- •Інформаційні банківські технології
- •Принципи побудови системи захисту інформації та порядок отримання і повернення засобів захисту інформації організаціями-учасниками системи електронних платежів (сеп).
- •Заходи інформаційної безпеки у системі електронних платежів (сеп).
- •13. Оператори арм бухгалтера саб, операціоністи та оператори інших робочих і технологічних місць саб та інформаційних задач, які працюють із ззі, зобов'язані:
- •Внутрішній контроль за станом інформаційної безпеки в банку.
- •1. Вимоги до інтерфейсу з арм-3 сеп
- •2. Вимоги щодо інформаційної безпеки підготовки файлів інтерфейсу з сеп в середовищі одб
- •3. Вимоги до одб щодо внутрішньої інформаційної безпеки банку
- •4. Вимоги щодо інформаційної безпеки системи "клієнт-банк"
- •Функціональні обов'язки адміністратора інформаційної безпеки банку.
- •Рекомендації нбу держателям платіжних карток щодо безпеки.
- •Комплексні системи захисту банківських інформаційних технологій та їх застосування. Загальна характеристика внутрішньобанківської платіжної системи.
- •1.1 Мета і призначення комплексної системи захисту банківських інформаційних технологій (ксз біт).
- •1.2 Загальна характеристика впс кб і умови її функціонування.
- •1.3. Вимоги до комплексної системи захисту інформації впс акб усб
- •1.4 Вимоги до комплексної системи захисту інформації у впс кб у частині захисту від витоку інформації технічними каналами
- •1.5. Вимоги до підсистеми криптографічного захисту інформації
- •Захист інформації у Засвідчувальному центрі ключів нбу.
- •Безпека передачі та опрацювання повідомлень swift.
- •Захист інформації у системах дистанційного банківського обслуговування.
- •Можливості протоколу set щодо захисту транзакцій в інтернет.
- •3. Учасники транзакцій set.
- •4. Дуальний підпис.
1.3. Вимоги до комплексної системи захисту інформації впс акб усб
Об'єктами захисту є:
а) критична інформація, що включає:
-
електронні платіжні документи (категорія – банківська таємниця);
-
відомості про стан рахунків клієнтів, у тому числі стан кореспондентських рахунків банків у Національному банку України (категорія – банківська таємниця);
-
операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди (категорія – банківська таємниця);
-
фінансово-економічний стан клієнтів (категорія – банківська таємниця);
-
системи охорони банку та клієнтів (категорія – банківська таємниця);
-
інформація про організаційно-правову структуру юридичної особи - клієнта, її керівників, напрями діяльності (категорія – банківська таємниця);
-
відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація (категорія – банківська таємниця);
-
інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню (категорія – банківська таємниця);
-
коди, що використовуються банками для захисту інформації (категорія – банківська таємниця).
-
інформація про банки чи клієнтів, що збирається під час проведення банківського нагляду (категорія – банківська таємниця);
-
оперативно-службова інформація на всіх стадіях обробки (категорія – для службового користування);
-
інформація про діючі значення ключів, паролів доступу і параметри настроювання засобів криптографічного і технічного захисту інформації (категорія – державна таємниця);
б) апаратно-програмні й інформаційні ресурси, що включають:
-
на рівні окремих пристроїв: клавіатура, дисплеї, системні блоки, сполучні кабелі, принтери, НГМД, локальні ЖМД, пам'ять, апаратура комутації, локальне базове і прикладне функціональне ПЗ (вихідні тексти програм, об'єктні модулі, утиліти, діагностичне ПЗ, СУБД), клієнтські компоненти мережного ПЗ, локальні прикладні і сервісні інформаційні процеси, адресний простір;
-
на рівні ЛОМ: робоча станція, сервер друку, файл-сервер, концентратор, комутатор, мережні ЖМД, мережне базове і прикладне функціональне ПЗ, мережні протоколи, центральні, регіональні і філіальні банки даних відомчих інформаційних обліків, мережні інформаційні процеси по обробці інформації з обмеженим доступом (ІзОД), інформаційні процеси з адміністративного управління ЛОМ і т.п.;
-
на рівні окремих телекомунікаційних мереж ВПС АКБ УСБ: мережні сервери (сервери доступу), канали зв'язку і канали передачі, міжмережеві маршрутизатори, центри (станції) комутації (пакетів, повідомлень), програмно-інформаційне забезпечення, що реалізує телекомунікаційні служби і протоколи віддаленого доступу, інформаційні процеси міжмережевого обміну даними, інформаційні процеси з міжмережного адміністративного управління.
Опис політики безпеки ВПС КБ наведене в окремому документі «Політика безпеки інформації у внутрішньобанківській платіжній системі Акціонерного комерційного банку.
СЗІ всіх ЛОМ (доменів) внутрішньобанківської платіжної системи КБ повинні реалізовувати адміністративне керування доступом. Адміністратор СЗІ кожного домену ВПС КБ має статус «власника» інформації, усього функціонального (прикладного, спеціального і системного) програмного забезпечення і ресурсів (папок, файлів, принтерів і т.д.) на всіх АРМах операторів банку.
На адміністратора СЗІ кожного домену внутрішньобанківської платіжної системи КБ покладається виконання таких категорій функцій адміністрування: облікових записів користувачів і груп, комплексу засобів захисту, принтерів, моніторингу подій і ресурсів мережі, резервного копіювання і відновлення даних.
