 |
РУБРИКИ |
Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку |
РЕКЛАМА |
||
|
Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку1.2.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту при використанні її у процесах і програмах АБС. 1.2.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при використанні її у процесах і програмах АБС. 1.2.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при використанні її у процесах і програмах АБС . в) сегмент 100-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 1.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначає перелік банківської інформації, передаваємої по каналах зв'язку АБС, яка підлягає захисту й порядок визначення такої банківської інформації. 1.3.2 Опис функцій органів, відповідальних за визначення банківської інформації, , передаваємої по каналах зв'язку АБС, яка підлягає захисту. 1.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту при передачі її по каналах зв'язку. 1.3.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту при передачі їх по каналах зв'язку. г) сегмент 100-040 «Захист від витоку ПЕВМІН» 1.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка витікає за рахунок ПЕМІН, підлягає захисту й порядок визначення таких банківської інформації. 1.4.2 Опис функцій органів, відповідальних за визначення банківської інформації, яка витікає за рахунок ПЕМІН та підлягає захисту. 1.4.3 Опис політики безпеки, що забезпечують своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в умовах можливого витоку за рахунок ПЕМІН. 1.4.4. Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в умовах можливого витоку її за рахунок ПЕМІН. д) сегмент 100-050 «Оперативне управління моніторами системи захисту інформації» 1.5.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік банківської інформації, яка підлягає захисту в процесі керування системою захисту й порядок визначення такої банківської інформації. 1.5.2 Опис функцій органів, відповідальних за визначення банківської інформації, що підлягає захисту в процесі керування системою захисту. 1.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення переліку банківської інформації, яка підлягає захисту в процесі керування системою захисту. 1.5.4 Опис набору засобів для забезпечення оперативності і якості визначення інформації, що підлягає захисту в процесі керування системою захисту. 2. Посегментне змістовне значення параметрів в другійстроці (200) матриці контролю КСЗІ банку - «Виявлення джерел загроз інформації та каналів витоку, модифікції чи знищення банківської інформації» а) сегмент 200-010 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)» 2.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації на об'єктах АБС . 2.1.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації на об'єктах АБС . 2.1.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації на об'єктах АБС . 2.1.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації на об'єктах АБС . б) сегмент 200-020 «Захист обчислювальних мереж, баз даних і програм АБС» 2.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку інформації в процесах і програмах АБС . 2.2.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації в процесах і програмах АБС . 2.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації в процесах і програмах АБС . 2.2.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації в процесах і програмах АБС. в) сегмент 200-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 2.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають виявлення потенційних каналів витоку банківської інформації, передаваємої по каналах зв'язку АБС. 2.3.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку банківської інформації, передаваємої по каналах зв'язку АБС. 2.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку банківської інформації, при передачі її по каналах зв'язку. 2.3.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації, що підлягає захисту при передачі її по каналах зв'язку. г) сегмент 200-040 «Захист від витоку ПЕВМІН» 2.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок виявлення потенційних каналів витоку банківської інформації за рахунок ПЕМІН. 2.4.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації за рахунок ПЕМІН. 2.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації за рахунок ПЕМІН. 2.4.4 Опис набору засобів для забезпечення оперативності і якості виявлення потенційних каналів витоку інформації за рахунок ПЕМІН. д) сегмент 200-050 «Оперативне управління моніторами системи захисту інформації» 2.5.1 Викладення у законодавчих, нормативних і методичних документах питань, виявлення потенційних каналів витоку інформації в процесі керування системою захисту й порядок дій при цьому. 2.5.2 Опис функцій органів, відповідальних за виявлення потенційних каналів витоку інформації в процесі керування системою захисту. 2.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне виявлення потенційних каналів витоку інформації в процесі керування системою захисту. 