Державний вищий навчальний заклад
«Українська академія банківської справи
Національного банку України»
Кафедра економічної кібернетики
Контрольнаробота
З дисципліни: “Платіжні системи"
Тема: Алгоритми шифрування інформації
Виконала:
студенткафакультету банківських технологій
гр.
Перевірив: доц..
Суми 2008
Зміст
1. Принципи побудови захисту електронних банківськихдокументів
2. Криптографічний захист інформації
3. Захист інформації та вирішення питань безпеки у СЕП
Список літератури
1. Принципи побудови захистуелектронних банківських документів
Система захисту електронних банківських документівскладається з комплексу апаратно-програмних засобів криптографічного захисту таключової системи до них, технологічних і організаційних заходів щодо захистуінформації.
Система захисту електронних банківськихдокументів в інформаційній мережі (далі — система захисту) включає:
а) усі етапи розроблення, упровадження та експлуатаціїпрограмно-технічного забезпечення в банківських установах, підключених доінформаційної мережі;
б) технологічні, апаратні, програмні засоби таорганізаційні заходи захисту;
в) чіткий розподіл відповідальності на кожномуетапі підготовки, оброблення та виконання електронних банківських документів навсіх рівнях.
Система захисту забезпечує:
а) захист від несанкціонованого розшифрування тавикривлення електронних банківських документів, появи фальсифікованих електроннихбанківських документів на будь-якому етапі оброблення;
б) автоматичне ведення протоколу обробленняелектронних банківських документів з метою локалізації джерел появи порушеньроботи програмно-технічних комплексів в інформаційній мережі;
в) захист від технічних порушень та збоївапаратури {у тому числі збоїв та псування апаратних і програмних засобів,перешкод у каналах зв'язку);
г) належні умови для роботи програмно-технічнихкомплексів в інформаційній мережі, за яких фахівці банків — учасників СЕМП таНаціонального банку не можуть утручатись в оброблення електронних банківськихдокументів після їх формування, та автоматичний контроль на кожному етапі їхоброблення.
Система захисту є єдиною для всіх інформаційнихзадач Національного банку і СЕМП. Для підвищення ступеня захисту міжбанківськихелектронних розрахункових документів у СЕМП використовуються додаткові засоби,уключаючи технологічний контроль. Технологічні та криптографічні засоби безпекивикористовуються не лише в СЕМП, а й у всіх інформаційних задачах Національногобанку.
Рекордна атака на платіжні системи. Картковішахраї щорічно викрадають близько 5 млрд. дол. Приблизно 2 млн. втрачаютьукраїнці.
Інформація, що з’явилася минулого місяця вІнтернеті з посиланням на Associated Press, змусила вкотре серйозно задуматисяпро безпеку використання пластикових карток. Надбанням громадськості стализвістки про найбільшу за всю історію існування карткових платіжних систем атакукомп’ютерних шахраїв. За попередніми даними, комп’ютерним умільцям виявиласядоступною інформація понад 40 млн. карткових рахунків. Чимало знайдеться йукраїнських власників карток, що «засвітилися». Про масовість явищасвідчить уже той факт, що шість чоловік (із близько 100 щасливих власниківплатіжних карток VISA, які працюють у відомій автору організації) були змушенізвернутися до банку для перевипуску своїх карток. Напередодні ці людизіштовхнулися з обмеженнями під час зняття готівки. «Укрсоцбанк», якийемітував картки, не поспішав попередити клієнтів про можливі проблеми. Щоправда,після звернення в банк пластик, що «засвітився», перевипустили зарахунок емітента.
Ми припускаємо, хакер зламав сервер компаніїCardSystems Solutions, що опрацьовує трансакції по всьому світі, і впровадив унеї вірус, який певний час відстежував всі операції з картами, — цитуютьпредставника MasterСard Int. Джессіку Ентл інтернет-видання. Вірус передавав насторону дані про ім’я власника картки, банк і номер рахунка. Представникикомпанії CardSystems Solutions Inc повідомили, що про наявність вірусу всистемі їм стало відомо ще 22 травня. Інформацію ж про факт відтоку даних ізсервера CardSystems оприлюднили лише через місяць після того, як було розпочаторозслідування за цією справою. Скільки власників карток уже встигли постраждатиз моменту зараження вірусом — невідомо.
Зламування баз даних, які зберігаютьконфіденційну інформацію власників пластикових карт, стало уже майжеповсякденним явищем. Проте згадану аферу відрізняє як масштаб викраденоїінформації, так і те, що вперше під загрозою опинилися гроші й наших власниківпластику. Сервер, зламаний шахраями, опрацьовував усю інформацію, незалежно відтипу операцій, тому в його базах даних були й ті картки, якими розраховувалисяв Інтернеті, й ті, якими українці оплачували покупки в торговельних точках закордоном. Навіть гордість виникає за наших співвітчизників. Кількістьукраїнців, які розплатилися за кордоном за допомогою пластику, становить несотні, а десятки тисяч чоловік. Українські банки наприкінці минулого місяця вжеотримали номери українських рахунків, які опинилися в списку потенційнорозсекречених, і збираються перевипустити усі «засвічені» картки.
