Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку
07.04.2013, 10:06
Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку
СОДЕРЖАНИЕ
РОЗДІЛ 1. СУТНІСТЬ ТА СТРУКТУРА СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
1.1 Законодавче поле функціонування систем захисту інформації в автоматизованих системах в Україні
1.2 Аналіз існуючих теоретико-практичних розробок по створенню систем захисту інформацїі в автоматизованих системах
1.3 Методика комплексної оцінки профілів захищеності інформації в автоматизованих системах
РОЗДІЛ 2. АНАЛІЗ СТРУКТУРИ ТА ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АВТОМАТИЗОВАНІЙ БАНКІВСКІЙ СИСТЕМІ (АБС) АКБ «ПРОМІНВЕСТБАНК»
2.1 Характеристика діяльності АТЗТ «ПРОМІНВЕСТБАНК» за 2004 – 2009 роки
2.2 Стисла структура банківських послуг АТЗТ «АК Промінвестбанк» та загроз виконання функціональних задач в АБС банку
2.3Структура та захист інформаційних потоків в центральній автоматизованій системі «Операційний день банку»
2.4 Структура та захист інформаційних потоків в внутрішньобанківській міжфілійній платіжній системі
2.5 Структура та захист інформаційних потоків в міжбанківських платіжних системах в Національній (СЕП НБУ) та іноземній (SWIFT) валютах
2.6 Структура та захист інформаційних потоків в платіжних системах банківських автоматів обслуговування пластикових платіжних карт
2.7 Структура та захист інформаційних потоків в телекомунікаційній системі віддаленого управління рахунками клієнтів «Клієнт-Банк», «Інтернет-Банкінг»
2.8 Структура та захист інформаційних потоків в системах «електронної пошти» (міжбанківська пошта НБУ, внутрішньобанківська пошта Проінвестбанку, глобальна Інтернет-пошта)
РОЗДІЛ 3. ПОБУДОВА МОДЕЛІ СИСТЕМНОЇ ІНТЕГРАЦІЇ МОДУЛІВ ЗАХИСТУ ІНФОРМАЦІЙНИХ ПОТОКІВ В АБС АКБ «ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ
3.1Постановка алгоритму задачі формування та опис елементів матриці контролю комплексної системи захисту інформації (КСЗІ) інформаційних об'єктів комерційного банку
3.2Інформаційне та програмне забезпечення систем захисту інформації в інформаційних блоках АБС банку
3.3Пропозиції по впровадженню програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку»
3.4Оцінка рівня вразливості банківської інформації за результатами тестової роботи моделі системної інтеграції модулів захисту інформації в АБС АКБ «Промінвестбанк»
Список использованной литературы
1. ЗАКОН УКРАЇНИ „Про інформацію” від 2 жовтня 1992 року N 2658-XII // Із змінами і доповненнями, внесеними Законами України станом від 23 червня 2005 року N 2707-IV 2. Закон України „Про захист інформації в інформаційно-телекомуні-каційних системах” (Законом України від 31 травня 2005 року N 2594-IV цей Закон викладено у новій редакції) // Із змінами і доповненнями, внесеними Законами України станом від 15 січня 2009 року N 879-VI 3. Закон України „Про Державну службу спеціального зв'язку та захисту інформації України” від 23 лютого 2006 року N 3475-IV// Із змінами і допов-неннями, внесеними Законами України станом від 15 січня 2009 року N 879-VI 4. Закон України „Про науково-технічну інформацію” від 25 червня 1993 року N 3322-ХII //Із змінами і доповненнями, внесенимиЗаконами України станом від 20 листопада 2003 року N 1294-IV 5. Закон України „Про банки і банківську діяльність” від 7 грудня 2000 року N 2121-III // Із змінами і доповненнями, внесеними ЗаконамиУкраїни станом від 12 грудня 2008 року N 661-VI 6. Закон України „ Про електронні документи та електронний доку-ментообіг „ від 22 травня 2003 року N 851-IV // Із змінами і доповненнями, внесеними Законом Українивід 31 травня 2005 року N 2599-IV 7. Закон України «Про електронний цифровий підпис» від 22 травня 2003 року N 852-IV // Із змінами і доповненнями, внесенимиЗаконом Україниста-ном від 15 січня 2009 року N 879-VI 8. Закон України „ Про платіжні системи та переказ коштів в Україні” від 5 квітня 2001 року N 2346-III // Із змінами і доповненнями, внесеними Закона-ми України станом від 27 квітня 2007 року N 997-V 9. Закон України „Про телекомунікації” від 