Банківська
таємниця (стаття
60)
Планування
захисту і керування
системою захисту
Довірче і
адміністративне
керування
доступом
Послуги
безпеки
Концепція
диспетчера
доступу
Технологічні
засоби безпеки
в СЕП
Основою
криптографічного
захисту є ключова
інформація
та ключі
Вимоги
до ПЦ НСМЕП
Характеристика
обчислювальної
системи
Характеристика
діяльності
АТЗТ “АК ПРОМІНВЕСТБАНК”
за 2004 – 2009 роки
Стисла
структура АТЗТ
«АК Промінвестбанк»
та загроз виконання
функціональних
задач в АБС
банку
Внутрішні
платіжні картки
Промінвестбанку
Структура
та захист
інформаційних
потоків в центральній
автоматизованій
системі «Операційний
день банку»
Структура
та захист
інформаційних
потоків в
внутрішньобанківській
міжфілійній
платіжній
системі
Принципи
побудови
криптографічного
захисту інформації
Структура
та захист
інформаційних
потоків в платіжних
системах банківських
автоматів
обслуговування
пластикових
платіжних карт
Системні
ключі є єдиними
ключами для
всієї емітентної
ВСКП «ПРОМІНВЕСТ»
Шостий рівень
(600) матриці контролю
КСЗІ банку -
«Впровадження
та експлуатація
вибраних засобів
та технологій
захисту інформації»
Пропозиції
по впровадженню
програмного
продукту «Модель
системної
інтеграції
модулів захисту
інформації
в АБС банку»
Рівень - 2.КЦД.3
= { КД-2, КА-2, КО-1, КК-1,
ЦД-1, ЦА-3, ЦО-2, ДР-2,
ДС-1, ДЗ-1, ДВ-2, НР-3,
НИ-2, НК-1, НО-2, НЦ-3,
НТ-2 }
Рівень - 2.КЦД.3
= { КД-2, КА-2, КО-1, КК-1,
ЦД-1, ЦА-3, ЦО-2, ДР-2,
ДС-1, ДЗ-1, ДВ-2, НР-3,
НИ-2, НК-1, НО-2, НЦ-3,
НТ-2 }
Навигация
Вимоги до ПЦ НСМЕП
Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку
367716
знаков
10
таблиц
48
изображений
5. Вимоги до ПЦ НСМЕП.
До складу ПЦ (ГПЦ, РПЦ) НСМЕП входять робочі АРМ та такі сервери: СА, СБД і СЗ.
Перша конфігурація - СА, СБД, СЗ, робочі АРМ. СА, СБД і СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку.
Друга конфігурація - основний та резервний СА, СБД, основний та резервний СЗ, робочі АРМ. СБД, основні та резервні СА і СЗ повинні розміщуватися в серверному приміщенні, яке обладнане відповідно до вимог нормативно-правових актів Національного банку. Основні та резервні сервери рекомендується розміщувати в різних серверних приміщеннях за наявності кількох обладнаних приміщень. Якщо немає іншого серверного приміщення, то рекомендується резервні сервери розміщувати в іншому приміщенні з обмеженим доступом в екранованих шафах, які відповідають вимогам нормативно-правових актів Національного банку.
6. Вимоги до ЦІСПК.
ЦІСПК - єдиний програмно-апаратний комплекс, як правило, установлений на території виробника карток НСМЕП та включає такі частини:
- система ініціалізації та персоналізації карток (установка Prestige 300C.03.015 або інша та відповідне ПЗ);
- система керування (окремий комп'ютер з відповідним ПЗ).
ЦІСПК розміщується в окремому приміщенні з обмеженим доступом. Стіни приміщення повинні бути бетонними або цегляними. Приміщення повинне бути оснащене сигналізацією: на відкривання дверей та об'ємною, яка реагує на переміщення та охоплює зону сейфа, установки для ініціалізації та персоналізації карток, шафи для зберігання комп'ютерів. Двері приміщення повинні бути обшиті стальними полотнищами. Приміщення повинне мати сейф з двома відділеннями, що закриваються на різні замки, або два сейфи. Двері приміщення, сейф, шафа для зберігання комп'ютерів повинні мати оснащення для опечатування. За наявності в приміщенні вікон, отворів для вентиляції тощо, що перевищують 30 х 30 см, вони повинні бути перекриті ґратами з вічком не більше ніж 20 х 20 см.
Комп'ютер системи керування повинен мати МБ з активованою функцією НСД. Системний блок комп'ютера опечатується та розміщується в металевій шафі, яка зачиняється і також опечатується.
Виробник карток НСМЕП розробляє та погоджує з Національним банком заходи щодо захисту всього комплексу ЦІСПК у разі виникнення надзвичайної ситуації (пожежа, вибух, стихійне лихо тощо) та ознайомлює з ними працівників, що обслуговують цей комплекс.
