Сторінка
1

Основні задачі та вимоги до захисту банківської інформації в СЕП

В міжбанківських платежах використовується нова для України форма платіжних інструментів — електронний платіжний документ. Такий документ має встановлену форму і відповідні засоби захисту, що надаються НБУ кожному учаснику СЕП. Крім того, кожний банк—учасник СЕП може мати власну систему захисту внутрібанківських розрахунків.

Система безпеки СЕП розроблена з урахуванням таких вимог:

· система захисту охоплює всі етапи розробки, впровадження та експлуатації програмно-технічного комплексу СЕП;

· система безпеки включає організаційні, технічні, апаратні і програмні засоби захисту;

· в системі чітко розподілена відповідальність за різні етапи обробки та виконання платежів.

В системі виділені такі основні задачі захисту СЕП:

· захист від зловживань (несанкціоноване розшифрування повідомлень, поява фальсифікованих повідомлень);

· автоматичне протоколювання використання банківської мережі з метою локалізації порушників технології роботи в СЕП;

· захист від технічних пошкоджень та збоїв в роботі обладнання (вихід з ладу апаратних та програмних засобів, поява перешкод в каналах зв’язку).

Система безпеки СЕП є багатоступеневою. Вона не тільки включає засоби шифрування інформації на різних її рівнях, а й вміщує цілий комплекс технологічних та бухгалтерських засобів контролю за проходженням платежів у СЕП. Технологічний та бухгалтерський контроль забезпечується програмно на всіх рівнях, що дає змогу персоналу РРП і учасникам СЕП слідкувати за порядком проходження платежів як на протязі дня, так і за підсумками його завершення.

Технологічні засоби контролю

Технологічні засоби контролю включають:

· механізм обміну квитанціями, що дозволяє однозначно ідентифікувати отримання адресатом конкретного пакета документів і достовірність отриманої в ньому інформації;

· механізм інформування банків-учасників про поточний стан його кореспондентського рахунку за підсумками кожного технологічного сеансу, що дозволяє банку простежити відповідність змін коррахунку після сеансу прийому/передачі пакетів платіжних документів;

· обмін банку та РРП підсумковими документами в кінці дня, програмне зведення підсумкових документів як в РРП, так і в банку;

· програмний комплекс самодіагностики, що дозволяє виявити порушення цілісності та узгодженості баз даних АРМ-2, що мо­жуть виникнути в результаті збою функціонування системи, спроб несанкціонованого доступу (НДС) до баз даних АРМ-2 чи їх фізичного пошкодження;

· обмін АРМ-2 та АРМ-1 звітними повідомленнями про функціонування РРП в цілому;

· механізм контролю програмних засобів на предмет несанкціонованої модифікації виконавчих модулей.

Всі технологічні засоби контролю вмонтовані в програмне забезпечення. У випадках виникнення нестандартної ситуації чи підозри на НДС оператору АРМ-2 видається відповідне повідомлення з наданням йому можливості оперативного втручання, а та­кож автоматично дублюється повідомлення про виникнення нестандартної ситуації на АРМ-1.

Бухгалтерські засоби контролю

Бухгалтерські засоби контролю включають:

· низку звітних документів, отриманих як від АРМ-2, так і від АРМ-3, що вміщують повну технологічну та бухгалтерську інформацію, перехресні посилання та аналіз балансу;

· низку звітних форм АРМ-1, що вміщують інформацію про стан СЕП в Україні;

· засоби вивірення взаємодій РРП в АРМ-1, що дозволяють виявити неузгодженість в звітній інформації, що надана в РРП;

· засоби аналізу причин відсутності балансу в масштабах України.

Використання тільки технологічних та бухгалтерських методів контролю є недостатнім для забезпечення захисту від зловживань при передачі платіжних документів в СЕП. Тому необхідне автоматичне ведення протоколу виконуваних дій в системі платежів, що має також забезпечувати захист цього протоколу від підробки та модифікацій. Всі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засобів захисту.

Програмні та апаратні засоби захисту інформації

Захист банківської інформації в СЕП включає комплекс дій, пов’язаних з шифруванням інформації, що циркулює в платіжній системі. Шифруванню підлягають усі файли СЕП: початкові і зворотні платіжні файли, файли квитанцій, файли звітів, файли лімітів, файли стану коррахунку, файли нормативно-довідкової інформації.

Усі платіжні документи СЕП перед відправленням з банку обробляються апаратно-програмними засобами захисту інформації, що забезпечують виконання таких вимог з точки зору безпеки інформації:

· інформація, що передається, має бути закритою, тобто повідомлення може бути прочитане лише тим, кому воно адресоване;

· цілісність — випадкове чи навмисне пошкодження повідомлення на етапі його передачі буде виявлене під час його прийому;

· аутентичність відправника (під час прийому повідомлення можна однозначно визначити, хто його відправив).

Крім перерахованих основних вимог, необхідно виконувати низку допоміжних, що дає змогу більш детально аналізувати мож­ливі нестандартні ситуації:

· засобами захисту інформації ведеться шифрований арбітраж­ний журнал, в якому зберігається протокол обробки інформації, а також вміст файлів, що обробляються;

· у шифроване повідомлення включені поля дати та часу обробки.

В основу роботи засобів захисту інформації в СЕП покладено алгоритм шифрування із закритими ключами відповідно до ДЕСТ 28147-89. Цей метод характеризується високою надійністю з точки зору його дешифрування, але ставить дуже високі вимоги до процедури транспортування та зберігання закритих ключів, секретність яких забезпечує на практиці стійкість системи шифрування.

Основними засобами захисту інформації в СЕП є апаратні засоби. Секретність ключів у них забезпечується технологічно:

· ключі зберігаються в спеціальній електронній картці, прочитати їх можна тільки за допомогою спеціального блоку, що виконує процес шифрування інформації. Прочитати ключі іншими засобами неможливо;