7. Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»
На кожному з структурних рівнів матриці розташована інформація по 5-ти характерним сегментам КСЗІ комерційного банку:
а) сегмент 010 - «Захист об’єктів інформаційної діяльності банку (тери-торіально-апаратна інфраструктура АБС)»
б) сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»
в) сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв’язку»
г) сегмент 040 - «Захист від витоку інформації по каналам ПЕВМІН»
д) сегмент 050 - «Оперативне управління моніторами системи захисту інформації».
Робота запропонованого модуля системної інтеграції та оцінки рівня ефективності КСЗІ банку спирається на обробку інформації з фактично розгор-нутих в АБС «Промінвестбанку» комплексів програмно-апаратного захисту.
Проведені дослідження оцінки стану захищеності інформації з використанням побудованої моделі та данних, отриманих з сегментів системи захисту інформації банку, показали, що фактичний профіль захищеності інформації суттєво не відповідає нормативному в наступних елементах загроз та систем захисту інформації:
відсутність серверів сертифікатів в корпоративній мережі банку, що дозволяє проникнення мобільних Note-book та їх несанкціоноване підключення в мережі банку (маскування та підміна легалізованого комп’ютера в мережі);
Відсутність програмно-апаратних засобів боротьби з підключенням мобільних телефонів в локальні станції мережі та несанкціонованим виходом в глобальну мережу Інтернет без шлюзів безпеки (створення каналів витоку банківської інформації та каналів проникнення компьютерних вірусів із Інтернет-мережі в локальну мережу банку);
Відсутність сертифікованих програмних комплексів захисту локальних та корпоративної мережі банку від доступу «хакерів» із глобальної мережі Інтернет;
Недостатній рівень резервування банківської інформації в спеціальних «сховищах даних транзакцій», серед яких тільки на головному рівні є територіально відділене сховище. Фактично в банку використовується тільки вбудована технологія фірми SYBASE по багатократній реплікації кожної банківської транзакції на системі серверів по RAID-5 технології.
Аналіз даних показує що банк досягнув рівня Г-3 гарантій безпеки захисту інформації (по 5 бальній шкалі), що еквівалентно формулі:
3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }
Тобто нормативний рівень КСЗІ для банків 2.КЦД.2а (рівень гарантій Г-2а – для наявності в автоматизованій банківських таємних документів, що не є власністю держави і знаходяться на рівні «для службового користування») перевищений на 0,5 бала.
З врахуванням вищезазначених недоліків інтегрований показник профілю захисту становить 0,63 від нормативного, тобто банку необхідно посилити увагу для побудови додаткових систем захисту інформації в виявлених напрямках.
Практична цінність отриманих результатів дипломного дослідження полягає в отриманні об’єктивних показників необхідності та ефективності впровадження комплексної системи захисту інформації в автоматизованих системах АКБ «Промінвестбанк».
Впровадження пропозицій і рекомендацій проведеного дипломного дослідження в комерційному банку дозволить:
суттєво підвищити якість моніторингу роботи систем захисту інформації (криптозахист, антивірусний захист, захист доступу до інформації, технічний захист обладнання мережі класу АС-2, програмний захист комп’ютерів мережі класу АС-2 від неліцензійного пограмного забезпечення та технологічних збоїв т інш.) на базі комплексної системи захисту інформації в автоматизованих системах банку;
підготувати банк до масового впровадження автоматів банківського самообслуговування та зменшити ризик несанкціонованого втручання в роботу систем обробки банківської інформації;
побудувати систему ієрархічних резервних сховищ банківської інформації, які дозволяють на протязі 1-2 суток відновити роботу аби-якого зруйнованого відділення банку без втрат клієнтської та банківської інформації;
побудувати систему розподілених серверів обробки інформації та розподілених баз транзакцій, що дозволить на протязі робочого «Операційного дня» автоматично використовувати інформаційну систему банка територіальним філіям та відділенням при виході з ладу одного з найближчих серверів обробки інформації;
побудувати систему розподілених серверів обробки інформації та розподілених баз транзакцій, що дозволить цілодобово банкоматам, POS-терміналам та системам грошових переказів автоматично використовувати інформаційну систему банка при виході з ладу одного з найближчих серверів обробки інформації;
побудувати надійну систему захисних міжмережевих шлюзів між комп’ютерними мережами банку класу АС-2 та клієнтськими терміналами системи «Клієнт-банк» та «Інтернет-банкінг», які працюють через глобальну мережу класу АС-3;
