконання міжбанківських розрахунків. Саме на базі ЕП НБУ створена й функціонує система електронних міжбанківських платежів (СЕП) банків України.

 Перспективою розвитку ЕП крім поліпшення якісних показників її роботи (скорочення строку доставляння повідомлень, зменшення кількості відказів, можливість підімкнення нових вузлів, збільшення обсягів передавання тощо) є також розробка часткових шлюзів передавання та приймання даних із інших мереж, зокрема й із мережі ІНТЕРНЕТ. Зрозуміло, що при цьому постає проблема додаткових облікових і контрольних функцій, оскільки ЕП НБУ є системою закритого типу й такою, що забезпечує виконання специфічних завдань і послуг. Аналогічні проблеми пов’язані зі створенням шлюзу ЕП НБУ на інші поштові системи.

 Основні засоби захисту банквської інформації в каналах електронної пошти НБУ є наступними:

 захист цілісності та конфіденційності за рахунок спеціального структурування та криптозахисту вихідного повідомлення (конверта);

 застосування системи антивірусного программного забезпечення на робочих станціях ЛОМ банку, а також на транзитно-транспортних ПЕОМ «електронної пошти НБУ»;

 застосування захисних шлюзів між мережею «електронної пошти НБУ» та глобальною мережею Інтернет і мережами комерційних банків;

 впровадження контрольної системи ідентифікації та аутентефікації користувачів мережі «електронної пошти»;

 застосування поіменної маршрутизації «поштових конвертів» за унікальною ІР-адресою;

 застосування автоматів зашифрування та розшифрування потоків «електронної пошти».

РОЗДІЛ 3

 ПОБУДОВА МОДЕЛІ СИСТЕМНОЇ ІНТЕГРАЦІЇ МОДУЛІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АБС АКБ «ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ

3.1Постановка алгоритму задачі формування та опис елементів матриці контролю комплексної системи захисту інформації (КСЗІ) інформаційних об’єктів комерційного банку

В дипломному дослідженні матриця контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку представлена у вигляді 7-рівневої структурної матриці (табл.3.1), на кожному рівні в якої є 5 визначальних сегментів (напрямів захисту інформації в банку).

 Основні структурні рівні сегментів КСЗІ банку (табл.3.1, рис.3.1):

 1. Перший рівень (100) матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

 2. Другий рівень (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікації чи знищення банківської інформації»

 3. Третій рівень (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків»

 4. Четвертий рівень (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»

 5. П’ятий рівень (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації»

Таблиця 3.1

 Матриця контролю комплексної системи захисту інформаційних об’єктів комерційного банку

                       <<< Структурні рівні сегментів КСЗІ банку

 010

  020

  030

  040

  050

Сегменти КСЗІ банку >>> Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС) Захист обчислювальних мереж, баз даних і програм АБС Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку Захист від витоку ПЕВМІН Оперативне управління моніторами системи захисту інформації

Основні етапи побудови структурного рівня КСЗІ банку >>> Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів Документальне забезпечення Структурно-кадрове забезпечення Алгоритмічна розробка заходів Вровадження программно-апаратних засобів

 011

  012

  013

  014

  021

  022

  023

  024

  031

  032

  033

  034

  041

  042

  043

  044

  051

  052

  053

  054

    100

 Визначення банківської інформації та її носіїв, які підлягають захисту  111

  112

  113

  114

  121

  122

  123

  124

  131

  132

  133

  134

  141

  142

  143

  144

  151

  152

  153

  154

    200

 Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації  211

  212

  213

  214

  221

  222

  223

  224

  231

  232

  233

  234

  241

  242

  243

  244

  251

  252

  253

  254

    300

  Проведення дослідження технології функціонування АБС банку, оцінка

уязвимості та ризиків

  311

  312

  313

  314

  321

  322

  323

  324

  331

  332

  333

  334

  341

  342

  343

  344

  351

  352

  353

  354

    400

 Визначення вимог до елементів КСЗІ  411

  412

  413

  414

  421

  422

  423

  424

  431

  432

  433

  434

  441

  442

  443

  444

  451

  452

  453

  454

    500

 Здійснення вибору заходів та засобів захисту інформації  511

  512

  513

  514

  521

  522

  523

  524

  531

  532

  533

  534

  541

  542

  543

  544

  551

  552

  553

  554

    600

 Впровадження та експлуатація вибраних засобів та технологій захисту інформації  611

