Рефераты

Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку

 в) сегмент 600-030

 «Захист міжфілійних корпоративних мереж та каналів зв’язку»

 6.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних мір і засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС.

 6.3.2 Опис функцій органів, відповідальних за впровадження й використання обраних мір і засобів захисту для банківської інформації, передаваємої по каналах зв'язку АБС.

 6.3.3 Опис політики безпеки, що забезпечує впровадження й використання обраних способів і засобів захисту для інформації при передачі її по каналах зв'язку.

 6.3.4 Опис набору засобів для забезпечення оперативності і якості впровадження й використання обраних заходів і засобів захисту для інформації при передачі її по каналах зв'язку.

 г) сегмент 600-040

 «Захист від витоку ПЕВМІН»

 6.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних мір і засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

 6.4.2 Опис функцій органів, відповідальних впровадження й використання обраних мір і засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

 6.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне впровадження й використання обраних мір і засобів захисту для інформації, підданій витоку за рахунок ПЕМІН.

 6.4.4 Опис набору засобів для забезпечення оперативності і якісного впровадження й використання обраних мір і засобів захисту для інформації, підданим витоку за рахунок ПЕМІН.

 д) сегмент 600-050

 «Оперативне управління моніторами системи захисту інформації»

 6.5 1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок впровадження й використання обраних мір і засобів захисту для процесів керування системою захисту.

 6.5.2 Опис функцій органів, відповідальних за впровадження й використання обраних мір і засобів захисту для процесів керування системою захисту.

 6.5.3 Опис політики безпеки, що забезпечує своєчасне і якісне впровадження й використання обраних способів і засобів захисту для процесів керування системою захисту.

 6.5.4 Опис набору засобів для забезпечення якості й оперативності впровадження й використання обраних мір і засобів захисту для процесів керування системою захисту.

 7. Посегментне змістовне значення параметрів в сьомій строці (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»

 а) сегмент 700 - 010

 «Захист об’’єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС)»

 7.1.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок контролю цілісності й керування захистом на об'єктах АБС.

 7.1.2 Опис функцій органів, що визначають порядок контролю цілісності й керування захистом на об'єктах АБС.

 7.1.3 Опис політики безпеки, що визначає порядок контролю цілісності й керування захистом на об'єктах АБС.

 7.1.4 Опис набору засобів визначення порядку контролю цілісності й керування захистом на об'єктах АБС.

 б) сегмент 700-020

 «Захист обчислювальних мереж, баз даних і програм АБС»

 7.2 1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок контролю цілісності й керування захистом для інформації в процесах і програмах АБС.

 7.2.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування захистом для інформації в процесах і програмах АБС.

 7.2.3 Опис політики безпеки, що забезпечують своєчасний і якісний контроль цілісності й керування захистом для інформації в процесах і програмах АБС.

 7.2.4 Опис набору засобів для забезпечення оперативності і якості контролю цілісності й керування захистом для інформації в процесах і програмах АБС.

 в) сегмент 700-030

 «Захист міжфілійних корпоративних мереж та каналів зв’язку»

 7.3.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення контролю цілісності й керування захистом для банківської інформації, передаваємої по каналах зв'язку АБС.

 7.3.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування захистом для банківської інформації, передаваємої по каналах зв'язку АБС.

 7.3.3 Опис політики безпеки, що забезпечує здійснення контролю цілісності й керування захистом для інформації при передачі її по каналах зв'язку.

 7.3.4 Опис набору засобів для забезпечення оперативності і якості контролю цілісності й керування захистом для інформації при передачі її по каналах зв'язку.

 г) сегмент 700-040

 «Захист від витоку ПЕВМІН»

 7.4.1 Викладення у законодавчих, нормативних і методичних документах питань, що визначають порядок здійснення контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН.

 7.4.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН.

 7.4.3 Опис політики безпеки, що забезпечує своєчасне і якісне здійснення контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН.

 7.4.4 Опис набору засобів для забезпечення оперативності і якості контролю цілісності й керування захистом для інформації, підданій витоку за рахунок ПЕМІН.

 д) сегмент 700-050

 «Оперативне управління моніторами системи захисту інформації»

 7.5.1 Викладення у законодавчих, нормативних і методичних документах питань, організації контролю цілісності й керування комплексною системою захисту інформації.

 7.5.2 Опис функцій органів, відповідальних за здійснення контролю цілісності й керування комплексною системою захисту інформації.

 7.5.3 Опис політики безпеки, що забезпечують своєчасне і якісне здійснення контролю цілісності й керування комплексною системою захисту інформації.

 7.5.4 Опис набору засобів для забезпечення якості контролю цілісності й керування комплексною системою захисту інформації.


3.2Інформаційне та програмне забезпечення систем захисту інформації в інформаційних блоках АБС банку


Програмно-апаратне забезпечення систем захисту інформації в АБС «Промінвестбанку» має наступну структуру:

 1 рівень – апаратно-програмний захист від несанкціонованого входу на робочу станцію комп’ютерної мережі банка, який забезпечується:

 а) застосуванням комплексу засобів захисту (КСЗ) інформації з обмеженим доступом (ІОД), від несанкціонованого доступу (НСД) « Гриф-Мережа» версії 2.01 призначений для забезпечення захисту ІОД, оброблюваної в локальних обчислювальних мережах (ЛОМ). До складу ЛОМ можуть входити файлові сервери, що функціонують під керуванням ОС MS Windows 2000 Server/ MS Windows 2003 Server, і робочі станції, що функціонують під керуванням ОС MS Windows 2000 Professional/ MS Windows XP Professional.

 Комплекс дозволяє створити на базі ЛОМ спеціалізовану АС класу 2 для обробки ІОД і забезпечити захист оброблюваної ІОД від погроз порушення цілісності, конфіденційності й доступності при реалізації політики адміністра-тивного керування доступом до інформації [ ].

 Комплекс « Гриф-Мережа» реалізує наступні функції:

 ідентифікацію й аутентификацию користувачів на підставі ім'я, па-роля й персонального електронного ідентифікатора (Flash Drive) при заванта-женні ОС робочої станції до завантаження яких-небудь програмних засобів з дисків, що дозволяє заблокувати використання робочої станції сторонньою особою, а також пізнати конкретного легального користувача й надалі реагу-вати на запити цього користувача відповідно до його повноважень;

 блокування устроїв інтерфейсу користувача (клавіатури, миші, мо-нітора) на час його відсутності;

 контроль цілісності й самотестування КСЗ при старті й по запиті адміністратора, що дозволяє забезпечити стійке функціонування КСЗ і не до-пустити обробку ІОД у випадку порушення його працездатності;

 розмежування обов'язків користувачів і виділення декількох ролей адміністраторів, які можуть виконувати різні функції по адмініструванню (реєс-трацію ресурсів, що захищаються, реєстрацію користувачів, призначення прав доступу, обробку протоколів аудита й т.п.).

 розмежування доступу користувачів до обраних каталогів (папкам), розміщеним на робочих станціях і файлових серверах ЛВС, що дозволяє органі-зувати одночасну спільну роботу декількох користувачів ЛВС, що мають різні службові обов'язки й права по доступі до ІОД;

 керування потоками інформації й блокування потоків інформації, що приводять до зниження її рівня конфіденційності;

 контроль за видачею інформації на друкування;

 контроль за експортом/імпортом інформації на змінні носії;

 гарантоване видалення інформації шляхом затирання вмісту файлів, що містять ІОД, при їхньому видаленні;

 розмежування доступу прикладних програм до обраних каталогів і файлів, що перебуває в них, що дозволяє забезпечити захист ІОД від випадкового видалення, модифікації й дотримати технології її обробки;

 контроль цілісності прикладного ПО й ПО КСЗ, а також блокування завантаження програм, цілісність яких порушена, що дозволяє забезпечити захист від вірусів і дотримання технології обробки ИсОД;

 контроль за використанням користувачами дискового простору файлових серверів (квоти), що виключає можливість блокування одним з користувачів можливості роботи інших;

 відновлення функціонування КСЗ після збоїв, що гарантує доступність інформації із забезпеченням дотримання правил доступу до неї;

 безперервну реєстрацію, аналіз і обробку подій (входу користувачів в ОС, спроб несанкціонованого доступу, фактів запуску програм, роботи з ІОД, видачу на друкування й т.п.) у спеціальних протоколах аудита, що дозволяє ад-міністраторам контролювати доступ до ИсОД, стежити за тим, як використовується КСЗ, а також правильно його конфігурувати;

 негайне оповіщення адміністратора безпеки про всі виявлені порушення встановлених правил розмежування доступу (ПРД);

 ведення архіву зареєстрованих даних і даних аудита.

