Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку (стр. 9 из 39)

Крім того, банкам слід:

- суворо дотримуватися і перевіряти виконання вимог щодо технічного та технологічного забезпечення їх діяльності, зокрема розміщення програмно-апаратних комплексів на таких комп'ютерах, що мають забезпечити їх надійне функціонування;

- уживати заходів для забезпечення безперебійного електроживлення та наявності резервних каналів зв'язку;

- перевіряти виконання вимог щодо організації захисту інформації в програмно-технічних комплексах згідно з нормативно-правовими актами Національного банку та вимогами розробників систем захисту інформації.

До приміщень банків, в яких обробляється банківська інформації НЬУ висунуті специфічні вимоги, викладені в „Правилах з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи” [12]:

1. Приміщення з обмеженим доступом - приміщення, у яких розташовані робочі місця з комп'ютерною технікою, обробляються електронні банківські документи, що містять відомості з грифом "Банківська таємниця", та інша електронна інформація, доступ до якої обмежений банком;

2. Комутаційні кімнати - приміщення, у яких розташовано телекомуніка-ційне обладнання, що забезпечує функціонування локальних і корпоративних мереж банку, а також зв'язок з іншими установами та мережами загального користування;

3. Серверні приміщення - приміщення, у яких розташовані сервери баз даних, сервери прикладних програм, файлові сервери тощо, на яких обробляються та зберігаються електронні банківські документи і бази даних.

До систем «електронної пошти» та „електронних банківських платежів” між комерційними банками та Національним банком України висунуті вимоги застосування апаратного та програмного криптографічного захисту файлової інформації згідно „Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України” [11]:

1. У тексті Правил скорочення вживаються в такому значенні:

АКЗІ - апаратура криптографічного захисту інформації;

АРМ - автоматизоване робоче місце;

АРМ бухгалтера САБ - автоматизоване робоче місце САБ, на якому здійснюється формування файлів / онлайнових пакетів, які містять початкові платежі СЕП;

АРМ-СЕП - автоматизоване робоче місце АРМ-НБУ з програмними та апаратними засобами захисту інформації, яке призначене для роботи в СЕП;

АРМ-НБУ - автоматизоване робоче місце АРМ-НБУ-інформаційний з програмними засобами захисту інформації, яке призначене для роботи в інформаційних задачах Національного банку;

АС - автоматизована система;

ВК - відкритий ключ;

ГМД - гнучкий магнітний диск;

ЕЦП - електронний цифровий підпис;

засоби захисту - засоби захисту інформації Національного банку;

інформаційні задачі - програмно-технічні комплекси, які забезпечують оброблення та передавання інформації, що не належить до платіжних документів СЕП, з використанням засобів захисту інформації Національного банку між банками України, Національним банком, органами державної влади і небанківськими організаціями;

ПЕОМ - персональна електронна обчислювальна машина;

ПМГК - програмний модуль генерації ключів;

ТК - таємний ключ;

САБ - система автоматизації банку;

СЕП - система електронних платежів;

СК - смарт-картка;

ТВК - таблиця відкритих ключів.

2. Правила регламентують порядок отримання, обліку, передавання, використання та зберігання засобів захисту, виконання вимог щодо правил інформаційної безпеки в банках України, їх філіях, органах державної влади, небанківських установах, які є безпосередніми учасниками системи електронних платежів (далі - СЕП) та/або інформаційних задач (далі - організація), які згідно з договором з Національним банком отримали засоби захисту.

3. Організації отримують засоби захисту для використання в СЕП та/або інформаційних задачах Національного банку в територіальних управліннях Національного банку за місцем їх знаходження незалежно від моделі обслуговування кореспондентського рахунку в СЕП.

4. Система захисту електронних банківських документів Національного банку складається з комплексу апаратно-програмних засобів захисту інформації та ключової інформації до них, а також технологічних й організаційних заходів.

