Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

  5.3. Захист електронних банківських документів в СЕМИ




       5. 3. Захист електронних банківських документів в СЕМИ

 

       Система захисту електронних банківських документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації.

       Система захисту включає;

       - усі етапи розробки, впровадження та експлуатації програмно-технічного забезпечення в банківських установах, підключених до інформаційної мережі;

       - технологічні, апаратні, програмні засоби та організаційні заходи захисту;

       - чіткий розподіл відповідальності на кожному етапі підготовки, обробки та виконання електронних банківських документів на всіх рівнях.

       Система захисту забезпечує:

       - захист від несанкціонованого розшифрування та викривлення електронних банківських документів, появи фальсифікованих електронних банківських документів на будь-якому етапі обробки;

       - автоматичне ведення протоколу обробки електронних банківських документів з метою локалізації джерел появи порушень роботи програмно-технічних комплексів в інформаційній мережі;

       - захист від технічних порушень та збоїв апаратури (у тому числі збоїв та псування апаратних і програмних засобів, перешкод у каналах зв'язку);

       - належні умови для роботи програмно-технічних комплексів в інформаційній мережі, за яких фахівці банків - учасників СЕМП та Національного банку не можуть втручатись в обробку електронних банківських документів після їх формування, та автоматичний контроль на кожному етапі їх обробки.

       Система захисту є єдиною для всіх інформаційних задач Національного банку і СЕМП. Для підвищення ступеня захисту міжбанківських електронних розрахункових документів у СЕМП використовуються додаткові засоби, включаючи технологічний контроль. Технологічні та криптографічні засоби безпеки використовуються не лише в СЕМП, а й у всіх інформаційних задачах Національного банку [7].

       Технологічний контроль використовується для підвищення ступеня захисту міжбанківських електронних розрахункових документів у СЕМП і виконується програмним забезпеченням на всіх рівнях обробки міжбанківських електронних розрахункових документів, що дає змогу контролювати здійснення розрахунків протягом робочого дня, а також виконувати їх звірку в кінці дня.

       Технологічні засоби контролю включають:

       - механізм обміну квитанціями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла/пакета міжбанківських електронних розрахункових документів та забезпечує достовірність отриманої інформації в цьому файлі/пакеті;

       - механізм інформування банку - учасника СЕМП про поточний стан його кореспондентського рахунку за підсумками сеансів оброблення платежів у РП;

       - механізм надання банку - учаснику СТП інформації про поточний стан його технічного рахунку, здійснені технічні проводки та трансакції в режимі реального часу засобами СТП;

       - взаємообмін між банком та РП підсумковими документами в кінці дня, програмне звіряння цих підсумкових документів як у РП, так і в банку,

       - програмний комплекс самодиагностики, який дає змогу виявляти порушення цілісності та несуперечносгі баз даних програмного забезпечення РП, псування яких може виникнути внаслідок збоїв функціонування системи, спроб несанкціонованого доступу або фізичного псування баз даних;

       - взаємообмін між РП та ЦРП звітними повідомленнями про функціонування РП у цілому;

       - механізм контролю за допомогою програмних засобів за несанкціонованим модифікуванням робочих модулів;

       - механізм резервування будь-якої ланки оброблення документів у Національному банку для забезпечення швидкого відновлення роботи будь-якого програмного комплексу з мінімальними втратами інформації [7].

       Технологічні засоби контролю, вбудовані в програмне забезпечення, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу працівникам РП та ЦРП надсилається автоматично сформоване повідомлення, що дає змогу для оперативного реагування.

       До засобів контролю включають також:

       - підсумкові документи дня в РП та ЦРП, які містять інформацію про стан технічних рахунків;

       - підсумкові документи ЦРП, які містять інформацію про стан функціонування СЕМП;

-        засоби аналізу причин невідповідності балансу.

 

       5. 3. 1. Криптографічний захист інформації в СЕМП

 

       Апаратно — програмні засоби криптографічного захисту інформації в СЕМП забезпечують автентифікацію адресата та відправника міжбанківських електронних розрахункових документів і службових повідомлень СЕМП, гарантують їх достовірність та цілісність у результаті неможливості підробки або викривлення документів у шифрованому вигляді або за наявності ЕЦП.

       Криптографічний захист інформації має охоплювати всі етапи оброблення електронних банківських документів, починаючи з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах обробки електронних банківських документів дає змогу забезпечити безперервний захист інформації в інформаційній мережі, а також відокремлену обробку інформації стосовно різних задач інформатизації Національного банку.