 До складу комплексу « Гриф-Мережа» входять:

 засоби розмежування доступу й реєстрації даних аудита, установлювані на робочих станціях і файлових серверах ЛВС;

 автоматизоване робоче місце (АРМ) адміністратора засобів захисту. Основні функції: реєстрація користувачів, генерація паролів ідентифікації й аутентификации зі збереженням їх на мобільні флеш-пристрої; реєстрація ресурсів, що захищаються; керування розмежуванням доступу користувачів до обраних каталогів; контроль цілісності й самотестування КСЗ по запиті адміністратора; керування розмежуванням доступу прикладних програм до обраних каталогів; керування квотами користувачів; установка контролю програмного забезпечення (заборона запуску незареєстрованних програм);

 АРМ адміністратора безпеки. Основні функції: настроювання й керування параметрами аудита захищених ресурсів; керування параметрами оповіщення й прийом оповіщень про критичні для безпеки подіях у реальному режимі часу; можливість перегляду, аналізу й обробки протоколів аудита; робота з архівом даних аудита.

 У термінах НД ТЗИ 2.5–004–99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» КСЗ « Гриф-Мережа» реалізує наступний функціональний профіль:

 2.КДЦ.4. = (КА-2, ДО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НІ-3, НК-1, АЛЕ-2, НЦ-2, НТ-2)

 Розробка виконана відповідно до вимог до рівня гарантій Г-4.

 Відповідно до експертного висновку ДСТЗИ СБ України № 96 від 18.12.2006 р. реалізований функціональний профіль, політика функціональних послуг безпеки й рівень гарантій відповідають вимогам НД ТЗИ 2.5-008-2002 «Вимоги по захисту конфіденційної інформації від несанкціонованого доступу під час обробки в автоматизованих системах класу 2» при використанні технології обробки інформації, що висуває підвищені вимоги до забезпечення конфіденційності, цілісності й доступності інформації й за умови відсутності необхідності реалізації довірчого керування доступом користувачів до інформаційних об'єктів.

 б) застосуванням доменної структури управління користувачами докальної мережі на базі сервера управління Windows -2003 (Рис.3.2, 3.3 3.4), яка дозволяє адміністратору безпеки регулювати:

 - час доступу користувача в мережу та пароль доступу;

 - конкретну ПЕОМ, з якої дозволяється доступ користувача в мережу;

 - програму початкової загрузки спец програм профілю безпеки користувача згідно політики безпеки в ЛОМ.



Рис.3.2. Управління адміністратором безпеки кодом ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу



Рис.3.3. Управління адміністратором безпеки часом входу в мережу ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу


Рис.3.4. Управління адміністратором безпеки загрузкою початкових програм профілю мережевої безпеки на ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу


рівень –програмні модулі мережевого сканування ПЕОМ, які ввійшли в мережу, для виявлення несанкціонованого застосування не легалізованих ПЕОМ в мережі, появи нестандартних процесів, загружених в оперативну пам’ять ПЕОМ, наявності несанкціонованого програмного забезпечення сканування мережі, розгортання програм виходу в глобальну мережу з робочих станцій мережі з застосуванням мобільних телефонів чи радіоплат 3G, Novatel, MTC-connect (рис.3.5, 3.6, 3.7), який забезпечується:

а) програмним АРМ WhatsUP – IP- сканування мереж та побудови схем компьютерного контролю за включенням та виходом ПЕОМ з мережі (рис.3.5, 3.6).


Рис.3.5 Результати сканування сегмента віртуальної мережі програмним АРМ WhatsUP



Рис.3.6 Результати контрольного сканування однієї з незареєстрованих ПЕОМ, виявлених при скануванні сегмента віртуальної мережі програмним АРМ WhatsUP (код ПЕОМ – 1 не відповідає легалізованій номенклатурі відділу захисту інформації)


б) мережевим сканером адміністратора безпеки DameWare – IP- сканування мереж , складу процесів в оперативній пам’яті ПЕОМ, повний контроль складу файлів на дисках ПЕОМ, контроль роботи користувача (дзеркало монітора), примусова зупинка роботи ПЕОМ в мережі (рис.3.7, 3.8).



Рис.3.7. Результати контрольного сканування мережі ПЕОМ комплексом DameWare (контроль складу програмного забезпечення та директорій на «жорстких» дисках)



Рис.3.8. Результати сканування ПЕОМ в мережі комплексом DameWare в режимі Remote Control (контроль дій користувача –дзеркало монітора)

в) мережевим сканером адміністратора безпеки GFILanGuard – IP- сканування структури та складу мереж , складу процесів в оперативній пам’яті ПЕОМ, повний контроль складу файлів на дисках ПЕОМ (рис.3.9, 3.10).



Рис.3.9. Результати сканування ПЕОМ в мережі комплексом GFILanGuard



Рис.3.10. Результати сканування ПЕОМ в мережі комплексом GFILanGuard в режимі контролю процесів в оперативній пам'яті ПЕОМ

г) спеціальним мережевим сканером адміністратора безпеки Xpider7 – IP- сканування структури та складу мереж , складу уязвимості ПЕОМ на проникнення та управління з боку мережевого порушника (рис.3.11, 3.12).



Рис.3.11. Ддослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення



Рис.3.12. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення


Рис.3.13. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення



Рис.3.14. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення


 

  Количество уязвимостей разного уровня опасности


  высокая   55

   высокая (подозрение)   23

   средняя   57

   средняя (подозрение)   53

   низкая   0



  

  Самые уязвимые хосты


   хост

  уязвимостей

  интегральная уязвимость

    10.4.202.121 [s10486941.dpa04.tax]

  92

   254

    10.4.202.123 [s10486855.dpa04.tax]

  13

   51

    10.4.202.131 [s10486980.dpa04.tax]

  9

   39

    10.4.202.114 [s10486649.dpa04.tax]

  7

   27

    10.4.202.100 [s10486703.dpa04.tax]

  6

   24

    10.4.202.102 [s10486688.dpa04.tax]

  6

   24

    10.4.202.104 [s10486142.dpa04.tax]

  6

   24

    10.4.202.111 [s10486074.dpa04.tax]

  6

   24

    10.4.202.120 [s10486902.dpa04.tax]

  6

   24

    10.4.202.122 [s10486956.dpa04.tax]

  6

   24

    10.4.202.130 [s10486905.dpa04.tax]

  6

   24

    10.4.202.132 [s10486922.dpa04.tax]

  6

   24

    10.4.202.109 [s10486663.dpa04.tax]

  5

   21

    10.4.202.134 [s10486605.dpa04.tax]

  5

   21

    10.4.202.136 [s10486874.dpa04.tax]

  5

   21

    10.4.202.108 [s10486905.dpa04.tax]

  2

   8

    10.4.202.101 [s10486870.dpa04.tax]

  1

   5

    10.4.202.106 [s10486211.dpa04.tax]

  1

   5


    Рис.3.15. Статистичні результати дослідження уязвимості групи ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення

 д) виявлення скануванням реєстрів мережевих ПЕОМ розгортання Wireless – радіомереж доступу в Інтернет за допомогою мобільних телефонів з використанням USB-каналів ПЕОМ (рис.3.16 – 3.17)



 Рис.3.16 Сканування звітних файлів мережевим комплексом CHECKCFG



Рис.3.17 Виявлення ПЕОМ –порушника з встановленням радіомереж виходу в Інтернет з мобільних телефонів (комплекс CHECKCFG)

3 рівень – серверна платформа управління та програмні клієнтські модулі системою антивірусного захисту DrWEB(рис.3.18-3.21):



Рис.3.18. Результати роботи мережевого антивірусного комплексу захисту DrWEB (центральний монітор управління мережею антивірусних комплексів на локальних ПЕОМ)



Рис.3.19. Результати роботи мережевого антивірусного комплексу захисту DrWEB (оперативний аналіз протоколів вірусних атак на ПЕОМ мережі)


Рис.3.20. Результати роботи мережевого антивірусного комплексу захисту DrWEB (детальний аналіз джерела появи нового віруса на ПЕОМ)



Рис.3.21. Результати роботи мережевого антивірусного комплексу захисту DrWEB (системний аналіз структури найбільш заражених ПЕОМ в мережі)

4 рівень – аналіз доступу користувачів до бази ОДБ ORACLE адміністратором безпеки з використанням комплексу прямої обробки баз даних SQL Navigator 5 (рис.3.22-3.23):



Рис.3.22 Формування запитів SQL Navigator 5до протоколів безпеки СУБД ORACLE для виявлення несанкціонованих спроб «скачування» на локальну ПЕОМ всієї клієнтської бази банку



Рис.3.23 Деталізація аналізу несанкціонованого запиту 5до СУБД ORACLE при виявлення несанкціонованих спроб «скачування» інформації

5 рівень – криптозахист файлів «електронної пошти» та системи «Клієнт-Банк», «Безбалансове відділення – Балансова Філія банку»:

 Комплекс PostCrypt-Mail версії 2.04 призначений для забезпечення захисту повідомлень, переданих по електронній пошті, від несанкціонованого доступу з використанням механізмів криптографічного захисту (електронний цифровий підпис (ЭЦП), шифрування, вироблення кодів аутентификации повідомлень - імітовставок).

