Смекни!
smekni.com

Алгоритми шифрування інформації (стр. 4 из 4)

3. У системі було виявлено декілька свідомих спроб несанкціонованого втручання в роботу СЕП, що становить менше 0,01 відсотка загальної кількості порушень функціонування системи. Про всі згадані випадки система захисту СЕП своєчасно й адекватно автоматично інформувала персонал НБУ.

Для всіх випадків НСД простежуються спільні характерні особливості:

усі вони були здійснені представниками банківських установ, при цьому отримання незаконного прибутку призводило до втрати коштів саме тим банком, персоналом якого вони здійснювались (крадіжка у власного банку, а не у держави або іншого банку);

у всіх випадках особи, що здійснювали НСД, мали легальний доступ до систем підготовки та захисту платіжної інформації, причому повноваження їх були явно завищені (доступ до багатьох або навіть до всіх банківських ресурсів системи);

контроль уповноваженими представниками банків (головний бухгалтер, керівник тощо) за роботою персоналу був послаблений або практично відсутній.

4. Зовнішнє втручання у СЕП (не з боку банків - учасників СЕП) не зафіксовано.

Вищезазначене демонструє, що найслабшим місцем платіжної системи на поточний момент є дільниця підготовки платежів персоналом банку - учасника СЕП. Для зменшення небезпеки несанкціонованого доступу в цій ланці керівництво НБУ вимагає від учасників СЕП обов'язкового виконання ряду організаційних вимог (деякі з них очевидні):

лише довірені особи можуть бути допущені до ключових операцій підготовки платіжної інформації;

відповідальні особи банків мусять здійснювати постійний, реальний та достатній контроль за станом бухгалтерського балансу та кореспондентського рахунку банку (СЕП надає всю необхідну для цього інформацію);

не допускається зосередження повноважень щодо доступу до програмно-технічних ресурсів банку в одного із співробітників, за кожну дільницю обробки платіжної інформації повинен відповідати окремий уповноважений (адміністратор локальної мережі, адміністратор електронної пошти, відповідальний за роботу з АРМ-3 СЕП тощо).

Для надання допомоги банкам - учасникам СЕП у розмежуванні повноважень осіб, які здійснюють підготовку платіжних документів до передачі у СЕП, впроваджено технологію перехресного накладання електронного цифрового підпису на електронні платіжні документи. її суть полягає у тому, що в жодному пункті проходження платіжного документа через СЕП не існує повного набору ключів, який міг би дозволити викривити інформацію. Таким чином забезпечується контроль за достовірністю при проходженні платежів усередині банку та через мережу розрахункових палат НБУ (рис.1).

Рис.1. Взаємодія засобів захисту інформації в СЕП

Алгоритм RSA, на якому базується програмний комплекс накладання електронного цифрового підпису, належить до несиметричних алгоритмів шифрування. Кожний учасник обміну електронними документами має два ключі шифрування: таємний, який повинен ретельно охоронятися від сторонніх та бути відомим лише власнику, і відкритий, який розповсюджується у системі і повинен бути відомим кожному її учаснику. Концепція алгоритму RSA зводиться до того, що в основу електронного цифрового підпису покладено оброблене спеціальним алгоритмом стиснення самого повідомлення, яке підписується. При цьому шифрування цього прототипу електронного цифрового підпису здійснюється за допомогою секретного ключа відправника та відкритого ключа отримувача повідомлення. Саме повідомлення може не шифруватися (це реалізовано в програмному комплексі електронного підпису), модифікація підписаного повідомлення (зміна навіть одного біта) буде негайно виявлена при перевірці підпису отримувачем повідомлення. Під час перевірки електронного підпису програмним комплексом отримувача формується прототип електронного підпису отриманого повідомлення. Отриманий цифровий підпис повідомлення дешифрується відкритим ключем відправника та секретним ключем отримувача. Цей прототип електронного цифрового підпису порівнюється з вирахуваним прототипом. Збіг прототипів підпису (отриманого та вирахуваного) означає, що повідомлення було підписане саме вказаним відправником інформації, спрямоване саме згаданому отримувачу та отримане саме в тому вигляді, в якому воно було підписане.

Кожному банку - учаснику СЕП Службою захисту інформації НБУ надається програмне забезпечення, яке складається з трьох модулів:

Власне модуля накладання/перевірки електронного цифрового підпису у вигляді бібліотеки об'єктних модулів, яка може бути вбудована в програмний комплекс "Операційний день банку" на будь-якому робочому місці підготовки платіжних документів.

Модуля генерації ключів для банку - учасника СЕП. Модуль генерації ключів надається у вигляді виконуваного модуля і виготовляється особисто для кожної установи - учасника СЕП. За допомогою такого генератора ключів учасник СЕП сам генерує пари таємного та відкритого ключів для всіх робочих місць підготовки платежів.

Модуля поновлення таблиці відкритих ключів та незаповнених таблиць відкритих ключів на кожне робоче місце, який виконує коректне поновлення таблиць відкритих ключів, створює їх резервні копії і веде протокол виконаних дій.

