Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку

 в) приймання та реєстрація інформації визначеного формату, що містить банківську таємницю, в електронному вигляді технологічними АРМ автоматизованих систем здійснюється згідно з технологічними схемами проходження інформації безпосередньо на відповідних робочих місцях з використанням вбу-дованої в ці технологічні АРМ системи захисту інформації;

 г) передавання інформації, яка містить банківську таємницю, електрон-ною поштою або в режимі on-line здійснюється лише в захищеному (зашифрованому) вигляді з контролем цілісності та з обов'язковим наданням підтвердження про її надходження з електронним підписом отримувача з використанням засобів захисту;

 ґ) роздрукування документів з грифом "Банківська таємниця" у технологічних АРМ здійснюється згідно з технологічними схемами роботи відповідних АРМ банку. На роздрукованих документах проставляється гриф "Банківська таємниця" і вони обліковуються згідно з вимогами щодо обліку паперових док-ументів.

 У разі відправлення даних на електронному носії додається супровідний лист у письмовій формі з грифом "Банківська таємниця", у якому зазначаються дані про вміст носія.

 Отримання інформації з баз даних технологічних АРМ нештатними засобами забороняється.

 Програмні модулі передаються і обліковуються на електронних носіях інформації з обов'язковим супровідним листом з грифом "Банківська таємни-ця".

 Лістинги програм захисту інформації, що містять банківську таємницю, повинні зберігатися банком на захищених серверах або електронних носіях.

 Формування архівів в електронному вигляді здійснюється згідно з технологічними схемами оброблення документів, а також вимогами нормативно-правових актів Національного банку України (далі - Національний банк). Архіви зберігаються на серверах або зовнішніх носіях у захищеному вигляді із забезпеченням контролю цілісності інформації під час роботи з архівними доку-ментами.

 2. Для здійснення своїх функцій Національний банк має право безоплатно одержувати від банків інформацію, що містить банківську таємницю, та пояснення стосовно отриманої інформації і проведених операцій.

 3. Особливості розкриття інформації, що містить банківську таємницю, Держфінмоніторингу - банки зобов'язані інформувати Уповноважений орган про:

 - операції, які підлягають обов'язковому фінансовому моніторингу (стаття 5 Закону України "Про запобігання та протидію легалізації (відмиванню) дохо-дів, одержаних злочинним шляхом");

 - операції клієнта за наявності мотивованої підозри, що вони здійснюються з метою легалізації (відмивання) доходів, одержаних злочинним шляхом (частина шоста статті 8 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом");

 - операції, щодо яких у банку є або повинні бути підозри, що вони пов'я-зані, мають відношення або призначені для фінансування тероризму (частина сьома статті 8 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом");

 - осіб, які здійснюють фінансову операцію, що підлягає фінансовому моніторингу, та її характер у разі прийняття рішення про відмову від забезпечення здійснення цієї операції (частина друга статті 7 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом");

 - операції клієнта, щодо якого в банку є мотивовані підозри про надання ним недостовірної інформації, що стосується його ідентифікації (частина п'ята статті 64 Закону про банки);

 - закриття рахунку клієнта на підставі рішення уповноваженого державного органу про скасування державної реєстрації юридичної особи-клієнта або скасування державної реєстрації суб'єкта підприємницької діяльності - фізичної особи клієнта (частина дев'ята статті 64 Закону про банки);

 - зупинення фінансової операції, якщо її учасником або вигодоодержувачем є особа, яку включено до переліку осіб, пов'язаних із здійсненням терористичної діяльності (частина перша статті 121 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом").

 Згідно Закону України „Про захист інформації в інформаційно-телекому-нікаційних системах „ [2], основна термінологія систем захисту інформації використовує наступні поняття:

 - блокування інформації в системі - дії, внаслідок яких унеможливлюєть-ся доступ до інформації в системі;

 - виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

 - власник інформації - фізична або юридична особа, якій належить право власності на інформацію;

 - власник системи - фізична або юридична особа, якій належить право власності на систему;

 - доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі;

 - захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

 - знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;

 - інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

 - інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

 - комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

 - користувач інформації в системі (далі - користувач) - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;

 - криптографічний захист інформації - вид захисту інформації, що реалі-зується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

 - несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;

 - обробка інформації в системі - виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;

 - порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;

 - порядок доступу до інформації в системі - умови отримання користува-чем можливості обробляти інформацію в системі та правила обробки цієї інформації;

 - телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

 - технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформа-ції, порушення цілісності та режиму доступу до інформації.

 Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.

 Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

 - власники інформації;

 - власники системи;

 - користувачі;

 - спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації і підпорядковані йому регіональні органи.

 На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі - розпоряднику інформації.

 На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.

 Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.

 У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом.

 Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом. Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі.

 Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

 Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.

 Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:

 - розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;

 - визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

 - організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;

 - здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

 Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

 Згідно вимог Кабінету Міністрів України в «Правилах забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах” [10] виставлені наступні вимоги до побудови систем захисту інформації:

 1. Для забезпечення захисту інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система) повинні обов’язково виконуватися настпуні процедури:

 - автентифікація - процедура встановлення належності користувачеві інформації в системі (далі - користувач) пред'явленого ним ідентифікатора;

 - ідентифікація - процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою.

 2. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.

 3. Під час обробки конфіденційної і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

 4. Доступ до конфіденційної інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.

 5. Забезпечення захисту в системі таємної інформації, що не становить державну таємницю, здійснюється згідно з вимогами до захисту конфіденційної інформації.

 6. У системі здійснюється обов'язкова реєстрація:

 - результатів ідентифікації та автентифікації користувачів;

 - результатів виконання користувачем операцій з обробки інформації;

 - спроб несанкціонованих дій з інформацією;

 - фактів надання та позбавлення користувачів права доступу до інформації та її обробки;

 - результатів перевірки цілісності засобів захисту інформації.

 Забезпечується можливість проведення аналізу реєстраційних даних виключно користувачем, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом інформації в системі (адміністратор безпеки).

 Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки.

 Реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратора безпеки.

 7. Ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.

 8. Передача конфіденційної і таємної інформації з однієї системи до іншої здійснюється у зашифрованому вигляді або захищеними каналами зв'язку згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації.

 9. Порядок підключення систем, в яких обробляється конфіденційна і таємна інформація, до глобальних мереж передачі даних визначається законодавством.

 10. У системі здійснюється контроль за цілісністю програмного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації.

 Контролюється також цілісність програмних та технічних засобів захисту інформації. У разі порушення їх цілісності обробка в системі інформації припиняється.

 11. Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі - система захисту), яка призначається для захисту інформації від:

 - витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;

 - несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;

 - спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого блокування.

 Захист інформації від несанкціонованих дій, у тому числі від комп'ютерних вірусів, забезпечується в усіх системах.

 Захист інформації від спеціального впливу на засоби обробки інформації забезпечується в системі, якщо рішення про необхідність такого захисту прийнято власником (розпорядником) інформації.

 12. Організація та проведення робіт із захисту інформації в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання робіт з її експлуатації та контролю за станом захищеності інформації.

 Служба захисту інформації утворюється згідно з рішенням керівника організації, що є власником (розпорядником) системи.

 13. Захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до розробленого службою захисту інформації плану захисту інформації в системі.

 План захисту інформації в системі містить:

 - завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;

 - визначення моделі загроз для інформації в системі;

 - основні вимоги щодо захисту інформації та правила доступу до неї в системі;

 - перелік документів, згідно з якими здійснюється захист інформації в системі;

 - перелік і строки виконання робіт службою захисту інформації.

 14. Виконавцем робіт із створення системи захисту може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.

 Для проведення інших видів робіт з технічного захисту інформації, на провадження яких виконавець не має ліцензії (дозволу), залучаються співвиконавці, що мають відповідні ліцензії.

 Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.

 15. У системі, яка складається з кількох інформаційних та (або) телекомунікаційних систем, ці Правила можуть застосовуватися до кожної складової частини окремо.

1.2 Аналіз існуючих теоретико-практичних розробок по створенню систем захисту інформацїі в автоматизованих системах

Основна нормативна термінологія в галузі систем захисту інформації наведена в ДСТУ 3396.2-97 - ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ „Захист інформації. Технічний захист інформації. Терміни та визначення” [17].

 Загальні положення щодо захисту інформації комп’ютерних системах від несанкціонованого доступу наведені в нормативному документі НД ТЗІ 1.1-002-99 [ 19], який визначає методологічні основи (концепцію) вирішення зав-дань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання:

 - визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;

 - створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;

 - оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача.

 У цьому НД ТЗІ та інших нормативних документах по захисту інформації в автоматизованих системах використовуються наступні позначення і скорочення:

 АС — автоматизована система;

 БД — база даних;

 ЕОМ — електронно-обчислювальна машина;

 КЗЗ — комплекс засобів захисту;

 КС — комп'ютерна система;

 КСЗІ — комплексна система захисту інформації;

 НД — нормативний документ;

 НД СТЗІ — нормативний документ системи технічного захисту інформації;

 НСД — несанкціонований доступ;

 ОС — обчислювальна система;

 ПЕМВН — побічні електромагнітні випромінювання і наводи;

 ПЗ — програмне забезпечення;

 ПЗП — постійний запам’ятовуючий пристрій;

 ПРД — правила розмежування доступу;

 ТЗІ — технічний захист інформації.

 Автоматизована система являє собою організаційно-технічну систему, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію (малюнок). Прийнято розрізняти два основних напрями ТЗІ в АС — це захист АС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнiтних випромінювань і наводів).

 З точки зору методологiї в проблемі захисту інформації від НСД слід виділити два напрями:

 - забезпечення і оцінка захищеності інформації в АС, що функціонують;

 - реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т. ін.), поза конкретним середовищем експлуатації.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19