2.5.4 Опис набору засобів для забезпечення оперативності виявлення потенційних каналів витоку інформації в процесі керування системою захисту. 3. Посегментне змістовне значення параметрів в третій строці (300) матриці контролю КСЗІ банку - «Проведення дослідження технології функціонування АБС банку, оцінка уязвимості та ризиків» а) сегмент 300- 010 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)» 3.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають проведення оцінки уразливості й ризиків для інформації на об'єктах АБС, які підлягають захисту й порядок визначення такої банківської інформації. 3.1.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації на об'єктах АБС. 3.1.3 Опис політики безпеки, що визначає проведення оцінки уразливості й ризиків для інформації на об'єктах АБС. 3.1.4 Опис набору засобів для проведення оцінки уразливості й ризиків для інформації на об'єктах АБС. б) сегмент 300- 020 «Захист обчислювальних мереж, баз даних і програм АБС» 3.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС. 3.2.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС. 3.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС. 3.2.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації в процесах і програмах АБС. в) сегмент 300-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 3.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок проведення оцінки уразливості й ризиків для банківської інформації, передаваємої по каналах зв'язку АБС. 3.3.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для банківської інформації, передаваємої по каналах зв'язку АБС. 3.3.3 Опис політики безпеки, що забезпечує проведення оцінки уразливості й ризиків для інформації при передачі її по каналах зв'язку. 3.3.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації, що підлягає захисту при передачі її по каналах зв'язку. г) сегмент 300-040 «Захист від витоку ПЕВМІН» 3.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН. 3.4.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН. 3.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН. 3.4.4 Опис набору засобів для забезпечення оперативності і якості проведення оцінки уразливості й ризиків для інформації, підданій витоку за рахунок ПЕМІН. д) сегмент 300-050 «Оперативне управління моніторами системи захисту інформації» 3.5.1 Викладення у законодавчих, нормативних і методичних документах питань, проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту й порядок дій при цьому. 3.5.2 Опис функцій органів, відповідальних за проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту. 3.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту. 3.5.4 Опис набору засобів для забезпечення якості й оперативності проведення оцінки уразливості й ризиків для інформації в процесі керування системою захисту. 4. Посегментне змістовне значення параметрів в четвертій строці (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ» а) сегмент 400-010 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)» 4.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають перелік вимог до КСЗІ на об'єктах АБС. 4.1.2 Опис функцій органів, відповідальних за визначення переліку вимог до КСЗІ на об'єктах АБС. 4.1.3 Опис політики безпеки, що забезпечує визначення переліку вимог до КСЗІ на об'єктах АБС. 4.1.4 Опис набору засобів для визначення переліку вимог до КСЗІ на об'єктах АБС. б) сегмент 400-020 «Захист обчислювальних мереж, баз даних і програм АБС» 4.2.1 Викладення у законодавчих, нормативних і методичних документах питань визначення вимог до КСЗІ в процесах і програмах АБС. 4.2.2 Опис функцій органів, відповідальних за визначення вимог до КСЗІ в процесах і програмах АБС. 4.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ в процесах і програмах АБС. 4.2.4 Опис набору засобів для забезпечення оперативності і якості визначення вимог до КСЗІ в процесах і програмах АБС. в) сегмент 400-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 4.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок визначення вимог до КСЗІ для банківської інформації, передаваємої по каналах зв'язку АБС. 4.3.2 Опис функцій органів, відповідальних за визначення вимог до КСЗІ для банківської інформації, передаваємої по каналах зв'язку АБС. 4.3.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ при передачі її по каналах зв'язку. 4.3.4 Опис набору засобів для забезпечення оперативності і якості проведення визначення вимог до КСЗІ, при передачі даних по каналах зв'язку. г) сегмент 400-040 «Захист від витоку ПЕВМІН» 4.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок формування вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН. 4.4.2 Опис функцій органів, відповідальних за формування вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН. 4.