Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку

 - можливість оперативного аналізу фінансової діяльності банку в розрізі структурних підрозділів;

 - інтегрованість з електронними системами інформаційного обміну Національного банку;

 - інтегрованість з іншими складовими системи автоматизації банку, можливість отримувати інформацію про здійснені операції в будь-якому розрізі;

 - уніфікація програмно-технічних рішень та технологій для структурних підрозділів банку;

 - можливість нарощування функціональних характеристик програмного забезпечення, а також його адаптація в разі зміни законодавчої бази щодо облікових операцій.

 4. Під час застосування програмно-технічних засобів має передбачатися таке:

 - реалізація принципу надання користувачам необхідних повноважень;

 - доступ з робочого місця працівника лише до тієї інформації, що потрібна користувачу для безпосереднього виконання його обов'язків;

 - можливість докладного попереднього аналізу всієї вхідної інформації до часу її відображення в обліку;

 - реалізація правила "двох рук" (операція не може бути ініційована та виконана одним користувачем системи), за винятком операцій, що здійснюються платіжними та іншими автоматизованими системами;

 - реалізація банківського продукту згідно із затвердженою технологією оброблення інформації;

 - надання користувачам повідомлення про наявність викривленої та/або суперечливої інформації;

 - можливість автоматичного визначення джерела надходження суперечливої інформації та термінового інформування відповідних працівників банку про це і блокування роботи користувачів чи робочих місць до часу надання їм дозволу на проведення подальшої роботи;

 - прийняття користувачами правильного рішення про те, яке з джерел інформації слід вважати сумнівним, а яке - достовірним;

 - неможливість ігнорування інформації, що надійшла з будь-якого джерела;

 - автоматичне присвоєння протягом одного операційного дня кожній операції певного ідентифікатора (номера). Цей ідентифікатор (номер) має вноситися до відповідного електронного документа;

 - надійність та здатність до швидкого відновлення робочого процесу в разі виникнення технічних неполадок. Наявність резервного накопичення та зберігання всієї інформації для забезпечення відновлення роботи банку внаслідок виникнення форс-мажорних та інших непередбачуваних обставин або в разі ліквідації банку;

 - автоматизація роботи з архівами системи. Можливість ознайомлення з будь-якою потрібною архівною інформацією протягом терміну її зберігання, у тому числі в розрізі структурних підрозділів банку (філій, відділень тощо). У цьому разі виконуються лише операції з перегляду, пошуку та формування вихідних документів;

 - архівація - регламентна або позапланова (у разі потреби).

 5. Програмне забезпечення банку має відповідати таким вимогам інформаційної безпеки:

 - наявність системи захисту інформації, яку не можна відключити і неможливо здійснити оброблення інформації без її використання;

 - забезпечення належного захисту інформації під час її передавання між різними підсистемами формування та оброблення інформації;

 - для автоматизованих систем, які функціонують у режимі "клієнт-сервер", доступ користувачів до бази даних має відбуватися лише через додаткове програмне забезпечення, за допомогою якого здійснюється автентифікація осіб, яким дозволено користуватися цією базою даних;

 - автентифікація користувача на кожному робочому місці та під час здійснення будь-яких операцій;

 - забезпечення блокування роботи на кожному робочому місці під час багаторазових спроб (не більше трьох) неправильного введення паролю, якщо використовується парольний захист;

 - наявність безперервного технологічного контролю за цілісністю інформації та накладання/перевіряння цифрового підпису на всіх банківських документах на всіх етапах їх оброблення;

 - передавання електронних банківських документів, втрата або несанкціоноване ознайомлення з якими може завдати збитків банку, його відокремленим підрозділам або клієнту банку, відповідними каналами зв'язку електронною поштою або в режимі on-line лише зашифрованими з обов'язковим наданням підтвердження про їх отримання;

 - обов'язкова реєстрація всіх спроб доступу, усіх операцій та інших дій, їх фіксація в автоматизованій системі в захищеному від модифікації електронному журналі з постійним контролем його цілісності.

