 |
РУБРИКИ |
Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку |
РЕКЛАМА |
||
|
Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банкуМБ - модуль безпеки серверів НСМЕП; НСД - несанкціонований доступ; НСМЕП - Національна система масових електронних платежів; ПТК - програмно-технічний комплекс; ПЦ - процесинговий центр; РПЦ - регіональний процесинговий центр; СА - сервер авторизації; САБ - система автоматизації банку; СБД - сервер баз даних; СЗ - сервер застосувань; ЦГКІ - центр генерації ключової інформації; ЦІСПК - центр ініціалізації та системної персоналізації карток; МАС - код автентифікації повідомлення; SAM - модуль безпеки термінала. 3. Система захисту НСМЕП складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в НСМЕП. 4. До складу АКС банків - учасників НСМЕП та/або БПЦ входять робочі АРМ та такі сервери: СА, СБД, СЗ і БЦГКІ. Залежно від своїх потреб член/учасник НСМЕП вибирає ту чи іншу конфігурацію для виконання функцій НСМЕП: Перша конфігурація - СА, СБД суміщений з СЗ та БЦГКІ, робочі АРМ. СА та СБД повинні розміщуватися в приміщенні з обмеженим доступом в екранованих шафах, обладнаних відповідно до вимог нормативно-правових актів Національного банку. СБД, суміщений з СЗ та БЦГКІ, повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП. Друга конфігурація - СА, СБД, СЗ, суміщений з БЦГКІ, робочі АРМ. СА та СБД повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. СЗ повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП. Третя конфігурація - основний та резервні СА, СБД, основний, суміщений з БЦГКІ, та резервні СЗ, робочі АРМ. Основні та резервні СА, СБД та резервні СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. Основні та резервні сервери рекомендується розміщувати в різних серверних приміщеннях за наявності кількох обладнаних приміщень. Якщо немає іншого серверного приміщення, то рекомендується резервні сервери розміщувати в іншому приміщенні з обмеженим доступом в екранованих шафах, які відповідають вимогам нормативно-правових актів Національного банку. Основний СЗ повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП. Четверта конфігурація - СА, СБД, СЗ, БЦГКІ, робочі АРМ. СА, СБД та СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. БЦГКІ повинен розміщуватися в приміщенні з обмеженим доступом, яке додатково обладнане сейфами (металеві міцні шафи) для зберігання резервних МБ, службових карток та відповідної документації. Доступ до цього приміщення має лише офіцер безпеки АКС члена/учасника НСМЕП. 5. Вимоги до ПЦ НСМЕП. До складу ПЦ (ГПЦ, РПЦ) НСМЕП входять робочі АРМ та такі сервери: СА, СБД і СЗ. Перша конфігурація - СА, СБД, СЗ, робочі АРМ. СА, СБД і СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. Друга конфігурація - основний та резервний СА, СБД, основний та резервний СЗ, робочі АРМ. СБД, основні та резервні СА і СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. Основні та резервні сервери рекомендується розміщувати в різних серверних приміщеннях за наявності кількох обладнаних приміщень. Якщо немає іншого серверного приміщення, то рекомендується резервні сервери розміщувати в іншому приміщенні з обмеженим доступом в екранованих шафах, які відповідають вимогам нормативно-правових актів Національного банку. 6. Вимоги до ЦІСПК. ЦІСПК - єдиний програмно-апаратний комплекс, як правило, установлений на території виробника карток НСМЕП та включає такі частини: - система ініціалізації та персоналізації карток (установка Prestige 300C.03.015 або інша та відповідне ПЗ); - система керування (окремий комп'ютер з відповідним ПЗ). ЦІСПК розміщується в окремому приміщенні з обмеженим доступом. Стіни приміщення повинні бути бетонними або цегляними. Приміщення повинне бути оснащене сигналізацією: на відкривання дверей та об'ємною, яка реагує на переміщення та охоплює зону сейфа, установки для ініціалізації та персоналізації карток, шафи для зберігання комп'ютерів. Двері приміщення повинні бути обшиті стальними полотнищами. Приміщення повинне мати сейф з двома відділеннями, що закриваються на різні замки, або два сейфи. Двері приміщення, сейф, шафа для зберігання комп'ютерів повинні мати оснащення для опечатування. За наявності в приміщенні вікон, отворів для вентиляції тощо, що перевищують 30 х 30 см, вони повинні бути перекриті ґратами з вічком не більше ніж 20 х 20 см. Комп'ютер системи керування повинен мати МБ з активованою функцією НСД. Системний блок комп'ютера опечатується та розміщується в металевій шафі, яка зачиняється і також опечатується. Виробник карток НСМЕП розробляє та погоджує з Національним банком заходи щодо захисту всього комплексу ЦІСПК у разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо) та ознайомлює з ними працівників, що обслуговують цей комплекс. Учасник НСМЕП - виробник карток обов'язково повинен призначити наказом відповідальну за програмно-апаратний комплекс ЦІСПК особу - офіцера безпеки ЦІСПК, якщо модуль безпеки програмно-апаратного комплексу ЦІСПК є власністю виробника карток. Копія цього наказу передається в управління захисту інформації Департаменту інформатизації. 