Зломщики комп’ютерів дістали доступ доінформації чотирьох платіжних систем. Найбільше потенційно постраждалих — середвласників карток системи VISA. Зловмисники отримали дані по 22 млн. карт. Постраждалихвласників MasterCard менше — зловмисникам удалося скачати інформацію про 14 млн.карток цієї системи.4 млн. постраждалих використовували American Express абоDiscover Card.
Українці сьогодні користуються переважнокартками двох перших платіжних систем. Хоч American Express і заявила нещодавнопро вихід на український ринок, картки цієї елітної платіжної системи маютьодиниці.
По всіх українських банках платіжнимисистемами розіслані номери карт, що були в базі CardSystems й інформація з якихможе перебувати в руках шахраїв. Ми радимо банкам перевіряти трансакції по цихкартах і, якщо це можливо, то й перевипустити картки", — повідомивдиректор Української міжбанківської асоціації банків — членів EuropayInternational Олександр Карпов.
Українські банки мають намір розв’язатипроблему просто — вони готові перевипустити картки, що потрапили під підозру. Причомубільшість банків згодні зробити це безплатно й у стислий термін. Деякі великібанки вже практично завершили цю процедуру. У заміні карток зацікавлений ібанк, і клієнт банку. Адже у разі надходження інформації про несанкціонованісписання з рахунків щодо кожного випадку банки змушені проводити ретельнерозслідування. Йдеться про опротестування конкретних сум, які відшкодовуватиклієнту доведеться банку, після чого вимагати, щоб йому ці витрати покрилаплатіжна система. Залежно від складності ситуації розслідування може тривативід тижня до року. Тому банки вважають за краще переконувати клієнтів, чиїкарткові рахунки потрапили в списки розсекречених, у необхідності терміновоїзаміни карток. Водночас банки радять про усякий випадок відкрити новийкартковий рахунок усім, хто розраховувався пластиком за кордоном і зновузбирається за кордон, незалежно від наявності номера його рахунка в списках, щонадійшли. Правда, у цьому разі заміна відбуватиметься за рахунок власникакартки.
Універсальна ж порада, запропонованабанкірами, — підписатися на послуги sms-банкінгу, суть якої зводиться доінформування клієнта про кожну його трансакцію. Тоді клієнт дістає можливістьвідстежувати й оперативно припиняти спроби несанкціонованого використання своєїплатіжної картки.
В міру збільшення обсягів вітчизняногопластикового ринку проблема безпеки коштів на картках стає дедалі актуальнішою.В Україні емітуються досить дешеві карти й у масовому порядку. Ризик їхньоїпідробки при цьому, природно, зростає.
Офіційної статистики з діяльності картковихшахраїв в Україні нині не існує. Якщо банки і проводять роботу з моніторингушахрайських операцій, то ця інформація є строго конфіденційною.
Відповідно до вимог Visa і Europay, збитки віддіяльності карткових шахраїв не мають перевищувати 0,14% обсягу операцій ізкартами. Реально ж у країнах єврозони на частку шахраїв припадає 0,3% операцій,а в Україні, за неофіційними даними, — майже 1%, або 1-2 млн. доларів.
У світовому масштабі шахраї щорічно викрадаютьза допомогою пластикових карток систем Visa і Europay близько 5 млрд. дол. Світовийдосвід показує, що кількість афер із картками залежить від «зрілості»ринку. Шахраї постійно шукають країни, які мають великі обсяги емісії карток,але ще не навчилися ефективно боротися з картковими зловживаннями. Сьогодні наукраїнському ринку еквайрингу працює багато дрібних і середніх банків — еквайерів,не готових витрачати досить зусиль і коштів на безпеку й якість цієї послуги. Урезультаті рівень шахрайства з операцій із платіжними картками в Українінабагато вищий за світовий. Піклуватися ж про безпеку своїх грошей доводитьсясамому власнику картки.
КБ «Приватбанк» завершив досліднівипробування і приступив до промислової експлуатації системи моніторингушахрайських операцій по платіжних картах, яка забезпечить більш високий рівеньбезпеки для власників пластикових карт, повідомляє «УНІАН» зпосиланням на прес-службу банку.
Нова система моніторингу побудована на базіаналітичної системи TranzWare Data Warehouse і, зокрема, додатків TranzWareFraud Analyzer, розроблених компанією Compass Plus.
За інформацією прес-служби, тепер всі основніпотоки транзакцій, пов’язаних з операціями по платіжних картах банку,перевіряються системою моніторингу в реальному режимі.
Також банк проводить роботи по розширенню іуточненню списку контролюючих правил (зараз система перевіряє операції за більшніж 70 активними правилами).
За даними прес-служби, КБ «Приватбанк»планує використовувати і інші аналітичні додатки системи TranzWare DataWarehouse для подальшого дослідження нагромаджується в базі даних інформації пофінансових транзакціях, а також розширенню застосування розробленого іупровадженого інструменту моніторингу на інші операції клієнтів банку.