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН. 4.4.4 Опис набору засобів для забезпечення оперативності і якості визначення вимог до КСЗІ для інформації, підданій витоку за рахунок ПЕМІН. д) сегмент 400-050 «Оперативне управління моніторами системи захисту інформації» 4.5.1 Викладення у законодавчих, нормативних і методичних документах питань формування вимог до процесів контролю стану й керування системою захисту інформації. 4.5.2 Опис функцій органів, відповідальних за формування вимог до процесів контролю стану й керування системою захисту інформації. 4.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне визначення вимог до процесів контролю стану й керування системою захисту інформації. 4.5.4 Опис набору засобів для забезпечення якості й оперативності формування вимог до процесів контролю стану й керування системою захисту інформації. 5. Посегментне змістовне значення параметрів в п’ятій строці (500) матриці контролю КСЗІ банку - «Здійснення вибору заходів та засобів захисту інформації» а) сегмент 500-010 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)» 5.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають здійснення вибору засобів захисту на об'єктах АБС. 5.1.2 Опис функцій органів, що визначають здійснення вибору засобів захисту об'єктах АБС. 5.1.3 Опис політики безпеки, що визначає здійснення вибору засобів захисту, на об'єктах АБС. 5.1.4 Опис набору засобів для здійснення вибору засобів захисту на об'єктах АБС. б) сегмент 500-020 «Захист обчислювальних мереж, баз даних і програм АБС» 5.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають здійснення вибору засобів захисту для інформації в процесах і програмах АБС. 5.2.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для інформації в процесах і програмах АБС. 5.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення вибору засобів захисту для інформації в процесах і програмах АБС. 5.2.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації в процесах і програмах АБС. в) сегмент 500-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 5.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення вибору засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС. 5.3.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС. 5.3.3 Опис політики безпеки, що забезпечує здійснення вибору засобів захисту для інформації при передачі її по каналах зв'язку. 5.3.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації при передачі її по каналах зв'язку. г) сегмент 500-040 «Захист від витоку ПЕВМІН» 5.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. 5.4.2 Опис функцій органів, відповідальних здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. 5.4.3 Опис політики безпеки, що забезпечують своєчасне і якісне здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. 5.4.4 Опис набору засобів для забезпечення оперативності і якості здійснення вибору засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. д) сегмент 500-050 «Оперативне управління моніторами системи захисту інформації» 5.5.1 Викладення у законодавчих, нормативних і методичних документах питань, здійснення вибору засобів захисту для процесів керування системою захисту й порядок дій при цьому. 5.5.2 Опис функцій органів, відповідальних за здійснення вибору засобів захисту для процесів керування системою захисту. 5.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення вибору засобів захисту для процесів керування системою захисту. 5.5.4 Опис набору засобів для забезпечення якості й оперативності здійснення вибору засобів захисту для процесів керування системою захисту. 6. Посегментне змістовне значення параметрів в шостій строці (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації» а) сегмент 600-010 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)» 6.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних заходів і засобів захисту на об'єктах АБС. 6.1.2 Опис функцій органів, що визначають порядок впровадження й використання обраних заходів і засобів захисту на об'єктах АБС. 6.1.3 Опис політики безпеки, що визначає порядок впровадження й використання обраних заходів і засобів захисту на об'єктах АБС. 6.1.4 Опис набору засобів, визначення порядку впровадження й використання обраних мір і засобів захисту на об'єктах АБС. б) сегмент 600-020 «Захист обчислювальних мереж, баз даних і програм АБС» 6.2.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних заходів і засобів захисту для інформації в процесах і програмах АБС. 6.2.2 Опис функцій органів, відповідальних за впровадження й використання обраних заходів і засобів захисту для інформації в процесах і програмах АБС. 6.2.3 Опис політики безпеки, що забезпечує своєчасне і якісне впровадження й використання обраних способів і засобів захисту для інформації в процесах і програмах АБС. 6.2.4 Опис набору засобів для забезпечення оперативності і якості впровадження й використання обраних заходів і засобів захисту для інформації в процесах і програмах АБС. в) сегмент 600-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 6.