Інформаційно-телекомунікаційна моніторингова система, спосіб моніторингу та обробки даних та зчитуваний комп’ютером носій даних

Реферат: Винахід належить до інформаційних технологій, а саме до систем збору і обробки інформації, що застосовуються для збирання даних в режимі реального часу та здійснення оперативного моніторингу для автоматизації процесів обліку та моніторингу реалізації окремих груп товарів (послуг), що реалізуються з використанням об'єктів первинного моніторингу. Інформаційнотелекомунікаційна моніторингова система включає в себе підсистему збирання і передавання даних, що містить об'єкт первинного моніторингу та пристрій передачі даних, центр обробки даних, що включає в себе комунікаційну підсистему, центр керування пристроями передачі даних, центр сертифікації ключів, підсистему обробки даних, підсистему зовнішнього доступу користувачів, підсистему управління та моніторингу, підсистему зберігання даних, комплексну систему захисту інформації та бази даних. Технічний результат полягає у суттєвому збільшенні швидкодії системи, підвищенні ступеня конфіденційності, цілісності та доступності даних, а також виключення можливості несанкціонованого доступу до інформації, що обробляються в системі, повній автоматизації всього процесу обліку і моніторингу та підвищенні відмовостійкості та катастрофостійкості системи в цілому. UA 114268 C2 (12) UA 114268 C2 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 Винахід належить до інформаційних технологій, а саме до систем збору і обробки інформації, що застосовуються для збирання даних в режимі реального часу та здійснення оперативного моніторингу для автоматизації процесів обліку та моніторингу реалізації окремих груп товарів (послуг), що реалізуються з використанням об'єктів первинного моніторингу. Винахід може бути використаний для автоматизованого збору, зберігання і автоматизованої статистичної обробки наборів первинних даних, отриманих від пристроїв та/або реєстраторів розрахункових операцій. Сучасний етап розвитку суспільства характеризується глобальною інтеграцією сфери товарно-грошових відносин у всесвітню інформаційну мережу, що значно ускладнює контроль за обігом коштів при здійсненні розрахункових операцій як в готівковій, так і в безготівковій формі, що в свою чергу призводить до збільшення тіньового сегмента у сфері роздрібної торгівлі, поширення неліцензійного та незареєстрованого торгівельного обладнання тощо. Сьогодні у інформаційний простір інтегровано велику кількість інформаційно-моніторингових систем, якими охоплюється значний сегмент електронних інформаційних об'єктів, проте існує ряд недоліків в механізмах їх функціонування, які суттєво зменшують ефективність їх практичного застосування. Актуальність створення інформаційно-телекомунікаційної моніторингової система обумовлена необхідністю вирішення на сьогоднішній день таких важливих питань: - зменшення частки тіньового сегмента у сфері роздрібної торгівлі та наданні послуг, реалізації нафтопродуктів, надання транспортних послуг тощо, - зменшення кількості незареєстрованого та/або неліцензійного торговельного обладнання, платіжних та касових пристроїв тощо, - зменшення обсягу неконтрольованих готівкових розрахунків та грошової маси, - легалізація доходів суб'єктів господарювання з метою збільшення надходжень до державного бюджету від сплати податків, - забезпечення оперативного моніторингу діяльності суб'єктів господарювання з боку уповноважених контролюючих органів у сфері фінансового контролю та нагляду, - забезпечення процедур обліку та звітності фінансової діяльності суб'єктів господарювання актуальними та достовірними даними. З рівня техніки відома система інтерактивного моніторингу для вивчення громадської думки, проведення маркетингових та соціальних досліджень і демонстрації рекламних матеріалів на електронних пристроях в касовій зоні торгівельних мереж (Заявка № WO 2016003385 А1, 07.01.2016), що містить множину електронних пристроїв, встановлених в точка проведення моніторингу, що зв'язні з програмно-апаратним комплексом за допомогою мережі Інтернет, підсистему передачі і обробки даних з блоком автоматичного обміну даними, підсистему захисту даних із засобами передачі даних на комп'ютеризовані пристрої користувачів, базу даних для збереження результатів і програмні засоби для забезпечення взаємодії і керування електронними пристроями. Недоліком даної системи є її обмежена галузь застосування, неможливість забезпечення оперативного моніторингу з боку контролюючих органів, низький рівень захищеності системи від доступу до даних сторонніх осіб та несанкціонованої модифікації даних в системі, низький рівень автоматизації процесів обліку і моніторингу реалізації окремих груп товарів (послуг). Також з рівня техніки відома моніторингова інформаційно-аналітична система (Патент України № UA 90647 С2, 11.1.05.2010), що містить автоматизовані робочі місця користувачів, редактор квазісемантичного пошукового запиту, редактор моніторингової директиви, редактор запиту на перегляд, засоби комунікації, засоби оповіщення, засоби візуалізації, засоби систематизації даних, монітор інформаційного ресурсу, зовнішні джерела інформації, засоби інтелектуального аналізу даних, засоби локалізації оновлень, сховище даних, квазісемантичну інформаційно-пошукову систему та зовнішні інформаційно-пошукові системи, при цьому автоматизовані робочі місця користувачів виконані з можливістю підключення до редактора квазісемантичного пошукового запиту, до редактора моніторингової директиви і до редактора запиту на перегляд; засоби візуалізації та засоби оповіщення виконані з можливістю підключення до автоматизованих робочих місць користувачів, і через засоби комунікації до редактора квазісемантичного пошукового запиту, до редактора моніторингової директиви і до редактора запиту на перегляд; квазісемантична інформаційно-пошукова система виконана з можливістю підключення до зовнішніх джерел інформації, до сховища даних, і до засобів систематизації даних; редактор квазісемантичного пошукового запиту виконаний з можливістю підключення до зовнішніх інформаційно-пошукових систем, до квазісемантичної інформаційнопошукової системи, до засобів оповіщення і до засобів візуалізації; редактор моніторингової директиви виконаний з можливістю підключення до монітора інформаційного ресурсу; редактор 1 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 запиту на перегляд виконаний з можливістю підключення до зовнішніх джерел інформації, до сховища даних, до засобів візуалізації та до засобів оповіщення; монітор інформаційного ресурсу виконаний з можливістю підключення до зовнішніх джерел інформації, до засобів локалізації оновлень, до засобів інтелектуального аналізу даних, до засобів візуалізації та до засобів оповіщення; зовнішні джерела інформації виконані з можливістю підключення до засобів систематизації даних, до монітора інформаційного ресурсу, до засобів локалізації оновлень, до квазісемантичної інформаційно-пошукової системи, і до зовнішніх інформаційно-пошукових систем; засоби локалізації оновлень виконані з можливістю підключення до засобів інтелектуального аналізу даних; засоби інтелектуального аналізу даних виконані з можливістю підключення до засобів систематизації даних і до сховища даних; сховище даних виконане з можливістю підключення до квазісемантичної інформаційно-пошукової системи і до засобів систематизації даних; засоби систематизації даних виконані з можливістю підключення до засобів інтелектуального аналізу даних, до засобів візуалізації і до засобів оповіщення; і зовнішні інформаційно-пошукові системи додатково виконані з можливістю підключення до засобів систематизації даних і до зовнішніх джерел інформації. Істотними недоліками відомої моніторингової інформаційно-аналітичної системи є її вибірковість щодо сфери моніторингу, непристосованість до постійного тотального моніторингу даних про розрахункові операції у готівкові та безготівкові форми, що здійснюються під час продажу товарів та надання послуг, неможливість надання оперативного доступу до отриманих даних контролюючим органам та суб'єктам господарювання для здійснення ними відповідних дій в межах повноважень. Відомо іншу універсальну моніторингову інформаційно-аналітичну систему (Патент України № UA 93175 С2, 10.01.2011.1), яка включає автоматизовані робочі місця користувачів, редактор квазісемантичного пошукового запиту, редактор моніторингової директиви, редактор запиту на перегляд, засоби комунікації, засоби оповіщення, засоби візуалізації, засоби систематизації даних, монітор інформаційного ресурсу, зовнішні джерела інформації, засоби інтелектуального аналізу даних, засоби локалізації оновлень, сховище даних, квазісемантичну інформаційнопошукову систему та зовнішні інформаційно-пошукові системи, причому система містить сканер інформаційного ресурсу, редактор директиви на сканування, засоби виділення посилань та засоби асоціативного пошуку, причому сканер інформаційного ресурсу виконаний з можливістю зв'язування шляхом підключення до нього монітора інформаційного ресурсу, засобів інтелектуального аналізу даних, редактора директиви на сканування та засобів виділення посилань, і шляхом підключення його до засобів оповіщення, до засобів візуалізації, до зовнішніх джерел інформації, до засобів інтелектуального аналізу даних і до засобів виділення посилань, редактор директиви на сканування виконаний з можливістю зв'язування шляхом підключення до нього автоматизованих робочих місць користувачів, через засоби комунікації засобів візуалізації та засобів оповіщення, і шляхом підключення його до сканера інформаційного ресурсу, засоби виділення посилань виконані з можливістю зв'язування шляхом підключення до них зовнішніх джерел інформації та сканера інформаційного ресурсу, і шляхом підключення їх до сканера інформаційного ресурсу, засоби асоціативного пошуку виконані з можливістю зв'язування шляхом підключення до них і підключення їх до засобів інтелектуального аналізу даних і сховища даних. Недоліком системи неможливість забезпечення конфіденційності при одночасному забезпеченні цілісності та доступності даних, що обробляються в системі, відсутність можливості віддаленого керування та оновлення системи. Крім того, відомо інформаційно-моніторингову систему "Web-Observer" компанії "Finport Technologies Inc." (http://www.webobserver.info/), яка призначена для оперативного збору, структурування і зберігання інформації з відкритих джерел. Такими джерелами, зокрема, слугують публікації на web-сайтах, інтернет-виданнях та порталах новин. В окремих випадках це можуть бути структуровані дані, наприклад валютні котирування або анкетні дані, електроні листи або документи із локальних мереж організацій. Таким чином, користувач системи має можливість отримати інформацію, що надходить з різних каналів у єдиному інтерфейсі і проводити моніторинг ЗМІ. Також система виконана з можливістю доповнювати інформацію з відкритих джерел структурованими даними щодо об'єкта моніторингу і відшукати по ньому приховані взаємозв'язки. Вся отримана інформація структурується, індексується та зберігається у власній БД, а користувач системи має змогу здійснювати пошук у БД, отримувати вихідні дані, створювати звіти тощо. Недоліками такої системи є принципова неможливість здійснення моніторингу грошових розрахунків та здійснення їх контролю, відсутність окремої комплексної системи безпеки та відсутність можливості віддаленого керування складовими пристроями системи. 