КБ «Приватбанк» входить до числанайбільших українських банків. Національна мережа банківського обслуговуванняКБ «Приватбанк» включає 1 577 філіалів і відділень по всій територіїУкраїни. На сьогоднішній день баком емітовано понад 5,3 млн. пластикових карток.В мережі обслуговування пластикових карт КБ «Приватбанк» працює 1 474банкомати, 13 675 POS-терміналів. До кінця року банк планує збільшити сітьбанкоматів до 2 300.
Компанія Compass Plus — російська компанія — розробникпрограмного забезпечення, рішень і технологій для систем електронних платежів. Створенав 1989 році. Продуктами компанії сімейства TranzWare оснащені більше 35 банківв Росії, країнах СНГ, Балтії, Європи і Азії.
2. Криптографічний захист інформації
Апаратно-програмні засоби криптографічногозахисту інформації в СЕП забезпечують автентифікацію адресата та відправникаміжбанківських електронних розрахункових документів і службових повідомленьСЕП, гарантують їх достовірність та цілісність у результаті неможливостіпідроблення або викривлення документів у шифрованому вигляді або за наявностіЕЦП.
Криптографічний захист інформації маєохоплювати всі етапи оброблення електронних банківських документів, починаючи зчасу їх створення до зберігання в архівах банку. Використання різнихкриптографічних алгоритмів на різних етапах оброблення електронних банківськихдокументів дає змогу забезпечити безперервний захист інформації в інформаційніймережі, а також відокремлене оброблення інформації стосовно різних задачінформатизації Національного банку.
Основною метою криптографічного захистуінформації є забезпечення конфіденційності та цілісності електронноїбанківської інформації, а також суворої автентифікації учасників СЕП і фахівцівбанківських установ, які беруть участь у підготовці та обробленні електроннихбанківських документів.
Для забезпечення розв'язання завдань сувороїавтентифікації банківських установ, підключених до інформаційної мережі,розроблено систему ідентифікації користувачів, яка є основою системи розподілуключів криптографічного захисту.
Кожна банківська установа з точки зору захистуінформації має трибайтний ідентифікатор, перший знак якого є літероювідповідної території, на якій розташована ця банківська установа; другий татретій знаки є унікальним ідентифікатором банківської установи в межах цієїтериторії. Ці ідентифікатори узгоджені з адресами системи ЕП і є унікальними вмежах банківської системи України.
Трибайтні ідентифікатори є основою дляідентифікації робочих місць у банківських установах та ідентифікаторів ключі їїдля всіх робочих місць банківської установи. Ідентифікатор ключів робочих місцьскладається з шести символів, з яких три перших є ідентифікаторами банківськоїустанови, четвертий символ визначає тип робочого місця (операціоніст, бухгалтертощо), п'ятий та шостий символи — ідентифікатор конкретного робочого місця (тобтослужбової особи, яка відповідає за оброблення платіжної інформації на цьомуробочому місці). Трибайтний ідентифікатор банківської установи вбудований упрограму генерації ключів і не може бути змінений у банківській установі, щозабезпечує захист від підроблення ключів від імені інших банківських установ.
Відповідні ідентифікатори ключів записуються велектронні картки, які є носіями ключової інформації для апаратного шифрування.
Для забезпечення захисту інформації відмодифікації з одночасною суворою автентифікацією та безперервного захиступлатіжної інформації з часу її формування система захисту СЕП та іншихінформаційних задач включає механізми формування/перевірки ЕЦП на базінесиметричного алгоритму RSA.
Для забезпечення роботи цього алгоритму кожнабанківська установа отримує від служб захисту інформації територіальнихуправлінь персональний генератор ключів із вбудованим ідентифікатором цієїбанківської установи. За допомогою цього генератора ключів банківська установамає змогу генерувати ключі для всіх робочих місць, які працюють з електроннимибанківськими документами. Для забезпечення захисту ключової інформації (а самевідкритих ключів) від викривлення та підроблення відкриті ключі ЕЦП маютьнадсилатися до служби захисту Інформації Національного банку для сертифікації (крімключів для робочих місць операціоністів та інших, що використовуються лише вСАБ).
Технологія накладання/перевірки ЕЦП у СЕПстворена таким чином, щоб одна службова особа не мала змоги відіслатиміжбанківський електронний розрахунковий документ. Під час формуванняміжбанківського електронного розрахункового документа на робочому місціопераціоніста службова особа, яка формує цей документ, має накладати ЕЦП надокумент за допомогою свого таємного ключа. Під час формування файла міжбанківськихелектронних розрахункових документів на робочому місці бухгалтера накладаєтьсяЕЦП на цей файл, що забезпечує захист від модифікації файла в цілому. Сформованийтаким чином платіжний файл обробляється АРМ-НБУ, де виконується перевірка ЕЦПопераціоніста на кожному міжбанківському електронному розрахунковому документіта накладається ЕЦП АРМ-НБУ, який можуть перевірити всі банківські установи — учасникиСЕП. Під час оброблення платіжних файлів на АРМ-2 виконується перевіркапідписів на файлі в цілому та після формування файлів відповідних платежівнакладається ЕЦП на файл у цілому за допомогою таємного ключа АРМ-2.