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних мір і засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС. 6.3.2 Опис функцій органів, відповідальних за впровадження й використання обраних мір і засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС. 6.3.3 Опис політики безпеки, що забезпечує впровадження й використання обраних способів і засобів захисту для інформації при передачі її по каналах зв'язку. 6.3.4 Опис набору засобів для забезпечення оперативності і якості впровадження й використання обраних заходів і засобів захисту для інформації при передачі її по каналах зв'язку. г) сегмент 600-040 «Захист від витоку ПЕВМІН» 6.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних мір і засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. 6.4.2 Опис функцій органів, відповідальних впровадження й використання обраних мір і засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. 6.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне впровадження й використання обраних мір і засобів захисту для інформації, підданій витоку за рахунок ПЕМІН. 6.4.4 Опис набору засобів для забезпечення оперативності і якісного впровадження й використання обраних мір і засобів захисту для інформації, підданим витоку за рахунок ПЕМІН. д) сегмент 600-050 «Оперативне управління моніторами системи захисту інформації» 6.5 1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних мір і засобів захисту для процесів керування системою захисту. 6.5.2 Опис функцій органів, відповідальних за впровадження й використання обраних мір і засобів захисту для процесів керування системою захисту. 6.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне впровадження й використання обраних способів і засобів захисту для процесів керування системою захисту. 6.5.4 Опис набору засобів для забезпечення якості й оперативності впровадження й використання обраних мір і засобів захисту для процесів керування системою захисту. 7. Посегментне змістовне значення параметрів в сьомій строці (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації» а) сегмент 700 - 010 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)» 7.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок контролю цілісності й керування захистом на об'єктах АБС. 7.1.2 Опис функцій органів, що визначають порядок контролю цілісності й керування захистом на об'єктах АБС. 7.1.3 Опис політики безпеки, що визначає порядок контролю цілісності й керування захистом на об'єктах АБС. 7.1.4 Опис набору засобів визначення порядку контролю цілісності й керування захистом на об'єктах АБС. б) сегмент 700-020 «Захист обчислювальних мереж, баз даних і програм АБС» 7.2 1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок контролю цілісності й керування захистом для інформації в процесах і програмах АБС. 7.2.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування захистом для інформації в процесах і програмах АБС. 7.2.3 Опис політики безпеки, що забезпечують своєчасний і якісний контроль цілісності й керування захистом для інформації в процесах і програмах АБС. 7.2.4 Опис набору засобів для забезпечення оперативності і якості контролю цілісності й керування захистом для інформації в процесах і програмах АБС. в) сегмент 700-030 «Захист міжфілійних корпоративних мереж та каналів зв’язку» 7.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення контролю цілісності й керування захистом для банківської інформації, передаваємої по каналах зв'язку АБС. 7.3.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування захистом для банківської інформації, передаваємої по каналах зв'язку АБС. 7.3.3 Опис політики безпеки, що забезпечує здійснення контролю цілісності й керування захистом для інформації при передачі її по каналах зв'язку. 7.3.4 Опис набору засобів для забезпечення оперативності і якості контролю цілісності й керування захистом для інформації при передачі її по каналах зв'язку. г) сегмент 700-040 «Захист від витоку ПЕВМІН» 7.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН. 7.4.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН. 7.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН. 7.4.4 Опис набору засобів для забезпечення оперативності і якості контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН. д) сегмент 700-050 «Оперативне управління моніторами системи захисту інформації» 7.5.1 Викладення у законодавчих, нормативних і методичних документах питань, організації контролю цілісності й керування комплексною системою захисту інформації. 7.5.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування комплексною системою захисту інформації. 7.5.3 Опис політики безпеки, що забезпечують своєчасне і якісне здійснення контролю цілісності й керування комплексною системою захисту інформації. 7.5.4 Опис набору засобів для забезпечення якості контролю цілісності й керування комплексною системою захисту інформації. 