При генерації ключів таємний ключ записується на дискету або на touch-memory. Відкриті ключі, які використовуються всередині банку (наприклад, ключі операціоністів), записуються до згаданого каталогу у вигляді файлів змін таблиці відкритих ключів. Відкриті ключі робочих місць, електронний цифровий підпис яких перевіряється у СЕП, а саме - відкриті ключі АРМ-3 та АРМ бухгалтера, записуються у вигляді файлів сертифікації до каталогу, який задається. Ці файли надсилаються до Служби захисту інформації НБУ для виконання їх сертифікації, що дає можливість перед розповсюдженням їх через СЕП переконатися в тому, що вони належать саме цьому учаснику СЕП, а не були згенеровані кимось іншим від імені цього учасника, і що для них виконані всі вимоги, які висуваються до відкритих ключів алгоритму RSA. Після успішного проходження сертифікації відкриті ключі учасника СЕП розсилаються у вигляді файлів змін таблиць відкритих ключів на робочі місця, обумовлені технологією перевірки електронного цифрового підпису (АРМ-3 та АРМ-2).

Правові основи та нормативні документи НБУ повинні забезпечити правове середовище для захисту електронних міжбанківських розрахунків із визначенням юридичних та фізичних осіб, які несуть відповідальність за виконання операцій в системі, прав і обов'язків учасників системи, гарантують виконання фінансових трансакцій та дотримання конфіденційності інформації, що циркулює в системі. Особлива увага в нормативних документах НБУ та підзаконних актах приділяється розгляду спірних питань і порядку ведення арбітражних справ між учасниками системи електронних міжбанківських розрахунків, опису обов'язків учасників системи щодо збереження та своєчасного надання арбітражної інформації, яка створюється засобами криптозахисту програмних комплексів системи та зберігається зашифрованою.

Нормативними документами НБУ визначається комплекс адміністративних заходів, спрямованих на забезпечення захисту підготовки, передачі, обробки та зберігання у кожного учасника системи інформації про електронні фінансові трансакції; визначені правила доступу і фізичного захисту вузлів збирання, обробки та зберігання інформації. Нормативні документи НБУ регламентують також порядок генерації, транспортування, розподілу, оновлення і використання ключів криптографічного захисту в системі. Спеціальні інструкції НБУ суворо регламентують порядок роботи фахівців банківських установ із засобами захисту, використання та зберігання криптографічних ключів, розподіл повноважень щодо питань захисту інформації в банківській установі.

У головних вузлах збору, обробки та зберігання інформації в системі (Центральна розрахункова палата, регіональні розрахункові палати тощо) повинні вживатися заходи для захисту інформації від витоку технічними каналами. В усіх приміщеннях, де розташовані сервери системи, включаючи телекомунікаційні, постійно ведеться контроль за дотриманням визначеного комплексу організаційно-технічних заходів щодо порядку обстеження цих приміщень для контролю за витіканням інформації технічними каналами (лінії живлення, заземлення, допоміжні технічні засоби, електромагнітне випромінювання обчислювальних машин). Спеціальні вимоги щодо дотримання режимних умов у приміщеннях банківських установ - учасників СЕП, де обробляються, працюють та зберігаються засоби захисту, зазначені у "Положенні про міжбанківські розрахунки в Україні" і обов'язкові для усіх банківських установ. Усі службові особи, які виконують електронні розрахунки, зобов'язані суворо дотримуватися цих вимог. Відповідальність за виконання вищезгаданих вимог покладено на керівників банківських установ.

Список літератури

1. Банківське законодавство України. Загальні положення, рахункові операції, платіжні системи, валютне регулювання [Текст] // Бюлетень законодавства і юридичної практики України. - 2006. - N 9

2. Бекетов Н.В. Организационно-техническое обеспечение оценки эффективности управления платежными системами [Текст] / Н.В. Бекетов // Финансы и кредит. - 2008. - N 13. - C.29-34

3. Вовчак О.Д. Платіжні системи [Text]: навчальний посібник / О.Д. Вовчак, Г. Є. Шпаргало, Т.Я. Андрейків. - К.: Знання, 2008. - 341 с.

4. Геронин Н.Н. Мировая практика регулирования платежных систем центральными банками [Текст] / Н.Н. Геронин // Финансы и кредит. - 2006. - N 36. - C.46-51

5. Карчевский С.П. Платежные системы: понятие, структура, типология и принципы построения [Текст] / С.П. Карчевский // Расчеты и операционная работа в коммерческом банке. - 2007. - N 4. - C.23-35

6. Пиріг С.О. Платіжні системи [Текст]: навчальний посібник / С.О. Пиріг; Мін-во освіти і науки України, Луцький держ. техн. ун-т. - К.: ЦУЛ, 2008. - 240 с.

7. Полищук С.А. Эффективная и безопасная национальная платежная система [Текст] / С.А. Полищук // Банковское дело. - 2006. - N 11. - C.13-16

8. Про внесення змін до Закону України "Про платіжні системи та переказ грошей в Україні" [Текст]: закон України / Україна. Закон. - [Б. м.: б. и.], 2004. - Б. ц.

9. Пряжникова Ю.А. Зарубежный опыт функционирования платежных систем [Текст] / Ю.А. Пряжникова // Финансы и кредит. - 2007. - N 26. - C.50-59

10. Румянцев М.И. Информационные системы и технологии финансово-кредитных учреждений [Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасский ин-т экономики и управления. - Днепропетровск: ИМА-пресс, 2006. - 482 с.

11. Федорусенко А.В. Совершенствование платежной системы банка [Текст] / А.В. Федорусенко // Банковское дело. - 2006. - N 8. - C.60-64