7. Основи побудови ключової системи та криптографічного захисту інформації Основною метою криптографічного захисту інформації в НСМЕП є забезпечення конфіденційності та цілісності (захисту від несанкціонованої модифікації) електронної інформації, а також суворої автентифікації всіх учасників платіжних операцій, підготовки та оброблення електронних документів. Для забезпечення захисту інформації від модифікації система захисту НСМЕП включає механізми формування/перевірки МАС на базі симетричного алгоритму DES із застосуванням режиму використання унікального сесійного ключа для кожного повідомлення. Для забезпечення конфіденційності інформації, що циркулює в НСМЕП, усі інформаційні пакети (телеграми), що містять конфіденційну інформацію, шифруються за допомогою симетричного алгоритму TDES із застосуванням того самого режиму використання сесійного ключа. Для шифрування та обчислення МАС використовується програмно-апаратний модуль безпеки серверів НСМЕП та самі смарт-картки (як службові, так і платіжні). Використання стандартизованих криптографічних алгоритмів у системі захисту інформації НСМЕП, реалізованих апаратно, гарантує задану криптостійкість. Ключі, які використовуються для захисту інформації НСМЕП, зберігаються в картках та МБ НСМЕП, із гарантією їх захищеності. За своїм функціональним призначенням та місцем використання всі ключі НСМЕП можна розбити на три різні типи: транспортні, системні та банківські ключі. Побудову транспортних та системних ключів виконує управління захисту інформації Департаменту інформатизації Національного банку. Побудову банківських ключів виконують банки-учасники та/або БПЦ НСМЕП за допомогою спеціального програмного забезпечення БЦГКІ, яке надається управлінням захисту інформації Департаменту інформатизації Національного банку. 1.3 Методика комплексної оцінки профілів захищеності інформації в автоматизованих системах Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2 (локальні мережі) викладені в НД ТЗІ 2.5 -008-2002 [23] і установлюють згідно з визначеними НД ТЗІ 2.5-004 [21] специфікаціями мінімально необхідний перелік функціональних послуг безпеки та рівнів їх реалізації у комплексах засобів захисту інформації (стандартний функціональний профіль захищеності). У цьому НД ТЗІ використовуються специфічні терміни й визначення, які відповідають встановленим НД ТЗІ 1.1-003 [20]. Крім того, використовуються такі поняття. Сильнозв’язані об’єкти - сукупність наборів даних, що характеризується наявністю мінімальної надлишковості і допускають їх оптимальне використання одним чи декількома процесами як одночасно, так і в різні проміжки часу і вимагають безумовного забезпечення цілісності цих наборів даних як сукупності. Фактично сильнозв’язаними об’єктами можуть бути бази даних, що підтримуються стандартними для галузі системами управління, сукупності наборів даних, які генеруються й модифікуються будь-якими функціональними або системними процесами і кожний з наборів даних, які складають цю множину, не може самостійно оброблятися, зберігатися і передаватися. Слабозв’язані об’єкти – відносно незалежні набори даних, що генеруються, модифікуються, зберігаються й обробляються в АС. Фактично слабозв’язані об’єкти - це інформаційні структури, представлені у вигляді окремих файлів, що підтримуються штатними операційними системами робочих станцій та серверів, і кожний з них може оброблятися, зберігатися й передаватися як самостійний об’єкт. Позначення послуг безпеки згідно з НД ТЗІ 2.5-004 [21] ДВ-1 - ручне відновлення; ДЗ-1 – модернізація; ДР-1 - квоти; ДС-1 - стійкість при обмежених відмовах; КА-2 - базова адміністративна конфіденційність; КД-2 - базова довірча конфіденційність; КО-1 - повторне використання об'єктів; НИ-2 - одиночна ідентифікація та автентифікація; НК-1 - однонаправлений достовірний канал; НО-2 - розподіл обов'язків адміністраторів; НТ-2 - самотестування при старті; НР-2 - захищений журнал; НЦ-2 - КЗЗ з гарантованою цілісністю; ЦА-1 – мінімальна адміністративна цілісність; ЦА-2 – базова адміністративна цілісність; ЦД-1 - мінімальна довірча цілісність; ЦО-1 - обмежений відкат. Загальні вимоги із захисту конфіденційної інформації: 1. Впровадження заходів із захисту інформації в конкретній АС не повинно суттєво погіршувати основних її характеристик стосовно продуктивності, надійності, сумісності, керованості, розширюваності, масштабованості тощо. 2. Обробка в автоматизованій системі конфіденційної інформації здійснюється з використанням захищеної технології. Технологія обробки інформації є захищеною, якщо вона містить програмно-технічні засоби захисту та організаційні заходи, що забезпечують виконання загальних вимог із захисту інформації. Загальні вимоги передбачають: - наявність переліку конфіденційної інформації, яка підлягає автоматизованій обробці; у разі необхідності можлива її класифікація в межах категорії за цільовим призначенням, ступенем обмеження доступу окремих категорій користувачів та іншими класифікаційними ознаками; - наявність визначеного (створеного) відповідального підрозділу, якому надаються повноваження щодо організації і впровадження технології захисту інформації, контролю за станом захищеності інформації (далі - служба захисту в АС, СЗІ); - створення комплексної системи захисту інформації (далі - КСЗІ), яка являє собою сукупність організаційних і інженерно-технічних заходів, програмно-апаратних засобів, спрямованих на забезпечення захисту інформації під час функціонування АС; - розроблення плану захисту інформації в АС, зміст якого визначено в додатку до НД ТЗІ 1.4-001; - наявність атестата відповідності КСЗІ в АС нормативним документам із захисту інформації; - можливість визначення засобами КСЗІ декількох ієрархічних рівнів повноважень користувачів та декількох класифікаційних рівнів інформації; - обов’язковість реєстрації в АС усіх користувачів та їхніх дій щодо конфіденційної інформації; - можливість надання користувачам тільки за умови службової необхідності санкціонованого та контрольованого доступу до конфіденційної інформації, що обробляється в АС; - заборону несанкціонованої та неконтрольованої модифікації конфіденційної інформації в АС; - здійснення СЗІ обліку вихідних даних, отриманих під час вирішення функціональних задач у формі віддрукованих документів, що містять конфіденційну інформацію, у відповідності з “Інструкцією про порядок обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави”; - заборону несанкціонованого копіювання, розмноження, розповсюдження конфіденційної інформації в електронному вигляді; - забезпечення СЗІ контролю за санкціонованим копіюванням, розмноженням, розповсюдженням конфіденційної інформації в електронному вигляді; - можливість здійснення однозначної ідентифікації та автентифікації кожного зареєстрованого користувача; - забезпечення КСЗІ можливості своєчасного доступу зареєстрованих користувачів АС до конфіденційної інформації. 