побудувати надійну систему антивірусного захисту в комп’ютерній мережі банка класа АС-2;
здійснювати надійну авторизацію та аутентифікацію користувачів та комп’ютерів в мережі класу АС-2, а також своєчасно сповіщати про появу в мережі несанкціонованого обладнання з’єднання мереж АС-2 та АС-3 за радіоканалами мобільних операторів зв’язку;
контролювати появу на локальних станціях мережі АС-2 нових пристроїв та програм несанкціонованого доступу до інформації та її витоку;
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. ЗАКОН УКРАЇНИ „Про інформацію” від 2 жовтня 1992 року N 2658-XII // Із змінами і доповненнями, внесеними Законами України станом від 23 червня 2005 року N 2707-IV
2. Закон України „Про захист інформації в інформаційно-телекомуні-каційних системах” (Законом України від 31 травня 2005 року N 2594-IV цей Закон викладено у новій редакції) // Із змінами і доповненнями, внесеними Законами України станом від 15 січня 2009 року N 879-VI
3. Закон України „Про Державну службу спеціального зв'язку та захисту інформації України” від 23 лютого 2006 року N 3475-IV // Із змінами і допов-неннями, внесеними Законами України станом від 15 січня 2009 року N 879-VI
4. Закон України „Про науково-технічну інформацію” від 25 червня 1993 року N 3322-ХII //Із змінами і доповненнями, внесеними Законами України станом від 20 листопада 2003 року N 1294-IV
5. Закон України „Про банки і банківську діяльність” від 7 грудня 2000 року N 2121-III // Із змінами і доповненнями, внесеними Законами України станом від 12 грудня 2008 року N 661-VI
6. Закон України „ Про електронні документи та електронний доку-ментообіг „ від 22 травня 2003 року N 851-IV // Із змінами і доповненнями, внесеними Законом України від 31 травня 2005 року N 2599-IV
7. Закон України «Про електронний цифровий підпис» від 22 травня 2003 року N 852-IV // Із змінами і доповненнями, внесеними Законом України ста-ном від 15 січня 2009 року N 879-VI
8. Закон України „ Про платіжні системи та переказ коштів в Україні” від 5 квітня 2001 року N 2346-III // Із змінами і доповненнями, внесеними Закона-ми України станом від 27 квітня 2007 року N 997-V
9. Закон України „Про телекомунікації” від 18 листопада 2003 року
N 1280-IV // Із змінами і доповненнями, внесеними Законами України станом від 11 січня 2007 року N 580-V
10. Про затвердження Правил забезпечення захисту інформації в інфор-маційних, телекомунікаційних та інформаційно-телекомунікаційних системах // Постанова Кабінету Міністрів України від 29 березня 2006 р. N 373 (Із змінами і доповненнями, внесеними постановою Кабінету Міністрів України від 8 груд-ня 2006 року N 1700)
11. Про затвердження Правил організації захисту електронних банківсь-ких документів з використанням засобів захисту інформації Національного банку України // Постанова Правління Національного банку України від 2 квітня 2007 року N 112
12. Про затвердження Правил з технічного захисту інформації для при-міщень банків, у яких обробляються електронні банківські документи // Пос-танова Правління Національного банку України від 4 липня 2007 року N 243 (Із змінами і доповненнями, внесеними постановою Правління Національного банку України від 29 грудня 2007 року N 493)
13.Положення про захист інформації в Національній системі масових електронних платежів // Національний банк України, Платіжна організація Національної системи електронних масових платежів - протокол Ради Платіжної організації Національної системи масових електронних платежів від 2 червня 2008 р. N 119
14. Про затвердження Інструкції про міжбанківський переказ коштів в Україні в національній валюті // Постанова Правління Національного банку України від 16 серпня 2006 року N 320 ( Із змінами і доповненнями, внесеними постановами Правління Національного банку України станом від 5 червня 2008 року N 165)
15. Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці // Постанова Правління Національного банку Украї-ни від 14 липня 2006 року N 267 (Із змінами і доповненнями, внесеними поста-новою Правління НБУ від 9 листопада 2006 року N 428)
16. Про затвердження Положення про організацію операційної діяльності в банках України // Постанова Правління Національного банку України від 18 червня 2003 року N 254 (Із змінами і доповненнями, внесеними постановами Правління НБУ станом від 6 листопада 2006 року N 422)
17. ДСТУ 3396.2-97 - ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ „Захист інформації. Технічний захист інформації. Терміни та визначення” // Чинний від 01.01.1998 р.
18. НД ТЗІ 3.7-001-99 - „Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі”// Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22
19. НД ТЗІ 1.1-002-99 - Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22