2 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 Задачею винаходу є створення інформаційно-телекомунікаційної моніторингової системи (ІТМС) та способу моніторингу та обробки даних, в яких за рахунок запропонованих елементів, їх зв'язків та технічних рішень забезпечується збирання в режимі реального часу визначеного набору первинних даних в електронному вигляді від об'єкта первинного моніторингу, надання юридичної значимості та автентичності даних, що збираються, централізоване отримання, зберігання та подальша обробка зібраних первинних даних, надання доступу до отриманих даних контролюючим органам та суб'єктам господарювання для здійснення ними відповідних дій в межах повноважень, забезпечення конфіденційності, цілісності та доступності даних, що обробляються в системі та реєстрація та ведення обліку об'єктів первинного моніторингу в системі. Технічний результат запропонованих об'єктів винаходу полягає у - суттєвому збільшені швидкодії системи за рахунок введення до підсистеми обробки отриманих даних засобів балансування навантаження, - підвищенні ступеня конфіденційності, цілісності та доступності даних, а також виключення можливості несанкціонованого доступу до інформації, що обробляються в системі за рахунок введення до центру обробки даних комплексної системи захисту інформації, - повній автоматизації всього процесу обліку і моніторингу за рахунок збирання і обробки даних в режимі реального часу, - підвищення відмовостійкості та катастрофостійкості системи в цілому. Поставлена задача вирішується за рахунок того, що в інформаційно-телекомунікаційну моніторингову систему додатково введено - підсистему збирання і передавання даних, яка містить об'єкт первинного моніторингу (ОПМ), оснащений засобами вимірювання та/або реєстраторами розрахункових операцій, та пристрій передачі даних (ППД), підключений до ОПМ та виконаний з можливістю збору даних в режимі реального часу, попереднього накопичення даних, тимчасового зберігання даних протягом попередньо визначеного терміну на енергонезалежному носії даних при відсутності GSM-зв'язку, при цьому ППД додатково виконаний з можливістю функціонування в двох режимах: пасивному режимі, при якому здійснюється перехоплення даних, що передаються за ініціативою ОПМ та активному режимі, при якому здійснюється надсилання даних від ОПМ за запитом ППД, причому підсистема збирання і передавання даних виконана з можливістю формування змістовної частини транспортного пакета, що має попередньо визначений формат та склад, фіксації місця розташування ОПМ за координатами GPS, прийому та передачі повідомлень, що містять транспортні пакети, від/до комунікаційної підсистеми (КП) повідомлень, розшифровування змістовної частини транспортного пакета, що надійшов від КП, передачі інформації до центру обробки даних (ЦОД) з використанням GSM-зв'язку, при цьому передача відбувається в двох режимах: реального часу (онлайн) та пакетному режимі (офлайн), - центр обробки даних (ЦОД), що складається з комунікаційної підсистеми (КП), яка містить комунікаційні сервери (КС) для отримування даних від ППД, передачі до ППД технічної інформації, необхідної для функціонування ППД та розшифровування змістовної частини транспортного пакета, що надійшов від ППД, комунікаційні сервери керування (КСК) для надсилання до ППД транспортних пакетів для оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування, засоби балансування навантаження КП для рівномірного розподілу потоків даних, що надходять від ППД до КС та КСК і залежності від їх завантаженості, причому КП виконана з можливістю надавати надійний спосіб прийому та передачі повідомлень по протоколу TCP/IP між ППД і ЦОД, забезпечувати підтвердження доставки повідомлень від ППД в ЦОД, забезпечувати цілісність переданої інформації та відсутність дублювання переданої інформації, підпису ЕЦП, шифрування та передачі каналами телекомунікаційного зв'язку визначеного набору даних до/від ППД, баз даних та прикладних серверів та центру сертифікації ключів, центру керування ППД, виконаного з можливістю підготовки даних для формування транспортного протоколу для оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування, та виконання запису підготовлених даних транспортного протоколу до відповідної бази даних (БД), 3 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 центру сертифікації ключів (ЦСК), що являє собою програмно-апаратний комплекс, виконаний з можливістю прийняття і обробки запитів на видання сертифікатів, видачу сертифікатів та керування виданими сертифікатами, підсистеми обробки отриманих даних, яка містить засоби балансування навантаження для рівномірного розподілу потоків розшифрованих даних, що надходять від КС та КСК до буферних БД в залежності від їх завантаження, компонент обробки отриманих даних для оброки змістовної частини транспортного пакета, компонент підготовки даних для аналізу та відображення для оновлення даних в БД, компонент доступу контролюючих органів для реалізації функції пошуку за певними реквізитами та сортування даних, компонент доступу власників для забезпечення доступу до моніторингової системи власника ОПМ, компонент доступу персоналу для забезпечення доступу до моніторингової системи персоналу, підсистеми зовнішнього доступу користувачів, яка містить Веб-ресурс, що має систему керування контентом, Веб-сервери для забезпечення доступу до даних, засоби балансування навантаження Веб-серверів для рівномірного розподілу запитів на обробку, що надходять від користувачів до підсистеми обробки отриманих даних, підсистеми управління та моніторингу, виконаної з можливістю реєстрації подій та захисту журналу реєстрації подій від несанкціонованого доступу, підсистеми зберігання даних, виконаної з можливістю безперебійного запису даних що надходять на рівні розрахункового пікового максимуму, комплексної системи захисту інформації (КСЗІ) для захисту даних, виконану з можливістю виключення несанкціонованого доступу, порушення цілісності та доступності та спостережності інформації, що зберігається в моніторинговій системі, щонайменше однієї буферної БД, виконаної з можливістю зберігання інформації, асоційованої зі змістовною частиною транспортних пакетів та оригінальних транспортних пакетів з ЕЦП, щонайменше однієї архівної буферної БД, виконаної з можливістю зберігання інформації, отриманої з буферної БД після її обробки компонентом обробки отриманих даних та запису їх і основну БД, щонайменше однієї основної БД, виконаної з можливістю зберігання інформації, асоційованої з первинними даними в структурованому вигляді, отриманих від ОПМ через ППД, щонайменше однієї архівної БД, виконаної з можливістю зберігати повну копію основної БД, щонайменше однієї БД обліку, виконаної з можливістю зберігати інформацію, асоційовану з даними обліку ППД, даними обліку ОПМ, даними обліку користувачів моніторингової системи, щонайменше однієї БД аналітики, виконаної з можливістю надання даних з основної БД та БД обліку, причому підсистема збирання і передавання даних поєднана із ЦОД за допомогою відокремленої мережі з окремою точкою доступу, створеної на обладнанні GSM-мережі оператора стільникового зв'язку, причому відокремлена мережа з окремою точкою доступу виконана з можливістю доступу до неї з використанням механізму підписки на користування відокремленою мережею, організації тунельних каналів передачі даних між периферійним обладнанням та ЦОД, причому тунельні канали доступу до ЦОД виконані з можливістю забезпечення фізично рознесеного резервування. При цьому в одному з варіантів втілення винаходу, всі компоненти інформаційнотелекомунікаційної моніторингової системи оснащені вбудованими засобами діагностики, дані від яких здатні накопичують таким чином, щоб забезпечити централізований аналіз та реагування на нештатні ситуації. Крім того, всі компоненти інформаційно-телекомунікаційної моніторингової системи виконані інтегрованими таким чином, що тимчасовий вихід з ладу одного з них не спричиняє суттєвого впливу на загальний процес обробки інформації в системі. Поставлена задача вирішується також запропонованим способом моніторингу та обробки даних що включає такі дії - за допомогою пристрою передачі даних (ППД) підсистеми збирання і передавання даних, в режимі реального часу отримують від об'єкта первинного моніторингу (ОПМ) дані, асоційовані з об'єктом моніторингу, - на основі отриманих даних за допомогою ППД формують змістовну частину транспортного пакета даних попередньо визначеного складу та формату, - накладають електронний цифровий підпис (ЕЦП) на весь транспортний пакет, - шифрують змістовну частину транспортного пакета, та 4 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 - передають транспортний пакет до комунікаційної підсистеми (КП) центру обробки даних (ЦОД) за допомогою відокремленої мережі з окремою точкою доступу, створеної на обладнанні GSM-мережі оператора стільникового зв'язку, - за допомогою комунікаційної підсистеми (КП) отримують дані від ППД, та здійснюють їх обробку, що включає - розшифровування змістовної частини транспортного пакета, що надійшов від ППД, - перевірку ЕЦП та чинність (валідність) сертифіката відкритого ключа транспортного пакета та - збереження розшифрованої змістовної частини транспортного пакета та всього оригінального пакета у щонайменше одній буферній БД, - після чого за допомогою КП відправляють до ППД відповідь, асоційовану з результатами обробки раніше отриманих від ППД даних, причому, якщо обробка раніше отриманих даних була успішною, то за допомогою ППД видаляють раніше отримані дані, якщо обробка раніше отриманих даних була неуспішною, то повторюють спробу передачі транспортного пакета від ППД до КП, - далі виконують пошук нових записів, що являють собою змістовні частини транспортного пакета у буферній БД і - якщо нові записи знайдено, виконують