18 листопада 2003 року N 1280-IV// Із змінами і доповненнями, внесенимиЗаконами України станом від 11 січня 2007 року N 580-V 10. Про затвердження Правил забезпечення захисту інформації в інфор-маційних, телекомунікаційних та інформаційно-телекомунікаційних системах // Постанова Кабінету Міністрів України від 29 березня 2006 р. N 373 (Із змінами і доповненнями, внесенимипостановою Кабінету Міністрів Українивід 8 груд-ня 2006 року N 1700) 11. Про затвердження Правил організації захисту електронних банківсь-ких документів з використанням засобів захисту інформації Національного банку України // Постанова Правління Національного банку України від 2 квітня 2007 року N 112 12. Про затвердження Правил з технічного захисту інформації для при-міщень банків, у яких обробляються електронні банківські документи // Пос-танова Правління Національного банку України від 4 липня 2007 року N 243 (Із змінами і доповненнями, внесеними постановою Правління Національного банку України від 29 грудня 2007 року N 493) 13.Положення про захист інформації в Національній системі масових електронних платежів // Національний банк України, Платіжна організація Національної системи електронних масових платежів - протокол Ради Платіжної організації Національної системи масових електронних платежів від 2 червня 2008 р. N 119 14. Про затвердження Інструкції про міжбанківський переказ коштів в Україні в національній валюті // Постанова Правління Національного банку України від 16 серпня 2006 року N 320 ( Із змінами і доповненнями, внесенимипостановами Правління Національного банку України станом від 5 червня 2008 року N 165) 15. Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці // Постанова Правління Національного банку Украї-ни від 14 липня 2006 року N 267 (Із змінами і доповненнями, внесенимипоста-новою Правління НБУвід 9 листопада 2006 року N 428) 16. Про затвердження Положення про організацію операційної діяльності в банках України // Постанова Правління Національного банку України від 18 червня 2003 року N 254 (Із змінами і доповненнями, внесенимипостановами Правління НБУ станомвід 6 листопада 2006 року N 422) 17. ДСТУ 3396.2-97 - ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ „Захист інформації. Технічний захист інформації. Терміни та визначення” // Чинний від 01.01.1998 р. 18. НД ТЗІ 3.7-001-99 - „Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі”// Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22 19. НД ТЗІ 1.1-002-99 - Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22 20. НД ТЗІ 1.1-003-99 - Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22 21. НД ТЗІ 2.5-004-99 - Критерії оцінки захищенності інформації в комп’ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22 22. НД ТЗІ 2.5-005-99 - Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу // Наказ Департаменту спеціальних телекомуні-каційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22 23. НД ТЗІ 2.5-008-2002- Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2 // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 грудня 2002 р. № 84 24. НД ТЗІ 2.5-010-03 - Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу // наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 02 квітня 2003 № 33 25. НД ТЗІ 2.1-001-2001 - Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення // наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 9 лютого 2001 р. № 2 26. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования 27. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма 28. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования 29. ISO/IEC 11166-94 - "Банковское дело. Управление ключами посредством асимметричного алгоритма". Часть 1. Принципы процедуры и форматы. Часть 2. Принятые алгоритмы, использующие криптосистему RSA; 30. Про затвердження Інструкції про порядок складання та оприлюднення фінансової звітності банків України //Постанова Правління Національного бан-ку України від 7 грудня 2004 року N 598 (Із змінами і доповненнями, внесеними постановами Правління Національного банку Українивід 21 грудня 2005 року N 484) 32. Про затвердження Правил організації статистичної звітності, що подається до Національного банку України // Постанова Правління Національного банку України від 19 березня 2003 року N 124 ( Із змінами і доповненнями, внесенимипостановами Правління Національного банку України станом від від 16 червня 2005 року N 223) 33. Аналіз банківської діяльності: Підручник / А.