3. Характеристика типових умов функціонування та вимог із захисту інформації в автоматизованій системі класу 2. До АС класу 2, згідно з встановленою НД ТЗІ 2.5-005 [22] класифікацією, відносяться автоматизовані системи, створені на базі локалізованого багатомашинного багатокористувачевого комплексу. До складу АС класу 2 входять обчислювальна система, фізичне середовище, в якому вона знаходиться і функціонує, користувачі АС та оброблювана інформація, у тому числі й технологія її оброблення. Під час забезпечення захисту інформації необхідно враховувати всі характеристики зазначених складових частин, які мають вплив на реалізацію політики безпеки. 4. Характеристика обчислювальної системи 4.1. Метою створення автоматизованих систем класу 2 є надання будь-якому користувачеві, у відповідності із захищеною технологією обробки інформації, потенційної можливості доступу до інформаційних ресурсів усіх комп’ютерів, що об’єднані в обчислювальну мережу. Узагальнена функціонально-логічна структура обчислювальної системи АС класу 2 включає: - підсистему обробки інформації; - підсистему взаємодії користувачів з АС; - підсистему обміну даними. 4.2. Підсистема обробки інформації реалізує головну цільову функцію АС і складається із засобів обробки інформації, які утворюють основу інформаційно-обчислювальних ресурсів АС, що надаються користувачам (обчислення, пошук, зберігання та оброблення інформації). Принциповими її особливостями є багатофункціональність і можливість доступу до неї для будь-яких робочих станцій АС. Можливі обмеження визначаються тільки специфікою технологій, технічними й організаційними особливостями функціонування АС. Як компоненти підсистеми можуть використовуватися універсальні високопродуктивні ЕОМ (у тому числі й ПЕОМ), спеціалізовані сервери обробки даних або надання послуг (сервери баз даних, друку тощо). 4.3. Підсистема взаємодії користувачів з АС забезпечує користувачам доступ до засобів підсистеми обробки інформації і подання отриманого від них ресурсу у вигляді результату обчислення, інформаційного масиву або графічного зображення у зручній та зрозумілій для користувача формі. Компоненти підсистеми у функціональному відношенні є автономно замкненими та, як правило, не передбачається доступ до їх внутрішніх обчислювальних ресурсів зі сторони інших компонентів АС. Як компоненти підсистеми можуть використовуватися ПЕОМ, що укомплектовані засобами введення та відображення інформації (робочі станції), дисплейні станції. 4.4. Підсистема обміну даними забезпечує взаємодію робочих станцій із засобами підсистеми обробки інформації, а також робочих станцій між собою на основі визначених правил, процедур обміну даними з реалізацією фаз встановлення, підтримання та завершення з’єднання. Підсистема забезпечує інформаційну взаємодію різних компонентів АС і об’єднує їх в єдине ціле як у структурному, так і у функціональному відношенні. Підсистема обміну даними складається з пасивної мережі для обміну даними (кабельна мережа), активного мережевого обладнання (комутаторів, концентраторів, маршрутизаторів, шлюзів тощо), що об’єднує в єдине ціле пасивну мережу з обладнанням інших підсистем для забезпечення інформаційної взаємодії. Як різновид підсистеми обміну даними можна розглядати структуровану кабельну систему – набір стандартних комутаційних елементів (кабелів, з’єднувачів, коннекторів, кросових панелей і спеціальних шаф та ін.), які дозволяють створювати регулярні структури передачі даних, що відносно легко розширюються. 4.5. Обчислювальні системи, за допомогою яких реалізуються підсистема обробки інформації та підсистема взаємодії користувачів з АС, укомплектовані: - засобами обчислювальної техніки; - периферійним обладнанням - пристроями друку, зберігання інформації тощо; - комплексом програмного забезпечення обчислювальної системи; - комплексом програмно-апаратних засобів захисту інформації. У разі необхідності засоби обчислювальної техніки додатково можуть комплектуватися сумісними периферійними пристроями і відповідними модулями системного програмного забезпечення. 4.6. Комплекс програмного забезпечення обчислювальної системи складають: - операційні системи серверів; - операційні системи універсальних високопродуктивних ЕОМ; - операційні системи робочих станцій; - операційні системи, що забезпечують виконання мережевих функцій; - програмні засоби, що підтримують реалізацію протоколів передачі даних обчислювальної мережі; - програмні засоби активних компонентів мережі, що реалізують спеціальні алгоритми управління мережею; - системи керування базами даних серверів, високопродуктивних універсальних ЕОМ, робочих станцій; - програмні засоби забезпечення КЗЗ; - функціональне програмне забезпечення. 4.7. Наведена функціонально-логічна структура АС може розглядатися як універсальна, в той час як фізична структура автоматизованої системи може мати значно більшу кількість модифікацій в залежності від цілей та завдань, які вона повинна вирішувати, способу розподілу функцій між окремими технічними засобами, видів та можливостей технічних засобів, що застосовуються, інших специфічних особливостей, які враховуються під час проектування конкретної обчислювальної мережі. 