Учасник НСМЕП - виробник карток обов'язково повинен призначити наказом відповідальну за програмно-апаратний комплекс ЦІСПК особу - офіцера безпеки ЦІСПК, якщо модуль безпеки програмно-апаратного комплексу ЦІСПК є власністю виробника карток. Копія цього наказу передається в управління захисту інформації Департаменту інформатизації.
7. Основи побудови ключової системи та криптографічного захисту інформації
Основною метою криптографічного захисту інформації в НСМЕП є забезпечення конфіденційності та цілісності (захисту від несанкціонованої модифікації) електронної інформації, а також суворої автентифікації всіх учасників платіжних операцій, підготовки та оброблення електронних документів.
Для забезпечення захисту інформації від модифікації система захисту НСМЕП включає механізми формування/перевірки МАС на базі симетричного алгоритму DES із застосуванням режиму використання унікального сесійного ключа для кожного повідомлення.
Для забезпечення конфіденційності інформації, що циркулює в НСМЕП, усі інформаційні пакети (телеграми), що містять конфіденційну інформацію, шифруються за допомогою симетричного алгоритму TDES із застосуванням того самого режиму використання сесійного ключа.
Для шифрування та обчислення МАС використовується програмно-апаратний модуль безпеки серверів НСМЕП та самі смарт-картки (як службові, так і платіжні).
Використання стандартизованих криптографічних алгоритмів у системі захисту інформації НСМЕП, реалізованих апаратно, гарантує задану криптостійкість. Ключі, які використовуються для захисту інформації НСМЕП, зберігаються в картках та МБ НСМЕП, із гарантією їх захищеності.
За своїм функціональним призначенням та місцем використання всі ключі НСМЕП можна розбити на три різні типи: транспортні, системні та банківські ключі.
Побудову транспортних та системних ключів виконує управління захисту інформації Департаменту інформатизації Національного банку. Побудову банківських ключів виконують банки-учасники та/або БПЦ НСМЕП за допомогою спеціального програмного забезпечення БЦГКІ, яке надається управлінням захисту інформації Департаменту інформатизації Національного банку.
1.3 Методика комплексної оцінки профілів захищеності інформації в автоматизованих системах
Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2 (локальні мережі) викладені в НД ТЗІ 2.5 -008-2002 [23] і установлюють згідно з визначеними НД ТЗІ 2.5-004 [21] специфікаціями мінімально необхідний перелік функціональних послуг безпеки та рівнів їх реалізації у комплексах засобів захисту інформації (стандартний функціональний профіль захищеності).
У цьому НД ТЗІ використовуються специфічні терміни й визначення, які відповідають встановленим НД ТЗІ 1.1-003 [20].
Крім того, використовуються такі поняття.
Сильнозв’язані об’єкти - сукупність наборів даних, що характеризується наявністю мінімальної надлишковості і допускають їх оптимальне використання одним чи декількома процесами як одночасно, так і в різні проміжки часу і вимагають безумовного забезпечення цілісності цих наборів даних як сукупності.
Фактично сильнозв’язаними об’єктами можуть бути бази даних, що підтримуються стандартними для галузі системами управління, сукупності наборів даних, які генеруються й модифікуються будь-якими функціональними або системними процесами і кожний з наборів даних, які складають цю множину, не може самостійно оброблятися, зберігатися і передаватися.
Слабозв’язані об’єкти – відносно незалежні набори даних, що генеруються, модифікуються, зберігаються й обробляються в АС.
Фактично слабозв’язані об’єкти - це інформаційні структури, представлені у вигляді окремих файлів, що підтримуються штатними операційними системами робочих станцій та серверів, і кожний з них може оброблятися, зберігатися й передаватися як самостійний об’єкт.
Позначення послуг безпеки згідно з НД ТЗІ 2.5-004 [21]
ДВ-1 - ручне відновлення;
ДЗ-1 – модернізація;
ДР-1 - квоти;
ДС-1 - стійкість при обмежених відмовах;
КА-2 - базова адміністративна конфіденційність;
КД-2 - базова довірча конфіденційність;
КО-1 - повторне використання об'єктів;
НИ-2 - одиночна ідентифікація та автентифікація;
НК-1 - однонаправлений достовірний канал;
НО-2 - розподіл обов'язків адміністраторів;
НТ-2 - самотестування при старті;
НР-2 - захищений журнал;
НЦ-2 - КЗЗ з гарантованою цілісністю;
ЦА-1 – мінімальна адміністративна цілісність;
ЦА-2 – базова адміністративна цілісність;
ЦД-1 - мінімальна довірча цілісність;
ЦО-1 - обмежений відкат.