3. Захист інформації та вирішенняпитань безпеки у СЕП
Система захисту СЕП НБУ розроблялася разом зтехнологією та бухгалтерською моделлю. Під час експлуатації СЕП вона постійноаналізувалась і зміцнювалась. Захист електронних платіжних документів єневід'ємною частиною програмно-апаратних комплексів СЕП, він не може бутивиключений або змінений. Усі учасники електронних розрахунків у СЕП повиннімати відповідний дозвіл Національного банку України та дотримуватися всіх вимогбезпеки. Крім того, кожний банк-учасник мусить мати систему захистувнутрішньобанківських розрахунків.
При розробці системи захисту були виділенітакі завдання:
захист від злочинних дій (несанкціонованерозшифрування та викривлення платіжних повідомлень, поява фальсифікованихплатежів на будь-якому етапі обробки — від клієнта банку до АРМ-1);
автоматичне ведення протоколу використаннябанківської мережі для локалізації джерел появи порушень роботи СЕП;
захист від технічних порушень апаратури: збоївта псування апаратних і програмних засобів, перешкод у каналах зв'язку;
створення умов роботи СЕП, при яких фахівцібанків — учасників СЕП та Національного банку практично не мають змогивтручатися в обробку платіжних документів після їх формування;
забезпечення контролю на кожному етапі обробки.
Система захисту СЕП включає технологічні,апаратні, програмні засоби та організаційні заходи захисту, забезпечує чіткийрозподіл відповідальності на кожному етапі підготовки, обробки та виконанняплатежів на всіх рівнях — від клієнта банку до АРМ-1.
З урахуванням завдань банківської безпеки уСЕП була створена Служба захисту інформації на двох рівнях: у Національномубанку та в регіональних розрахункових палатах, через які здійснюютьсяміжрегіональні та внутрішньорегіональні платежі.
Служба захисту інформації НБУ здійснює своюдіяльність відповідно до Законів України «Про банки і банківськудіяльність», «Про захист інформації в автоматизованих системах» танормативних актів Національного банку.
Служба захисту інформації на рівніНаціонального банку вирішує питання, що пов'язані з:
розробкою загальної політики безпекиелектронних платежів в Україні;
постійним аналізом системи захисту та їївдосконаленням;
розробкою, підготовкою та сертифікацієюапаратних і програмних засобів захисту;
генерацією та розподілом програмкриптографічного захисту та ключової інформації;
наданням консультацій та навчанням персоналуслужб захисту інформації регіональних розрахункових палат;
аналізом збоїв у функціонуванні СЕП та спробнесанкціонованого доступу до СЕП (далі — НСД).
У разі необхідності Служба захисту інформаціїНБУ надає арбітражні послуги банкам — учасникам системи електронних платежів. Відділизахисту інформації на другому рівні забезпечують:
впровадження розробленої політики безпеки;
впровадження апаратних та програмних засобівзахисту всіма учасниками системи електронних платежів;
проведення консультацій та навчання персоналубанків, які беруть участь у СЕП;
нагляд за виконанням вимог банківської безпекиучасниками СЕП;
підготовку інформації для аналізу збоїв роботиСЕП та НСД.
З досвіду експлуатації системи можна зробитивисновок, що Служба захисту інформації НБУ, побудована на основі вищезазначенихпринципів, забезпечує достатній рівень безпеки у СЕП.
Система безпеки СЕП є багаторівневою. Вонавключає не лише засоби шифрування інформації, які, беззаперечно, є дужеважливими та надають можливість отримати достовірну інформацію на різнихрівнях, а й цілий комплекс технологічних та бухгалтерських засобів контролю запроходженням платежів у СЕП. Такий технологічний та бухгалтерський контрользабезпечується програмним забезпеченням на всіх рівнях, що дозволяє персоналуРРП та ЦРП, учасникам розрахунків відстежувати порядок проходження платежів якпротягом дня, так і за підсумками дня.
Технологічні засоби контролю включають:
механізм обміну квитанціями в режимі реальногочасу, який дозволяє однозначно ідентифікувати отримання адресатом конкретногопакета документів та достовірність інформації, що в ньому міститься;
механізм інформування банку — учасника СЕП пропоточний стан його коррахунку за підсумками технологічних сеансів у РРП, який
дозволяє банку відстежувати відповідність змінкоррахунку та приймання/передачі пакетів платіжних документів;
взаємообмін між банком та РРП підсумковимидокументами на кінець банківського дня, програмну звірку підсумкових документівяк у РРП, так і в банку;
програмний комплекс самодіагностики, який дозволяєвиявити порушення цілісності та неузгодженість баз даних АРМ-2, що можевиникнути внаслідок збою в функціонуванні системи, спроб несанкціонованогодоступу до баз даних АРМ-2 або фізичного їх псування;
взаємообмін між АРМ-2 та АРМ-1 повідомленнямизвітного характеру про функціонування СЕП у цілому;
механізм контролю програмних засобів длявиявлення несанкціонованої модифікації модулів програмного забезпечення. Усітехнологічні засоби контролю вбудовані у програмне забезпечення, їх не можнавилучити, а в разі виникнення нестандартної ситуації або підозри нанесанкціонований доступ вони негайно інформують працівників РРП та ЦРП, що даєможливість оперативно втручатися у таку ситуацію.