 Ідентифікація й аутентификація користувачів комплексу здійснюється на основі пропонованого електронного ідентифікатора (записаного на устрої зберігання) і уведеного псевдоніма й пароля доступу. Як устрої зберігання ефектронних ідентифікаторів і секретних ключів ЭЦП користувачів у даній версії PostCrypt-Mail застосовуються:

 жорсткий диск персонального комп'ютера (ПК);

 електронний брелок eToken.

 Користувачі комплексів Barrier-98 або «Клієнт-Банк» «Україна-Клієнт» можуть використовувати брелоки eToken, що поставляються в складі цих комплексів.



Комплекс PostCrypt-Mail допускає роботу на одному комп'ютері декелькох користувачів з різними електронними ідентифікаторами. Для декількох електронних ідентифікаторів користувачів може використовуватися одне й теж устрій зберігання. Максимальна кількість користувачів комплексу, зареєстро-ваних на одному ПК - 1024.

 До складу комплексу PostCrypt-Mail входять:

 АРМ керування комплексом;

 модуль захисту, що виконується, інформації PostCrypt-Mail;

 модуль, що підключається, ( plug-in) захисту інформації PostCrypt-Mail для Microsoft Outlook 97/98/2000, що дозволяє автоматично обробляти вхідні/вихідні повідомлення електронної пошти разом із вкладеннями;

 модуль, що підключається, ( plug-in) для командної оболонки Microsoft Windows, що дозволяє викликати виконується модуль, що, захисту інформації PostCrypt-Mail безпосередньо зі спливаючі меню Провідника Microsoft Windows;

 модуль, що підключається, ( plug-in) захисту інформації PostCrypt-Mail для Lotus Notes, що дозволяє автоматично обробляти вхідні/вихідні повідомлення електронної пошти разом із вкладеннями.

 Для шифрування повідомлень електронної пошти й файлів, що зберігаються на жорсткому диску ПК, застосовується криптографічний алгоритм, що відповідає ДЕРЖСТАНДАРТ 28147-89. Вироблення ЭЦП повідомлень електронної пошти й файлів, що зберігаються на жорсткому диску ПК, здійснюється відповідно до вимог ДЕРЖСТАНДАРТ 34.310-95 і ГОСТ 34.311-95. Розподіл ключів здійснюється за схемою Диффи-Хеллмана.

 Всі дії користувачів комплексу протоколюються в журнальних файлах.

 Для відновлення працездатності комплексу після можливих збоїв передбачена можливість створення/відновлення службових баз комплексу з архівних копій.

 Згідно НД ТЗИ 2.5-004-99 «Критерії оцінки захищеності комп'ютерних систем від несанкціонованого доступу» комплекс PostCrypt-Mail реалізує наступний функціональний профіль:

 КД-2, ДО-1, КВ-1, ЦВ-1, НІ-2, НР-2, НК-1, НА-2, АЛЕ-1, НЦ-1, НТ-2

 Розробка виконана відповідно до вимог до рівня гарантій Г-3.

 3.3Пропозиції по впровадженню програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку»


Програмний продукт «Модель системної інтеграції модулів захисту інформації в АБС банку» представляє собою експертно–управляючу систему, основану на реалізації алгоритма матриці контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку, викладеного в розділі 3.1 диплому.

 Програмний продукт представляє комплекс виконуємого модуля Protect.exe та баз даних, який повністю працездатний при запуску з контрольної дискети, USB –носія на ПЕОМ з операційною системою Windows XP SP2-3 при інсталяції на ПЕОМ оболонки бібліотек Borland ( BDE 5.1) для підтримки ODBC – інтерфейса.

 Зовнішній вигляд екранного інтерфейсу наданий на рис.3.24:



 Рис.3.24 Програмного продукту «Модель системної інтеграції модулів захисту інформації в АБС банку»


В інтерактивному режимі в кожну з чарунків матриції вноситься досягнутий рівень виконання проектного рівня документації, дослідження, вибору та впровадження засобів і систем захисту інформації (рис.3.25-3.26):



Рис.3.25 Використання маніпулятора «миш» для встановлення рівня виконання заходів захисту інформації в підматриці «100» (пункт 1.1.1)



Рис.3.26 Використання маніпулятора «миш» для встановлення рівня виконання заходів захисту інформації в підматриці «100» (пункт 2.1.2)


З використанням меню задачі (рис.3.27) виконується побудова графічного рівня виконання пунктів матриці КСЗІ (рис.3.28).



Рис.3.27 Використання маніпулятора «миш» для управління режимами меню задачі



Рис.3.28 Графічне представлення результатів роботи модуля аналіза задачі (повноекранний режим графіків)

 3.4Оцінка рівня вразливості банківської інформації за результатами тестової роботи моделі системної інтеграції модулів захисту інформації в АБС АКБ „Промінвестбанк”


Стандартні функціональні профілі захищеності в КС, що входять до складу АС класу 2 (локальна та корпоративна мережі АБС «Промінвестбанку»), з підвищеними вимогами до забезпечення конфіденційності(К), цілісності(Ц) і доступності(Д) оброблюваної інформації розподіляються на 5 рівнів профілів захищенності із зростанням обсягів витрат на забезпечення кожного наступного рівня:

 Формат = <<клас КС>>.<K>,<Д>,<Ц>.<рівень>

 1 рівень - 2.КЦД.1 = { КД-2, КО-1, ЦД-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

 2 рівень - 2.КЦД.2 = { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }

 4 рівень - 2.КЦД.4 = { КД-3, КА-3, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-3, ДС-2, ДЗ-2, ДВ-2, НР-4, НИ-2, НК-1, НО-3, НЦ-3, НТ-2 }

 5 рівень - 2.КЦД.5 = { КД-4, КА-4, КО-1, КК-2, ЦД-4, ЦА-4, ЦО-2, ДР-3, ДС-3, ДЗ-3, ДВ-3, НР-5, НИ-2, НК-2, НО-3, НЦ-3, НТ-2 }

 На графіках рис.3.29 – 3.33 представлна оцінка стану виконання та експлуатації КСЗІ АКБ «Промінвестбанк», виконана з використанням запропонованої моделі системної інтеграції модулів захисту інформації в АБС АКБ &bdquo;Промінвестбанк&rdquo; (оцінки на графіках – умовно-тестові в зв&rsquo;язку з тим, що на документі по реальному рівню захисту КСЗІ в банку стоїть гриф «Банківська таємниця»).

 Робота запропонованого модуля системної інтеграції та оцінки рівня ефективності КСЗІ банку спирається на обробку інформації з фактично розгор-нутих в АБС «Промінвестбанку» комплексів програмно-апаратного захисту.

 Проведені дослідження оцінки стану захищеності інформації з використанням побудованої моделі та данних, отриманих з сегментів системи захисту інформації банку, показали, що фактичний профіль захищеності інформації суттєво не відповідає нормативному в наступних елементах загроз та систем захисту інформації:

  відсутність серверів сертифікатів в корпоративній мережі банку, що дозволяє проникнення мобільних Note-book та їх несанкціоноване підключення в мережі банку (маскування та підміна легалізованого комп&rsquo;ютера в мережі);

 Відсутність програмно-апаратних засобів боротьби з підключенням мобільних телефонів в локальні станції мережі та несанкціонованим виходом в глобальну мережу Інтернет без шлюзів безпеки (створення каналів витоку банківської інформації та каналів проникнення компьютерних вірусів із Інтернет- мережі в локальну мережу банку);

  Відсутність сертифікованих програмних комплексів захисту локальних та корпоративної мережі банку від доступу «хакерів» із глобальної мережі Інтернет;

  Недостатній рівень резервування банківської інформації в спеціальних «сховищах даних транзакцій», серед яких тільки на головному рівні є територіально відділене сховище. Фактично в банку використовується тільки вбудована технологія фірми SYBASE по багатократній реплікації кожної банківської транзакції на системі серверів по RAID-5 технології.

 З врахуванням вищезазначених недоліків інтегрований показник профілю захисту становить 0,73 від нормативного, тобто банку необхідно посилити увагу для побудови додаткових систем захисту інформації в виявлених напрямках.