витягання даних зі змістовної частини транспортного пакета відповідно до попередньо визначеного складу та формату, - записують ці дані до відповідних БД підсистеми обробки отриманих даних та, - надають їх до підсистеми зовнішнього доступу користувачів для забезпечення зовнішнього доступу користувачів до цих даних за допомогою веб-ресурсу, - крім того, у центрі керування ППД формують завдання для ППД, що включає оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування у форматі транспортного протоколу та зберігають їх в Основній БД, - також на ПДД здійснюють неперервну реєстрацію внутрішніх подій ППД та ОПМ та записують її до реєстраційного файла, - а у разі несанкціонованого фізичного доступу до ПДД, знищують дані, які необхідні для роботи ППД, що зберігаються в ньому протягом попередньо визначеного терміну на енергозалежному носії даних. Заявлений винахід пояснюється кресленнями. На Фіг. 1 показано основні елементи інформаційно-телекомунікаційної моніторингової системи. На Фіг. 2 показано загальну логічну та структурну архітектуру інформаційнотелекомунікаційної моніторингової системи. На Фіг. 3 показано схему мережі передачі даних на базі мережі оператора GSM-зв'язку. Підсистема збирання та передавання даних 1 складається з пристрою передачі даних (ППД) 3 та об'єкта первинного моніторингу (ОПМ) 2, до якого він підключається та взаємодіє і забезпечує безперервний процес збору інформації від ОПМ 2 та передачу цієї інформації до комунікаційної підсистеми (КП) 5 для подальшої обробки в центрі обробки даних (ЦОД) 4. Підсистема збирання та передавання даних 1 виконує такі функції: передачу даних, приймання даних, очікування даних, зберігання даних протягом визначеного терміну на енергонезалежній пам'яті накопичуваних даних при відсутності сигналу GSM-зв'язку, сервісне обслуговування (тестування, діагностика стану компонентів, оновлення програмної конфігурацій, мікропрограмного коду тощо), отримання даних з ОПМ 2 за встановленими протоколами у двох режимах-пасивному режимі, що полягає у перехопленні даних, що передаються за ініціативою ОПМ 2 та в активному режимі, що полягає в отриманні даних від ОПМ 2 за запитом ППД 3 (у разі наявності технічної можливості ОПМ 2). формування змістовної частини транспортного пакета попередньо визначеного формату та складу, фіксацію місця розташування ОПМ 2 за координатами GPS за наявності модуля GPS; передачу та прийом від/до комунікаційної підсистеми (КП) 5 повідомлень, що містять транспортні пакети; накладання ЕЦП на весь транспортний пакет, шифрування змістовної частини транспортного пакета, що має бути переданим до комунікаційної підсистеми 5, здійснення перевірки ЕЦП та валідність сертифіката відкритого ключа транспортного пакета, що надійшов від комунікаційної підсистеми 5, розшифровування змістовної частини транспортного пакета, що надійшов від комунікаційної підсистеми 5, 5 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 здійснення обміну даними з комунікаційною підсистемою 5 за протоколом обміну даними між ППД 3 та КП 5 та за допомогою відокремленої мережі передавання даних з окремою точкою доступу 17, що надається операторами GSM-зв'язку, підтримує віддалене оновлення мікропрограмного коду, отриманого від комунікаційної підсистеми 5, каналами GSM з використанням механізмів криптографічного захисту інформації; підтримує віддалене оновлення конфігурації, отриманої від комунікаційної підсистеми 5, каналами GSM з використанням механізмів криптографічного захисту інформації; оновлює ключові дані (відкриті ключі, особистий ключ, сертифікати), що застосовуються для формування ЕЦП та шифрування віддалено каналами GSM; зберігає ключові дані у енергозалежній області пам'яті та захищеному від несанкціонованого доступу вигляді; тимчасово, до 10 діб, зберігає в зашифрованому вигляді змістовну частину вихідного транспортного пакета, в енергонезалежній частині пам'яті (у разі відсутності доступу до ЦОД 4); у певних випадках надає до ОПМ 2 команду про неможливість функціонування останнього, у разі, якщо ОПМ 2 підтримує отримання таких команд; однозначно закріплює ППД 3 до ОПМ 2 та його цифрового ідентифікатора; реалізує принцип зворотної залежності, при якому ППД 3 функціонує лише при взаємодії з ОПМ 2 який зареєстрований в інформаційно-телекомунікаційній моніторинговій системі, а ОПМ 2 функціонує лише при наявності підключеного до нього ППД 3 (в разі відповідної стандартизації ОПМ 2). Об'єкт первинного моніторингу (ОПМ) 2 являє собою обладнання, яке включає засоби вимірювальної техніки (засоби вимірювань, вимірювальні пристрої тощо) та/або реєстратори розрахункових операцій в різних сферах (торгівля; громадське харчування; сфера послуг тощо). Для підключення ОПМ 2 до інформаційно-телекомунікаційної моніторингової системи він повинен бути обладнаним ППД 3. Пристрій передачі даних (ППД) 3 являє собою апаратно-програмний модуль, який є складовою підсистеми збирання та передавання даних, ППД 3 призначений для збору даних в режимі реального часу, попереднього накопичення, тимчасового зберігання, підпису ЕЦП, шифрування та передачі каналами телекомунікаційного зв'язку визначеного набору даних в електронному вигляді від ОПМ 2 до комунікаційної підсистеми (КП) 5 для подальшої обробки отриманих даних в складі ІТМС. ППД 3 також спеціально пристосований для взаємодії з центром керування ключами. ППД 3 підключений до ОПМ 2 (зареєстрованого в ІТМС) та взаємодіє з ним відповідно до попередньо встановленого протоколу обміну даними. Зібрані первинні дані ППД 3 підписує ЕЦП, шифрує та передає до ЦОД 4 каналами зв'язку GSM. За наявності стійкого каналу зв'язку передача здійснюється в режимі реального часу (онлайн), в іншому випадку - в пакетному режимі (офлайн). Структурою роботи ІТМС передбачається, функціонування ППД 3 лише з однозначно закріпленим за ним ОПМ 2, а функціонування закріпленого ОПМ 2 можливе лише при наявності підключеного до нього ППД 3. Для здійснення обміну даними між ППД 3 та комунікаційною підсистемою 5 використовується мережа передачі даних операторів GSM-зв'язку. Для цього засобами та на обладнанні оператора GSM-зв'язку спеціально для ІТМС створюють відокремлену мережу з окремою точкою доступу 17. Доступ до цієї відокремленої мережі здійснюється з використанням механізму підписки на користування відокремленою мережею (присвоєння оператором стільникового зв'язку персонального APN та IP до MSISDN). GSM-мережа передачі даних (фігура 3), що надасться оператором GSM-зв'язку забезпечує: організацію тунельних каналів передачі даних між периферійним обладнанням та ЦОД (або декількома ЦОД) з пропускною спроможністю між периферійним обладнанням та ЦОД не менше 64 Кбіт/с, засобами технологій, які використовують оператори телекомунікацій на всій території України: IP/MPLS L2VPN, L3VPN; функціонування клієнтського апаратно-програмного забезпечення до 1 млн. пристроїв; функціонування роумінгу та передачі даних у межах Співдружності Незалежних Держав та Європи; цілодобову передачу даних організованими каналами зв'язку мережі передавання даних; наявність окремої виділеної централізованої диспетчерської служби, працюючої в режимі 24/7, для обслуговування організованих каналів передачі даних; вихідні канали зв'язку від ЦОД 4 або кінцевого вузла оператора GSM-зв'язку до ЦОД 4 зі швидкістю передачі даних не менш ніж 5 Гбіт/с; 6 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 мережевий інтерфейс серверного обладнання в ЦОД-ах 4, GSM- (GPRS-) інтерфейс периферійного обладнання, на сегменті виділеної мережі узгоджену з оператором GSM-зв'язку схему адресації з використанням приватних адрес та їх автоматичну роздачу за допомогою серверів DHCP або статичну роздачу, при цьому кількість доступних для використання адрес обмежено лише розміром блоків адрес, визначених в RFC 1918; захист від зовнішніх втручань до функціонування виділеної мережі, а також ізолювання маршрутних таблиць будь-якої віртуальної приватної мережі від таблиць інших віртуальних приватних мереж та Інтернет; фізично рознесене резервування каналів доступу до ЦОД 4; організацію об'єднання точок в єдину приватну мережу, переважно з організацією криптоVPN-тунелей. Центр обробки даних (ЦОД) 4 являє собою програмно-технічний комплекс серверного та комутаційного обладнання, призначений для реалізації технологічних процесів збереження, обробки, обміну та доступу до інформації в ІТМС. Архітектура обчислювальних вузлів та підсистем ЦОД 4 має модульну структуру, кожна функціональна його частина має резервування всіх модулів N+N+1. ЦОД 4 застосовується для централізованої обробки інформації в ІТМС і спеціально пристосований для реалізації таких функцій: нарощування потужності всіх його компонентів та допоміжних інфраструктур без перерви в наданні послуг; підключення іншого(их) ЦОД(ів) з метою підвищення продуктивності ІТМС та відмовостійкості; проведення планової діяльності без припинення нормального ходу роботи критично важливого навантаження, що становить мінімальну кількість обладнання та систем ЦОД 4, необхідних для роботи ІТМС; витримування щонайменше однієї відмови (або події) найгіршої якості без наслідків для критично важливого навантаження; витримування щонайменше однієї відмови (або події) найгіршої якості, що передбачає наявність засобів "гарячого резервування" критично важливого навантаження, тобто наявність двох окремих систем гарантованого електроживлення, в яких кожна система має резервування N+1; забезпечення безперебійного прийому та обробки даних на рівні розрахункового пікового максимуму, при цьому утилізація наявних системних ресурсів не повинна перевищувати 70 %; забезпечення безперебійного запису даних що надходять на рівні розрахункового пікового максимуму, при цьому утилізація наявних системних ресурсів не повинна перевищувати 70 %, а загальний об'єм корисного дискового простору повинен забезпечувати оперативний доступ до збережених даних, об'єм вільного корисного дискового простору на кожному окремому логічному дискові не повинен бути менше, ніж 17 % від його об'єму, а сумарний вільний дисковий простір основної підсистеми; збереження даних є не меншим ніж 30 % від її загального корисного об'єму; за допомогою резервної підсистеми збереження даних забезпечувати дублювання критичних даних з основної підсистеми в повному обсязі, при цьому загальний об'єм корисного дискового простору резервної підсистеми є більшим від об'єму основної підсистеми не менше, ніж на 20 %; зберігання резервних копій в місці, територіально віддаленому від основного ЦОД 4 на відстані не менше 20 км; забезпечення можливості та здатності цілодобового безперервного функціонування. Комунікаційна підсистема 5 ЦОД 4 складається