Переваги ЕП НБУ такі: висока швидкість доставляння повідомлень та можливість автоматизувати в установі процес обробки документації, починаючи з її отримання.
Система ЕП НБУ реалізована як ІР-мережа транспорту криптографованих файлів (алгоритм RSA – системи закритих та відкритих ключів), не є системою діалогової взаємодії і має такі особливості:
формування й приймання поштових повідомлень — процеси, що розділені в часі і виконуються незалежно від процесів встановлення з’єднань між вузлами та передаванням даних;
система ЕП використовує архітектуру, коли повідомлення запам’ятовується на одному вузлі, а далі передається за маршрутом до іншого вузла доти, доки воно не буде доставлене адресатові. Така архітектура забезпечує передавання даних навіть у разі можливих відказів засобів зв’язку;
ЕП НБУ дає змогу передавати повідомлення одночасно багатьом користувачам завдяки введенню спеціального механізму «група вузлів» і вказуванню кількох адресатів при формуванні «поштового конверта». Таким чином передаються повідомлення, що стосуються багатьох або всіх абонентів, наприклад, загальні дані типу коригувань списку учасників, адрес вузлів ЕП тощо;
система ЕП НБУ допомагає організовувати взаємодію між програмними комплексами автоматизації банківської діяльності, які містяться в різних вузлах. При цьому забезпечується весь сервіс щодо зберігання, документування й надійності доставляння кореспонденції;
В ЕП ведеться довідник вузлів ЕП, який міститься в кожному вузлі системи у вигляді файла з іменем «SPRUSNBU.DBF». Цей довідник фактично описує адресний простір вузлів ЕП. Він ведеться в ЦВ, служби якого забезпечують актуалізацію довідника й готують коректури для розсилання по всіх інших вузлах ЕП НБУ. Кожний вузол має належне лише йому поштове ім’я.
Для АВ, які містяться в банківських установах, ім’я вузла складається з чотирьох знаків, де перший знак є постійним (латинська буква «U»), другий — латинська буква, яка визначає регіон (область) України (наприклад, «А» — Вінницька область, «В» — Волинська і т. д.), третій знак задає код типу або множини банківських установ, а четвертий — номер вузла в даному типі чи множині банківських установ.
Система має суто ієрархічну трирівневу структуру. На 1-му рівні перебуває ЦВ, на 2-му містяться регіональні вузли, а на 3-му — абонентські вузли. Кожний АВ входить лише до одного регіонального, а регіональні вузли входять до ЦВ. Завдяки тому, що РЕВ — це, як правило, обласні вузли (крім Київського), забезпечується охоплення всієї території країни.
На множині вузлів пошти для забезпечення передавання повідомлень визначається набір маршрутів, де описуються шляхи доступу від одного вузла до іншого. Ці маршрути використовуються при транспортуванні поштових повідомлень. З огляду на ієрархічну структуру ЕП доставляння поштового повідомлення — ПОП — між двома РЕВ можливе лише через ЦВ. Ясна річ, що і ПОП АВ одного РЕВ до АВ іншого РЕВ іде транзитом через ЦВ. Можливі маршрути в ЕП можна записати у вигляді:
АВ(а) ® РЕВ ® АВ(б), АВ(а) ® РЕВ(а) ® ЦВ ® РЕВ(б) ® АВ(б).
Поштові повідомлення, або «поштові конверти», є тими одиницями інформації, які передаються між вузлами системи ЕП. Отже, передавання інформації відбувається не безперервним потоком, а певними порціями (пакетами, файлами), які називають конвертами.
Важливою функцією в ЕП є забезпечення й підтвердження факту доставлення конверта. Тому в ЕП є функція генерації та обліку підтверджень доставлення поштових повідомлень. Такі підтвердження формуються лише в кінцевому вузлі-одержувачі. Підтвердження формується як файл-квитанція про доставлення ПОП у момент, коли воно потрапляє до вхідного каталогу у вузлі-адресаті. Квитанція формується автоматично програмами АК, якщо в заголовку ПОП, яке надійшло, установлено ознаку видачі підтвердження доставлення.
Зрозуміло, що це дає змогу використовувати ЕП для розв’язування найрізноманітніших функціональних задач і операцій банківської та фінансової діяльності. Насамперед ЕП НБУ використовується для забезпечення можливості виконання міжбанківських розрахунків. Саме на базі ЕП НБУ створена й функціонує система електронних міжбанківських платежів (СЕП) банків України.
Перспективою розвитку ЕП крім поліпшення якісних показників її роботи (скорочення строку доставляння повідомлень, зменшення кількості відказів, можливість підімкнення нових вузлів, збільшення обсягів передавання тощо) є також розробка часткових шлюзів передавання та приймання даних із інших мереж, зокрема й із мережі ІНТЕРНЕТ. Зрозуміло, що при цьому постає проблема додаткових облікових і контрольних функцій, оскільки ЕП НБУ є системою закритого типу й такою, що забезпечує виконання специфічних завдань і послуг. Аналогічні проблеми пов’язані зі створенням шлюзу ЕП НБУ на інші поштові системи.