5. Характеристика користувачів 5.1. За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування автоматизованих систем, особи, що мають доступ до АС, поділяються на наступні категорії: - користувачі, яким надано повноваження розробляти й супроводжувати КСЗІ (адміністратор безпеки, співробітники СЗІ); - користувачі, яким надано повноваження забезпечувати управління АС (адміністратори операційних систем, СКБД, мережевого обладнання, сервісів та ін.); - користувачі, яким надано право доступу до конфіденційної інформації одного або декількох класифікаційних рівнів; - користувачі, яким надано право доступу тільки до відкритої інформації; - технічний обслуговуючий персонал, що забезпечує належні умови функціонування АС; - розробники та проектувальники апаратних засобів АС, що забезпечують її модернізацію та розвиток; - розробники програмного забезпечення, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючих; - постачальники обладнання і технічних засобів АС та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування; - технічний персонал, що здійснює повсякденне підтримання життєдіяльності фізичного середовища АС (електрики, технічний персонал з обслуговування будівель, ліній зв’язку тощо). 5.2. Усі користувачі та персонал АС повинні пройти підготовку щодо умов та правил використання технічних та програмних засобів, які застосовуються ними під час виконання своїх службових та функціональних обов’язків. 5.3. Доступ осіб всіх категорій, зазначених у п. 6.3.1, до конфіденційної інформації та її носіїв здійснюється на підставі дозволу, що надається наказом (розпорядженням) керівника організації. Дозвіл надається лише для виконання ними службових та функціональних обов’язків і на термін не більший, ніж той, що цими обов’язками передбачений. Якщо в АС встановлено декілька класифікаційних рівнів конфіденційної інформації, кожній особі з допущених до роботи в АС мають бути визначені її повноваження щодо доступу до інформації певного класифікаційного рівня. Дозвіл на доступ до конфіденційної інформації, що обробляється в АС, може надаватися лише користувачам. Як виключення, в окремих випадках (наприклад, аварії або інші непередбачені ситуації) дозвіл може надаватися іншим категоріям осіб на час ліквідації негативних наслідків і поновлення працездатності АС. 5.4. Персонал АС, розробники програмного забезпечення, розробники та проектувальники апаратних засобів, постачальники обладнання та фахівці, що здійснюють монтаж і обслуговування технічних засобів АС, і не мають дозволу на доступ до конфіденційної інформації, можуть мати доступ до програмних та апаратних засобів АС лише під час робіт із тестування й інсталяції програмного забезпечення, встановлення і регламентного обслуговування обладнання тощо, за умови обмеження їх доступу до даних конфіденційного характеру. Зазначені категорії осіб повинні мати дозвіл на доступ тільки до конфіденційних відомостей, які містяться в програмній і технічній документації на АС або на окремі її компоненти, і необхідні їм для виконання функціональних обов’язків. 5.5. Порядок та механізми доступу до конфіденційної інформації та компонентів АС особами різних категорій розробляються СЗІ та затверджуються керівником організації. 5.6. Для організації управління доступом до конфіденційної інформації та компонентів АС необхідно: - розробити та впровадити посадові інструкції користувачів та персоналу АС, а також інструкції, якими регламентується порядок виконання робіт іншими особами з числа тих, що мають доступ до АС; - розробити та впровадити розпорядчі документи щодо правил перепусткового режиму на територію, в будівлі та приміщення, де розташована АС або її компоненти; - визначити правила адміністрування окремих компонентів АС та процесів, використання ресурсів АС, а також забезпечити їх розмежування між різними категоріями адміністраторів; - визначити правила обліку, зберігання, розмноження, знищення носіїв конфіденційної інформації; - розробити та впровадити правила ідентифікації користувачів та осіб інших категорій, що мають доступ до АС. 6. Характеристика оброблюваної інформації 6.1. В АС обробляється конфіденційна інформація, володіти, користуватися чи розпоряджатися якою можуть окремі фізичні та/або юридичні особи, що мають доступ до неї у відповідності до правил, встановлених власником цієї інформації. 6.2. В АС може зберігатися і циркулювати відкрита інформація, яка не потребує захисту, або захист якої забезпечувати недоцільно, а також відкрита інформація, яка у відповідності до рішень її власника може потребувати захисту. 6.3. Конфіденційна й відкрита інформація можуть циркулювати та оброблятися в АС як різними процесами для кожної з категорій інформації, так і в межах одного процесу. 