з комунікаційних серверів (КС) 5.1 та комунікаційних серверів керування (КСК) 5.2, засобів балансування навантаження 5.3 комунікаційної підсистеми, емуляторів навантаження комунікаційної системи. Комунікаційна підсистема 5 призначена надавати стійкий спосіб прийому та передачі повідомлень по протоколу TCP/IP між ППД 3 і ЦОД 4, забезпечувати підтвердження доставки повідомлень від ППД 3 в ЦОД 4, гарантувати цілісність переданої інформації та відсутність дублювання переданої інформації, підпису ЕЦП, шифрування та передачі каналами телекомунікаційного зв'язку визначеного набору даних до/від ППД 3, баз даних та прикладних серверів, у тому числі центру керування ключами і центру сертифікації ключів 7. Для забезпечення конфіденційності та цілісності даних у комунікаційній підсистемі 5 застосовані механізми криптографічного захисту інформації. Також комунікаційна підсистема 5 7 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 має механізм ведення переліку сертифікатів електронного цифрового підпису (ЕЦП), що використовується для перевірки ЕЦП. Комунікаційна підсистема 5 забезпечує номінальну пропускну спроможність 1,5 ТБ на добу (1 млн. ППД) та максимальну пропускну спроможність 11.5 ТБ на добу (10 млн. ППД). Комунікаційний сервер (КС) 5.1 комунікаційної підсистеми 5 є багатопоточним та виконує такі функції: взаємодіє з ППД 3 за протоколом обміну даними; отримує дані від ППД 3 (в тому числі дані телеметрії, статусу ППД та ін.); передає до ППД 3 технічну інформацію, необхідну для функціонування ППД 3; розшифровує змістовну частину транспортного пакета, що надійшов від ППД 3; виконує шифрування змістовної частини транспортного пакета, що має бути переданим до ППД 3; виконує накладання ЕЦП на транспортний пакет, здійснює перевірку ЕЦП та валідність сертифіката відкритого ключа та зберігає в пам'яті список відкликаних ключів виконує запис змістовної частини транспортного пакета та всього оригінального транспортного пакета до буферної БД 11.1; веде аудит подій. В одному з варіантів здійснення ІТМС, у разі збільшення обсягів даних, що надсилаються ППД 3 від ОПМ 2, комунікаційна підсистема 5 виконана з можливістю масштабування за рахунок додання необхідної кількості інших КС 5.1 для забезпечення оперативної обробки даних, що надходять. Комунікаційний сервер керування 5.2 виконує всі функції КС 5.1, а також такі додаткові функції: надсилає до ППД 3 транспортні пакети для оновлення мікропрограмного коду; надсилає до ППД 3 транспортні пакети оновлення конфігурації; надсилає до ППД 3 транспортні пакети команд керування; надсилає до ППД 3 транспортні пакети оновлення ключових даних (відкриті ключі, особистий ключ), що застосовуватимуться для формування ЕЦП та шифрування. Засоби балансування навантаження 5.3 комунікаційної підсистеми забезпечують: рівномірний розподіл потоків даних, що надходять від ППД 3, на обробку до КС 5.1 та КСК 5.2 в залежності від стану їх завантаженості; моніторинг продуктивності наявних КС 5.1, КСК 5.2 та стану їх завантаженості, інформування підсистеми управління та моніторингу 10 про збільшення потоків даних та зниження продуктивності підсистеми; введення в дію нових КС 5.1 та КСК 5.2 у "гарячому режимі" без перерви в обслуговуванні потоків даних, що надходять від ППД 3; рівномірний розподіл потоків розшифрованих даних, що надходять від КС 5.1 та КСК 5.2 до буферних баз даних в залежності від їх завантаження. В одному з варіантів втілення ІТМС, комунікаційна підсистема 5 може бути додатково обладнана емулятором навантаження. Емулятор навантаження комунікаційної системи являє собою апаратно-програмний засіб, призначений для проведення тестування та налагодження взаємодії ППД 3 та комунікаційної підсистеми 5 та забезпечує формування та відправлення до комунікаційної підсистеми 5 транспортних повідомлень за попередньо визначеним протоколом обміну даними, багатопотоковий режим роботи та автоматичне формування помилкових даних. Центр керування ППД 6 комунікаційної підсистеми 5 призначений для виконання підготовки даних для формування транспортного протоколу для оновлення мікропрограмного коду, оновлення конфігурації та оновлення ключових даних (відкриті ключі, особистий ключ), що застосовуватимуться для формування ЕЦП та шифрування, а також інших команд керування ОПМ 2. Крім того, він виконує запис підготовлених даних транспортного протоколу до відповідних БД. Центр сертифікації ключів (ЦСК) 7 являє собою програмно-апаратний комплекс, призначений для приймання і обробки запитів на видачу сертифікатів, видання сертифікатів та керування виданими сертифікатами. ЦСК 7 також забезпечує виконання таких функцій: упакування необхідних для відправки клієнтові (ППД, КС, КСК) файлів; упакування необхідних для відправки серверу файлів; створення і ведення каталогу, де зберігаються видані сертифікати; формування і зберігання закритого ключа сертифіката; формування і зберігання кореневого сертифіката в спеціальному форматі; формування і зберігання файла з параметрами відкликання сертифікатів; 8 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 створення кореневого сертифіката; створення клієнтського сертифіката; створення списку відкликаних сертифікатів; створення серверного сертифіката; створення списку відкликаних сертифікатів; відкликання сертифіката; підписання серверних сертифікатів; підписання клієнтських сертифікатів. Підсистема обробки отриманих даних (ПООД) 8 складається із засобів балансування навантаження 8.1 для рівномірного розподілу потоків розшифрованих даних, що надходять від КС 5.1 та КСК 5.2 до буферних БД 11.1 в залежності від їх завантаження, компонента обробки отриманих даних (обробника) 8.2 для оброки змістовної частини транспортного пакета, компонента підготовки даних для аналізу та відображення 8.3 для оновлення даних у відповідних БД, компонент доступу контролюючих органів 8.4 для реалізації функції пошуку за певними реквізитами та сортування даних, компонента доступу власників 8.5 для забезпечення доступу до моніторингової системи власника ОПМ 2; компонента доступу персоналу 8.6 для забезпечення доступу до моніторингової системи персоналу. Засоби балансування навантаження 8.1 у підсистемі обробки отриманих даних 8 забезпечують: рівномірний розподіл потоків розшифрованих даних, що надходять від КС 5.1 та КСК 5.2 до щонайменше одної буферної БД 11.1 в залежності від їх завантаження. моніторинг продуктивності наявних компонентів обробки отриманих даних 8.2, щонайменше одної буферної БД 11.1 та стану їх завантаженості; інформування підсистеми управління та моніторингу 10 про збільшення потоків даних та зниження продуктивності підсистеми обробки отриманих даних 8; введення в дію нових компонентів обробки отриманих даних та щонайменше одної буферної БД 11.1 у "гарячому режимі" без перерви в обслуговуванні потоків даних, що надходять від КС 5.1 та КСК 5.2. Компонент обробки отриманих даних 8.2 має номінальну пропускну спроможність 20 млн. запитів на добу (із розрахунку 1 млн. ППД), має можливість масштабування за рахунок додання необхідної кількості компонентів обробки отриманих даних разом з додаванням такої ж самої кількості буферних БД 11.1 для забезпечення оперативної обробки даних, що надходять, обробляє змістовну частину транспортного пакета попередньо визначеного складу та формату, записує розібрані дані зі змістовної частини транспортного пакета до основної БД 11.3. Компонент підготовки даних для аналізу та відображення 8.3 забезпечує розрахунок різних агрегатів даних (макропоказників) на основі первинних даних, що зберігаються в БД обліку 11.5 ППД, власників та користувачів та основній БД 11.3, формування статистичної та аналітичної звітності за попередньо визначеними формами, а підготовлені дані зберігає у БД аналітики 11.6. Крім того, компонент забезпечує оновлення даних в БД аналітики 11.6 в разі їх зміни в БД обліку 11.5 ППД, власників та користувачів та основній БД 11.3. Компонент доступу контролюючих органів 8.4 представляє робітникам контролюючих органів дані, необхідні для виконання контролю за діяльністю суб'єкта господарювання СГ при продажу товарів та послуг з використанням ОПМ 2, з урахуванням рольових обмежень. До таких даних належать облікові дані СГ та його ОПМ, дані щодо стану ОПМ (включено, відключено, відсутній зв'язок), дані про платіжні документи, звіти, сформовані ОПМ 2 та передані в ЦОД 4, узагальнені дані щодо грошових коштів, розраховані на основі платіжних документів (виручка ОПМ за вибраний період), узагальнені дані щодо кількості та характеристик ОПМ, дані щодо фактичного розміщення ОПМ (в разі можливості отримання таких даних). Компонент також реалізовує функції пошуку за певними реквізитами та сортування даних. Компонент доступу власників 8.5 формує для кожного власника ОПМ (СГ) "віртуальний робочий кабінет", в якому реалізовані функції, за допомогою яких СГ має можливість переглядати інформацію про свої ОПМ 2 та їх стан, формувати та відправляти в електронному вигляді заявки на підключення, відключення, призупинення роботи ОПМ 2, переведення ОПМ 2 в резерв тощо, отримувати в електронному вигляді акти виконаних робіт, супровідні документи, різноманітні повідомлення. Компонент також реалізовує функції пошуку за певними реквізитами та сортування даних. Компонент доступу персоналу 8.6 (користувачів, які здійснюють експлуатацію ІТМС) забезпечує можливість виконання в ІТМС, зокрема, таких процесів: реєстрацію СГ та ППД, підготовку ППД до експлуатації, установку і підключення ППД, тимчасове блокування ППД на період регламентних або сервісних робіт, контроль роботи ППД 9 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 з боку контролюючих органів, відключення ППД при припиненні наданні послуг, роботу з договорами та супроводжуючими документами в Системі, ведення довідників, білінг (автоматизовані онлайн розрахунки). Підсистема зовнішнього доступу користувачів 9 складається з веб-ресурсу, веб-серверів 9.1 та засобів балансування навантаження веб-серверів 9.2. Веб-ресурс являє собою веб-портал, на якому розміщується інформація стосовно роботи ІТМС, різноманітна документація для користувачів ІТМС, а також сервіс реєстрації та автентифікації користувачів. Після проходження користувачами автентифікації веб-ресурс згідно з повноваженнями користувача переадресує його до відповідного компонента доступу. Веб-ресурс має систему керування контентом та виконаний з можливістю його подальшого розвитку без обмежень. Веб-сервери 9.1 забезпечують інтерфейс між клієнтськими робочими місцями на персональних комп'ютерах і мобільних пристроях та компонентами доступу до даних. Засоби балансування навантаження веб-серверів 9.2 забезпечують: рівномірний