3.2Інформаційне та програмне забезпечення систем захисту інформації в інформаційних блоках АБС банку Програмно-апаратне забезпечення систем захисту інформації в АБС «Промінвестбанку» має наступну структуру: 1 рівень – апаратно-програмний захист від несанкціонованого входу на робочу станцію комп’ютерної мережі банка, який забезпечується: а) застосуванням комплексу засобів захисту (КСЗ) інформації з обмеженим доступом (ІОД), від несанкціонованого доступу (НСД) « Гриф-Мережа» версії 2.01 призначений для забезпечення захисту ІОД, оброблюваної в локальних обчислювальних мережах (ЛОМ). До складу ЛОМ можуть входити файлові сервери, що функціонують під керуванням ОС MS Windows 2000 Server/ MS Windows 2003 Server, і робочі станції, що функціонують під керуванням ОС MS Windows 2000 Professional/ MS Windows XP Professional. Комплекс дозволяє створити на базі ЛОМ спеціалізовану АС класу 2 для обробки ІОД і забезпечити захист оброблюваної ІОД від погроз порушення цілісності, конфіденційності й доступності при реалізації політики адміністра-тивного керування доступом до інформації [ ]. Комплекс « Гриф-Мережа» реалізує наступні функції: ідентифікацію й аутентификацию користувачів на підставі ім'я, па-роля й персонального електронного ідентифікатора (Flash Drive) при заванта-женні ОС робочої станції до завантаження яких-небудь програмних засобів з дисків, що дозволяє заблокувати використання робочої станції сторонньою особою, а також пізнати конкретного легального користувача й надалі реагу-вати на запити цього користувача відповідно до його повноважень; блокування устроїв інтерфейсу користувача (клавіатури, миші, мо-нітора) на час його відсутності; контроль цілісності й самотестування КСЗ при старті й по запиті адміністратора, що дозволяє забезпечити стійке функціонування КСЗ і не до-пустити обробку ІОД у випадку порушення його працездатності; розмежування обов'язків користувачів і виділення декількох ролей адміністраторів, які можуть виконувати різні функції по адмініструванню (реєс-трацію ресурсів, що захищаються, реєстрацію користувачів, призначення прав доступу, обробку протоколів аудита й т.п.). розмежування доступу користувачів до обраних каталогів (папкам), розміщеним на робочих станціях і файлових серверах ЛВС, що дозволяє органі-зувати одночасну спільну роботу декількох користувачів ЛВС, що мають різні службові обов'язки й права по доступі до ІОД; керування потоками інформації й блокування потоків інформації, що приводять до зниження її рівня конфіденційності; контроль за видачею інформації на друкування; контроль за експортом/імпортом інформації на змінні носії; гарантоване видалення інформації шляхом затирання вмісту файлів, що містять ІОД, при їхньому видаленні; розмежування доступу прикладних програм до обраних каталогів і файлів, що перебуває в них, що дозволяє забезпечити захист ІОД від випадкового видалення, модифікації й дотримати технології її обробки; контроль цілісності прикладного ПО й ПО КСЗ, а також блокування завантаження програм, цілісність яких порушена, що дозволяє забезпечити захист від вірусів і дотримання технології обробки ИсОД; контроль за використанням користувачами дискового простору файлових серверів (квоти), що виключає можливість блокування одним з користувачів можливості роботи інших; відновлення функціонування КСЗ після збоїв, що гарантує доступність інформації із забезпеченням дотримання правил доступу до неї; безперервну реєстрацію, аналіз і обробку подій (входу користувачів в ОС, спроб несанкціонованого доступу, фактів запуску програм, роботи з ІОД, видачу на друкування й т.п.) у спеціальних протоколах аудита, що дозволяє ад-міністраторам контролювати доступ до ИсОД, стежити за тим, як використовується КСЗ, а також правильно його конфігурувати; негайне оповіщення адміністратора безпеки про всі виявлені порушення встановлених правил розмежування доступу (ПРД); ведення архіву зареєстрованих даних і даних аудита. До складу комплексу « Гриф-Мережа» входять: засоби розмежування доступу й реєстрації даних аудита, установлювані на робочих станціях і файлових серверах ЛВС; автоматизоване робоче місце (АРМ) адміністратора засобів захисту. Основні функції: реєстрація користувачів, генерація паролів ідентифікації й аутентификации зі збереженням їх на мобільні флеш-пристрої; реєстрація ресурсів, що захищаються; керування розмежуванням доступу користувачів до обраних каталогів; контроль цілісності й самотестування КСЗ по запиті адміністратора; керування розмежуванням доступу прикладних програм до обраних каталогів; керування квотами користувачів; установка контролю програмного забезпечення (заборона запуску незареєстрованних програм); АРМ адміністратора безпеки. Основні функції: настроювання й керування параметрами аудита захищених ресурсів; керування параметрами оповіщення й прийом оповіщень про критичні для безпеки подіях у реальному режимі часу; можливість перегляду, аналізу й обробки протоколів аудита; робота з архівом даних аудита. У термінах НД ТЗИ 2.5–004–99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» КСЗ « Гриф-Мережа» реалізує наступний функціональний профіль: 2.