6.4. У загальному випадку в АС, безвідносно до ступеню обмеження доступу, інформація за рівнем інтеграції характеризується як: - сукупність сильнозв’язаних об’єктів, що вимагають забезпечення своєї цілісності як сукупність; - окремі слабозв’язані об’єкти, що мають широкий спектр способів свого подання, зберігання й передачі і вимагають забезпечення своєї цілісності кожний окремо. Незалежно від способу подання об’єкти можуть бути структурованими або неструктурованими. КСЗІ повинна реалізувати механізми, що забезпечують фізичну цілісність слабозв’язаних об’єктів, окремих складових сильнозв’язаних об’єктів, та підтримку логічної цілісності сильнозв’язаних об’єктів, що розосереджені в різних компонентах АС. 6.5. В АС присутня інформація, яка за часом існування та функціонування: - є швидкозмінюваною з відносно коротким терміном її актуальності; - має відносно тривалий час існування при високому ступені інтеграції і гарантуванні стану її незруйнованості за умови приналежності різним користувачам, в рамках сильно- або слабозв’язаних об’єктів. КСЗІ повинна забезпечити доступність зазначених видів інформації у відповідності до особливостей процесів, що реалізують інформаційну модель конкретного фізичного об’єкта. 6.6. АС повинна забезпечувати підтримку окремих класів сукупностей сильнозв’язаних об’єктів стандартними для галузі системами керування базами даних, іншими функціональними чи системними процесами,які надають можливість здійснення паралельної обробки запитів і мають засоби, що в тій чи іншій мірі гарантують конфіденційність і цілісність інформації на рівні таблиць, стовпців таблиці, записів таблиці. АС повинна забезпечувати підтримку окремих класів сукупностей слабозв’язаних об’єктів стандартними для галузі операційними системами, які мають засоби, що в тій чи іншій мірі гарантують конфіденційність і цілісність інформації на рівні сукупності файлів, окремих файлів. КСЗІ повинна гарантувати забезпечення цілісності, конфіденційності й доступності інформації, яка міститься в сильно- або слабозв’язаних об’єктах і має ступінь обмеження ДСК, згідно з визначеними у цьому документі вимогами до відповідного функціонального профілю захищеності. 7.13 З урахуванням характеристик і особливостей подання оброблюваної інформації, особливостей процесів, що застосовуються для її оброблення, а також порядку роботи користувачів та вимог до забезпечення захисту інформації в АС класу 2 визначаються такі технології обробки інформації: - обробка без активного діалогу зі сторони користувача слабозв’язаних об’єктів, що вимагають конфіденційності оброблюваної інформації, або конфіденційності й цілісності оброблюваної інформації; - обробка без активного діалогу зі сторони користувача сильнозв’язаних об’єктів, що вимагають конфіденційності та цілісності оброблюваної інформації; - обробка в активному діалоговому режимі зі сторони користувача слабозв’язаних об’єктів, що вимагають конфіденційності та доступності оброблюваної інформації, або конфіденційності та цілісності оброблюваної інформації; - обробка в активному діалоговому режимі зі сторони користувача сильнозв’язаних об’єктів, що вимагають конфіденційності, цілісності та доступності оброблюваної інформації. Визначені вище технології обробки інформації можуть бути застосовані як до АС в цілому, так і до окремих її компонентів або процесів, що використовуються в АС. Одночасно в АС можуть застосовуватись декілька технологій. 7.14 Обробка без активного діалогу зі сторони користувача слабозв’язаних об’єктів у загальному випадку представляє собою обробку окремого набору даних (або певної їх множини, але послідовно одне за одним) у фоновому режимі, який забезпечується операційними системами (за виключенням однокористувацьких однозадачних), що використовуються на робочих станціях та серверах автоматизованої системи. Обробка без активного діалогу зі сторони користувача сильнозв’язаних об’єктів являє собою вирішення в фоновому режимі комплексів функціональних задач, які взаємодіють із базами даних, що підтримуються стандартними для галузі СКБД, а також реалізацію будь-яких інших процесів, які здійснюють одночасну обробку певної множини наборів даних, що мають між собою логічні зв’язки. Обробка в активному діалоговому режимі зі сторони користувача слабозв’язаних об’єктів являє собою обробку окремого набору даних у режимі реального часу в діалозі між користувачем та прикладним процесом, що цю обробку здійснює (наприклад, створення та редагування текстів, і тому подібне). Обробка в активному діалоговому режимі зі сторони користувача сильнозв’язаних об’єктів являє собою процеси реалізації в режимі реального часу взаємодії між користувачем та базою даних або сильнозв’язаними об’єктами (наприклад, будь-які інформаційні системи, що побудовані з використанням баз даних та СКБД і працюють у реальному часі; будь-які системи автоматизованого проектування тощо). 7.15 Перелік мінімально необхідних рівнів послуг безпеки, які реалізуються КЗЗ (функціональний профіль захищеності), вибирається в залежності від технологій обробки інформації, що застосовуються (відповідно до п. 6.5.13), та з урахуванням типових умов функціонування АС. Для АС класу 2 визначаються такі стандартні функціональні профілі захищеності оброблюваної інформації: - під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності оброблюваної інформації: 2.К.3 = {КД-2, КА-2, КО-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}; - під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності та цілісності оброблюваної інформації: 2.КЦ.3 = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}; - під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності та доступності оброблюваної інформації: 2.КД.1а = {КД-2, КА-2, КО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}; - під час застосування технології, що вимагає підвищених вимог до забезпечення конфіденційності, цілісності та доступності оброблюваної інформації: 2.КЦД.2а = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}. 