М.Герасимович та ін.; За ред. А.М.Герасимовича. — К.: КНЕУ, 2003.— 599 с. 34. Андрей Винокуров (avin@chat.ru), Эдуард Применко Сравнение стандарта шифрования РФ (ГОСТ 28147-89) и нового стандарта шифрования США (Rijndael) // Журнале «Системы безопасности», издательства «Гротэк», №№1 и 2 за 2001 год 35. Андрей Винокуров (avin@chat.ru) Алгоритм шифрования ГОСТ 28147-89, его использование и реализация для компьютеров платформы Intel x86 // «Монитор» №1- 5, 1995 36. Банківські операції:Підручник/За ред.Міщенка В.І., Слав"янської Н.Г.- Київ:Знання-Прес,2006 .-727 с. 37. Банківський нагляд:Навчальний посібник / Міщенко В.І.;Яценюк А.П.; Коваленко В.В.;Коренєва О.Г.- К.: Знання, 2004.- 406 с.-(Вища освіта ХХI століття) 38. Банківський нагляд:Навчальний посібник / Мін-во освіти і науки України; Ун-т економіки та права "Крок";Грушко В.І.;Лаптєв С.М.; Любунь О.С.; Раєвський К.Є.- К.: ЦНЛ, 2004.- 264 с. 9. Баpичев С.С., Гончаров В.В., Серов Р.Е. Основы современной кpиптогpафии. М.: Мир, 1997. 176 с. 39. Береза А.М. Основи створення інформаційних систем: Навч. посібник. 2 видання,перероблене і доповнене – К.: КНЕУ, 2001. – 215 с. 40. Васюренко О.В. Банківські операції : Навчальний посібник . – 4-те вид., перероблене і доповнене – Київ: Знання, 2004. – 324 с. – (Вища освіта ХХІ століття) 41. Васюренко О.В. Банківський менеджмент:Навчальний посібник . – Київ: Академія, 2001. – 313 с. 42. Васюренко О.В., Сердюк Л.В., Сидоренко О.М., Карасьова З.М., Каднічанська В.М., Федоренко Н.С. Облік і аудит у банках: Навчальний посібник.– К.: Знання, 2003. – 524 с. 43. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: ДиаСофт,Методология создания систем защиты. – К.: ТИД Диа Софт, 2002. –688 с. 44. Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с. 45. Єрьоміна Н. В. Банківські інформаційні системи: Навч. посібник. — К.: КНЕУ, 2000. — 220 с. 46. Коломієць В.Ф. Міжнародні інформаційні системи- К.: КНЕУ, 2003 – 405 с. 47. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ // ГОСТ Р ИСО/МЭК 15408-1-2002 - ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ, ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ 48. Нікітін А.В. Маркетинг у банку: Навчальний посібник/ А.В. Нікітін, Г.П. Бортніков, А.В. Федорченко. - К.: КНЕУ, 2006. - 432 с. - (До 100-річчя Київського національного економічного університету) 49. Облік і аудит у банках: Навчальний посібник/ Л.В. Сердюк, О.М. Сидоренко; Ред. О.В. Васюренко. - К.: Знання, 2006. - 596 с. - (Вища освіта XXI століття) 50. Раєвський К.Є., Конопатська Л.В., Домрачев В.М. Банківський нагляд: Навчально-методичний посібник / Мін-во освіти і науки України; КНЕУ/ Раєвський К.Є., Конопатська Л.В., Домрачев В.М.- К.: КНЕУ, 2003.- 174 с. 51. Рогач І. Ф., Сендзюк М. А., Антонюк В. А. Інформаційні системи у фінансово-кредитних установах: Навч. посібник. — 2-ге вид., перероб. і доп. — К.: КНЕУ, 2001. — 239 с. 52. Скородумов Б.И. Безопасность информации кредитно-финансовых автоматизированных систем. Учебное пособие. – М.: МИФИ, 2002. – 164 с. 53. Скородумов Б.И. Информационная безопасность современных коммерческих банков // Информационное общество, 2004, вып. 6, с. 41-45. 54. Управление деятельностью коммерческого банка (банковский менеджмент) / Под ред. доктора экон. наук, профессор О.И. Лаврушина. – М: Юристь, 2003 – 688 с. 55. Щетинін А.І. Гроші та кредит: Підручник для студ. вищих навчальних закладів/ А.І. Щетинін. - К.: Центр навчальної літератури, 2005. - 432 с 56. Щибиволок, Зіновій Іванович. Аналіз банківської діяльності: Навчальний посібник/ З.І. Щибиволок; Відп. за вип. С.І. Шкарабан. - К.: Знання, 2006. - 312 с