КДЦ.4. = (КА-2, ДО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НІ-3, НК-1, АЛЕ-2, НЦ-2, НТ-2) Розробка виконана відповідно до вимог до рівня гарантій Г-4. Відповідно до експертного висновку ДСТЗИ СБ України № 96 від 18.12.2006 р. реалізований функціональний профіль, політика функціональних послуг безпеки й рівень гарантій відповідають вимогам НД ТЗИ 2.5-008-2002 «Вимоги по захисту конфіденційної інформації від несанкціонованого доступу під час обробки в автоматизованих системах класу 2» при використанні технології обробки інформації, що висуває підвищені вимоги до забезпечення конфіденційності, цілісності й доступності інформації й за умови відсутності необхідності реалізації довірчого керування доступом користувачів до інформаційних об'єктів. б) застосуванням доменної структури управління користувачами докальної мережі на базі сервера управління Windows -2003 (Рис.3.2, 3.3 3.4), яка дозволяє адміністратору безпеки регулювати: - час доступу користувача в мережу та пароль доступу; - конкретну ПЕОМ, з якої дозволяється доступ користувача в мережу; - програму початкової загрузки спец програм профілю безпеки користувача згідно політики безпеки в ЛОМ. Рис.3.2. Управління адміністратором безпеки кодом ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу Рис.3.3. Управління адміністратором безпеки часом входу в мережу ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу Рис.3.4. Управління адміністратором безпеки загрузкою початкових програм профілю мережевої безпеки на ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу рівень –програмні модулі мережевого сканування ПЕОМ, які ввійшли в мережу, для виявлення несанкціонованого застосування не легалізованих ПЕОМ в мережі, появи нестандартних процесів, загружених в оперативну пам’ять ПЕОМ, наявності несанкціонованого програмного забезпечення сканування мережі, розгортання програм виходу в глобальну мережу з робочих станцій мережі з застосуванням мобільних телефонів чи радіоплат 3G, Novatel, MTC-connect (рис.3.5, 3.6, 3.7), який забезпечується: а) програмним АРМ WhatsUP – IP- сканування мереж та побудови схем компьютерного контролю за включенням та виходом ПЕОМ з мережі (рис.3.5, 3.6). Рис.3.5 Результати сканування сегмента віртуальної мережі програмним АРМ WhatsUP Рис.3.6 Результати контрольного сканування однієї з незареєстрованих ПЕОМ, виявлених при скануванні сегмента віртуальної мережі програмним АРМ WhatsUP (код ПЕОМ – 1 не відповідає легалізованій номенклатурі відділу захисту інформації) б) мережевим сканером адміністратора безпеки DameWare – IP- сканування мереж , складу процесів в оперативній пам’яті ПЕОМ, повний контроль складу файлів на дисках ПЕОМ, контроль роботи користувача (дзеркало монітора), примусова зупинка роботи ПЕОМ в мережі (рис.3.7, 3.8). Рис.3.7. Результати контрольного сканування мережі ПЕОМ комплексом DameWare (контроль складу програмного забезпечення та директорій на «жорстких» дисках) Рис.3.8. Результати сканування ПЕОМ в мережі комплексом DameWare в режимі Remote Control (контроль дій користувача –дзеркало монітора) в) мережевим сканером адміністратора безпеки GFILanGuard – IP- сканування структури та складу мереж , складу процесів в оперативній пам’яті ПЕОМ, повний контроль складу файлів на дисках ПЕОМ (рис.3.9, 3.10). Рис.3.9. Результати сканування ПЕОМ в мережі комплексом GFILanGuard Рис.3.10. Результати сканування ПЕОМ в мережі комплексом GFILanGuard в режимі контролю процесів в оперативній пам'яті ПЕОМ г) спеціальним мережевим сканером адміністратора безпеки Xpider7 – IP- сканування структури та складу мереж , складу уязвимості ПЕОМ на проникнення та управління з боку мережевого порушника (рис.3.11, 3.12). Рис.3.11. Ддослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення Рис.3.12. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення Рис.3.13. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення Рис.3.14. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення
Количество уязвимостей разного уровня опасности высокая 55 высокая (подозрение) 23 средняя 57 средняя (подозрение) 53 низкая 0
Самые уязвимые хосты хост уязвимостей интегральная уязвимость 10.4.202.121 [s10486941.dpa04.tax] 92 254 10.4.202.123 [s10486855.dpa04.tax] 13 51 10.4.202.131 [s10486980.dpa04.tax] 9 39 10.4.202.114 [s10486649.dpa04.tax] 7 27 10.4.202.100 [s10486703.dpa04.tax] 6 24 10.4.202.102 [s10486688.dpa04.tax] 6 24 10.4.202.104 [s10486142.dpa04.tax] 6 24 10.4.202.111 [s10486074.dpa04.tax] 6 24 10.4.202.120 [s10486902.dpa04.tax] 6 24 10.4.202.122 [s10486956.dpa04.tax] 6 24 10.4.202.130 [s10486905.dpa04.tax] 6 24 10.4.202.132 [s10486922.dpa04.tax] 6 24 10.4.202.109 [s10486663.dpa04.tax] 5 21 10.4.202.134 [s10486605.dpa04.tax] 5 21 10.4.202.136 [s10486874.dpa04.tax] 5 21 10.4.202.108 [s10486905.dpa04.tax] 2 8 10.4.202.101 [s10486870.dpa04.tax] 1 5 10.4.202.106 [s10486211.dpa04.tax] 1 5 Рис.3.15. Статистичні результати дослідження уязвимості