Основні засоби захисту банквської інформації в каналах електронної пошти НБУ є наступними:
захист цілісності та конфіденційності за рахунок спеціального структурування та криптозахисту вихідного повідомлення (конверта);
застосування системи антивірусного программного забезпечення на робочих станціях ЛОМ банку, а також на транзитно-транспортних ПЕОМ «електронної пошти НБУ»;
застосування захисних шлюзів між мережею «електронної пошти НБУ» та глобальною мережею Інтернет і мережами комерційних банків;
впровадження контрольної системи ідентифікації та аутентефікації користувачів мережі «електронної пошти»;
застосування поіменної маршрутизації «поштових конвертів» за унікальною ІР-адресою;
застосування автоматів зашифрування та розшифрування потоків «електронної пошти».
РОЗДІЛ 3
ПОБУДОВА МОДЕЛІ СИСТЕМНОЇ ІНТЕГРАЦІЇ МОДУЛІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АБС АКБ «ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ
3.1 Постановка алгоритму задачі формування та опис елементів матриці контролю комплексної системи захисту інформації (КСЗІ) інформаційних об’єктів комерційного банку
В дипломному дослідженні матриця контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку представлена у вигляді 7-рівневої структурної матриці (табл.3.1), на кожному рівні в якої є 5 визначальних сегментів (напрямів захисту інформації в банку).
Основні структурні рівні сегментів КСЗІ банку (табл.3.1, рис.3.1):
1. Перший рівень (100) матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»
2. Другий рівень (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікації чи знищення банківської інформації»
3. Третій рівень (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків»
4. Четвертий рівень (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»
5. П’ятий рівень (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації»
Таблиця 3.1
Матриця контролю комплексної системи захисту інформаційних об’єктів комерційного банку
| <<< Структурні рівні сегментів КСЗІ банку | 010 | 020 | 030 | 040 | 050 | ||||||||||||||||
| Сегменти КСЗІ банку >>> | Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС) | Захист обчислювальних мереж, баз даних і програм АБС | Захист міжфілійних корпоративних мереж та каналів зв’язку | Захист від витоку ПЕВМІН | Оперативне управління моніторами системи захисту інформації | ||||||||||||||||
| Основні етапи побудови структурного рівня КСЗІ банку >>> | Документальне забезпечення | Структурно-кадрове забезпечення | Алгоритмічна розробка заходів | Вровадження программно-апаратних засобів | Документальне забезпечення | Структурно-кадрове забезпечення | Алгоритмічна розробка заходів | Вровадження программно-апаратних засобів | Документальне забезпечення | Структурно-кадрове забезпечення | Алгоритмічна розробка заходів | Вровадження программно-апаратних засобів | Документальне забезпечення | Структурно-кадрове забезпечення | Алгоритмічна розробка заходів | Вровадження программно-апаратних засобів | Документальне забезпечення | Структурно-кадрове забезпечення | Алгоритмічна розробка заходів | Вровадження программно-апаратних засобів | |
| 011 | 012 | 013 | 014 | 021 | 022 | 023 | 024 | 031 | 032 | 033 | 034 | 041 | 042 | 043 | 044 | 051 | 052 | 053 | 054 | ||
| 100 | Визначення банківської інформації та її носіїв, які підлягають захисту | 111 | 112 | 113 | 114 | 121 | 122 | 123 | 124 | 131 | 132 | 133 | 134 | 141 | 142 | 143 | 144 | 151 | 152 | 153 | 154 |
| 200 | Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації | 211 | 212 | 213 | 214 | 221 | 222 | 223 | 224 | 231 | 232 | 233 | 234 | 241 | 242 | 243 | 244 | 251 | 252 | 253 | 254 |
| 300 | Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків | 311 | 312 | 313 | 314 | 321 | 322 | 323 | 324 | 331 | 332 | 333 | 334 | 341 | 342 | 343 | 344 | 351 | 352 | 353 | 354 |
| 400 | Визначення вимог до елементів КСЗІ | 411 | 412 | 413 | 414 | 421 | 422 | 423 | 424 | 431 | 432 | 433 | 434 | 441 | 442 | 443 | 444 | 451 | 452 | 453 | 454 |
| 500 | Здійснення вибору заходів та засобів захисту інформації | 511 | 512 | 513 | 514 | 521 | 522 | 523 | 524 | 531 | 532 | 533 | 534 | 541 | 542 | 543 | 544 | 551 | 552 | 553 | 554 |
| 600 | Впровадження та експлуатація вибраних засобів та технологій захисту інформації | 611 | 612 | 613 | 614 | 621 | 622 | 623 | 624 | 631 | 632 | 633 | 634 | 641 | 642 | 643 | 644 | 651 | 652 | 653 | 654 |
| 700 | Контроль та управління сегментом захисту інформації | 711 | 712 | 713 | 714 | 721 | 722 | 723 | 724 | 731 | 732 | 733 | 734 | 741 | 742 | 743 | 744 | 751 | 752 | 753 | 754 |
Рис.3.1. Структурна схема сегментів КСЗІ банку (в нумерації матриці контролю)