Бухгалтерські засоби контролю включають:
комплект звітних документів, які отримуються вАРМ-2, містить повну технологічну та бухгалтерську інформацію, перехресніпосилання та аналіз балансу;
комплект звітних форм АРМ-1, які містятьбухгалтерську інформацію про стан СЕП в Україні;
засоби звірки взаємодії РРП в АРМ-1, які дозволяютьвиявити розбіжності в звітній інформації, що надає РРП;
засоби аналізу причин відсутності балансу вмасштабах України.
Однак, застосування тільки технологічних табухгалтерських засобів контролю у СЕП недостатньо, щоб забезпечити захист відзловживань при передачі платіжних документів у СЕП. До того ж, автоматичневедення протоколу виконуваних дій у системі платежів має супроводжуватися такожзахистом цього протоколу від підробки та модифікації. Всі ці вимоги можуть бутивиконані тільки за допомогою програмних та апаратних засобів шифрування.
Система захисту банківської інформації у СЕПвключає комплекс заходів шифрування інформації, яка циркулює у платіжнійсистемі. Шифруванню підлягають усі файли, що передаються між АРМ СЕП: як пакетипочаткових та відповідних платіжних документів, так і квитанції на них, всіінші технологічні файли.
Усі платіжні документи СЕП перед відправкою збанківської установи обробляються апаратними або програмними засобами захистуінформації, які забезпечують виконання ряду вимог безпеки інформації у СЕП, асаме:
закритість інформації, яка пересилається (повідомленняне може бути прочитане ніким, крім адресата);
цілісність (будь-яке, випадкове або зловмисне,викривлення повідомлення на етапі передавання буде виявлене при прийманні);
аутентичність відправника (при прийманніоднозначно визначається, хто відправив конкретне повідомлення).
Крім цих основних вимог, виконується ряддодаткових, що дозволяє детальніше аналізувати можливі нестандартні ситуації:
засобами захисту інформації ведетьсяшифрований арбітражний журнал, який містить протокол обробки інформації, атакож зміст оброблених файлів;
у шифроване повідомлення включені реквізитидати та часу обробки.
В основу роботи засобів захисту інформації уСЕП покладений алгоритм шифрування із закритими симетричними ключами за ГОСТ28147-89. Згаданий метод характеризується високою стійкістю до дешифрування,але одночасно висуває високі вимоги до процедури транспортування та зберіганнязакритих ключів, секретність яких і визначає реальну стійкість системишифрування в цілому. Щоб забезпечити секретність ключів при їх транспортуванні,зберіганні та використанні, застосовується комплекс технологічних іорганізаційних заходів.
Основними засобами захисту інформації у СЕП єапаратні засоби. В них секретність ключів забезпечується технологічно:
ключі зберігаються в спеціальній електроннійкартці, їх зчитування можливе лише у пам'яті спеціального блоку («шифроблоку»),який здійснює процес шифрування інформації. Зчитування ключів іншими засобами неможливе;
електронна картка видається конкретному банкуз попередньою прив'язкою її до конкретного шифроблоку цього ж банку; якщокартку загублено або викрадено, то вона не буде працювати в іншому шифроблоці (наприклад,в апаратурі іншого банку);
на випадок викрадення одночасно блоку і карткиу конкретного банку передбачений режим виключення цієї апаратури із спискукористувачів СЕП; банк зможе продовжувати роботу у СЕП шляхом отримання новогокомплекту, після вирішення юридичних та фінансових питань, пов'язаних ізвтратою апаратури.
Резервним засобом захисту у СЕП є програмнешифрування, яке реалізує такий самий алгоритм шифрування. Програмні засобишифрування є невід'ємною частиною програмного забезпечення АРМ-1, АРМ-2, АРМ-3СЕП.
Зберігання та використання засобів захиступовинно відповідати вимогам, які висуваються до інформації з грифом «Банківськатаємниця». Задоволення цих вимог забезпечується організаційними заходами.
При роботі засобів криптування банківськоїінформації ведеться шифрований архів банківських платежів, де зберігаються всізашифровані та відправлені, а також одержані та дешифровані платежі. Дешифруванняповідомлень архіву можливе лише за наявності ключа, який знаходиться в Службізахисту електронних банківських документів Національного банку. Наприкінціробочого дня цей шифрований архів треба обов'язково переписати на гнучкімагнітні носії. Він використовується для надання інформаційно-арбітражнихпослуг, які надає Служба захисту електронних банківських документівНаціонального банку відповідно до «Положення про інформаційно-арбітражніпослуги служби захисту електронних банківських документів у СЕП».