 Крім того, банкам слід:

 - суворо дотримуватися і перевіряти виконання вимог щодо технічного та технологічного забезпечення їх діяльності, зокрема розміщення програмно-апаратних комплексів на таких комп'ютерах, що мають забезпечити їх надійне функціонування;

 - уживати заходів для забезпечення безперебійного електроживлення та наявності резервних каналів зв'язку;

 - перевіряти виконання вимог щодо організації захисту інформації в програмно-технічних комплексах згідно з нормативно-правовими актами Національного банку та вимогами розробників систем захисту інформації.

 До приміщень банків, в яких обробляється банківська інформації НЬУ висунуті специфічні вимоги, викладені в „Правилах з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи” [12]:

 1. Приміщення з обмеженим доступом - приміщення, у яких розташовані робочі місця з комп'ютерною технікою, обробляються електронні банківські документи, що містять відомості з грифом "Банківська таємниця", та інша електронна інформація, доступ до якої обмежений банком;

 2. Комутаційні кімнати - приміщення, у яких розташовано телекомуніка-ційне обладнання, що забезпечує функціонування локальних і корпоративних мереж банку, а також зв'язок з іншими установами та мережами загального користування;

 3. Серверні приміщення - приміщення, у яких розташовані сервери баз даних, сервери прикладних програм, файлові сервери тощо, на яких обробляються та зберігаються електронні банківські документи і бази даних.

 До систем «електронної пошти» та „електронних банківських платежів” між комерційними банками та Національним банком України висунуті вимоги застосування апаратного та програмного криптографічного захисту файлової інформації згідно „Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України” [11]:

 1. У тексті Правил скорочення вживаються в такому значенні:

 АКЗІ - апаратура криптографічного захисту інформації;

 АРМ - автоматизоване робоче місце;

 АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів / онлайнових пакетів, які містять початкові платежі СЕП;

 АРМ-СЕП - автоматизоване робоче місце АРМ-НБУ з програмними та апаратними засобами захисту інформації, яке призначене для роботи в СЕП;

 АРМ-НБУ - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

 АС - автоматизована система;

 ВК - відкритий ключ;

 ГМД - гнучкий магнітний диск;

 ЕЦП - електронний цифровий підпис;

 засоби захисту - засоби захисту інформації Національного банку;

 інформаційні задачі - програмно-технічні комплекси, які забезпечують оброблення та передавання інформації, що не належить до платіжних документів СЕП, з використанням засобів захисту інформації Національного банку між банками України, Національним банком, органами державної влади і небанківськими організаціями;

 ПЕОМ - персональна електронна обчислювальна машина;

 ПМГК - програмний модуль генерації ключів;

 ТК - таємний ключ;

 САБ - система автоматизації банку;

 СЕП - система електронних платежів;

 СК - смарт-картка;

 ТВК - таблиця відкритих ключів.

 2. Правила регламентують порядок отримання, обліку, передавання, використання та зберігання засобів захисту, виконання вимог щодо правил інформаційної безпеки в банках України, їх філіях, органах державної влади, небанківських установах, які є безпосередніми учасниками системи електронних платежів (далі - СЕП) та/або інформаційних задач (далі - організація), які згідно з договором з Національним банком отримали засоби захисту.

 3. Організації отримують засоби захисту для використання в СЕП та/або інформаційних задачах Національного банку в територіальних управліннях Національного банку за місцем їх знаходження незалежно від моделі обслуговування кореспондентського рахунку в СЕП.

 4. Система захисту електронних банківських документів Національного банку складається з комплексу апаратно-програмних засобів захисту інформації та ключової інформації до них, а також технологічних й організаційних заходів.

 5. Система захисту електронних банківських документів охоплює всі етапи розроблення, упровадження й експлуатації програмно-технічного забезпечення СЕП та інформаційних задач автоматизації банківської діяльності. Ця система визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

 6. Організація, яка використовує засоби захисту, зобов'язана мати приміщення, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту, які відповідають вимогам НБУ.