групи ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення д) виявлення скануванням реєстрів мережевих ПЕОМ розгортання Wireless – радіомереж доступу в Інтернет за допомогою мобільних телефонів з використанням USB-каналів ПЕОМ (рис.3.16 – 3.17) Рис.3.16 Сканування звітних файлів мережевим комплексом CHECKCFG Рис.3.17 Виявлення ПЕОМ –порушника з встановленням радіомереж виходу в Інтернет з мобільних телефонів (комплекс CHECKCFG) 3 рівень – серверна платформа управління та програмні клієнтські модулі системою антивірусного захисту DrWEB(рис.3.18-3.21): Рис.3.18. Результати роботи мережевого антивірусного комплексу захисту DrWEB (центральний монітор управління мережею антивірусних комплексів на локальних ПЕОМ) Рис.3.19. Результати роботи мережевого антивірусного комплексу захисту DrWEB (оперативний аналіз протоколів вірусних атак на ПЕОМ мережі) Рис.3.20. Результати роботи мережевого антивірусного комплексу захисту DrWEB (детальний аналіз джерела появи нового віруса на ПЕОМ) Рис.3.21. Результати роботи мережевого антивірусного комплексу захисту DrWEB (системний аналіз структури найбільш заражених ПЕОМ в мережі) 4 рівень – аналіз доступу користувачів до бази ОДБ ORACLE адміністратором безпеки з використанням комплексу прямої обробки баз даних SQL Navigator 5 (рис.3.22-3.23): Рис.3.22 Формування запитів SQL Navigator 5до протоколів безпеки СУБД ORACLE для виявлення несанкціонованих спроб «скачування» на локальну ПЕОМ всієї клієнтської бази банку Рис.3.23 Деталізація аналізу несанкціонованого запиту 5до СУБД ORACLE при виявлення несанкціонованих спроб «скачування» інформації 5 рівень – криптозахист файлів «електронної пошти» та системи «Клієнт-Банк», «Безбалансове відділення – Балансова Філія банку»: Комплекс PostCrypt-Mail версії 2.04 призначений для забезпечення захисту повідомлень, переданих по електронній пошті, від несанкціонованого доступу з використанням механізмів криптографічного захисту (електронний цифровий підпис (ЭЦП), шифрування, вироблення кодів аутентификации повідомлень - імітовставок). Ідентифікація й аутентификація користувачів комплексу здійснюється на основі пропонованого електронного ідентифікатора (записаного на устрої зберігання) і уведеного псевдоніма й пароля доступу. Як устрої зберігання ефектронних ідентифікаторів і секретних ключів ЭЦП користувачів у даній версії PostCrypt-Mail застосовуються: жорсткий диск персонального комп'ютера (ПК); електронний брелок eToken. Користувачі комплексів Barrier-98 або «Клієнт-Банк» «Україна-Клієнт» можуть використовувати брелоки eToken, що поставляються в складі цих комплексів. Комплекс PostCrypt-Mail допускає роботу на одному комп'ютері декелькох користувачів з різними електронними ідентифікаторами. Для декількох електронних ідентифікаторів користувачів може використовуватися одне й теж устрій зберігання. Максимальна кількість користувачів комплексу, зареєстро-ваних на одному ПК - 1024. До складу комплексу PostCrypt-Mail входять: АРМ керування комплексом; модуль захисту, що виконується, інформації PostCrypt-Mail; модуль, що підключається, ( plug-in) захисту інформації PostCrypt-Mail для Microsoft Outlook 97/98/2000, що дозволяє автоматично обробляти вхідні/вихідні повідомлення електронної пошти разом із вкладеннями; модуль, що підключається, ( plug-in) для командної оболонки Microsoft Windows, що дозволяє викликати виконується модуль, що, захисту інформації PostCrypt-Mail безпосередньо зі спливаючі меню Провідника Microsoft Windows; модуль, що підключається, ( plug-in) захисту інформації PostCrypt-Mail для Lotus Notes, що дозволяє автоматично обробляти вхідні/вихідні повідомлення електронної пошти разом із вкладеннями. Для шифрування повідомлень електронної пошти й файлів, що зберігаються на жорсткому диску ПК, застосовується криптографічний алгоритм, що відповідає ДЕРЖСТАНДАРТ 28147-89. Вироблення ЭЦП повідомлень електронної пошти й файлів, що зберігаються на жорсткому диску ПК, здійснюється відповідно до вимог ДЕРЖСТАНДАРТ 34.310-95 і ГОСТ 34.311-95. Розподіл ключів здійснюється за схемою Диффи-Хеллмана. Всі дії користувачів комплексу протоколюються в журнальних файлах. Для відновлення працездатності комплексу після можливих збоїв передбачена можливість створення/відновлення службових баз комплексу з архівних копій. Згідно НД ТЗИ 2.5-004-99 «Критерії оцінки захищеності комп'ютерних систем від несанкціонованого доступу» комплекс PostCrypt-Mail реалізує наступний функціональний профіль: КД-2, ДО-1, КВ-1, ЦВ-1, НІ-2, НР-2, НК-1, НА-2, АЛЕ-1, НЦ-1, НТ-2 Розробка виконана відповідно до вимог до рівня гарантій Г-3. 