розподіл запитів на обробку, що надходять від користувачів до наявних компонентів доступу контролюючих органів 8.4, власників 8.5 та персоналу 8.6; моніторинг продуктивності наявних компонентів доступу контролюючих органів 8.4, власників 8.5 та персоналу 8.6, інформування про збільшення потоків даних та зниження продуктивності підсистеми; введення в дію нових компонентів доступу контролюючих органів, власників та персоналу у "гарячому режимі" без перерви в обслуговуванні потоків даних, що надходять від ППД. Підсистема управління та моніторингу 10 забезпечує: відображення в зручному вигляді даних за подіями, за якими виконується аудит; можливість проведення аналізу; сповіщення користувачів системи. Крім того, підсистема управління та моніторингу здійснює реєстрацію наступного мінімального переліку реєстраційних подій: реєстрація подій, пов'язаних зі зміною об'єктів захисту (створення, модифікація, знищення); реєстрація подій, пов'язаних зі зміною прав доступу до об'єктів захисту; вхід/вихід користувачів в/із (ім'я користувача, дата, час); реєстрація та видалення з системи користувачів (ім'я користувача, дата, час); реєстрація подій, пов'язаних зі зміною конфігураційних настроювань компонентів системи. При цьому журнали реєстрації надають інформацію про події в наступному форматі: інформацію про дату, час, місце, тип і успішність чи неуспішність кожної зареєстрованої події. Підсистема управління та моніторингу 10 забезпечує захист журналів реєстрації від несанкціонованого доступу, модифікації або руйнування. При цьому журнали реєстрації містять інформацію, щонайменше достатню для встановлення користувача, процесу і мережного об'єкта, що мали відношення до кожної зареєстрованої події. Адміністратори і користувачі, яким надані відповідні повноваження, мають в своєму розпорядженні засоби перегляду і аналізу журналів реєстрації. Підсистема управління та моніторингу 10 контролює одиничні або повторювані реєстраційні події, які можуть свідчити про прямі (істотні) порушення політики безпеки АІС КГТО. Також підсистема управління та моніторингу 10 здатна негайно інформувати адміністратора про перевищення порогів безпеки і, якщо реєстраційні небезпечні події повторюються, здійснює неруйнівні дії щодо припинення повторення цих подій. Підсистема зберігання даних 11 являє собою комплекс спеціалізованих БД (11.1-11.6), призначених для безперебійного запису даних, що надходять на рівні розрахункового пікового максимуму. Буферна БД 11.1 призначена для зберігання змістовної частини транспортних пакетів та оригінального транспортного пакета з ЕЦП (архів оригіналів електронних документів). Архівна буферна БД 11.2 призначена для зберігання змістовної частини транспортних пакетів та оригінального транспортного пакета з ЕЦП (архів оригіналів електронних документів). При цьому дані надходять до архівної буферної БД 11.2 з буферної БД 11.1 після того, як будуть оброблені компонентом обробки отриманих даних 8.2 та записані в основну БД 11.3. Основна БД 11.2 забезпечує зберігання інформації щодо первинних даних в структурованому вигляді, що надійшли з ОПМ 2, обладнаних ППД 3. Для кожного напрямку автоматизації (виду діяльності) створюється своя окрема основна БД 11.3 або може використовуватись об'єднана з БД обліку 11.5 ППД, власників та користувачів єдина БД. Структура основної БД 11.3 за напрямком може відрізняться одна від одної. 10 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 Архівна БД 11.4 виконує функції архіву даних та містить повну копію основної БД 11.3. БД обліку 11.5 ППД власників та користувачів забезпечує зберігання такої інформації: реєстраційні дані щодо СГ - користувачів ІТМС з прив'язкою до адміністративнотериторіальних одиниць; дані щодо фізичних осіб-користувачів ІТМС та співробітників обслуговуючої компанії (адміністратор системи, адміністратор безпеки, інженерний персонал), які мають доступ до даних, що зберігаються, дані щодо обліку ППД; дані щодо обліку ОПМ; дані щодо договірних та супроводжуючих документів (у тому числі - білінгу) з користувачами ІТМС; дані щодо розмежування доступу; довідники та інша службова інформація, БД аналітики 11.6 забезпечує: надання даних з основної БД 11.3 та БД обліку 11.5 ППД, власників та користувачів для подальшого відображення у вигляді звітів або інших представлень; швидкість доступу до даних; автентичність даних. Комплексна система захисту інформації (КСЗІ) в ІТМС призначена для захисту даних (інформаційних ресурсів) від знищення, підміни, спотворення, спроб несанкціонованого доступу (НСД) і копіювання, автентифікації користувачів. КСЗІ в ІТМС забезпечує режими функціонування ІТМС, при яких виключаються можливості несанкціонованого доступу, використання не за призначенням та порушення цілісності, доступності та спостережності інформації, що зберігається та обробляється в ІТМС. Функціональність КСЗІ в ІТМС реалізована комплексом спеціалізованих програмнотехнічних засобів, які забезпечують: багатофакторну автентифікацію користувачів; захист інформації від НСД до неї, її модифікації, знищення, копіювання та несанкціонованого поширення; захист програмного забезпечення від його модифікації; антивірусний захист програмного забезпечення, обов'язкову автоматичну реєстрацію результатів ідентифікації та автентифікації користувачів, результатів виконання користувачем операцій з обробки інформації, спроб несанкціонованих дій з інформацією, фактів позбавлення користувачів права на доступ до інформації та її обробки, результатів перевірки цілісності засобів захисту інформації. КСЗІ в ІТМС забезпечує застосування засобів програмного, технічного та криптографічного захисту інформації, які виконують функції захисту інформації при передаванні відкритими каналами зв'язку, міжмережних екранів та систем виявлення вторгнень, керування захистом, моніторингу загроз безпеки, автентифікації та антивірусного захисту. Основними процесами, з яких складається робота заявленої інформаційнотелекомунікаційної моніторингової системи є: 1. Реєстрація ОПМ та їх власників в ІТМС; 2. Отримання первинних даних від ППД 3. Передача даних в ЦОД ІТМС; 4. Надання доступу до даних; 5. Адміністрування ІТМС. 1. Реєстрація ОПМ та їх власників в Системі. Власник ОПМ 2 проходить процедуру реєстрації на веб-ресурсі та після перевірки адміністратором ІТМС отримує можливість додати інформацію по своїх ОПМ 2 та подати заявки на реєстрацію їх в системі. 2. Отримання первинних даних від ППД (прямий напрям). ППД 3 отримує первинну інформацію від ОПМ 2, формує транспортний пакет, засвідчує його електронним цифровим підписом, шифрує змістовну частину пакета та відправляє транспортний пакет до комунікаційної підсистеми 5. В свою чергу комунікаційна підсистема 5 отримує транспортний пакет від ППД 3, розшифровує змістовну частину пакета, перевіряє ЕЦП та, у випадку позитивного результату, відправляє підтвердження про приймання транспортного пакета до ППД 3. У разі отримання такого підтвердження ППД 3 видаляє відповідний транспортний пакет. Комунікаційна підсистема 5, в разі негативної перевірки ЕЦП (прострочений термін сертифіката, невідомий сертифікат тощо) відправляє повідомлення про помилку приймання 11 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 транспортного пакета до ППД 3 та записує отриманий транспортний пакет до таблиць помилок буферної БД 11.1. У разі, якщо підтвердження про приймання транспортного пакета не отримано у визначений період часу або у разі відсутності доступу до комунікаційної підсистеми 5, ППД 3 зберігає транспортний пакет в зашифрованому вигляді. У разі наявності доступу до комунікаційної підсистеми 5 ППД 3 здійснює повторну спробу передачі транспортного пакета до комунікаційної підсистеми 5. У разі позитивного результату перевірки ЕЦП комунікаційна підсистема 5 виділяє з транспортного пакета змістовну частину та записує її та інші дані транспортного пакета до буферної БД 11.1. Комунікаційна підсистема 5 також записує до буферної БД 11.1 транспортний пакет цілком (з накладеним ЕЦП) для можливості перевірки автентичності отриманих даних. Підсистема обробки отриманих даних 8 постійно сканує буферну БД 11.1 на наявність необроблених транспортних пакетів, у разі наявності таких зчитує їх у хронологічному порядку, здійснює синтаксичний аналіз змістовної частини транспортних пакетів, та у випадку позитивного результату здійснює запис даних до таблиць основної БД 11.3. Обробленим транспортним пакетам присвоюється відповідний статус. У випадку негативного результату синтаксичного аналізу змістовної частини транспортного пакета підсистема обробки отриманих даних 8 помічає його як помилковий та генерує відповідне повідомлення про помилку. Оброблені транспортні пакети, за розкладом, переміщуються до архівної буферної БД 11.2. Під час запису даних в основну БД 11.3 автоматично виконується формування зведених або статистичних відомостей за первинними даними, що накопичуються, та здійснюється запис таких даних до БД аналітики 11.6. На всіх етапах отримання та обробки первинних даних ідентифікація таких даних здійснюється за унікальним ідентифікатором ППД 3. 3. Передача даних до ППД (зворотний напрям). Передача даних до ППД 3 здійснюється у разі: оновлення мікропрограмного коду ППД 3; оновлення конфігурації та програмного забезпечення ППД 3; оновлення ключових даних (відкриті ключі, особистий ключ), що застосовуватимуться для формування ЕЦП та шифрування; надсилання команд керування ОПМ 2. За підготовку пакетів передачі даних для команд керування (оновлення) відповідає центр керування ППД 6. Центр керування ППД 6 формує відповідні дані та записує їх до БД обліку 11.5 ППД, власників та користувачів. ППД 3, за розкладом, надсилає до комунікаційної підсистеми 5 запит на виконання команд керування. КСК 5.2, отримавши такий запит, звертається до відповідної таблиці в БД, та в разі наявності команд керування (оновлення), формує та надсилає у відповідь до ППД 3 відповідний пакет передачі даних (при цьому перед надсиланням КСК 5.2 засвідчує пакет передачі даних ЕЦП та виконує шифрування його змістовної частини). Зазначений транспортний пакет може призначатися окремому ППД, групі ППД або усім ППД. ППД 3 отримує транспортний пакет, обробляє його відповідно до його змісту та у випадку позитивного результату такої обробки відправляє підтвердження про обробку до комунікаційної підсистеми 5. У разі отримання такого підтвердження комунікаційна підсистема 5 відповідним чином помічає транспортний пакет в БД. 4. Надання доступу до даних. Доступ до даних ІТС НМС надається користувачам через веб-ресурс (сайт), який знаходиться у відкритому доступі в мережі Інтернет. Кожен користувач мережі Інтернет, який перейшов за адресою сайту ІТМС, потрапляє на веб-сторінку з інформацією про ІТМС. Зареєстровані на сайті користувачі, які бажають отримати доступ до інформаційних сервісів ІТМС, ініціюють процес автентифікації в ІТМС через спеціальний інтерфейс веб-сторінки. Автентифікація виконується за парою логін/пароль та тимчасовий пароль (надісланий через SMS) або за допомогою сертифікатів відкритих та особистих ключів. Користувачі, які пройшли процедуру автентифікації, авторизуються в ІТМС та отримують доступ до інформаційних сервісів відповідно до делегованим їм правам. Доступ до даних ІТМС надається співробітникам контролюючих органів відповідно до їх повноважень та забезпечується шляхом використання інтернет-технологій, а також механізмів ідентифікації користувача за допомогою сертифікатів відкритих та особистих ключів. 