 Аналіз даних показує що банк досягнув рівня Г-3 гарантій безпеки захисту інформації (по 5 бальній шкалі), що еквівалентно формулі [ ]:

 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }



Рис.3.29 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 010 - «Захист об&rsquo;&rsquo;єктів інформаційної діяльності банку (територіально-апаратна інфраструктура АБС )


 Рис.3.30 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»

 

Рис.3.31 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку»


Рис.3.32 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 040 - «Захист від витоку ПЕВМІН»


 Рис.3.33 Графічне представлення результатів роботи модуля аналіза блока матриці контролю КСЗІ банку - сегмент 050 - «Оперативне управління моніторами системи захисту інформації»


ВИСНОВКИ


Аналіз законодавчих та нормативних документів по приналежності бан-ківської інформації до конфіденційної показав, що згідно з главою 10 стаття 60 Закону України «Про банки та банківську діяльність» («Банківська таємниця та конфіденційність») - інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може зав-дати матеріальної чи моральної шкоди клієнту, є банківською таємницею.

 Банківською таємницею, зокрема, є:

 1) відомості про банківські рахунки клієнтів, у тому числі кореспон-дентські рахунки банків у Національному банку України;

 2) операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;

 3) фінансово-економічний стан клієнтів;

 4) системи охорони банку та клієнтів;

 5) інформація про організаційно-правову структуру юридичної особи - клієнта, її керівників, напрями діяльності;

 6) відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;

 7) інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;

 8) коди, що використовуються банками для захисту інформації.

 Таким чином, в комерційних банках захист інформації в автоматизованих системах накоплення, обробки та передачі банківської інформації повинен бути побудований за стандартами обробки конфіденційної інформації обмеженого користування :

 - ДСТУ 3396.2-97 - ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ &bdquo;Захист інфор-мації. Технічний захист інформації. Терміни та визначення&rdquo;;

 - НД ТЗІ СБУ 2.5-004-99 - Критерії оцінки захищенності інформації в комп&rsquo;ютерних системах від несанкціонованого доступу;

 - НД ТЗІ СБУ 2.5-005-99 - Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

 Згідно цим нормативним документам профіль захищеності інформації в комплексній системі захисту інформації (КСЗІ) комерційного банку повинен бути не нижче визначаємого формулою:

 2.КЦД.2а = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}.

 Тобто мати функції - ДВ-1 - ручне відновлення; ДЗ-1 – модернізація; ДР-1 – розподіл квот; ДС-1 - стійкість при обмежених відмовах; КА-2 - базову адміністративну конфіденційність; КД-2 - базову довірчу конфіденційність; КО-1 - повторне використання об'єктів; НИ-2 - одиночну ідентифікація та автентифікація; НК-1 - однонаправлений достовірний канал; НО-2 - розподіл обов'язків адміністраторів; НТ-2 - самотестування при старті; НР-2 - захищений журнал; НЦ-2 – прострої системи захисту інформації з гарантованою цілісністю; ЦА-2 – базова адміністративна цілісність; ЦД-1 - мінімальна довірча цілісність; ЦО-1 - обмежений відкат.

 Організаційна структура досліджує мого банку - акціонерне товариство закритого типу &ldquo;Акціонерний комерційний промислово-інвестиційний банк&rdquo; (Україна, 01001, Київ-1, пров. Шевченка, 12) станом на 31.12.2008 року представлене 825 установами, в тому числі:

 - ОПЕРУ Промінвестбанку - 1;

 - філії - 161;

 - безбалансові відділення - 662;

 - Представництво в Російській Федерації- 1.

 В Дніпропетровській області Промінвестбанк представлений 7 філіями – балансовими відділеннями Промінвестбанку та 52 безбалансовими відділеннями, які структурно входять до філій.

 Промінвестбанк є універсальним фінансовим інститутом, що надає весь спектр банківських послуг юридичним і фізичним особам. Банк переважно спеціалізується на кредитуванні підприємств промисловості, агропромислового комплексу, розрахунково-касовому обслуговуванні юридичних осіб.

 Здійснюється весь спектр валютно-обмінних операцій, а саме: купівля-продаж готівкової іноземної валюти, приймання на інкасо банкнот іноземних держав, виплата валюти за платіжними картками.

 У 2006 - 2009 роках Промінвестбанк продовжував співпрацювати з американською компанією MoneyGram Payment Systems, Inc. по здійсненню міжнародних грошових переказів в іноземній валюті за дорученням фізичних осіб по системі MoneyGram. Промінвестбанк є одним із найбільших агентів компанії MoneyGram в Україні та в країнах СНД (враховуючи Росію), які пропонують цю послугу.

 Протягом звітного року мережа пунктів обслуговування переказів Промінвестбанку збільшена з 425 до 599 пунктів (в 1,40 раза). В них здійснюються операції по відправленню та виплаті транскордонних термінових грошових переказів з 170 країн світу, в яких діють 100 тис. пунктів MoneyGram.

 З 2006 року Промінвестбанк розпочав здійснювати міжнародні грошові перекази в доларах США та євро за дорученням та на користь фізичних осіб по системі CONTACT. Ця система має 29 тис. пунктів обслуговування та дає можливість здійснювати грошові перекази з 81 країни світу.

 За рік мережа пунктів обслуговування переказів Промінвестбанку по системі CONTACT зросла до 599 пунктів.

 В березні 2006 року Промінвестбанк уклав договір з компанією Travelex Money Transfer, Ltd. (Англія) щодо впровадження в Промінвестбанку міжнародних грошових переказів по системі Travelex, яка дасть можливість здійснювати грошові перекази в доларах США та євро за дорученням та на користь фізичних осіб в 138 країнах світу. Здійснення переказів по системі Travelex розпочато в 2007 році.

 Протягом 2006 -2008 років банк активно працював на ринку платіжних карток. Загальна кількість випущених платіжних карток для клієнтів банку складала на кінець 2008 року 3407,4 тисяч штук проти 2781,4 тисяч за 2007 рік (приріст 626,0 тисяч, що складає 1,23 раза). Найбільшими темпами зростали картки міжнародних платіжних систем. Їх кількість зросла за рік на 538,8 тисяч (1,35 раза) і склала на 31 грудня 2008 року 2071,1 тисяч. Кількість банкоматів банку збільшилась за рік на 205 одиниць (в 1,2 раза) і складала на кінець року 1380 одиниць. В 2006 році банком запроваджено надання послуг клієнтам через систему &ldquo;Інтернет-Клієнт-Банк&ldquo;. Надалі збільшуватимуться обсяги та якість послуг населенню в сфері безготівкових платежів та грошових переказів, зберігання цінностей та продажа банківських металів, надання послуг по відкриттю і веденню пенсійних рахунків.

 Промінвестбанк має солідну клієнтську базу - майже 4 млн. громадян та суб'єктів господарської діяльності, надає клієнтам понад 300 видів послуг: від розрахунково-касового обслуговування до сучасних електронних послуг та операцій з банківськими металами, постійно вдосконалює форми обслуговування клієнтів.

 Промінвестбанк підтримує відносини з більш ніж 200 провідними іноземними фінансовими установами. Клієнти банку здійснюють свої розрахунки через 35 кореспондентських рахунків Промінвестбанку, що відкриті у 22 банках світу.

 Банк активно працює в системі банківських телекомунікацій SWIFT та REUTER, здійснює перекази фізичних осіб за міжнародними системами Money Gram та Contact, а у 2007 році - розчате здійснення грошових переказів за системою Western Union.

 Функціональний аналіз структури системи автоматизації в досліджує-мому комерційному банку показав, що банківські послуги АТЗТ «АК Промінвестбанк», які повинна обслуговувати АБС банку, розбиті на наступні сегменти послуг:

 Юридичним особам

 Фізичним особам

 Банкам

 Вкладні операції

 Валютні операції

 Курси валют

 Фондовий ринок

 Пластикові картки

 Банкомати та POS-термінали

 Інноваційно-інвестиційна діяльність

 Відповідно, Автоматизована банківська система (АБС) забезпечує:

 автоматизацію внутрібанківської діяльності, і насамперед внутрибан-кiвських операцій, пов&rsquo;язаних з обробкою платiжних та інших документів у тих пiдроздiлах банкiвської установи, які працюють безпосередньо з клiєнтами, включаючи територіально віддалені філії та без балансові відділення;

  автоматизацію виконання мiжбанкiвських розрахунків та інших зов-нiшньобанкiвських операцій;

 автоматизацію фінансових операцій в межах міжнародного банківсь-кого бізнесу.

 Вивчення структур різних банківських систем та проведене певне їх уза-гальнення дають змогу виділити такі основні функціональні підсистеми АБС :

 - операційний день банку (ОДБ),

 - управління кредитними ресурсами (Кредити),

 - управління валютними операціями (Валютні операції),

 - управління депозитами (Депозити),

 - управління цінними паперами (Цінні папери),

 - управління касою (Каса),

 - внутрибанківський облік (Внутрішній облік),

 - управління розрахунками з використанням пластикових карток (Карткові операції),

 - звітність, аналіз діяльності банку (Аналіз).