       Основною метою криптографічного захисту інформації є забезпечення конфіденційності та цілісності електронної банківської інформації, а також суворої автентифікації учасників СЕМП і фахівців банківських установ, які беруть участь у підготовці та обробці електронних банківських документів.

       Для забезпечення розв'язання завдань суворої автентифікації банківських установ, підключених до інформаційної мережі, розроблено систему ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту.

       Кожна банківська установа з точки зору захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій розташована ця банківська установа, а другий та третій знаки є унікальним ідентифікатором банківської установи в межах цієї території. Ці ідентифікатори узгоджені з адресами системи ЕП і є унікальними в межах банківської системи України.

       Трибайтні ідентифікатори є основою для ідентифікації робочих місць у банківських установах та ідентифікаторів ключів для всіх робочих місць банківської установи. Ідентифікатор ключів робочих місць складається з шести символів, з яких три перших є ідентифікаторами банківської установи, четвертий символ визначає тип робочого місця (операціоніст, бухгалтер тощо), п'ятий та шостий символи — ідентифікатор конкретного робочого місця (тобто службової особи, яка відповідає за оброблення платіжної інформації на цьому робочому місці). Трибайтний ідентифікатор банківської установи вбудований у програму генерації ключів і не може бути змінений у банківській установі, що забезпечує захист від підроблення ключів від імені інших банківських установ [7].

       Відповідні ідентифікатори ключів записуються в електронні картки, які є носіями ключової інформації для апаратного шифрування.

       Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту платіжної інформації з часу її формування система захисту СЕМП та інших інформаційних задач включає механізми формування/перевірки ЕЦП на базі несиметричного алгоритму RSA. Для забезпечення роботи цього алгоритму кожна банківська установа отримує від служб захисту інформації територіальних управлінь персональний генератор ключів із вбудованим ідентифікатором цієї банківської установи. За допомогою цього генератора ключів банківська установа має змогу генерувати ключі для всіх робочих місць, які працюють з електронними банківськими документами. Для забезпечення захисту ключової інформації (а саме відкритих ключів) від викривлення та підроблення відкриті ключі ЕЦП мають надсилатися до служби захисту інформації Національного банку для сертифікації (крім ключів для робочих місць операціоністів та інших, що використовуються лише в САБ) [7].

       Технологія накладання/перевірки ЕЦП у СЕМП створена таким чином, щоб одна службова особа не мала змоги відіслати міжбанківський електронний розрахунковий документ. Під час формування міжбанківського електронного розрахункового документа на робочому місці операціоніста службова особа, яка формує цей документ, має накладати ЕЦП на документ за допомогою свого таємного ключа. Під час формування файла міжбанківських електронних розрахункових документів на робочому місці бухгалтера накладається ЕЦП на цей файл, що забезпечує захист від модифікації файла в цілому. Сформований таким чином платіжний файл обробляється АРМ-НБУ, де виконується перевірка ЕЦП операціоніста на кожному міжбанківському електронному розрахунковому документі та накладається ЕЦП АРМ-НБУ, який можуть перевірити всі банківські установи - учасники СЕП. Під час оброблення платіжних файлів на АРМ-2 виконується перевірка підписів на файлі в цілому та після формування файлів відповідних платежів накладається ЕЦП на файл у цілому за допомогою таємного ключа АРМ-2. Під час отримання відповідних платіжних файлів виконується аналогічна перевірка/накладання ЕЦП до часу остаточного оброблення документів операціоністом. Така технологія оброблення міжбанківських електронних розрахункових документів використовується також і в СТП [7].

       Ця технологія обробки платежів у банківській установі забезпечує надійний розподіл доступу під час обробки міжбанківських електронних розрахункових документів та захист цих документів від модифікації в локальній мережі банку. Виконання технології використання ЕЦП на всіх етапах оброблення міжбанківських електронних розрахункових документів є обов'язковою вимогою для всіх типів САБ, які працюють у банківських установах, незалежно від моделі обслуговування консолідованого кореспондентського рахунку.

       Для забезпечення конфіденційності інформація СЕМП, що циркулює в інформаційній мережі, має пройти обробку АРМ-НБУ або АРМ-СТП Програмно-апаратний комплекс АРМ-НБУ є єдиним шлюзом до всіх задач файлового обміну інформацією Національного банку і, насамперед, СЕП, Обмін інформацією з СТП здійснюється виключно через АРМ-СТП. Виконання системних вимог та вимог щодо розміщення програмних комплексів АРМ-НБУ та АРМ-СТП є обов'язковим.