7.16 У разі необхідності для конкретної АС до визначених цим НД ТЗІ функціональних профілів захищеності можуть вводитися додаткові послуги безпеки, а також підвищуватись рівень будь-якої з наведених послуг. За певних обставин в КСЗІ вимоги до політики реалізації окремих послуг безпеки можуть частково забезпечуватися організаційними або іншими заходами захисту. Якщо ці заходи у повному обсязі відповідають встановленим НД ТЗІ 2.5-004 специфікаціям для певного рівня послуги безпеки, то рівень такої послуги, що входить до визначених у п. 6.5.15 профілів захищеності, може бути знижений на відповідну величину. Як виняток, послуга безпеки, що входить до визначених у п. 6.5.15 профілів захищеності, може не реалізовуватись, якщо її політика у повному обсязі відповідно до моделі захисту інформації спрямована на нейтралізацію лише несуттєвих загроз, визначених моделлю загроз для інформації в АС. 7.17 У випадках, коли в АС для окремих компонентів існують відмінності у характеристиках фізичного та інформаційного середовищ, середовища користувачів, технологій оброблення інформації, рекомендується визначати перелік мінімально необхідних рівнів послуг для кожного компонента окремо. 7.18. Політика безпеки інформації в АС повинна поширюватися на об’єкти комп’ютерної системи, які безпосередньо чи опосередковано впливають на безпеку конфіденційної інформації. До таких об’єктів належать: - адміністратор безпеки та співробітники СЗІ; - користувачі, яким надано повноваження інших адміністраторів; - користувачі, яким надано право доступу до конфіденційної інформації або до інших видів інформації; - слабо- та сильнозв’язані об’єкти, які містять конфіденційну інформацію або інші види інформації, що підлягають захисту; - системне та функціональне програмне забезпечення, яке використовується в АС для оброблення інформації або для забезпечення КЗЗ; - технологічна інформація КСЗІ (дані щодо персональних ідентифікаторів та паролів користувачів, їхніх повноважень та прав доступу до об’єктів, встановлених робочих параметрів окремих механізмів або засобів захисту, інша інформація баз даних захисту, інформація журналів реєстрації дій користувачів тощо); - засоби адміністрування та управління обчислювальною системою АС та технологічна інформація, яка при цьому використовується; - окремі периферійні пристрої, які задіяні у технологічному процесі обробки конфіденційної інформації; - обчислювальні ресурси АС (наприклад, дисковий простір, тривалість сеансу користувача із засобами АС, час використання центрального процесора і т. ін.), безконтрольне використання яких або захоплення окремим користувачем може призвести до блокування роботи інших користувачів, компонентів АС або АС в цілому. РОЗДІЛ 2 АНАЛІЗ СТРУКТУРИ ТА ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АВТОМАТИЗОВАНІЙ БАНКІВСКІЙ СИСТЕМІ (АБС) АКБ «ПРОМІНВЕСТБАНК» 2.1 Характеристика діяльності АТЗТ “АК ПРОМІНВЕСТБАНК” за 2004 – 2009 роки Український акціонерний комерційний промислово-інвестиційний банк (Промінвестбанк України) створено 26 серпня 1992 року в результаті роздер-жавлення та приватизації республіканської інфраструктури Промстройбанку СРСР в Україні. У процесі акціонування та приватизації до державного бюдже-ту України спрямовані кошти, еквівалентні 1 млрд. дол. США [83]. Станом на 01.01.2008 року статутний капітал банку становив 200 175 000 грн., розподілених на 20 175 000 простих акцій номінальною вартістю 10 грн. за 1 акцію. Згідно з нижченаведеними даними, за результатами 2007 року ніщо не передвіщало миттєве технічне банкрутство банку у 3 кварталі 2008 року, зупинку платіжних операцій та операційної діяльності банку, масовий відток капіталу та неповернення кредитів позичальниками, стабілізаційний кредит НБУ та введення тимчасової адміністрації НБУ, продаж банку новим акціонерам з Росії та відродження його діяльності з початком 2-го кварталу 2009 року після інвестування грошової готівкової маси на рівні 800 млн.доларів США. Організаційна структура самостійної юридичної особи - акціонерне товариство закритого типу “Акціонерний комерційний промислово-інвестиційний банк” (Україна, 01001, Київ-1, пров. Шевченка, 12) станом на 31.12.2008 року представлене 825 установами, в тому числі [83]: - ОПЕРУ Промінвестбанку - 1; - філії - 161; - безбалансові відділення - 662; - Представництво в Російській Федерації- 1. На кінець 2008 року структура Центрального Апарату банку складалася із п’яти Головних регіональних управлінь (Східно-Донбаського, Центрально-Київського, Південно-Індустріального, Харківського та Західно-Українського), 17 департаментів (Генеральний департамент обліку та банківського контролю, Фінансовий департамент, Департамент пасивів, Департамент кредитування, Департамент споживчого кредитування, Планово-аналітичний департамент, Департамент фінансового моніторингу, Департамент безпеки банку, Юридичний департамент, Департамент управління персоналом, Департамент розвитку банку, Департамент капітального будівництва, Департамент внутрішнього аудиту, Господарський департамент, Департамент цінних паперів, Департамент валютних операцій, Департамент касових операцій та інкасації), Центру комп'ютерних та пластикових технологій. Банк має наступні ліцензії та дозволи на здійснення операцій [83]: - Ліцензія Національного банку України № 1 від 31.10.2001 року та дозволи на проведення банківських операцій (дозвіл №1-3 від 31.10.01р. та додаток до дозволу №1-3 від 20.01.06р.); - Ліцензія Державної комісії з цінних паперів та фондового ринку (серія АА №770422 від 13.10.04р. строком дії до 13.10.07р.) на здійснення професійної діяльності на ринку цінних паперів: діяльність по випуску та обігу цінних паперів; депозитарна діяльність зберігача цінних паперів; діяльність щодо ведення реєстру власників іменних цінних паперів; - Ліцензія Міністерства фінансів України (серія АБ №108675 від 23.05.05р. строком дії до 23.05.10р.) на проведення операцій з торгівлі з купленими у населення та прийнятими під заставу з ювелірними та побутовими виробами з дорогоцінних металів та дорогоцінного каміння. В Дніпропетровській області Промінвестбанк представлений 7 філіями – балансовими відділеннями Промінвестбанку та 52 безбалансовими відділеннями, які структурно входять до філій [83]: 1. Відділення Промінвестбанку в м.