 Досліджуєма в дипломному проекті АБС(Автоматизована банківська сис-тема) — це технологічна система, яка забезпечує функціонування банківської установи. Ядром АБС є підсистема ОДБ (Операційний день банку), яка інфор-маційно зв&rsquo;язана з іншими функціональними підсистемами.

 Крім внутрішніх інформаційних зв&rsquo;язків, АБС характеризується великим спектором інформаційних зв&rsquo;язків із зовнішнім середовищем, в ролі якого вис-тупають клієнти банку, інші банки, фінансові та державні органи.

 Апаратно-структурна реалізація АБС в багатофілійному досліджуємому АКБ «Промінвестбанк», який у 2009 році після приходу нових російських інвесторів прийняв стратегію підвищення рівня захисту та сертифікованості банківських програмних продуктів, замінює автоматизовану банківську систему, засновану на засобах комплексної системи автоматизації фірми SYBASE та програмних продуктах власної розробки банку, спирається на новітню Автоматизовану Банківську систему "БАРС-Millennium" фірми «Уніті-Барс», яка впроваджена в Національному банку України, в Державному ощадному банку України та інших великих комерційних банках України.

 Основні загрози безпеці банківській інформації в дослідженій АБС та засоби захисту інформації можна розподілити на такі групи: інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові:

 Несанкціонований доступ — вид комп&rsquo;ютерних порушень, який полягає в отриманні користувачем доступу до об'єкта, на який у нього немає санкціонованого дозволу адміністратора системи.

 Маніпулювання данимице свідома фальсифікація, дезинформація чи приховування даних.

 Установка програмних закладокце спеціально розроблена і приховано впроваджена в захищену систему програма, яка дає змогу зловмиснику дістати доступ до захищених ресурсів системи.

 Неправильне розмежування прав доступуце надання певних повноважень особам, які не є відповідальними за ту чи іншу технологічну операцію.

 Технічні збої та пошкодження - порушення функціонування компью-терно-телекомунікаційної техніки, носіїв електронної інформації, систем електропостачання, стихійні лиха, пожежі та техногенні катастрофи;

 Свідоме нанесення персоналом чи зовнішніми зловмисниками пошкоджень чи кража компьютерно-телекомунікаційної техніки та носіїв інформації.

 Фізичні засоби захисту — це засоби, необхідні для зовнішнього захисту ЕОМ, території та об&rsquo;єктів на базі обчислювальної техніки, які спеціально призначені для створення фізичних перешкод на можливих шляхах проник-нення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються.

 Апаратні засоби захисту — це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв&rsquo;язку та ін.

 Програмні засоби захисту необхідні для виконання логічних і інтелектуальних функцій захисту, які вмонтовані до складу програмного забезпечення системи.

 Апаратно-програмні засоби захисту — це засоби, які основані на синтезі програмних та апаратних засобів. Ці засоби широко використовуються при аутентифікації користувачів АБС.

 Криптографічні методи захисту — це методи, основані на криптографічних перетвореннях даних, тобто на їх шифруванні.

 Адміністративні засоби захисту — це заходи організаційного характеру, регламентуючі процеси функціонування АБС, використання її ресурсів, діяль-ність персоналу і т. д.

 Основні потоки інформації в дослідженій АБС «Промінвестбанку» функ-ціонують в наступних основних напрямках:

 сегмент АБС головного банка – сегменти АБС обласних філій – сегмен-ти АБС територіальних безбалансових відділень (Внутрішньобанківська платіжна система);

 сегмент автоматів самообслуговування (Транзакційний центр – банко-мати + POS-термінали);

 сегмент виділених систем «Клієнт-банк», «Безбалансове територіальне відділення – балансова філія банку»

 сегмент Інтернет-платіжних систем «Клієнт-банк», «Система грошових переказів»;

 сегмент «Електронна пошта НБУ» + «Система електронних міжбанків-ських платежі НБУ»

 сегмент міжнародної системи передачі валютних платіжних повідом-лень «Комерційний банк – банки-нерезиденти»;

 сегмент електронної пошти та послуг глобальної мережі Інтернет.

 В дипломному дослідженні запропонована та реалізована у програмному комплексі розрахунків матриця контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку, яка представлена у вигляді 7-рівневої структурної матриці , на кожному рівні в якої є 5 визначальних сегментів (напрямів захисту інформації в банку).

 Основні структурні рівні сегментів КСЗІ банку:

 1. Перший рівень (100) матриці контролю КСЗІ банку - «Визначення банківської інформації та її носіїв, які підлягають захисту»

 2. Другий рівень (200) матриці контролю КСЗІ банку - «Виявлення дже-рел загроз інформації та каналів витоку, модифікації чи знищення банківської інформації»

 3. Третій рівень (300) матриці контролю КСЗІ банку - «Проведення дос-лідження технології функціонування АБС банку, оцінка уязвимості та ризиків»

 4. Четвертий рівень (400) матриці контролю КСЗІ банку - «Визначення вимог до елементів КСЗІ»

 5. П&rsquo;ятий рівень (500) матриці контролю КСЗІ банку - «Здійснення вибо-ру заходів та засобів захисту інформації»

 6. Шостий рівень (600) матриці контролю КСЗІ банку - «Впровадження та експлуатація вибраних засобів та технологій захисту інформації»

 7. Сьомий рівень (700) матриці контролю КСЗІ банку - «Контроль та управління сегментом захисту інформації»

 На кожному з структурних рівнів матриці розташована інформація по 5-ти характерним сегментам КСЗІ комерційного банку:

 а) сегмент 010 - «Захист об&rsquo;єктів інформаційної діяльності банку (тери-торіально-апаратна інфраструктура АБС)»

 б) сегмент 020 - «Захист обчислювальних мереж, баз даних і програм АБС»

 в) сегмент 030 - «Захист міжфілійних корпоративних мереж та каналів зв&rsquo;язку»

 г) сегмент 040 - «Захист від витоку інформації по каналам ПЕВМІН»

 д) сегмент 050 - «Оперативне управління моніторами системи захисту інформації».

  Робота запропонованого модуля системної інтеграції та оцінки рівня ефективності КСЗІ банку спирається на обробку інформації з фактично розгор-нутих в АБС «Промінвестбанку» комплексів програмно-апаратного захисту.

 Проведені дослідження оцінки стану захищеності інформації з використанням побудованої моделі та данних, отриманих з сегментів системи захисту інформації банку, показали, що фактичний профіль захищеності інформації суттєво не відповідає нормативному в наступних елементах загроз та систем захисту інформації:

  відсутність серверів сертифікатів в корпоративній мережі банку, що дозволяє проникнення мобільних Note-book та їх несанкціоноване підключення в мережі банку (маскування та підміна легалізованого комп&rsquo;ютера в мережі);

 Відсутність програмно-апаратних засобів боротьби з підключенням мобільних телефонів в локальні станції мережі та несанкціонованим виходом в глобальну мережу Інтернет без шлюзів безпеки (створення каналів витоку банківської інформації та каналів проникнення компьютерних вірусів із Інтернет-мережі в локальну мережу банку);

  Відсутність сертифікованих програмних комплексів захисту локальних та корпоративної мережі банку від доступу «хакерів» із глобальної мережі Інтернет;

  Недостатній рівень резервування банківської інформації в спеціальних «сховищах даних транзакцій», серед яких тільки на головному рівні є територіально відділене сховище. Фактично в банку використовується тільки вбудована технологія фірми SYBASE по багатократній реплікації кожної банківської транзакції на системі серверів по RAID-5 технології.

 Аналіз даних показує що банк досягнув рівня Г-3 гарантій безпеки захисту інформації (по 5 бальній шкалі), що еквівалентно формулі:

 3 рівень - 2.КЦД.3 = { КД-2, КА-2, КО-1, КК-1, ЦД-1, ЦА-3, ЦО-2, ДР-2, ДС-1, ДЗ-1, ДВ-2, НР-3, НИ-2, НК-1, НО-2, НЦ-3, НТ-2 }

 Тобто нормативний рівень КСЗІ для банків 2.КЦД.2а (рівень гарантій Г-2а – для наявності в автоматизованій банківських таємних документів, що не є власністю держави і знаходяться на рівні «для службового користування») перевищений на 0,5 бала.

 З врахуванням вищезазначених недоліків інтегрований показник профілю захисту становить 0,63 від нормативного, тобто банку необхідно посилити увагу для побудови додаткових систем захисту інформації в виявлених напрямках.