 Принципи побудови захисту електронних банківських документів в СЕП НБУ [ ]:

 1. Система захисту електронних банківських документів (далі - система захисту) забезпечує:

 а) захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;

 б) автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів у СЕП;

 в) захист від технічних порушень роботи апаратури (у тому числі від псування апаратних і програмних засобів, перешкод у каналах зв'язку);

 г) умови для роботи програмно-технічних комплексів у СЕП, за яких фахівці банків - учасників СЕП і Національного банку не можуть утручатися в оброблення електронних банківських документів після їх формування, та автоматичний контроль на кожному етапі їх оброблення.

 2. Система захисту:

 а) охоплює всі етапи розроблення, упровадження та експлуатації програмно-технічного забезпечення в банках (філіях);

 б) уключає технологічні, апаратні, програмні засоби та організаційні заходи захисту;

 в) визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

 3. Технологічні засоби безпеки в СЕП

 3.1. Технологічний контроль використовується для підвищення ступеня захисту електронних банківських документів у СЕП і здійснюється програмним забезпеченням на всіх рівнях їх оброблення, що дає змогу контролювати здійснення розрахунків протягом робочого дня, а також виконувати їх звіряння в кінці дня.

 3.2. Технологічні засоби контролю включають:

 механізм обміну квитанціями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла або пакета електронних банківських документів у СЕП і забезпечує можливість контролю отриманої в ньому інформації;

 механізм інформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за підсумками циклів оброблення платежів у ЦОСЕП;

 механізм надання банку - учаснику СЕП інформації щодо поточного стану його технічного рахунку;

 взаємообмін між банком і ЦОСЕП технологічною інформацією за підсумками банківського дня з переліком відображених за технічним рахунком міжбанківських електронних розрахункових документів, які оброблені засобами СЕП у файловому режимі та режимі реального часу, що дає змогу здійснювати їх програмне звіряння як у ЦОСЕП, так і в банку;

 програмний комплекс самодіагностики, який дає змогу виявляти порушення цілісності баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслідок порушень функціонування системи, спроб несанкціонованого доступу або фізичного псування баз даних;

 автоматичний механізм контролю за несанкціонованим модифікуванням робочих модулів;

 механізм резервування для забезпечення швидкого відновлення роботи ЦОСЕП з мінімальними втратами інформації.

 Технологічні засоби контролю, убудовані в програмне забезпечення, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування ЦРП.

 До засобів контролю включають також:

 технологічну інформацію ЦОСЕП про стан технічних рахунків і стан функціонування СЕП за підсумками банківського дня;

 засоби аналізу причин невідповідності балансу.

 4. Криптографічний захист інформації

 4.1. Апаратно-програмні засоби криптографічного захисту інформації в СЕП забезпечують автентифікацію відправника та отримувача електронних банківських документів і службових повідомлень СЕП, гарантують їх достовірність та цілісність, неможливість підроблення або викривлення документів у шифрованому вигляді та за наявності ЕЦП.

 Криптографічний захист інформації охоплює всі етапи оброблення електронних банківських документів з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в СЕП.

 Криптографічний захист інформації забезпечує цілісність та конфіденційність електронної банківської інформації, а також сувору автентифікацію учасників СЕП і їх фахівців, які здійснюють підготовку та оброблення електронних банківських документів.

 4.2. Для здійснення суворої автентифікації банків (філій), які є учасниками СЕП, застосовується система ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту.

 Учасник СЕП для забезпечення захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований; другий та третій знаки є унікальними ідентифікаторами учасника СЕП у межах цієї території. Ідентифікатори мають бути узгоджені з адресами системи ЕП і бути унікальними в межах банківської системи України.