Арбітражна версія апаратно-програмногокомплексу криптографічного захисту дає змогу Службі захисту електроннихбанківських документів Національного банку при наявності копій шифрованогоархіву банківської установи — учасника СЕП дешифрувати всі повідомлення з цьогоархіву та з абсолютною достовірністю визначати:
ім'я абонента, який відправив (зашифрував) електроннийплатіж ний документ;
ім'я абонента, якому адресовано електроннийплатіжний документ;
дату, годину та хвилину, коли виконувалосяшифрування електронного платіжного документа;
дату, годину та хвилину, коли та кимвиконувалося дешифрування електронного платіжного документа.
При використанні апаратних засобів захистудодатково визначається:
номер апаратури захисту, на якій виконувалосьшифрування (дешифрування) електронного платіжного документа;
номер електронної картки, якою користувалисьпід час шифрування (дешифрування) електронного платіжного документа.
Журнали реєстрації надходжень електронноїпошти дають змогу володіти інформацією про шлях та час проходження електронногоплатіжного документа від однієї банківської установи до іншої через усі пунктимережі телекомунікації СЕП.
Апаратні та програмні засоби шифрування, якінадає Служба захисту інформації НБУ, отримали позитивну експертну оцінку Службибезпеки
України та рекомендовані для застосування здотриманням деяких організаційних та технологічних запобіжних заходів.
Додатково для захисту інформації у СЕПвикористовуються апаратні засоби шифрування в каналах телекомунікаційногозв'язку — апаратура захисту банківських даних (АЗБД). Ця апаратура забезпечуєгарантований захист банківських електронних повідомлень від перехоплення, нав'язування,підробки та викривлення їх унаслідок зовнішнього впливу, підтримує абсолютнудостовірність повідомлень, використовуючи електронні картки як носії ключовоїінформації. Такі засоби захисту «прозорі» для телекомунікаційнихсистем, сумісні зі стандартними протоколами зв'язку та працюють в автоматичномурежимі.
З перших місяців роботи СЕП Службою захистубанківської інформації НБУ ведеться аналіз усіх порушень функціонування системияк з погляду надійності її роботи (апаратно-програмні збої, випадкові порушеннятехнології тощо), так і з погляду безпеки (можливість «НСД»).
З вищезазначеного можна зробити такі висновки:
1. Найбільший відсоток випадків порушенняфункціонування (близько 65%) припадає на незначні збої у СЕП, які не порушуютьроботу системи, обробляються автоматично і не призводять до викривленьбухгалтерських проводок. До таких випадків можна віднести, наприклад,викривлення шифрованих платіжних або інформаційних файлів у каналах зв'язку абонеможливість розшифрувати файли, що викликано некоректним використаннямшифроблоків (у момент обробки файла електронна картка відсутня в пристроїзчитування тощо). Така ситуація обробляється системою автоматично, алеповідомлення про збої в системі захисту надходять до ЦРП та служби захистуінформації. Це дозволяє вести аналіз подібних ситуацій, виявляти незначні збої,які найчастіше зустрічаються в системі, і при потребі усувати їх.
2. Значна кількість порушень роботи СЕП (близько35%), які мали зовнішні ознаки, що вимагали розгляду їх як можливого НСД, насправдіспробами несанкціонованого доступу не були, але виникали внаслідок порушенняперсоналом банківських установ технології обробки платіжної інформації абонесумлінного поновлення програмного забезпечення після програмно-апаратнихзбоїв. У ряді випадків потрібне було спеціальне коригування бухгалтерськихпроводок, пов'язане з ліквідацією наслідків некоректного поновлення інформації.Найчастіше такі порушення виникають через недостатню кваліфікованість персоналубанку — учасника СЕП та неуважного ставлення до інструкцій та вимог щодо роботиз програмно-апаратним комплексом АРМ-3.
3. У системі було виявлено декілька свідомихспроб несанкціонованого втручання в роботу СЕП, що становить менше 0,01відсотка загальної кількості порушень функціонування системи. Про всі згаданівипадки система захисту СЕП своєчасно й адекватно автоматично інформувалаперсонал НБУ.
Для всіх випадків НСД простежуються спільніхарактерні особливості:
усі вони були здійснені представникамибанківських установ, при цьому отримання незаконного прибутку призводило довтрати коштів саме тим банком, персоналом якого вони здійснювались (крадіжка увласного банку, а не у держави або іншого банку);
у всіх випадках особи, що здійснювали НСД,мали легальний доступ до систем підготовки та захисту платіжної інформації,причому повноваження їх були явно завищені (доступ до багатьох або навіть довсіх банківських ресурсів системи);
контроль уповноваженими представниками банків(головний бухгалтер, керівник тощо) за роботою персоналу був послаблений абопрактично відсутній.