12 UA 114268 C2 5 10 5. Адміністрування ІТМС Адміністрування ІТМС здійснюється персоналом компанії, яка здійснює експлуатацію системи через відповідний веб-ресурс. Веб-ресурс адміністратора дозволяє здійснювати різноманітні операції керування системою, реєстрації та обліку ППД 3 та ОПМ 2, ведення довідників тощо. Доступ до веб-ресурсу надається співробітникам компанії, яка здійснює експлуатацію системи, відповідно до їх повноважень та забезпечується шляхом використання інтернет-технологій, а також механізмів ідентифікації користувача за допомогою сертифікатів відкритих та особистих ключів. Незважаючи на те, що представлений винахід детально описаний, включаючи окремі варіанти його здійснення, фахівцю в даній галузі техніки очевидно, що до нього можуть бути внесені зміни по формі та в деталях, не виходячи за рамки суті та обсягу цього винаходу. ФОРМУЛА ВИНАХОДУ 15 20 25 30 35 40 45 50 55 60 1. Інформаційно-телекомунікаційна моніторингова система типу клієнт-сервер, яка відрізняється тим, що містить - підсистему збирання і передавання даних, яка містить об'єкт первинного моніторингу (ОПМ), оснащений засобами вимірювання та/або реєстраторами розрахункових операцій, та пристрій передачі даних (ППД), підключений до ОПМ та виконаний з можливістю збору даних в режимі реального часу, попереднього накопичення даних, тимчасового зберігання даних протягом попередньо визначеного терміну на енергонезалежному носії даних при відсутності GSM-зв'язку, при цьому ППД додатково виконаний з можливістю функціонування в двох режимах: пасивному режимі, при якому здійснюється перехоплення даних, що передаються за ініціативою ОПМ, та активному режимі, при якому здійснюється надсилання даних від ОПМ за запитом пристрою передачі даних (ППД), причому підсистема збирання і передавання даних виконана з можливістю формування змістовної частини транспортного пакета, що має попередньо визначений формат та склад, фіксації місця розташування ОПМ за координатами GPS, прийому та передачі повідомлень, що містять транспортні пакети, від/до комунікаційної підсистеми (КП) повідомлень, розшифровування змістовної частини транспортного пакета, що надійшов від КП, передачі інформації до центру обробки даних (ЦОД) з використанням GSM-зв'язку, при цьому передача відбувається в двох режимах: реального часу (онлайн) та пакетному режимі (офлайн), - центр обробки даних (ЦОД), що складається з комунікаційної підсистеми (КП), яка містить комунікаційні сервери (КС) для отримування даних від ППД, передачі до ППД технічної інформації необхідної для функціонування ППД та розшифровування змістовної частини транспортного пакета, що надійшов від ППД, комунікаційні сервери керування (КСК) для надсилання до ППД транспортних пакетів для оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування, засоби балансування навантаження КП для рівномірного розподілу потоків даних, що надходять від ППД до КС та КСК і залежності від їх завантаженості, причому КП виконана з можливістю надавати стійкий спосіб прийому та передачі повідомлень по протоколу TCP/IP між ППД і ЦОД, забезпечувати підтвердження доставки повідомлень від ППД в ЦОД, забезпечувати цілісність переданої інформації та відсутність дублювання переданої інформації, підпису ЕЦП, шифрування та передачі каналами телекомунікаційного зв'язку визначеного набору даних до/від ППД, баз даних та прикладних серверів та центру сертифікації ключів, центру керування ППД, виконаного з можливістю підготовки даних для формування транспортного протоколу для оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування та виконання запису підготовлених даних транспортного протоколу до відповідної бази даних (БД), центру сертифікації ключів (ЦСК), що являє собою програмно-апаратний комплекс, виконаний з можливістю прийняття і обробки запитів на видання сертифікатів, видачу сертифікатів та керування виданими сертифікатами, підсистеми обробки отриманих даних (ПООД), яка містить засоби балансування навантаження для рівномірного розподілу потоків розшифрованих даних, що надходять від КС та КСК до буферних БД в залежності від їх завантаження, компонент обробки отриманих даних для оброки змістовної частини транспортного пакета, компонент підготовки даних для аналізу та відображення для оновлення даних у відповідних БД, компонент доступу контролюючих органів 13 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 для реалізації функції пошуку за певними реквізитами та сортування даних, компонент доступу власників для забезпечення доступу до моніторингової системи власника ОПМ, компонент доступу персоналу для забезпечення доступу до моніторингової системи персоналу, підсистеми зовнішнього доступу користувачів, яка містить веб-ресурс, що має систему керування контентом, веб-сервери для забезпечення доступу до даних, засоби балансування навантаження веб-серверів для рівномірного розподілу запитів на обробку, що надходять від користувачів до підсистеми обробки отриманих даних, підсистеми управління та моніторингу, виконаної з можливістю реєстрації подій та захисту журналу реєстрації подій від несанкціонованого доступу, підсистеми зберігання даних, виконаної з можливістю безперебійного запису даних, що надходять на рівні розрахункового пікового максимуму, комплексної системи захисту інформації (КСЗІ) для захисту даних, виконану з можливістю виключення несанкціонованого доступу, порушення цілісності та доступності та спостережності інформації, що зберігається в моніторинговій системі, щонайменше однієї буферної БД, виконаної з можливістю зберігання інформації, асоційованої зі змістовною частиною транспортних пакетів та оригінальних транспортних пакетів з ЕЦП, щонайменше однієї архівної буферної БД, виконаної з можливістю зберігання інформації, отриманої з буферної БД після її обробки компонентом обробки отриманих даних та запису їх, і основну БД, щонайменше однієї основної БД, виконаної з можливістю зберігання інформації, асоційованої з первинними даними в структурованому вигляді, отриманих від ОПМ через ППД, щонайменше однієї архівної БД, виконаної з можливістю зберігати повну копію основної БД, щонайменше однієї БД обліку, виконаної з можливістю зберігати інформацію, асоційовану з даними обліку ППД, даними обліку ОПМ, даними обліку користувачів моніторингової системи, щонайменше однієї БД аналітики, виконаної з можливістю надання даних з основної БД та БД обліку, причому підсистема збирання і передавання даних поєднана із ЦОД за допомогою відокремленої мережі з окремою точкою доступу, створеної на обладнанні GSM-мережі оператора стільникового зв'язку, причому відокремлена мережа з окремою точкою доступу виконана з можливістю доступу до неї з використанням механізму підписки на користування відокремленою мережею, організації тунельних каналів передачі даних між периферійним обладнанням та ЦОД, причому тунельні канали доступу до ЦОД виконані з можливістю забезпечення фізично рознесеного резервування. 2. Моніторингова система за п. 1, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю підтримання оновлення мікропрограмного коду, отриманого від КП, причому оновлення мікропрограмного коду отримується віддалено, каналами GSM з використанням криптографічного захисту інформації. 3. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю підтримання оновлення конфігурації, отриманої від КП. 4. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю оновлення ключових даних (відкриті ключі, особистий ключ, сертифікатів), що застосовуватимуться для формування ЕЦП та шифрування, причому оновлення ключових даних отримується віддалено, каналами GSM з використанням криптографічного захисту інформації. 5. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю накладання електронного цифрового підпису (ЕЦП) на весь транспортний пакет. 6. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю шифрування змістовної частини транспортного пакета, що має бути переданим до комунікаційної підсистеми (КП). 7. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю перевірки ЕЦП та чинності (валідності) сертифіката відкритого ключа транспортного пакета, що надійшов від КП. 8. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що попередньо визначений термін тимчасового зберігання даних на енергонезалежному носії становить не більше 10 діб. 14 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 9. Моніторингова система за п. 1, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю надавати до ОПМ команду про неможливість функціонування останнього, у разі, якщо ОПМ підтримує отримання таких команд. 10. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю однозначного закріплення ППД до внутрішньої конфігурації ОПМ та його цифрового ідентифікатора. 11. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю використання принципу зворотної залежності, при якому функціонування ППД можливе лише при взаємодії з ОПМ, який зареєстровано в моніторинговій системі, а функціонування ОПМ можливе лише при наявності підключеного до нього ППД (в разі відповідної стандартизації ОПМ). 12. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що підсистема збирання і передавання даних додатково виконана з можливістю завантаження у ЦОД даних з інших інформаційно-телекомунікаційних систем. 13. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що механізмом підписки на користування відокремленою мережею є присвоєння оператором стільникового зв'язку персонального APN та IP до MSISDN. 14. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що пропускна спроможність тунельних каналів передачі даних між периферійним обладнанням та ЦОД складає не менше 64 Кбіт/с, забезпечена засобами технологій IP/MPLS L2VPN, L3VPN. 15. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що відокремлена мережа з окремою точкою доступу виконана з можливістю забезпечення функціонування клієнтського апаратно-програмного забезпечення до 1 млн. пристроїв. 16. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що відокремлена мережа з окремою точкою доступу виконана з можливістю забезпечення наявності окремої виділеної централізованої диспетчерської служби, працюючої в режимі 24/7, для обслуговування організованих каналів передачі даних. 17. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що пропускна здатність вихідних каналів зв'язку від ЦОД або кінцевого вузла оператора GSMзв'язку до ЦОД складає не менше 5 Гбіт/с. 18. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що відокремлена мережа з окремою точкою доступу виконана з можливістю застосування узгодженої з оператором GSM-зв'язку схеми адресації з використанням приватних адрес та їх автоматичною роздачею за допомогою серверів DHCP або статичною роздачею, а кількість доступних для використання адрес при цьому обмежено лише розміром блоків адрес, визначених в RFC 1918. 19. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що відокремлена мережа з окремою точкою доступу виконана із захистом від зовнішніх втручань, а маршрутні таблиці будь-якої віртуальної приватної мережі ізольовані від таблиць інших віртуальних приватних мереж та Інтернет. 20. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що ЦОД додатково включає емулятор навантаження комунікаційної системи для тестування. 21. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що ЦОД виконаний з можливістю нарощування потужності та виконання будь-якої планової діяльності без перерви в наданні послуг. 22. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що ЦОД виконаний з можливістю підключення щонайменше одного іншого ЦОД з метою підвищення продуктивності моніторингової системи та відмовостійкості. 23. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що ЦОД виконаний з можливістю забезпечувати здатність моніторингової системи витримувати щонайменше одну відмову (або подію) найгіршої якості, за допомогою засобів "гарячого резервування" критично важливого навантаження. 24. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що ЦОД додатково включає резервну підсистему збереження даних, виконану з можливістю дублювання критичних даних з підсистеми збереження даних в повному обсязі, причому загальний об'єм корисного дискового простору резервної підсистеми збереження даних є більшим від об'єму підсистеми збереження даних щонайменше на 20 %. 25. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що номінальна пропускна спроможність КП становить 1,5 ТБ на добу (1 млн. ППД), а максимальна пропускна спроможність становить 15 ТБ на добу (10 млн. ППД). 15 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 26. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що КП додатково включає механізм ведення переліку сертифікатів ЕЦП, що використовується для перевірки ЕЦП. 27. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що КСЗІ додатково виконана з можливістю забезпечення багатофакторної автентифікації ключів. 28. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що КСЗІ додатково виконана з можливістю забезпечення захисту програмного забезпечення від його модифікації. 29. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що КСЗІ додатково виконана з можливістю забезпечення антивірусного захисту інформації. 30. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що КСЗІ додатково виконана з можливістю забезпечення автоматичної реєстрації результатів ідентифікації та автентифікації користувачів, результатів виконання користувачем операцій з обробки інформації, спроб несанкціонованих дій з інформацією, фактів позбавлення користувачів права на доступ до інформації та її обробки, результатів перевірки цілісності засобів інформації. 31. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що вона має модульну структуру і кожна функціональна частина моніторингової система виконана з можливістю резервування всіх модулів N+N+1. 32. Моніторингова система за будь-яким з попередніх пунктів, яка відрізняється тим, що вона виконана з можливістю забезпечення безперебійного прийому та обробки даних на рівні розрахункового пікового максимуму, при цьому утилізація наявних системних ресурсів не перевищує 70 %. 33. Спосіб моніторингу та обробки даних за допомогою інформаційно-телекомунікаційної моніторингової системи, який відрізняється тим, що - за допомогою пристрою передачі даних (ППД) підсистеми збирання і передавання даних, в режимі реального часу отримують від об'єкта первинного моніторингу (ОПМ) дані, асоційовані з об'єктом моніторингу, - на основі отриманих даних за допомогою ППД формують змістовну частину транспортного пакета даних, попередньо визначеного складу та формату, - накладають електронний цифровий підпис (ЕЦП) на весь транспортний пакет, - шифрують змістовну частину транспортного пакета, та - передають транспортний пакет до комунікаційної підсистеми (КП) центру обробки даних (ЦОД) за допомогою відокремленої мережі з окремою точкою доступу, створеної на обладнанні GSMмережі оператора стільникового зв'язку, - за допомогою комунікаційної підсистеми (КП) отримують дані від ППД та здійснюють їх обробку, що включає - розшифровування змістовної частини транспортного пакета, що надійшов від ППД, - перевірку ЕЦП та чинність (валідність) сертифіката відкритого ключа транспортного пакета, та - збереження розшифрованої змістовної частини транспортного пакета та всього оригінального пакета у щонайменше одній буферній БД, - після чого за допомогою КП відправляють до ППД відповідь, асоційовану з результатами обробки раніше отриманих від ППД даних, причому, якщо обробка раніше отриманих даних була успішною, то за допомогою ППД видаляють раніше отримані дані, якщо обробка раніше отриманих даних була неуспішною, то повторюють спробу передачі транспортного пакета від ППД до КП, - далі виконують пошук нових записів, що являють собою змістовні частини транспортного пакета у буферній БД, і - якщо нові записи знайдено, виконують витягання даних зі змістовної частини транспортного пакета відповідно до попередньо визначеного складу та формату, - записують ці дані до відповідних БД підсистеми обробки отриманих даних, та - надають їх до підсистеми зовнішнього доступу користувачів для забезпечення зовнішнього доступу користувачів до цих даних за допомогою веб-ресурсу, - крім того, у центрі керування ППД формують завдання для ППД, що включає оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування у форматі транспортного протоколу та зберігають їх в Основній БД, - також на ПДД здійснюють неперервну реєстрацію внутрішніх подій ППД та ОПМ та записують її до реєстраційного файла, 16 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 - а у разі несанкціонованого фізичного доступу до ПДД, знищують дані, які необхідні для роботи ППД, що зберігаються в ньому протягом попередньо визначеного терміну на енергозалежному носії даних. 34. Спосіб за п. 33, який відрізняється тим, що отримання даних, асоційованих з об'єктом моніторингу здійснюють по протоколу MDB, CCNet, EVA. 35. Спосіб за будь-яким з пунктів 33-34, який відрізняється тим, що за допомогою підсистеми збирання і передавання даних додатково здійснюють оновлення мікропрограмного коду, отриманого від КП, причому оновлення мікропрограмного коду отримують віддалено, каналами GSM з використанням криптографічного захисту інформації. 36. Спосіб за будь-яким з пунктів 33-35, який відрізняється тим, що за допомогою підсистеми збирання і передавання даних додатково здійснюють оновлення ключових даних (відкриті ключі, особистий ключ, сертифікатів), що застосовують для формування ЕЦП та шифрування, причому оновлення ключових даних отримують віддалено, каналами GSM з використанням криптографічного захисту інформації. 37. Спосіб за будь-яким з пунктів 33-36, який відрізняється тим, що за допомогою підсистеми збирання і передавання даних додатково надають до ОПМ команду про неможливість функціонування останнього, у разі, якщо ОПМ підтримує отримання таких команд. 38. Спосіб за будь-яким з пунктів 33-37, який відрізняється тим, що за допомогою підсистеми збирання і передавання даних додатково однозначно закріплюють ППД до внутрішньої конфігурації ОПМ та його цифрового ідентифікатора. 39. Спосіб за будь-яким з пунктів 33-38, який відрізняється тим, що завантаження даних у ЦОД здійснюють з інших інформаційно-телекомунікаційних систем. 40. Спосіб за будь-яким з пунктів 33-39, який відрізняється тим, що оператором стільникового зв'язку присвоюють персональний APN та IP до MSISDN. 41. Спосіб за будь-яким з пунктів 33-40, який відрізняється тим, що доступ до відокремленої мережі з окремою точкою доступу додатково здійснюють з використанням механізму підписки на користування відокремленою мережею. 42. Спосіб за будь-яким з пунктів 33-41, який відрізняється тим, що додатково здійснюють організацію тунельних каналів передачі даних між периферійним обладнанням та ЦОД, при цьому забезпечують фізично рознесене резервування тунельних каналів доступу до ЦОД. 43. Спосіб за будь-яким з пунктів 33-42, який відрізняється тим, що для обслуговування організованих каналів передачі даних відокремленої мережі з окремою точкою доступу забезпечують наявність окремої виділеної централізованої диспетчерської служби, працюючої в режимі 24/7. 44. Спосіб за будь-яким з пунктів 33-43, який відрізняється тим, що для відокремленої мережі з окремою точкою доступу додатково застосовують узгоджену з оператором GSM-зв'язку схему адресації з використанням приватних адрес та їх автоматичною роздачею за допомогою серверів DHCP або статичною роздачею, а кількість доступних для використання адрес при цьому обмежено лише розміром блоків адрес, визначених в RFC1918. 45. Спосіб за будь-яким з пунктів 33-44, який відрізняється тим, що відокремлену мережу з окремою точкою доступу забезпечують захистом від зовнішніх втручань, а маршрутні таблиці будь-якої віртуальної приватної мережі ізолюють від таблиць інших віртуальних приватних мереж та Інтернет. 46. Спосіб за будь-яким з пунктів 33-45, який відрізняється тим, що додатково здійснюють тестування ЦОД за допомогою емулятора навантаження комунікаційної системи. 47. Спосіб за будь-яким з пунктів 33-46, який відрізняється тим, що з метою підвищення продуктивності моніторингової системи та відмовостійкості до ЦОД додатково підключають щонайменше один інший ЦОД. 48. Спосіб за будь-яким з пунктів 33-47, який відрізняється тим, що додатково здійснюють "гаряче резервування" критично важливого навантаження для забезпечення здатності моніторингової системи витримувати щонайменше одну відмову (або подію) найгіршої якості. 