Для захисту критичної інформації користувачів ВПС КБ послуги щодо забезпечення конфіденційності, контролю за доступом, захисту цілісності, автентифікації джерела даних і об'єктів комунікації можуть реалізовуватися на декількох рівнях еталонної моделі взаємодії відкритих систем (ЕМВВС), але обов'язково на прикладному і мережному рівнях. При використанні протоколу мережного рівня TCP/IP і подібних протоколів послуги безпеки можуть реалізовуватися на транспортному чи сеансовому рівнях.
Захист інформації телекомунікаційної мережної служби виробляється на мережному і прикладному рівнях, причому, захист основної інформації й інформації мережної служби на мережному рівні виробляється ідентично. При використанні протоколу X-25 захист інформації мережної служби може здійснюватися на транспортному чи сеансовому рівнях.
Інформаційний обмін критичною інформацією, здійснюваний як усередині внутрішньобанківської платіжної системи КБ, так і з клієнтами (споживачами послуг ВПС), повинний здійснюватися з реалізацією механізмів цифрового підпису, автентифікації, контролю цілісності, шифрування, керування доступом і маршрутизації, автоматичного протоколювання й аудиту. При цьому механізми, що застосовуються, повинні реалізувати модель взаємної недовіри і взаємного захисту всіх учасників інформаційного обміну, включаючи арбітра і зловмисника, і, як наслідок, реалізацію функції причетності.
Для вирішення завдань генерації, сертифікації, розподілу, передачі, прийому, збереження, уведення, використання, знищення і відновлення ключових даних для різних користувачів або груп користувачів внутрішньобанківської платіжної системи КБ, створюється 1-4 рівнева система центрів керування і сертифікації ключів ВПС КБ (центральна дирекція, обласні дирекції, філії і системи «клієнт-банк»).
Для керування безпекою рівнів створюється служба безпеки мережного і прикладного (транспортного чи сеансового) рівнів. Керування і сертифікація ключів мережного рівня здійснюється з центра керування ключами 1-го рівня. Керування і сертифікація ключів прикладного (транспортного чи сеансового) рівнів здійснюється з центрів керування ключами 1-4 рівнів відповідно до прийнятої політики безпеки ВПС КБ.
Захист керуючого трафіка (блоків даних мережної служби) виробляється, як правило, на мережному рівні. Окрема керуюча інформація мережної служби може захищатися на прикладному і (або) транспортному рівнях мережної служби.
Інформація користувачів внутрішньобанківської платіжної системи КБ, як правило, повинна захищатися на прикладному чи транспортному рівні. При необхідності захист може здійснюватися тільки на мережному або мережному і прикладному рівнях. Інформація в локальних мережах доменів може захищатися на прикладному і мережному рівнях. У радіоканалах супутникового зв'язку допускається можливість захисту службової й основної інформації і на фізичному рівні.
Захист трафіка на мережному рівні здійснюється за допомогою цифрового підпису і шифрування або інкапсуляції пакетів із шифруванням інформаційної частини пакета, заголовка й адреси з використанням високошвидкісних симетричних алгоритмів шифрування. Сеансові ключі шифруються на пакетних (транспортних) ключах, що виробляються, наприклад, у криптосистемі з відкритим поширенням ключів за схемою Диффі-Хеллмана.
Механізми цифрового підпису, симетричного і несиметричного шифрування можуть реалізовуватися програмно, програмно - апаратно або апаратно.
Захист інформації в окремих комп'ютерах і серверах внутрішньобанківської платіжної системи КБ може вироблятися, при необхідності, на основі прозорого шифрування, цифрового підпису даних і спрямованого шифрування, керування доступом і розмежування повноважень відповідно до політики безпеки.
Захист інформації в локальних мережах внутрішньобанківської платіжної системи КБ виробляється з використанням принципів «квитування» доступу, ресурсів і повноважень сервером - адміністратором і «запитів» клієнтів з їх автентифікацією.
Ідентифікація й автентифікація об'єктів і суб'єктів у мережі, а також обмін ключами виробляється з використанням протоколів управління.
Усі користувачі внутрішньобанківської платіжної системи КБ відправляють і приймають відкриті ключі і/або сертифікати в захищеному виді, використовуючи для цього особисті (конфіденційні) транспортні ключі.
Центри керування і сертифікації 1-4 рівнів приймають і сертифікують ключі користувачів з використанням особистих ключів сертифікації. Для захисту сертифікатів, баз сертифікатів і загальносистемних параметрів використовуються ключі сертифікації центра або транспортні ключі. Відповідно до прийнятої політики безпеки ВПС КБ центри керування ключами 1-4 рівнів повинні здійснювати імпорт - експорт відкритих ключів, сертифікатів і баз сертифікатів.
Особисті (конфіденційні) ключі цифрового підпису і спрямованого шифрування генеруються кожним користувачем внутрішньобанківської платіжної системи КБ персонально з використанням іменного генератора ключів, яким відповідний центр постачає кожного користувача. Допускається, що всі або деякі ключі генеруються і розподіляються центром керування і сертифікації ключів відповідного рівня (1-4).
Управління доступом виробляється на основі застосування симетричних і несиметричних систем паролювання.
Арбітраж конфліктів за інформацією, переданою службою обміну повідомленнями внутрішньобанківської платіжної системи КБ, здійснюється спеціальною службою КБ. Організаційно-технічні можливості арбітражу створюються за рахунок реалізації в системі автентифікації відправника й одержувача з підтвердженням (функція причетності).