4. Зовнішнє втручання у СЕП (не з боку банків- учасників СЕП) не зафіксовано.
Вищезазначене демонструє, що найслабшим місцемплатіжної системи на поточний момент є дільниця підготовки платежів персоналомбанку — учасника СЕП. Для зменшення небезпеки несанкціонованого доступу в ційланці керівництво НБУ вимагає від учасників СЕП обов'язкового виконання рядуорганізаційних вимог (деякі з них очевидні):
лише довірені особи можуть бути допущені доключових операцій підготовки платіжної інформації;
відповідальні особи банків мусять здійснюватипостійний, реальний та достатній контроль за станом бухгалтерського балансу такореспондентського рахунку банку (СЕП надає всю необхідну для цього інформацію);
не допускається зосередження повноважень щододоступу до програмно-технічних ресурсів банку в одного із співробітників, закожну дільницю обробки платіжної інформації повинен відповідати окремийуповноважений (адміністратор локальної мережі, адміністратор електронної пошти,відповідальний за роботу з АРМ-3 СЕП тощо).
Для надання допомоги банкам — учасникам СЕП урозмежуванні повноважень осіб, які здійснюють підготовку платіжних документівдо передачі у СЕП, впроваджено технологію перехресного накладання електронногоцифрового підпису на електронні платіжні документи. її суть полягає у тому, щов жодному пункті проходження платіжного документа через СЕП не існує повногонабору ключів, який міг би дозволити викривити інформацію. Таким чиномзабезпечується контроль за достовірністю при проходженні платежів усерединібанку та через мережу розрахункових палат НБУ (рис.1).
/>
Рис.1. Взаємодія засобівзахисту інформації в СЕП
Алгоритм RSA, на якому базується програмнийкомплекс накладання електронного цифрового підпису, належить до несиметричнихалгоритмів шифрування. Кожний учасник обміну електронними документами має дваключі шифрування: таємний, який повинен ретельно охоронятися від сторонніх табути відомим лише власнику, і відкритий, який розповсюджується у системі іповинен бути відомим кожному її учаснику. Концепція алгоритму RSA зводиться дотого, що в основу електронного цифрового підпису покладено обробленеспеціальним алгоритмом стиснення самого повідомлення, яке підписується. Прицьому шифрування цього прототипу електронного цифрового підпису здійснюється задопомогою секретного ключа відправника та відкритого ключа отримувачаповідомлення. Саме повідомлення може не шифруватися (це реалізовано впрограмному комплексі електронного підпису), модифікація підписаногоповідомлення (зміна навіть одного біта) буде негайно виявлена при перевірціпідпису отримувачем повідомлення. Під час перевірки електронного підписупрограмним комплексом отримувача формується прототип електронного підписуотриманого повідомлення. Отриманий цифровий підпис повідомлення дешифруєтьсявідкритим ключем відправника та секретним ключем отримувача. Цей прототипелектронного цифрового підпису порівнюється з вирахуваним прототипом. Збігпрототипів підпису (отриманого та вирахуваного) означає, що повідомлення булопідписане саме вказаним відправником інформації, спрямоване саме згаданомуотримувачу та отримане саме в тому вигляді, в якому воно було підписане.
Кожному банку — учаснику СЕП Службою захистуінформації НБУ надається програмне забезпечення, яке складається з трьохмодулів:
Власне модуля накладання/перевіркиелектронного цифрового підпису у вигляді бібліотеки об'єктних модулів, яка можебути вбудована в програмний комплекс «Операційний день банку» набудь-якому робочому місці підготовки платіжних документів.
Модуля генерації ключів для банку — учасникаСЕП. Модуль генерації ключів надається у вигляді виконуваного модуля івиготовляється особисто для кожної установи — учасника СЕП. За допомогою такогогенератора ключів учасник СЕП сам генерує пари таємного та відкритого ключівдля всіх робочих місць підготовки платежів.
Модуля поновлення таблиці відкритих ключів танезаповнених таблиць відкритих ключів на кожне робоче місце, який виконуєкоректне поновлення таблиць відкритих ключів, створює їх резервні копії і ведепротокол виконаних дій.
При генерації ключів таємний ключ записуєтьсяна дискету або на touch-memory. Відкриті ключі, які використовуються всерединібанку (наприклад, ключі операціоністів), записуються до згаданого каталогу увигляді файлів змін таблиці відкритих ключів. Відкриті ключі робочих місць,електронний цифровий підпис яких перевіряється у СЕП, а саме — відкриті ключіАРМ-3 та АРМ бухгалтера, записуються у вигляді файлів сертифікації до каталогу,який задається. Ці файли надсилаються до Служби захисту інформації НБУ длявиконання їх сертифікації, що дає можливість перед розповсюдженням їх через СЕПпереконатися в тому, що вони належать саме цьому учаснику СЕП, а не булизгенеровані кимось іншим від імені цього учасника, і що для них виконані всівимоги, які висуваються до відкритих ключів алгоритму RSA. Після успішногопроходження сертифікації відкриті ключі учасника СЕП розсилаються у виглядіфайлів змін таблиць відкритих ключів на робочі місця, обумовлені технологієюперевірки електронного цифрового підпису (АРМ-3 та АРМ-2).