       АРМ-НБУ та АРМ-СТП включають вбудовані засоби захисту, що забезпечують конфіденційність інформації під час її пересилання каналами зв'язку. Вбудовані засоби захисту забезпечують апаратне та програмне шифрування інформації.

       Основним засобом шифрування платіжних файлів є апаратура захисту електронного грошового обігу (АЗЕГО). Робота цієї апаратури захисту контролюється вбудованою в АРМ-НБУ бібліотекою захисту і забезпечує апаратне шифрування інформації, що відповідає ГОСТ 28147-89.

       Як резервний засіб шифрування в СЕП використовується вбудована в АРМ-НБУ функція програмного шифрування. Для інформаційних систем Національного банку програмне шифрування є основним засобом шифрування. Для кожного службового або інформаційного повідомлення, що обробляється АРМ-НБУ, генерується сеансовий ключ шифрування для алгоритму ГОСТ 28147-89, який обробляється відповідно до стандарту ISO 11166-94 і додасться до повідомлення в зашифрованому вигляді. Такий спосіб передавання повідомлень гарантує, що лише дійсний адресат повідомлення має змогу виконати дешифрування повідомлення [7].

       Засоби шифрування АРМ-НБУ (як АЗЕГО, так і програмне шифрування) забезпечують сувору автентифікацію адресата та відправника електронного банківського документа, його абсолютну достовірність та цілісність у результаті неможливості його підробки або викривлення в шифрованому вигляді

       АРМ^СТП має вбудовану систему криптографічного захисту інформації, яка забезпечує взаємну автентифікацію АРМ-СТП та NBU-NET під час установлення сеансу зв'язку. Програмне шифрування пакетів електронних банківських документів виконується з використанням сеансового ключа, який формується під час установлення сеансу зв'язку [7].

       Під час роботи засобів шифрування банківської, інформації в АРМ-НБУ та АРМ-СТП ведуться шифровані архіви оброблених електронних банківських документів у каталозі відкритого робочого дня разом із захищеним від модифікації протоколом роботи. Наприкінці банківського дня шифровані архіви та протоколи роботи АРМ-НБУ та АРМ-СТП підлягають обов'язковому архівуванню. Цей архів використовується службою захисту інформації Національного банку для надання інформаційних послуг відповідно до глави 6 цього розділу.

       Основою криптографічного захисту є ключова система та самі ключі, тому інформація про це має закритий характер і розголошенню не піддягає.

       Побудова ключової системи виконується службою захисту інформації Національного банку згідно з діючою системою захисту. Ключова система вміщує ключі асиметричного криптографічного алгоритму, що генеруються в банківських установах за допомогою наданих генераторів ключів та ключів симетричного шифрування, що використовуються для апаратного шифрування у формі захищених записів на електронних картках [7].

       Ключова інформація та пароль дозволу роботи з апаратурою шифрування зберігаються в електронній картці, що унеможливлює підроблення ключової інформації та гарантує її захист від несанкціонованого використання під час виконання адміністративних вимог щодо зберігання та використання електронних карток. Електронні картки виготовляються службою захисту інформації Національного банку персонально для кожної банківської установи та розповсюджуються серед банківських установ - учасників СЕМП службами захисту інформації територіальних управлінь.

       Ключова Інформація для програмного шифрування та для ЕЦП має генеруватися безпосередньо службовою особою банківської установи в присутності адміністратора захисту інформації (адміністратора банківської безпеки) за допомогою генератора ключів, який надасться службою захисту територіального управління. Генератори ключів є персональними, мають вбудований ідентифікатор банківської установи, який не може бути вилучений або змінений. Генератори мають можливість запису таємного ключа на носії двох видів - на дискету або на Touch Memory, у якому додатково вбудований захист від копіювання ключової інформації з одного носія на інший. Захист паролем таємних ключів, які зберігаються на дискетах, обов'язковий, що забезпечує додатковий захист від спроб несанкціонованого використання скопійованих таємних ключів. Довжина пароля становить шість символів і не може бути зменшена [7].

       Генерація ключової інформації для апаратури захисту, ЇЇ транспортування, контроль за ЇЇ обліком і використанням, контроль за використанням апаратури захисту, техніко-експлуатаційне обслуговування та ремонт апаратури захисту, а також сертифікація відкритих ключів покладаються лише на службу захисту інформації Національного банку.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...