3.3Пропозиції по впровадженню програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку» Програмний продукт «Модель системної інтеграції модулів захисту інформації в АБС банку» представляє собою експертно–управляючу систему, основану на реалізації алгоритма матриці контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку, викладеного в розділі 3.1 диплому. Програмний продукт представляє комплекс виконуємого модуля Protect.exe та баз даних, який повністю працездатний при запуску з контрольної дискети, USB –носія на ПЕОМ з операційною системою Windows XP SP2-3 при інсталяції на ПЕОМ оболонки бібліотек Borland ( BDE 5.1) для підтримки ODBC – інтерфейса. Зовнішній вигляд екранного інтерфейсу наданий на рис.3.24: Рис.3.24 Програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку» В інтерактивному режимі в кожну з чарунків матриції вноситься досягнутий рівень виконання проектного рівня документації, дослідження, вибору та впровадження засобів і систем захисту інформації (рис.3.25-3.26): Рис.3.25 Використання маніпулятора «миш» для встановлення рівня виконання заходів захисту інформації в підматриці «100» (пункт 1.1.1) Рис.3.26 Використання маніпулятора «миш» для встановлення рівня виконання заходів захисту інформації в підматриці «100» (пункт 2.1.2) З використанням меню задачі (рис.3.27) виконується побудова графічного рівня виконання пунктів матриці КСЗІ (рис.3.28). Рис.3.27 Використання маніпулятора «миш» для управління режимами меню задачі Рис.3.28 Графічне представлення результатів роботи модуля аналіза задачі (повноекранний режим графіків) 3.4Оцінка рівня вразливості банківської інформації за результатами тестової роботи моделі системної інтеграції модулів захисту інформації в АБС АКБ „Промінвестбанк” Стандартні функціональні профілі захищеності в КС, що входять до складу АС класу 2 (локальна та корпоративна мережі АБС «Промінвестбанку»), з підвищеними вимогами до забезпечення конфіденційності(К), цілісності(Ц) і доступності(Д) оброблюваної інформації розподіляються на 5 рівнів профілів захищенності із зростанням обсягів витрат на забезпечення кожного наступного рівня: Формат = <<клас КС>>.<K>,<Д>,<Ц>.<рівень> 1 рівень - 2.КЦД.1 = { КД-2, КО-1, ЦД-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 2 рівень - 2.КЦД.2 = { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 } 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } 4 рівень - 2.КЦД.4 = { КД-3, КА-3, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 } 5 рівень - 2.КЦД.5 = { КД-4, КА-4, КО-1, КК-2, ЦД-4, ЦА-4, ЦО-2, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 } На графіках рис.3.29 – 3.33 представлна оцінка стану виконання та експлуатації КСЗІ АКБ «Промінвестбанк», виконана з використанням запропонованої моделі системної інтеграції модулів захисту інформації в АБС АКБ „Промінвестбанк” (оцінки на графіках – умовно-тестові в зв’язку з тим, що на документі по реальному рівню захисту КСЗІ в банку стоїть гриф «Банківська таємниця»). Робота запропонованого модуля системної інтеграції та оцінки рівня ефективності КСЗІ банку спирається на обробку інформації з фактично розгор-нутих в АБС «Промінвестбанку» комплексів програмно-апаратного захисту. Проведені дослідження оцінки стану захищеності інформації з використанням побудованої моделі та данних, отриманих з сегментів системи захисту інформації банку, показали, що фактичний профіль захищеності інформації суттєво не відповідає нормативному в наступних елементах загроз та систем захисту інформації: відсутність серверів сертифікатів в корпоративній мережі банку, що дозволяє проникнення мобільних Note-book та їх несанкціоноване підключення в мережі банку (маскування та підміна легалізованого комп’ютера в мережі); Відсутність програмно-апаратних засобів боротьби з підключенням мобільних телефонів в локальні станції мережі та несанкціонованим виходом в глобальну мережу Інтернет без шлюзів безпеки (створення каналів витоку банківської інформації та каналів проникнення компьютерних вірусів із Інтернет- мережі в локальну мережу банку); Відсутність сертифікованих програмних комплексів захисту локальних та корпоративної мережі банку від доступу «хакерів» із глобальної мережі Інтернет; Недостатній рівень резервування банківської інформації в спеціальних «сховищах даних транзакцій», серед яких тільки на головному рівні є територіально відділене сховище. Фактично в банку використовується тільки вбудована технологія фірми SYBASE по багатократній реплікації кожної банківської транзакції на системі серверів по RAID-5 технології. З врахуванням вищезазначених недоліків інтегрований показник профілю захисту становить 0,73 від нормативного, тобто банку необхідно посилити увагу для побудови додаткових систем захисту інформації в виявлених напрямках. Аналіз даних показує що банк досягнув рівня Г-3 гарантій безпеки захисту інформації (по 5 бальній шкалі), що еквівалентно формулі [ ]: 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 } Рис.3.29 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 010 - «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС ) Рис.3.30 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»
Рис.3.31 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв’язку» Рис.3.32 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 040 - «Захист від витоку ПЕВМІН» |
|
© 2000 |
|