49. Спосіб за будь-яким з пунктів 33-48, який відрізняється тим, що додатково здійснюють дублювання критичних даних з підсистеми збереження даних в повному обсязі, причому загальний об'єм корисного дискового простору резервної підсистеми збереження даних є більшим від об'єму підсистеми збереження даних щонайменше на 20 %. 50. Спосіб за будь-яким з пунктів 33-49, який відрізняється тим, що перевірку ЕЦП здійснюють за допомогою механізму ведення переліку сертифікатів ЕЦП. 51. Спосіб за будь-яким з пунктів 33-50, який відрізняється тим, що додатково здійснюють резервування всіх модулів N+N+1. 17 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 52. Спосіб за будь-яким з пунктів 33-51, який відрізняється тим, що додатково забезпечують безперебійний прийом та обробку даних на рівні розрахункового пікового максимуму, при цьому утилізація наявних системних ресурсів не перевищує 70 %. 53. Спосіб за будь-яким з пунктів 33-52, який відрізняється тим, що за допомогою комплексної системи захисту інформації (КСЗІ) додатково забезпечують багатофакторну автентифікацію ключів. 54. Спосіб за будь-яким з пунктів 33-53, який відрізняється тим, що за допомогою КСЗІ додатково забезпечують захист програмного забезпечення від його модифікації. 55. Спосіб за будь-яким з пунктів 33-54, який відрізняється тим, що за допомогою КСЗІ додатково забезпечують антивірусний захист інформації. 56. Спосіб за будь-яким з пунктів 33-55, який відрізняється тим, що за допомогою КСЗІ додатково забезпечують автоматичну реєстрацію результатів ідентифікації та автентифікації користувачів, результатів виконання користувачем операцій з обробки інформації, спроб несанкціонованих дій з інформацією, фактів позбавлення користувачів права на доступ до інформації та її обробки, результатів перевірки цілісності засобів інформації. 57. Зчитуваний комп'ютером носій даних, що містить програмний код, виконаний з можливістю, при виконанні у середовищі інформаційно-телекомунікаційної моніторингової системи, виконувати спосіб моніторингу та обробки даних, причому програмний код містить код для: - отримання в режимі реального часу даних, асоційованих з об'єктом моніторингу, від об'єкта первинного моніторингу (ОПМ) за допомогою пристрою передачі даних (ППД) підсистеми збирання і передавання даних, - формування змістовної частини транспортного пакета даних попередньо визначеного складу та формату на основі отриманих даних за допомогою ППД, - накладання електронного цифрового підпису (ЕЦП) на весь транспортний пакет, - шифрування змістовної частини транспортного пакета, та - передавання транспортного пакета до комунікаційної підсистеми (КП) центру обробки даних (ЦОД) за допомогою відокремленої мережі з окремою точкою доступу, створеної на обладнанні GSM-мережі оператора стільникового зв'язку, - отримання за допомогою комунікаційної підсистеми (КП) даних від ППД та здійснення їх обробки, що включає - розшифровування змістовної частини транспортного пакета, що надійшов від ППД, - перевірку ЕЦП та чинність (валідність) сертифіката відкритого ключа транспортного пакета, та - збереження розшифрованої змістовної частини транспортного пакета та всього оригінального пакета у щонайменше одній буферній БД, - відправлення за допомогою КП до ППД відповіді, асоційованої з результатами обробки раніше отриманих від ППД даних, причому, якщо обробка раніше отриманих даних була успішною, то за допомогою ППД видаляють раніше отримані дані, якщо обробка раніше отриманих даних була неуспішною, то повторюють спробу передачі транспортного пакета від ППД до КП, - виконання пошуку нових записів, що являють собою змістовні частини транспортного пакета у буферній БД, і - витягання даних зі змістовної частини транспортного пакета відповідно до попередньо визначеного складу та формату, якщо нові записи було знайдено, - запису цих даних до відповідних БД підсистеми обробки отриманих даних, та - надання їх до підсистеми зовнішнього доступу користувачів для забезпечення зовнішнього доступу користувачів до цих даних за допомогою веб-ресурсу, - формування у центрі керування ППД завдання для ППД, що включає оновлення мікропрограмного коду, оновлення конфігурації, оновлення ключових даних, команд керування у форматі транспортного протоколу та зберігання їх в Основній БД, - здійснення на ПДЦ неперервної реєстрації внутрішніх подій ППД та ОПМ та запису її до реєстраційного файла, - знищення у разі несанкціонованого фізичного доступу до ПДД даних, які необхідні для роботи ППД, що зберігаються в ньому протягом попередньо визначеного терміну на енергозалежному носії даних. 58. Носій даних за п. 57, який відрізняється тим, що отримання даних, асоційованих з об'єктом моніторингу здійснюють по протоколу MDB, CCNet, EVA. 59. Носій даних за будь-яким з пунктів 57-58, який відрізняється тим, що додатково містить код для здійснення оновлення мікропрограмного коду, отриманого від КП, причому оновлення мікропрограмного коду отримують віддалено, каналами GSM з використанням криптографічного захисту інформації. 18 UA 114268 C2 5 10 15 20 25 30 35 40 45 50 55 60 60. Носій даних за будь-яким з пунктів 57-59, який відрізняється тим, що додатково містить код для здійснення оновлення ключових даних (відкриті ключі, особистий ключ, сертифікатів), що застосовують для формування ЕЦП та шифрування, причому оновлення ключових даних отримують віддалено, каналами GSM з використанням криптографічного захисту інформації. 61. Носій даних за будь-яким з пунктів 57-60, який відрізняється тим, що додатково містить код для надавання до ОПМ команди про неможливість функціонування останнього, у разі, якщо ОПМ підтримує отримання таких команд. 62. Носій даних за будь-яким з пунктів 57-61, який відрізняється тим, що додатково містить код для однозначного закріплення ППД до внутрішньої конфігурації ОПМ та його цифрового ідентифікатора. 63. Носій даних за будь-яким з пунктів 57-62, який відрізняється тим, що додатково містить код для здійснення завантаження даних у ЦОД з інших інформаційно-телекомунікаційних систем. 64. Носій даних за будь-яким з пунктів 57-63, який відрізняється тим, що додатково містить код для присвоєння оператором стільникового зв'язку персонального APN та IP до MSISDN. 65. Носій даних за будь-яким з пунктів 57-64, який відрізняється тим, що додатково містить код для здійснення доступу до відокремленої мережі з окремою точкою доступу з використанням механізму підписки на користування відокремленою мережею. 66. Носій даних за будь-яким з пунктів 57-65, який відрізняється тим, що здійснення організації тунельних каналів передачі даних між периферійним обладнанням та ЦОД, при цьому забезпечується фізично рознесене резервування тунельних каналів доступу до ЦОД. 67. Носій даних за будь-яким з пунктів 57-66, який відрізняється тим, що додатково містить код для забезпечення можливості функціонування окремої виділеної централізованої диспетчерської служби, працюючої в режимі 24/7 для обслуговування організованих каналів передачі даних відокремленої мережі з окремою точкою доступу. 68. Носій даних за будь-яким з пунктів 57-67, який відрізняється тим, що додатково містить код для застосування узгодженої з оператором GSM-зв'язку схеми адресації з використанням приватних адрес та їх автоматичним роздаванням за допомогою серверів DHCP або статичним роздаванням, причому кількість доступних для використання адрес при цьому обмежено лише розміром блоків адрес, визначених в RFC1918. 69. Носій даних за будь-яким з пунктів 57-68, який відрізняється тим, що додатково містить код для забезпечення відокремленої мережі з окремою точкою доступу захистом від зовнішніх втручань, причому маршрутні таблиці будь-якої віртуальної приватної мережі є ізольованими від таблиць інших віртуальних приватних мереж та Інтернет. 70. Носій даних за будь-яким з пунктів 57-69, який відрізняється тим, що додатково містить код для здійснення тестування ЦОД за допомогою емулятора навантаження комунікаційної системи. 71. Носій даних за будь-яким з пунктів 57-70, який відрізняється тим, що додатково містить код для забезпечення можливості підключення до ЦОД щонайменше одного іншого ЦОД для підвищення продуктивності моніторингової системи та її відмовостійкості. 72. Носій даних за будь-яким з пунктів 57-71, який відрізняється тим, що здійснення "гарячого резервування" критично важливого навантаження для забезпечення здатності моніторингової системи витримувати щонайменше одну відмову (або подію) найгіршої якості. 73. Носій даних за будь-яким з пунктів 57-72, який відрізняється тим, що додатково містить код для здійснення дублювання критичних даних з підсистеми збереження даних в повному обсязі, причому загальний об'єм корисного дискового простору резервної підсистеми збереження даних є більшим від об'єму підсистеми збереження даних щонайменше на 20 %. 74. Носій даних за будь-яким з пунктів 57-73, який відрізняється тим, що додатково містить код для здійснення перевірки ЕЦП за допомогою механізму ведення переліку сертифікатів ЕЦП. 75. Носій даних за будь-яким з пунктів 57-74, який відрізняється тим, що додатково містить код для програмної підтримки можливості здійснення резервування всіх модулів N+N+1. 76. Носій даних за будь-яким з пунктів 57-75, який відрізняється тим, що додатково містить код для забезпечення безперебійного прийому та обробки даних на рівні розрахункового пікового максимуму, при цьому утилізація наявних системних ресурсів не перевищує 70 %. 77. Носій даних за будь-яким з пунктів 57-76, який відрізняється тим, що за допомогою комплексної системи захисту інформації (КСЗІ) додатково забезпечують багатофакторну автентифікацію ключів. 78. Носій даних за будь-яким з пунктів 57-77, який відрізняється тим, що додатково забезпечення захисту програмного забезпечення від його модифікації за допомогою КСЗІ. 79. Носій даних за будь-яким з пунктів 57-78, який відрізняється тим, що забезпечення антивірусного захисту інформації за допомогою КСЗІ. 19 UA 114268 C2 5 80. Носій даних за будь-яким з пунктів 57-79, який відрізняється тим, що додатково містить код для забезпечення автоматичної реєстрації результатів ідентифікації та автентифікації користувачів, результатів виконання користувачем операцій з обробки інформації, спроб несанкціонованих дій з інформацією, фактів позбавлення користувачів права на доступ до інформації та її обробки, результатів перевірки цілісності засобів інформації за допомогою КСЗІ. 20 UA 114268 C2 Комп’ютерна верстка В. Мацело Державна служба інтелектуальної власності України, вул. Василя Липківського, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут інтелектуальної власності”, вул. Глазунова, 1, м. Київ – 42, 01601 21