 Практична цінність отриманих результатів дипломного дослідження полягає в отриманні об&rsquo;єктивних показників необхідності та ефективності впровадження комплексної системи захисту інформації в автоматизованих системах АКБ «Промінвестбанк».

 Впровадження пропозицій і рекомендацій проведеного дипломного дослідження в комерційному банку дозволить:

  суттєво підвищити якість моніторингу роботи систем захисту інформації (криптозахист, антивірусний захист, захист доступу до інформації, технічний захист обладнання мережі класу АС-2, програмний захист комп&rsquo;ютерів мережі класу АС-2 від неліцензійного пограмного забезпечення та технологічних збоїв т інш.) на базі комплексної системи захисту інформації в автоматизованих системах банку;

 підготувати банк до масового впровадження автоматів банківського самообслуговування та зменшити ризик несанкціонованого втручання в роботу систем обробки банківської інформації;

 побудувати систему ієрархічних резервних сховищ банківської інформації, які дозволяють на протязі 1-2 суток відновити роботу аби-якого зруйнованого відділення банку без втрат клієнтської та банківської інформації;

 побудувати систему розподілених серверів обробки інформації та розподілених баз транзакцій, що дозволить на протязі робочого «Операційного дня» автоматично використовувати інформаційну систему банка територіальним філіям та відділенням при виході з ладу одного з найближчих серверів обробки інформації;

 побудувати систему розподілених серверів обробки інформації та розподілених баз транзакцій, що дозволить цілодобово банкоматам, POS-терміналам та системам грошових переказів автоматично використовувати інформаційну систему банка при виході з ладу одного з найближчих серверів обробки інформації;

 побудувати надійну систему захисних міжмережевих шлюзів між комп&rsquo;ютерними мережами банку класу АС-2 та клієнтськими терміналами системи «Клієнт-банк» та «Інтернет-банкінг», які працюють через глобальну мережу класу АС-3;

 побудувати надійну систему антивірусного захисту в комп&rsquo;ютерній мережі банка класа АС-2;

 здійснювати надійну авторизацію та аутентифікацію користувачів та комп&rsquo;ютерів в мережі класу АС-2, а також своєчасно сповіщати про появу в мережі несанкціонованого обладнання з&rsquo;єднання мереж АС-2 та АС-3 за радіоканалами мобільних операторів зв&rsquo;язку;

 контролювати появу на локальних станціях мережі АС-2 нових пристроїв та програм несанкціонованого доступу до інформації та її витоку;


СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ


1. ЗАКОН УКРАЇНИ &bdquo;Про інформацію&rdquo; від 2 жовтня 1992 року N 2658-XII // Із змінами і доповненнями, внесеними Законами України станом від 23 червня 2005 року N 2707-IV

 2. Закон України &bdquo;Про захист інформації в інформаційно-телекомуні-каційних системах&rdquo; (Законом України від 31 травня 2005 року N 2594-IV цей Закон викладено у новій редакції) // Із змінами і доповненнями, внесеними Законами України станом від 15 січня 2009 року N 879-VI

 3. Закон України &bdquo;Про Державну службу спеціального зв'язку та захисту інформації України&rdquo; від 23 лютого 2006 року N 3475-IV// Із змінами і допов-неннями, внесеними Законами України станом від 15 січня 2009 року N 879-VI

 4. Закон України &bdquo;Про науково-технічну інформацію&rdquo; від 25 червня 1993 року N 3322-ХII //Із змінами і доповненнями, внесенимиЗаконами України станом від 20 листопада 2003 року N 1294-IV

 5. Закон України &bdquo;Про банки і банківську діяльність&rdquo; від 7 грудня 2000 року N 2121-III // Із змінами і доповненнями, внесеними ЗаконамиУкраїни станом від 12 грудня 2008 року N 661-VI

 6. Закон України &bdquo; Про електронні документи та електронний доку-ментообіг &bdquo; від 22 травня 2003 року N 851-IV // Із змінами і доповненнями, внесеними Законом Українивід 31 травня 2005 року N 2599-IV

 7. Закон України «Про електронний цифровий підпис» від 22 травня 2003 року N 852-IV // Із змінами і доповненнями, внесенимиЗаконом Україниста-ном від 15 січня 2009 року N 879-VI

 8. Закон України &bdquo; Про платіжні системи та переказ коштів в Україні&rdquo; від 5 квітня 2001 року N 2346-III // Із змінами і доповненнями, внесеними Закона-ми України станом від 27 квітня 2007 року N 997-V

 9. Закон України &bdquo;Про телекомунікації&rdquo; від 18 листопада 2003 року

N 1280-IV// Із змінами і доповненнями, внесенимиЗаконами України станом від 11 січня 2007 року N 580-V

 10. Про затвердження Правил забезпечення захисту інформації в інфор-маційних, телекомунікаційних та інформаційно-телекомунікаційних системах // Постанова Кабінету Міністрів України від 29 березня 2006 р. N 373 (Із змінами і доповненнями, внесенимипостановою Кабінету Міністрів Українивід 8 груд-ня 2006 року N 1700)

 11. Про затвердження Правил організації захисту електронних банківсь-ких документів з використанням засобів захисту інформації Національного банку України // Постанова Правління Національного банку України від 2 квітня 2007 року N 112

 12. Про затвердження Правил з технічного захисту інформації для при-міщень банків, у яких обробляються електронні банківські документи // Пос-танова Правління Національного банку України від 4 липня 2007 року N 243 (Із змінами і доповненнями, внесеними постановою Правління Національного банку України від 29 грудня 2007 року N 493)

13.Положення про захист інформації в Національній системі масових електронних платежів // Національний банк України, Платіжна організація Національної системи електронних масових платежів - протокол Ради Платіжної організації Національної системи масових електронних платежів від 2 червня 2008 р. N 119

 14. Про затвердження Інструкції про міжбанківський переказ коштів в Україні в національній валюті // Постанова Правління Національного банку України від 16 серпня 2006 року N 320 ( Із змінами і доповненнями, внесенимипостановами Правління Національного банку України станом від 5 червня 2008 року N 165)

 15. Про затвердження Правил зберігання, захисту, використання та розкриття банківської таємниці // Постанова Правління Національного банку Украї-ни від 14 липня 2006 року N 267 (Із змінами і доповненнями, внесенимипоста-новою Правління НБУвід 9 листопада 2006 року N 428)

 16. Про затвердження Положення про організацію операційної діяльності в банках України // Постанова Правління Національного банку України від 18 червня 2003 року N 254 (Із змінами і доповненнями, внесенимипостановами Правління НБУ станомвід 6 листопада 2006 року N 422)

 17. ДСТУ 3396.2-97 - ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ &bdquo;Захист інформації. Технічний захист інформації. Терміни та визначення&rdquo; // Чинний від 01.01.1998 р.

  18. НД ТЗІ 3.7-001-99 - &bdquo;Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі&rdquo;// Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22

 19. НД ТЗІ 1.1-002-99 - Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22

 20. НД ТЗІ 1.1-003-99 - Термінологія в галузі захисту інформації в комп&rsquo;ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22

 21. НД ТЗІ 2.5-004-99 - Критерії оцінки захищенності інформації в комп&rsquo;ютерних системах від несанкціонованого доступу // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22

 22. НД ТЗІ 2.5-005-99 - Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу // Наказ Департаменту спеціальних телекомуні-каційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22

 23. НД ТЗІ 2.5-008-2002- Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2 // Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 грудня 2002 р. № 84

 24. НД ТЗІ 2.5-010-03 - Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу // наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 02 квітня 2003 № 33

25. НД ТЗІ 2.1-001-2001 - Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення // наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 9 лютого 2001 р. № 2

 26. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

 27. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма

 28. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хеширования

 29. ISO/IEC 11166-94 - "Банковское дело. Управление ключами посредством асимметричного алгоритма". Часть 1. Принципы процедуры и форматы. Часть 2. Принятые алгоритмы, использующие криптосистему RSA;

 30. Про затвердження Інструкції про порядок складання та оприлюднення фінансової звітності банків України //Постанова Правління Національного бан-ку України від 7 грудня 2004 року N 598 (Із змінами і доповненнями, внесеними постановами Правління Національного банку Українивід 21 грудня 2005 року N 484)

 32. Про затвердження Правил організації статистичної звітності, що подається до Національного банку України // Постанова Правління Національного банку України від 19 березня 2003 року N 124 ( Із змінами і доповненнями, внесенимипостановами Правління Національного банку України станом від від 16 червня 2005 року N 223)

 33. Аналіз банківської діяльності: Підручник / А.М.Герасимович та ін.; За ред. А.М.Герасимовича. — К.: КНЕУ, 2003.— 599 с.