Дніпропетровськ , 49000, м.Днiпpопетpовськ, вул.Ленiна, 17 (+ 12 безбалансових відділень); 2. Відділення Промінвестбанку в м.Жовтi Води Дніпропетровської області , 52204, Дніпропетровська обл., м.Жовтi Води, вул.І.Богуна, 75-а; 3. Центpально-мiське відділення Промінвестбанку в м.Кpивий Рiг Дніпропетровської області, 50000, Дніпропетровська обл., м.Кpивий Piг, пp.К.Маpкса, 5 (+ 24 безбалансових відділень); 4. Відділення Промінвестбанку в м.Hiкополь Дніпропетровської області 53210, Дніпропетровська обл., м.Hiкополь, пp.Тpубникiв, 11-б (+ 7 безбалансових відділень); 5. Відділення Промінвестбанку в м.Hовомосковськ Дніпропетровської області, 51200, Дніпропетровська обл., м.Hовомосковськ, вул.М.Головка, 1; 6. Відділення Промінвестбанку в м.Павлогpад Дніпропетровської області 51400, Дніпропетровська обл., м.Павлогpад, пpов.Музейний, 2 (+ 7 безба-лансових відділень); 7. Відділення Промінвестбанку в м.Днiпpодзеpжинськ Дніпропетровської області , 51929, Дніпропетровська обл., м.Днiпpодзеpжинськ, пp.Ленiна, 4 (+ 2 безбалансових відділення); Промінвестбанк є універсальним фінансовим інститутом, що надає весь спектр банківських послуг юридичним і фізичним особам. Банк переважно спеціалізується на кредитуванні підприємств промисловості, агропромислового комплексу, розрахунково-касовому обслуговуванні юридичних осіб. Здійснюється весь спектр валютно-обмінних операцій, а саме: купівля-продаж готівкової іноземної валюти, приймання на інкасо банкнот іноземних держав, виплата валюти за платіжними картками. У 2006 - 2009 роках Промінвестбанк продовжував співпрацювати з американською компанією MoneyGram Payment Systems, Inc. по здійсненню міжнародних грошових переказів в іноземній валюті за дорученням фізичних осіб по системі MoneyGram. Промінвестбанк є одним із найбільших агентів компанії MoneyGram в Україні та в країнах СНД (враховуючи Росію), які пропонують цю послугу. Протягом звітного року мережа пунктів обслуговування переказів Промінвестбанку збільшена з 425 до 599 пунктів (в 1,40 раза). В них здійснюються операції по відправленню та виплаті транскордонних термінових грошових переказів з 170 країн світу, в яких діють 100 тис. пунктів MoneyGram. З 2006 року Промінвестбанк розпочав здійснювати міжнародні грошові перекази в доларах США та євро за дорученням та на користь фізичних осіб по системі CONTACT. Ця система має 29 тис. пунктів обслуговування та дає можливість здійснювати грошові перекази з 81 країни світу. За рік мережа пунктів обслуговування переказів Промінвестбанку по системі CONTACT зросла до 599 пунктів. В березні 2006 року Промінвестбанк уклав договір з компанією Travelex Money Transfer, Ltd. (Англія) щодо впровадження в Промінвестбанку міжнародних грошових переказів по системі Travelex, яка дасть можливість здійснювати грошові перекази в доларах США та євро за дорученням та на користь фізичних осіб в 138 країнах світу. Здійснення переказів по системі Travelex планується розпочати в 2007 році. Протягом 2006 -2008 років банк активно працював на ринку платіжних карток. Загальна кількість випущених платіжних карток для клієнтів банку складала на кінець 2008 року 3407,4 тисяч штук проти 2781,4 тисяч за 2007 рік (приріст 626,0 тисяч, що складає 1,23 раза). Найбільшими темпами зростали картки міжнародних платіжних систем. Їх кількість зросла за рік на 538,8 тисяч (1,35 раза) і склала на 31 грудня 2008 року 2071,1 тисяч. Кількість банкоматів банку збільшилась за рік на 205 одиниць (в 1,2 раза) і складала на кінець року 1380 одиниць. В 2006 році банком запроваджено надання послуг клієнтам через систему “Інтернет-Клієнт-Банк“. Надалі збільшуватимуться обсяги та якість послуг населенню в сфері безготівкових платежів та грошових переказів, зберігання цінностей та продажа банківських металів, надання послуг по відкриттю і веденню пенсійних рахунків [83]. Промінвестбанк має солідну клієнтську базу - майже 4 млн. громадян та суб'єктів господарської діяльності, надає клієнтам понад 300 видів послуг: від розрахунково-касового обслуговування до сучасних електронних послуг та опе-рацій з банківськими металами, постійно вдосконалює форми обслуговування клієнтів. Промінвестбанк є одним із лідерів ринку пластикових технологій. Банком емітовано більше 4 млн. карток, в тому числі 2,6 млн. карток міжнародних пла-тіжних систем, встановлено 1,7 тис. банкоматів. Промінвестбанк підтримує відносини з більш ніж 200 провідними інозем-ними фінансовими установами. Клієнти банку здійснюють свої розрахунки через 35 кореспондентських рахунків Промінвестбанку, що відкриті у 22 банках світу. Банк активно працює в системі банківських телекомунікацій SWIFT та REUTER, здійснює перекази фізичних осіб за міжнародними системами Money Gram та Contact. Маючи 669 пунктів обслуговування переказів в усіх регіонах України, Промінвестбанк є одним з найбільших агентів компанії MoneyGram як в Україні, так і в країнах СНД. За результатами 2006 року Промінвестбанк от-римав нагороду за найбільшу ринкову частку у здійсненні грошових переказів в іноземній валюті за дорученням та на користь фізичних осіб по системі Money-Gram в Україні, а у 2007 році - за успішний початок здійснення грошових переказів за системою Western Union. В табл.2.1 наведені основні характеристики діяльності АТЗТ “АК Промін-вестбанк” за 2004 – 2007 роки у формі абсолютних значень характеристик та відповідного рейтингового місця банку у банківській системі України по відпо-відній