 Трибайтні ідентифікатори є складовою частиною ідентифікаторів ключів криптографічного захисту для робочих місць САБ банку (філії), де формуються та обробляються електронні банківські документи. Ідентифікатор ключів криптографічного захисту для робочих місць складається з шести символів, з яких три перші є ідентифікаторами учасника СЕП, четвертий - визначає тип робочого місця (операціоніст, бухгалтер тощо), п'ятий і шостий - ідентифікатор конкретного робочого місця (тобто службовця, який відповідає за оброблення електронних банківських документів на цьому робочому місці). Трибайтний ідентифікатор учасника СЕП убудований у програму генерації ключів і не може бути змінений учасником СЕП, що забезпечує захист від підроблення ключів від імені інших учасників СЕП.

 Ідентифікатори ключів записуються в апаратуру криптографічного захисту інформації (далі - АКЗІ), яка надається учасникам СЕП і забезпечує апаратне формування (перевірку) ЕЦП та апаратне шифрування (розшифрування) на АРМ-СЕП.

 4.3. Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту електронних банківських документів з часу їх формування система захисту СЕП уключає механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSA та ДСТУ 4145. Для забезпечення роботи алгоритму RSA учасник СЕП отримує від територіального управління персональний генератор ключів з убудованим ідентифікатором учасника СЕП. За допомогою цього генератора ключів учасник СЕП має змогу генерувати ключі для всіх робочих місць, де працюють з електронними банківськими документами. Кожен таємний ключ робочого місця обов'язково має бути захищений особистим паролем відповідальної особи, яка працює з цим ключем. Для забезпечення захисту ключової інформації (а саме відкритих ключів) від несанкціонованої модифікації відкриті ключі ЕЦП мають надсилатися до Департаменту інформатизації для сертифікації (крім відкритих ключів для робочих місць операціоністів, що використовуються лише в САБ).

 Генерація ключів для АКЗІ здійснюється на комп'ютері, де розміщується програмно-технічний комплекс АРМ-СЕП, за допомогою генератора, убудованого в АРМ-СЕП. Для забезпечення безперебійної роботи АРМ-СЕП з апаратурою захисту під час генерації ключа АКЗІ згенерований ключ повинен записуватися на дві смарт-картки (основну та резервну).

 Учасник СЕП зобов'язаний забезпечити дотримання механізму накладання (перевірки) ЕЦП згідно з вимогами цієї глави, які унеможливлюють формування та відсилання електронного банківського документа однією службовою особою.

 Під час формування електронного банківського документа на робочому місці операціоніста САБ відповідальна особа, яка формує цей документ, має накладати ЕЦП на документ за допомогою свого таємного ключа. Під час формування файла (пакета) електронних банківських документів на робочому місці бухгалтера САБ накладається ЕЦП на цей файл (пакет) у цілому, що забезпечує його захист від модифікації. Сформований таким чином файл (пакет) обробляється АРМ-СЕП, де виконується перевірка ЕЦП операціоніста на кожному електронному банківському документі та накладається ЕЦП АРМ-СЕП, який можуть перевірити всі учасники СЕП. Під час оброблення файлів (пакетів) ЦОСЕП виконує перевірку підписів на кожному електронному банківському документі та файлі (пакеті) у цілому та після формування файлів (пакетів) відповідних платежів накладає ЕЦП на файл (пакет) у цілому за допомогою таємного ключа ЦОСЕП. Разом з цим на кожному електронному банківському документі залишається ЕЦП АРМ-СЕП учасника СЕП, який відправляв цей електронний банківський документ. Під час отримання файлів (пакетів) відповідних платежів виконується така сама перевірка (накладання) ЕЦП до часу остаточного оброблення документів операціоністом САБ отримувача.

 Технологія оброблення платежів у САБ учасника СЕП забезпечує надійний розподіл доступу під час оброблення електронних банківських документів і захист цих документів від модифікації в локальній мережі банку. Виконання технології використання ЕЦП на всіх етапах оброблення електронних банківських документів є обов'язковою вимогою для всіх типів САБ, які працюють у банках (філіях), незалежно від моделі обслуговування консолідованого кореспондентського рахунку.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20