5. Система захисту електронних банківських документів охоплює всі етапи розроблення, упровадження й експлуатації програмно-технічного забезпечення СЕП та інформаційних задач автоматизації банківської діяльності. Ця система визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

6. Організація, яка використовує засоби захисту, зобов'язана мати приміщення, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту, які відповідають вимогам НБУ.

Принципи побудови захисту електронних банківських документів в СЕП НБУ [ ]:

1. Система захисту електронних банківських документів (далі - система захисту) забезпечує:

а) захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;

б) автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів у СЕП;

в) захист від технічних порушень роботи апаратури (у тому числі від псування апаратних і програмних засобів, перешкод у каналах зв'язку);

г) умови для роботи програмно-технічних комплексів у СЕП, за яких фахівці банків - учасників СЕП і Національного банку не можуть утручатися в оброблення електронних банківських документів після їх формування, та автоматичний контроль на кожному етапі їх оброблення.

2. Система захисту:

а) охоплює всі етапи розроблення, упровадження та експлуатації програмно-технічного забезпечення в банках (філіях);

б) уключає технологічні, апаратні, програмні засоби та організаційні заходи захисту;

в) визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

3. Технологічні засоби безпеки в СЕП

3.1. Технологічний контроль використовується для підвищення ступеня захисту електронних банківських документів у СЕП і здійснюється програмним забезпеченням на всіх рівнях їх оброблення, що дає змогу контролювати здійснення розрахунків протягом робочого дня, а також виконувати їх звіряння в кінці дня.

3.2. Технологічні засоби контролю включають:

механізм обміну квитанціями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла або пакета електронних банківських документів у СЕП і забезпечує можливість контролю отриманої в ньому інформації;

механізм інформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за підсумками циклів оброблення платежів у ЦОСЕП;

механізм надання банку - учаснику СЕП інформації щодо поточного стану його технічного рахунку;

взаємообмін між банком і ЦОСЕП технологічною інформацією за підсумками банківського дня з переліком відображених за технічним рахунком міжбанківських електронних розрахункових документів, які оброблені засобами СЕП у файловому режимі та режимі реального часу, що дає змогу здійснювати їх програмне звіряння як у ЦОСЕП, так і в банку;

програмний комплекс самодіагностики, який дає змогу виявляти порушення цілісності баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслідок порушень функціонування системи, спроб несанкціонованого доступу або фізичного псування баз даних;

автоматичний механізм контролю за несанкціонованим модифікуванням робочих модулів;

механізм резервування для забезпечення швидкого відновлення роботи ЦОСЕП з мінімальними втратами інформації.

Технологічні засоби контролю, убудовані в програмне забезпечення, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування ЦРП.

До засобів контролю включають також:

технологічну інформацію ЦОСЕП про стан технічних рахунків і стан функціонування СЕП за підсумками банківського дня;

засоби аналізу причин невідповідності балансу.

4. Криптографічний захист інформації

4.1. Апаратно-програмні засоби криптографічного захисту інформації в СЕП забезпечують автентифікацію відправника та отримувача електронних банківських документів і службових повідомлень СЕП, гарантують їх достовірність та цілісність, неможливість підроблення або викривлення документів у шифрованому вигляді та за наявності ЕЦП.

Криптографічний захист інформації охоплює всі етапи оброблення електронних банківських документів з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в СЕП.

Криптографічний захист інформації забезпечує цілісність та конфіденційність електронної банківської інформації, а також сувору автентифікацію учасників СЕП і їх фахівців, які здійснюють підготовку та оброблення електронних банківських документів.

4.2. Для здійснення суворої автентифікації банків (філій), які є учасниками СЕП, застосовується система ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту.

Учасник СЕП для забезпечення захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований; другий та третій знаки є унікальними ідентифікаторами учасника СЕП у межах цієї території. Ідентифікатори мають бути узгоджені з адресами системи ЕП і бути унікальними в межах банківської системи України.