характеристиці. Одночасно в табл.2.1 та на рис.2.1 наведений обсяг рин-ку банківських послуг, який займає АТЗТ “АК Промінвестбанк” в загальних обсягах БС України, поступово втрачаючи позиції під впливом конкурентів. Як показує аналіз даних табл.2.1 на ринку залучених депозитних коштів, які є предметом дипломного дослідження, Промінвестбанк займав 1(2004) –2(2007) місця по обсягах депозитів юридичних осіб та 3(2004) – 4(2007) місця по обсягах залучення депозитів фізичних осіб, по загальному обсягу валюти балансу банк займав 3 місце у 2004 році та 6 місце у 2007 році. Спільний аналіз даних табл.2.1 та графіків рис.2.1 – 2.2 дозволяє виявити наступні тенденції внутрішнього розвитку АТЗТ «АК Промінвестбанк» та вплив зовнішнього конкурентного середовища банківської системи України на частку, яку займає банк на ринку банківських капіталів та послуг в Україні. Так за 2004 – 2007 роки у АТЗТ «АК Промінвестбанк»: а) абсолютний обсяг валюти балансу збільшився з 10,6 млрд.грн. до 26,1 млрд.грн., тобто зріс в 2,46 раза. Але при цьому ринкова частка обсягу валюти баланса банка в загальному обсягу валюти баланса банківської системи України зменшилась з рівня 8,1% у 2004 році до рівня 4,46% у 2007 році, тобто зменши-лась в 1,81 раза. В результаті за обсягом валюти балансу банк за 4 роки перемістився з 3 місця в БС України на 6 місце (рис.2.2); б) абсолютний обсяг власного капіталу збільшився з 1,167 млрд.грн. до 2,683 млрд.грн., тобто зріс в 2,3 раза. Але при цьому ринкова частка обсягу власного капіталу банка в загальному обсягу власного капіталу банківської системи України зменшилась з рівня 6,29% у 2004 році до рівня 3,28% у 2007 році, тобто зменшилась в 1,71 раза. В результаті за обсягом власного капіталу банк за 4 роки перемістився з 3 місця в БС України на 6 місце; в) абсолютний обсяг поточних і строкових депозитів фізичних осіб збільшився з 3,466 млрд.грн. до 10,173 млрд.грн., тобто зріс в 2,93 раза. Але при цьому ринкова частка обсягу поточних і строкових депозитів фізичних осіб в загальному обсягу поточних і строкових депозитів фізичних осіб банківської системи України зменшилась з рівня 8,51% у 2004 році до рівня 6,3% у 2007 році, тобто зменшилась в 1,35 раза. Таблиця 2.1 Динаміка характеристик та рейтингових місць АТЗТ “АК Промінвестбанк” в банківській системі України у 2004 –2007 роках Рис.2.1. – Динаміка конкурентного падіння ринкової частки АТЗТ «АК Промінвестбанк» в загальній валюті активів, власного капіталу та залучених коштів БС України у 2004 -2007 роках
Рис.2.2. – Визначення ринкової частки загальних активів балансу АТЗТ “АК Промінвестбанк” в активах банківської системи України (158 діючих банків) станом на 01.01.2008 року В результаті за обсягом поточних і строкових депозитів фізичних осіб банк за 4 роки перемістився з 3 місця в БС України на 4 місце; г) абсолютний обсяг поточних і строкових депозитів юридичних осіб збільшився з 5,599 млрд.грн. до 10,786 млрд.грн., тобто зріс в 1,93 раза. Але при цьому ринкова частка обсягу поточних і строкових депозитів юридичних осіб в загальному обсягу поточних і строкових депозитів юридичних осіб банківської системи України зменшилась з рівня 11,93% у 2004 році до рівня 7,137% у 2007 році, тобто зменшилась в 1,67 раза. В результаті за обсягом поточних і строкових депозитів юридичних осіб банк за 4 роки перемістився з 1 місця в БС України на 2 місце; д) абсолютний обсяг чистого прибутку банку збільшився з 0,122 млрд. грн. до 0,234 млрд.грн., тобто зріс в 1,92 раза. Але при цьому ринкова частка обсягу чистого прибутку банку в загальному обсягу чистого прибутку банків-ської системи України зменшилась з рівня 9,31% у 2004 році до рівня 3,64% у 2007 році, тобто зменшилась в 2,55 раза. В результаті за обсягом чистого прибутку банк за 4 роки перемістився з 2 місця в БС України на 7 місце; е) рентабельність статутного капіталу банку(ROE) за рахунок стратегії капіталізації дивідендів в спеціальному фонді та постійному рівні статутного капіталу збільшилась з рівня 61,11% у 2004 році (5 рейтингове місце) до рівня 117,1 % у 2007 році (1 рейтингове місце), тобто зросла в 1,92 раза. Але при цьому рентабельність активів банку (ROA) зменшилась з рівня 1,154% у 2004 році (55 рейтингове місце) до рівня 0,898 % у 2007 році (45 рейтингове місце), що, за нормативами НБУ, характеризує банк як низькорентабельний. Таким чином, фінансовий важель залучених коштів в АТЗТ «АТ Промін-вестбанк» працює з високою ефективністю, але є значні резерви росту рента-бельності статутного капіталу за рахунок підвищення рентабельності роботи активів банку. Восени 2008 року Промінвестбанк зазнав значних втрат ліквідності внаслідок масового відтоку коштів клієнтів. З метою стабілізації діяльності та відновлення ліквідності банку 7 жовтня 2008 року Національним банком України в Промінвестбанку було призначено Тимчасову адміністрацію. 15 січня 2009 року Державна комісія з цінних паперів та фондового ринку видала Свідоцтво про те, що випуск акцій Промінвестбанку на загальну суму 1 мільярд 300 мільйонів 175 тисяч гривень внесено до Загального реєстру випуску цінних паперів. Реєстраційний номер - №505/1/08, дата реєстрації - 30 грудня 2008 року. Відповідно до результатів викупу додаткової емісії акцій Державна корпорація "Банк розвитку та зовнішньоекономічної діяльності (Зовнішеконом-банк)" (Росія) отримала контроль над 75 відсотками акцій Акціонерного комерційного промислово-інвестиційного банку (Промінвестбанк). На сьогодні найбільшими акціонерами банку є Державна корпорація "Банк розвитку та зовнішньоекономічної діяльності (Внєшекономбанк)" (Росія) - 75 % акцій, та ТОВ Сігнус (дочірня компанія SLAV AG) - 12,37 % акцій. |
|
© 2000 |
|