  612

  613

  614

  621

  622

  623

  624

  631

  632

  633

  634

  641

  642

  643

  644

  651

  652

  653

  654

    700

 Контроль та управління сегментом захисту інформації  711

  712

  713

  714

  721

  722

  723

  724

  731

  732

  733

  734

  741

  742

  743

  744

  751

  752

  753

  754

Рис.3.1. Структурна схема сегментів КСЗІ банку (в нумерації матриці контролю)

 6. Шостий рівень (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації»

 7. Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»

 На кожному с структурних рівнів матриці розташована інформація по 5 характерним сегментам КСЗІ комерційного банку:

 а) сегмент 010 - «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

 б) сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»

 в) сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку»

 г) сегмент 040 - «Захист від витоку ПЕВМІН»

 д) сегмент 050 - «Оперативне управління моніторами системи захисту інформації»

 При побудові алгоритму задачі створення інтегрованого контролю за поточним станом створення та експлуатації КСЗІ комерційного банку в ячейках матриці, наведеної в табл.3.1, використані наступні комплексні показники:

 1. Посегментне змістовне значення параметрів в першій строці (100)

 матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

 а) сегмент100-010

 «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

 1.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації на об'єктах АБС, яка підлягають захисту й порядок визначення такої банківської інформації.

 1.1.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягають захисту на об'єктах АБС

 1.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту на об'єктах АБС.

 1.1.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту на об'єктах АБС.

 б) сегмент 100-020

 «Захист обчислювальних мереж, баз даних і програм АБС»

 1.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка використовується в процесах і програмах АБС, що підлягають захисту й порядок визначення такої банківської інформації.

 1.2.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту при використанні її у процесах і програмах АБС.

 1.2.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при використанні її у процесах і програмах АБС.

 1.2.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при використанні її у процесах і програмах АБС .

 в) сегмент 100-030

 «Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку»

 1.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначає перелік банківської інформації, передаваємої по каналах зв'язку АБС, яка підлягає захисту й порядок визначення такої банківської інформації.

 1.3.2 Опис функцій органів, відповідальних за визначення банківської інформації, , передаваємої по каналах зв'язку АБС, яка підлягає захисту.

 1.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при передачі її по каналах зв'язку.

 1.3.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при передачі їх по каналах зв'язку.

 г) сегмент 100-040

 «Захист від витоку ПЕВМІН»

 1.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка витікає за рахунок ПЕМІН, підлягає захисту й порядок визначення таких банківської інформації.

 1.4.2 Опис функцій органів, відповідальних за визначення банківської інформації, яка витікає за рахунок ПЕМІН та підлягає захисту.

 1.4.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в умовах можливого витоку за рахунок ПЕМІН.

 1.4.4. Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в умовах можливого витоку її за рахунок ПЕМІН.

 д) сегмент 100-050

 «Оперативне управління моніторами системи захисту інформації»

 1.5.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка підлягає захисту в процесі керування системою захисту й порядок визначення такої банківської інформації.

 1.5.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту в процесі керування системою захисту.

 1.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в процесі керування системою захисту.

 1.5.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в процесі керування системою захисту.

 2. Посегментне змістовне значення параметрів в другійстроці (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації»

 а) сегмент 200-010

 «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

 2.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації на об'єктах АБС .

 2.1.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації на об'єктах АБС .

 2.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації на об'єктах АБС .

 2.1.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації на об'єктах АБС .

 б) сегмент 200-020

 «Захист обчислювальних мереж, баз даних і програм АБС»

 2.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації в процесах і програмах АБС .

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20