 34. Андрей Винокуров (avin@chat.ru), Эдуард Применко Сравнение стандарта шифрования РФ (ГОСТ 28147-89) и нового стандарта шифрования США (Rijndael) // Журнале «Системы безопасности», издательства «Гротэк»,

 №№1 и 2 за 2001 год

 35. Андрей Винокуров (avin@chat.ru) Алгоритм шифрования ГОСТ 28147-89, его использование и реализация для компьютеров платформы Intel x86 // «Монитор» №1- 5, 1995

 36. Банківські операції:Підручник/За ред.Міщенка В.І., Слав"янської Н.Г.- Київ:Знання-Прес,2006 .-727 с.

 37. Банківський нагляд:Навчальний посібник / Міщенко В.І.;Яценюк А.П.; Коваленко В.В.;Коренєва О.Г.- К.: Знання, 2004.- 406 с.-(Вища освіта ХХI століття)

 38. Банківський нагляд:Навчальний посібник / Мін-во освіти і науки України; Ун-т економіки та права "Крок";Грушко В.І.;Лаптєв С.М.; Любунь О.С.; Раєвський К.Є.- К.: ЦНЛ, 2004.- 264 с.

 9. Баpичев С.С., Гончаров В.В., Серов Р.Е. Основы современной кpиптогpафии. М.: Мир, 1997. 176 с.

 39. Береза А.М. Основи створення інформаційних систем: Навч. посібник. 2 видання,перероблене і доповнене – К.: КНЕУ, 2001. – 215 с.

 40. Васюренко О.В. Банківські операції : Навчальний посібник . – 4-те вид., перероблене і доповнене – Київ: Знання, 2004. – 324 с. – (Вища освіта ХХІ століття)

 41. Васюренко О.В. Банківський менеджмент:Навчальний посібник . – Київ: Академія, 2001. – 313 с.

 42. Васюренко О.В., Сердюк Л.В., Сидоренко О.М., Карасьова З.М., Каднічанська В.М., Федоренко Н.С. Облік і аудит у банках: Навчальний посібник.– К.: Знання, 2003. – 524 с.

  43. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: ДиаСофт,Методология создания систем защиты. – К.: ТИД Диа Софт, 2002. –688 с.

 44. Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.

45. Єрьоміна Н. В. Банківські інформаційні системи: Навч. посібник. — К.: КНЕУ, 2000. — 220 с.

 46. Коломієць В.Ф. Міжнародні інформаційні системи- К.: КНЕУ, 2003 – 405 с.

 47. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ // ГОСТ Р ИСО/МЭК 15408-1-2002 - ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ, ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

 48. Нікітін А.В. Маркетинг у банку: Навчальний посібник/ А.В. Нікітін, Г.П. Бортніков, А.В. Федорченко. - К.: КНЕУ, 2006. - 432 с. - (До 100-річчя Київського національного економічного університету)

 49. Облік і аудит у банках: Навчальний посібник/ Л.В. Сердюк, О.М. Сидоренко; Ред. О.В. Васюренко. - К.: Знання, 2006. - 596 с. - (Вища освіта XXI століття)

 50. Раєвський К.Є., Конопатська Л.В., Домрачев В.М. Банківський нагляд: Навчально-методичний посібник / Мін-во освіти і науки України; КНЕУ/ Раєвський К.Є., Конопатська Л.В., Домрачев В.М.- К.: КНЕУ, 2003.- 174 с.

 51. Рогач І. Ф., Сендзюк М. А., Антонюк В. А. Інформаційні системи у фінансово-кредитних установах: Навч. посібник. — 2-ге вид., перероб. і доп. — К.: КНЕУ, 2001. — 239 с.

 52. Скородумов Б.И. Безопасность информации кредитно-финансовых автоматизированных систем. Учебное пособие. – М.: МИФИ, 2002. – 164 с.

 53. Скородумов Б.И. Информационная безопасность современных коммерческих банков // Информационное общество, 2004, вып. 6, с. 41-45.

  54. Управление деятельностью коммерческого банка (банковский менеджмент) / Под ред. доктора экон. наук, профессор О.И. Лаврушина. – М: Юристь, 2003 – 688 с.

 55. Щетинін А.І. Гроші та кредит: Підручник для студ. вищих навчальних закладів/ А.І. Щетинін. - К.: Центр навчальної літератури, 2005. - 432 с

 56. Щибиволок, Зіновій Іванович. Аналіз банківської діяльності: Навчальний посібник/ З.І. Щибиволок; Відп. за вип. С.І. Шкарабан. - К.: Знання, 2006. - 312 с

57. Офіційний Інтернет-сайт НБУ – HTTP://www.bank.gov.ua

 58. Офіційний Інтернет-сайт Асоціації банків України – HTTP:// WWW.AUB.COM.UA

 59. Офіційний Інтернет-сайт АТЗТ «АК Промінвестбанк» - http://www.prominvest.com.ua/, 2007

 60. Законодавчо-довідкова система законодавства України – HTTP:// WWW.LIGA-ZAKON.COM.UA

 61. Автоматизована Банківська Система «Bars Millennium»


Додаток А


Таблиця A.1

 Балансовий звіт Промінвестбанку за 2008 р., тис. грн.

 Найменування статті На кінець поточного фінансового року На кінець попереднього фінансового року    АКТИВИ

   Кошти в Національному банку України та готівкові кошти банку 1 548 799 1 965 673   Цінні папери, що рефінансуються Національним банком України 0 90 759   Резерви під знецінення боргових цінних паперів, що рефінансуються Національним банком України 0 0   Резерви у відсотках до активу 0 0   Кошти в інших банках 391 385 1 551 658   Резерви під заборгованість інших банків (23 371) (20 269)   Резерви у відсотках до активу 5,97 1,31   Цінні папери в торговому портфелі банку 0 0   Цінні папери в портфелі банку на продаж 423 603 316 691   Резерви під знецінення цінних паперів у портфелі банку на продаж (27 088) (2 137)   Резерви у відсотках до активу 6,39 0,67   Кредити, що надані 24 093 128 21 177 209   Юридичним особам 21 075 722 18 615 763   Фізичним особам 3 017 406 2 561 446   Резерви під заборгованість за кредитами (2 285 172) (1 136 774)   Резерви у відсотках до активу 9,48 5,37   Цінні папери, що утримуються до погашення 397 397   Резерви під знецінення цінних паперів, що утримуються до погашення (397) (397)   Резерви у відсотках до активу 100 100   Інвестиції в асоційовані й дочірні компанії 16 303 14 187   Основні засоби 2 938 668 1 984 522   Нематеріальні активи 16 563 13 438   Нараховані доходи до отримання 307 364 28 990   У тому числі прострочені нараховані доходи 174 439 1 433   У тому числі сумнівні нараховані доходи 0 17 519   Резерви під заборгованість за нарахованими доходами (122 006) (17 819)   Резерви у відсотках до активу 69,94 94,02   Відстрочений податковий актив 51 341 0   Інші активи 168 428 126 631   Резерви під інші активи (8 719) (2 433)   Резерви у відсотках до активу 39,14 8,32   Довгострокові активи, призначені для продажу 257 0   Резерви під зменшення корисності інвестицій в асоційовані й дочірні компанії, що утримуються з метою продажу 0 0   Резерви у відсотках до активу 0 0    Усього активів

  27 489 483

  26 090 326

    ЗОБОВ`ЯЗАННЯ

   Кошти банків 6 986 562 1 799 849   Кошти юридичних осіб 5 864 508 10 786 288   Кошти фізичних осіб 9 177 599 10 172 942   Ощадні (депозитні) сертифікати, емітовані банком 166 583 170 954   Боргові цінні папери, емітовані банком 0 0   Нараховані витрати, що мають бути сплачені 240 563 49 936   Відстрочені податкові зобов'язання 574 828 348 671   Інші зобов'язання 1 216 517 78 444    Усього зобов`язань

  24 227 160

  23 407 084

    ВЛАСНИЙ КАПІТАЛ

   Статутний капітал 200 175 200 175   Власні акції (частки, паї), що викуплені в акціонерів (учасників) 0 0   Емісійні різниці 0 0   Резерви, капіталізовані дивіденди та інші фонди банку 1 227 328 1 214 974   Резерви переоцінки основних засобів, у тому числі: 1 715 027 996 663   Резерви переоцінки нерухомості 1 711 425 992 636   Резерви переоцінки нематеріальних активів 0 0   Резерви переоцінки цінних паперів 19 726 36 403   Прибуток/збиток минулих років 764 634   Прибуток/збиток поточного року 99 303 234 393    Усього власного капіталу

  3 262 323

  2 683 242

    Усього пасивів

  27 489 483

  26 090 326


Таблиця A.2

 Звіт про фінансові результати за 2008 р., тис. грн.