Правові основи та нормативні документи НБУповинні забезпечити правове середовище для захисту електронних міжбанківськихрозрахунків із визначенням юридичних та фізичних осіб, які несутьвідповідальність за виконання операцій в системі, прав і обов'язків учасниківсистеми, гарантують виконання фінансових трансакцій та дотриманняконфіденційності інформації, що циркулює в системі. Особлива увага внормативних документах НБУ та підзаконних актах приділяється розгляду спірнихпитань і порядку ведення арбітражних справ між учасниками системи електроннихміжбанківських розрахунків, опису обов'язків учасників системи щодо збереженнята своєчасного надання арбітражної інформації, яка створюється засобамикриптозахисту програмних комплексів системи та зберігається зашифрованою.
Нормативними документами НБУ визначаєтьсякомплекс адміністративних заходів, спрямованих на забезпечення захиступідготовки, передачі, обробки та зберігання у кожного учасника системиінформації про електронні фінансові трансакції; визначені правила доступу іфізичного захисту вузлів збирання, обробки та зберігання інформації. Нормативнідокументи НБУ регламентують також порядок генерації, транспортування, розподілу,оновлення і використання ключів криптографічного захисту в системі. Спеціальніінструкції НБУ суворо регламентують порядок роботи фахівців банківських установіз засобами захисту, використання та зберігання криптографічних ключів,розподіл повноважень щодо питань захисту інформації в банківській установі.
У головних вузлах збору, обробки та зберіганняінформації в системі (Центральна розрахункова палата, регіональні розрахунковіпалати тощо) повинні вживатися заходи для захисту інформації від витокутехнічними каналами. В усіх приміщеннях, де розташовані сервери системи,включаючи телекомунікаційні, постійно ведеться контроль за дотриманнямвизначеного комплексу організаційно-технічних заходів щодо порядку обстеженняцих приміщень для контролю за витіканням інформації технічними каналами (лініїживлення, заземлення, допоміжні технічні засоби, електромагнітне випромінюванняобчислювальних машин). Спеціальні вимоги щодо дотримання режимних умов уприміщеннях банківських установ — учасників СЕП, де обробляються, працюють тазберігаються засоби захисту, зазначені у «Положенні про міжбанківськірозрахунки в Україні» і обов'язкові для усіх банківських установ. Усіслужбові особи, які виконують електронні розрахунки, зобов'язані сувородотримуватися цих вимог. Відповідальність за виконання вищезгаданих вимогпокладено на керівників банківських установ.
Список літератури
1. Банківське законодавство України. Загальні положення, рахунковіоперації, платіжні системи, валютне регулювання [Текст] // Бюлетеньзаконодавства і юридичної практики України. — 2006. — N 9
2. Бекетов Н.В. Организационно-техническое обеспечение оценки эффективностиуправления платежными системами [Текст] / Н.В. Бекетов // Финансы и кредит. — 2008.- N 13. — C.29-34
3. Вовчак О.Д. Платіжні системи [Text]: навчальний посібник / О.Д. Вовчак,Г. Є. Шпаргало, Т.Я. Андрейків. — К.: Знання, 2008. — 341 с.
4. Геронин Н.Н. Мировая практика регулирования платежных системцентральными банками [Текст] / Н.Н. Геронин // Финансы и кредит. — 2006. — N 36.- C.46-51
5. Карчевский С.П. Платежные системы: понятие, структура, типология ипринципы построения [Текст] / С.П. Карчевский // Расчеты и операционная работав коммерческом банке. — 2007. — N 4. — C.23-35
6. Пиріг С.О. Платіжні системи [Текст]: навчальний посібник / С.О. Пиріг; Мін-воосвіти і науки України, Луцький держ. техн. ун-т. — К.: ЦУЛ, 2008. — 240 с.
7. Полищук С.А. Эффективная и безопасная национальная платежная система [Текст]/ С.А. Полищук // Банковское дело. — 2006. — N 11. — C.13-16
8. Про внесення змін до Закону України «Про платіжні системи тапереказ грошей в Україні» [Текст]: закон України / Україна. Закон. — [Б. м.:б. и.], 2004. — Б. ц.
9. Пряжникова Ю.А. Зарубежный опыт функционирования платежных систем [Текст]/ Ю.А. Пряжникова // Финансы и кредит. — 2007. — N 26. — C.50-59
10. Румянцев М.И. Информационные системы и технологии финансово-кредитныхучреждений [Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасскийин-т экономики и управления. — Днепропетровск: ИМА-пресс, 2006. — 482 с.
11. Федорусенко А.В. Совершенствование платежной системы банка [Текст] / А.В.Федорусенко // Банковское дело. — 2006. — N 8. — C.60-64