Загальні вимоги із захисту конфіденційної інформації:
1. Впровадження заходів із захисту інформації в конкретній АС не повинно суттєво погіршувати основних її характеристик стосовно продуктивності, надійності, сумісності, керованості, розширюваності, масштабованості тощо.
2. Обробка в автоматизованій системі конфіденційної інформації здійснюється з використанням захищеної технології.
Технологія обробки інформації є захищеною, якщо вона містить програмно-технічні засоби захисту та організаційні заходи, що забезпечують виконання загальних вимог із захисту інформації. Загальні вимоги передбачають:
- наявність переліку конфіденційної інформації, яка підлягає автоматизованій обробці; у разі необхідності можлива її класифікація в межах категорії за цільовим призначенням, ступенем обмеження доступу окремих категорій користувачів та іншими класифікаційними ознаками;
- наявність визначеного (створеного) відповідального підрозділу, якому надаються повноваження щодо організації і впровадження технології захисту інформації, контролю за станом захищеності інформації (далі - служба захисту в АС, СЗІ);
- створення комплексної системи захисту інформації (далі - КСЗІ), яка являє собою сукупність організаційних і інженерно-технічних заходів, програмно-апаратних засобів, спрямованих на забезпечення захисту інформації під час функціонування АС;
- розроблення плану захисту інформації в АС, зміст якого визначено в додатку до НД ТЗІ 1.4-001;
- наявність атестата відповідності КСЗІ в АС нормативним документам із захисту інформації;
- можливість визначення засобами КСЗІ декількох ієрархічних рівнів повноважень користувачів та декількох класифікаційних рівнів інформації;
- обов’язковість реєстрації в АС усіх користувачів та їхніх дій щодо конфіденційної інформації;
- можливість надання користувачам тільки за умови службової необхідності санкціонованого та контрольованого доступу до конфіденційної інформації, що обробляється в АС;
- заборону несанкціонованої та неконтрольованої модифікації конфіденційної інформації в АС;
- здійснення СЗІ обліку вихідних даних, отриманих під час вирішення функціональних задач у формі віддрукованих документів, що містять конфіденційну інформацію, у відповідності з “Інструкцією про порядок обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави”;
- заборону несанкціонованого копіювання, розмноження, розповсюдження конфіденційної інформації в електронному вигляді;
- забезпечення СЗІ контролю за санкціонованим копіюванням, розмноженням, розповсюдженням конфіденційної інформації в електронному вигляді;
- можливість здійснення однозначної ідентифікації та автентифікації кожного зареєстрованого користувача;
- забезпечення КСЗІ можливості своєчасного доступу зареєстрованих користувачів АС до конфіденційної інформації.
3. Характеристика типових умов функціонування та вимог із захисту інформації в автоматизованій системі класу 2.
До АС класу 2, згідно з встановленою НД ТЗІ 2.5-005 [22] класифікацією, відносяться автоматизовані системи, створені на базі локалізованого багатомашинного багатокористувачевого комплексу.
До складу АС класу 2 входять обчислювальна система, фізичне середовище, в якому вона знаходиться і функціонує, користувачі АС та оброблювана інформація, у тому числі й технологія її оброблення. Під час забезпечення захисту інформації необхідно враховувати всі характеристики зазначених складових частин, які мають вплив на реалізацію політики безпеки.
Похожие работы
... бути: · частиною якого-небудь організаційного напряму діяльності комерційного банку; · самостійним напрямом діяльності комерційного банку; · інструментом координації та контролю всієї діяльності банківської установи. У практиці банківської діяльності можуть бути використані наступні типи організації маркетингової структури: · функції окремих працівник ...
... покращення роботи користувача, називаються прикладними. До прикладних програм також відносяться утиліти, що виконують прикладні функції, наприклад, упорядкування даних. 2. Роль інформаційних технологій та комп’ютерних програм у бізнес-моделюванні Відомо, що роль інформації в управлінському процесі надзвичайно велика. Циркуляція інформації в суспільстві це головний показник, завдяки якому ...
... та знизу ( нижній колонтитул ) у межах одного розділу або всього документа. Правильний вибір цієї інформації дає змогу читачеві краще орієнтуватися в документі. 5.4 Уведення інформації Інформаційна система маркетингу – це сукупність інформації, апаратно-програмних і технологічних засобів, засобів телекомунікацій, баз і банків даних, методів і процедур, персоналу управління, які реалізують ...
... інформацією можна було скористатися при прийнятті кадрових і інших рішень, необхідно правильно організувати збереження інформації з результатів атестації. Розділ 2. Аналіз діючої системи управління персоналом в комерційному банку АКБ “Приватбанк” 2.1 Загальна характеристика інфраструктури АКБ “Приватбанк” Заснований 1992 року, комерційний банк ПриватБанк є банком, що розвивається найбі ...
0 комментариев