   Найменування статті

  На звітну дату


 поточного фінансового року

  попереднього фінансового року

   Чистий процентний дохід 1 354 699 1 000 387   Процентний дохід 3 441 703 2 474 154   Процентні витрати (2 087 004) (1 473 767)   Чистий комісійний дохід 724 300 651 371   Комісійний дохід 784 710 687 969   Комісійні витрати (60 410) (36 598)   Торговельний дохід 905 734 66 388   Дохід у вигляді дивідендів 40 45   Дохід від участі в капіталі 2 118 541   Інший дохід 131 615 72 811    Усього доходів

  3 118 506

  1 791 543

   Загальні адміністративні витрати (484 145) (410 623)   Витрати на персонал (860 068) (658 828)   Втрати від участі в капіталі (2) 0   Інші витрати (159 717) (121 860)    Прибуток від операцій

  1 614 574

  600 232

   Чисті витрати на формування резервів (1 478 419) (252 571)   Дохід / Збиток від довгострокових активів, призначених для продажу 0 0    Прибуток до оподаткування

  136 155

  347 661

   Витрати на податок на прибуток (37 388) (113 429)    Прибуток після оподаткування

  98 767

  234 232

   Чистий прибуток / збиток від продажу довгострокових активів, призначених для продажу 536 161    Чистий прибуток / збиток банку

  99 303

  234 393


Таблиця A.3

 Балансовий звіт Промінвестбанку за I квартал 2009 р., тис. грн.

  Найменування статті На звітну дату поточного кварталу На кінець попереднього фінансового року



   АКТИВИ

   Грошові кошти та їх еквіваленти 7 807 206 1 768 791   Торгові цінні папери 0 0   Інші фінансові активи, що обліковуються за справедливою вартістю з визначенням результату переоцінки у фінансових результатах 0 0   Кошти в інших банках, у тому числі: 649 818 171 559   В іноземній валюті 478 833 136 232   Резерви під знецінення коштів в інших банках (24 261) (23 372)   Резерви у відсотках до активу 3,73 13,62   Кредити та заборгованість клієнтів, у тому числі: 23 452 009 24 395 081   Кредити та заборгованість юридичних осіб, у тому числі: 20 590 076 21 353 002   В іноземній валюті 5 655 851 7 094 326   Кредити та заборгованість фізичних осіб, у тому числі: 2 861 933 3 042 079   В іноземній валюті 1 563 514 1 927 385   Резерви під знецінення кредитів (2 715 658) (2 406 530)   Резерви у відсотках до активу 11,58 9,86   Цінні папери в портфелі банку на продаж 377 916 427 786   Резерви під знецінення цінних паперів у портфелі банку на продаж (27 276) (27 088)   Резерви у відсотках до активу 7,22 6,33   Цінні папери в портфелі банку до погашення 397 397   Резерви під знецінення цінних паперів у портфелі банку до погашення (397) (397)   Резерви у відсотках до активу 100,0 100,0   Інвестиції в асоційовані й дочірні компанії 16 340 16 349   Інвестиційна нерухомість 32 977 32 042   Дебіторська заборгованість щодо поточного податку на прибуток 89 011 94 138   Відстрочений податковий актив 60 990 51 341   Основні засоби та нематеріальні активи 2 890 769 2 923 188   Інші фінансові активи 30 347 37 826   Резерви під інші фінансові активи (7 579) (6 903)   Резерви у відсотках до активу 24,98 18,25   Інші активи 31 954 37 528   Резерви під інші активи (2 442) (2 465)   Резерви у відсотках до активу 7,64 6,57   Довгострокові активи, призначені для продажу, та активи групи вибуття 257 257   Резерви під зменшення корисності інвестицій в асоційовані й дочірні компанії, що утримуються з метою продажу 0 0   Резерви у відсотках до активу 0 0    Усього активів, у тому числі:

  32 662 378

  27 489 528

    В іноземній валюті

  13 391 491

  8 755 290

    ЗОБОВ'ЯЗАННЯ

   Кошти банків, у тому числі: 15 285 696 7 144 412   В іноземній валюті 8 285 696 392 087   Кошти юридичних осіб, у тому числі: 3 670 674 5 541 226   В іноземній валюті 1 521 104 2 365 998   Кошти юридичних осіб на вимогу, у тому числі: 1 480 605 3 044 632   В іноземній валюті 527 046 1 294 464   Кошти фізичних осіб, у тому числі: 8 516 980 9 194 307   В іноземній валюті 3 117 223 3 557 606   Кошти фізичних осіб на вимогу, у тому числі: 1 443 222 1 638 840   В іноземній валюті 199 929 279 542   Боргові цінні папери, емітовані банком, у тому числі: 157 280 172 239   В іноземній валюті 16 078 14 629   Інші залучені кошти 128 933 279 250   Зобов'язання щодо поточного податку на прибуток 0 90   Відстрочені податкові зобов'язання 562 492 574 828   Резерви за зобов'язаннями 31 043 37 377   Інші фінансові зобов'язання 151 481 164 636   Інші зобов'язання 29 711 1 118 794   Субординований борг 0 0   Зобов'язання, що пов'язані з довгостроковими активами, призначеними для продажу, чи групами вибуття 0 0    Усього зобов'язань, у тому числі:

  28 534 290

  24 227 159

    В іноземній валюті

  13 113 572

  6 668 833

    ВЛАСНИЙ КАПІТАЛ

   Статутний капітал 1 300 175 200 175   Власні акції (частки, паї), що викуплені в акціонерів (учасників) 0 0   Емісійні різниці 0 0   Резерви, капіталізовані дивіденди та інші фонди банку 1 227 328 1 227 328   Резерви переоцінки необоротних активів, у тому числі: 1 715 027 1 715 027   Резерви переоцінки нерухомості 1 711 429 1 711 425   Резерви переоцінки нематеріальних активів 0 0   Резерви переоцінки цінних паперів 5 492 19 726   Резерви переоцінки за операціями хеджування 0 0   Прибуток/Збиток минулих років 100 113 764   Прибуток/Збиток поточного року (220 047) 99 349    Усього власного капіталу

  4 128 088

  3 262 369

    Усього пасивів

  32 662 378

  27 489 528

     Таблиця A.4

 Звіт про фінансові результати за I квартал 2009 р., тис. грн.

  Найменування статті  На звітну дату кварталу

поточного року

  На звітну дату кварталу

попереднього фінансового року

   Чистий процентний дохід/(Чисті процентні витрати) 283 268 289 814   Процентні доходи 930 959 755 924   Процентні витрати (647 691) (466 110)   Чистий комісійний дохід/(Чисті комісійні витрати) 77 672 177 972   Комісійний дохід 87 077 192 508   Комісійні витрати (9 405) (14 536)   Результат від торгових операцій з цінними паперами в торговому портфелі банку 0 0   Результат від операцій з хеджування 0 0   Результат від переоцінки інших фінансових інструментів, які обліковуються за справедливою вартістю з визнанням результату переоцінки у фінансових результатах 0 0   Результат від торгівлі іноземною валютою (1 039) 18 276   Прибуток/(Збиток), який виникає під час первісного визнання фінансових активів за процентною ставкою, вищою або нижчою, ніж ринкова 0 0   Прибуток/(Збиток), який виникає під час первісного визнання фінансових зобов'язань за процентною ставкою, вищою або нижчою, ніж ринкова 0 0   Результат від переоцінки об'єктів інвестиційної нерухомості 960 0   Результат від переоцінки іноземної валюти (59 862) 8 597   Резерви під заборгованість за кредитами (268 426) 5 145   Знецінення цінних паперів у портфелі банку на продаж (210) (189)   Результат від продажу цінних паперів у портфелі банку на продаж 33 279 20 835   Знецінення цінних паперів у портфелі банку до погашення (39 025) 0   Резерви за зобов'язаннями 3 626 526   Інші операційні доходи 6 393 9 738   Доходи/(Витрати) від дострокового погашення заборгованості 0 0   Адміністративні та інші операційні витрати (273 150) (334 900)   Результат від участі в капіталі 0 0   Дохід від участі в капіталі 0 0   Втрати від участі в капіталі 0 0   Дохід/(Збиток) від довгострокових активів, призначених для продажу 0 0    Прибуток/(Збиток) до оподаткування

  (236 514)

  195 814

   Витрати на податок на прибуток 16 467 (47 549)    Прибуток/(Збиток) після оподаткування

  (220 047)

  148 265

   Чистий прибуток/(збиток) від продажу довгострокових активів, призначених для продажу 0 89    Чистий прибуток/(збиток) банку

  (220 047)

  148 354


 1 Термiн "комп'ютерна система" аналогічний таким термінам: "computer system", що використовується в "Оранжевій книзі"; "computer product"  — у Канадских Критеріях; "target of evaluation" (TОЕ)  — в Європейських Критеріях

  ?


 


Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9


© 2010 Современные рефераты