Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку 
Банкам
пропонується використання програмних засобів, що реалізують цифровий підпис,
реалізований на основі алгоритму RSA.
Алгоритм
RSA належить до асиметричних алгоритмів шифрування. Кожний учасник обміну
електронними документами має два ключі: секретний, що повинен ретельно
оберігатися від сторонніх осіб і бути відомим тільки його власнику, та
відкритий, що розповсюджений в системі і може бути відомим кожному учаснику
системи.
Суть
алгоритму RSA зводиться до того, що в основу електронного цифрового підпису
покладено оброблене спеціальним алгоритмом саме повідомлення, яке підписується,
причому шифрування цього прототипу електронного цифрового підпису виконується
за допомогою секретного ключа відправника і відкритого ключа отримувача
повідомлення. При цьому саме повідомлення може не шифруватись (цей варіант
реалізовано в програмному комплексі НБУ), але спробу модифікувати підписане повідомлення
(навіть один біт) буде відразу виявлено при перевірці підпису отриманого
повідомлення. Під час перевірки електронного цифрового підпису програмним
комплексом отримувача формується прототип електронного підпису отриманого
повідомлення. Отриманий цифровий підпис дешифрується відкритим ключем
відправника і секретним ключем отримувача повідомлення і вираховується прототип
електронного цифрового підпису. Отриманий прототип порівнюється з обрахованим
прототипом електронного цифрового підпису. Збіг цих двох прототипів підпису
(отриманого та обчисленого) показує, що повідомлення було підписане зазначеним
відправником інформації та отримане у тому ж вигляді, в якому воно було
підписане.
Схему
використання електронного цифрового підпису представлено на рис.2.10.
Рис.
2.10. Схема накладення електронного цифрового підпису в СЕП
Виходячи
з технології обробки платежів для СЕП, ОДБ має забезпечувати чітке виконання
двох операцій для різних робочих місць.
1.На
робочому місці операціоніста має виконуватись накладення електронного цифрового
підпису на адресу АРМ-3, яке в подальшому буде включатися до файлу початкових
платежів банку (тип А). При цьому треба використовувати секретний ключ
операціоніста та відкритий ключ АРМ-3 банку.
2.На
робочому місці АРМ-бухгалтера після формування файла початкових платежів має
виконуватись операція накладення електронного цифрового підпису на адресу АРМ-2
на файл типу A. При цьому використовується секретний ключ бухгалтера і
відкритий ключ АРМ-2.
При
отриманні зворотного файла типу B на АРМ-бухгалтера виконується перевірка
електронного цифрового підпису АРМ-2 на адресу АРМ-бухгалтера. При цьому
використовується відкритий ключ оператора АРМ-2 та секретний ключ бухгалтера.
Секретні
ключі кожного учасника локальної мережі ОДБ мають бути записані на дискету чи
інший апаратний засіб зберігання ключів і ретельно зберігатися господарем
секретного ключа від крадіжок та втрат.
Згідно
«Правил організації захисту електронних банківських документів з використанням
засобів захисту інформації Національного банку України» [ ], в СЕП НБУ банки
використовують наступні принципи побудови системи фізичного та
програмно-технічного захисту інформації:
1.
Система захисту електронних банківських документів Національного банку складається
з комплексу апаратно-програмних засобів захисту інформації та ключової
інформації до них, а також технологічних й організаційних заходів.
2.
Система захисту електронних банківських документів охоплює всі етапи
розроблення, упровадження й експлуатації програмно-технічного забезпечення СЕП
та інформаційних задач автоматизації банківської діяльності. Ця система
визначає чіткий розподіл відповідальності на кожному етапі підготовки,
оброблення та виконання електронних банківських документів на всіх рівнях.
3.
Службові особи організації, які відповідають за захист електронних банківських
документів, зобов'язані надавати письмові або усні відомості про стан засобів
захисту та їх використання, а також про стан захисту інформації в програмному
забезпеченні САБ (у тому числі системи "клієнт-банк", а також інших
систем, на які поширюються вимоги Національного банку щодо інформаційної
безпеки), технологію оброблення електронних банківських документів в
організації та систему захисту інформації під час їх оброблення на вимогу
територіального управління / Центральної розрахункової палати Національного
банку.
4.
Організація, яка отримала засоби захисту, не має права передавати їх іншим
організаціям або особам, у тому числі й іншим організаціям однієї юридичної
особи.
5.
Організація, яка отримала засоби захисту, не має права використову-вати їх в
інших платіжних системах банків, у територіально відокремлених відділеннях
(філіях) банків, якщо ці відділення (філії) не є безпосередніми учасниками СЕП
та/або інформаційних задач, зокрема, якщо їх працівники працюють у САБ банку
(філії), системах "клієнт-банк" тощо.
6.
Організація, яка використовує засоби захисту, зобов'язана мати приміщення, у
яких обробляються електронні банківські документи, використовуються та
зберігаються в неробочий час засоби захисту, які відповідають вимогам цієї
глави.
7.
Організація зобов'язана розмістити АРМ-СЕП у спеціально виділеному для цього
приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або
автоматичним замком і місцем для опечатування або систе-мою доступу, яка
забезпечуватиме персоніфіковану реєстрацію входу/виходу осіб у спеціальному
електронному журналі.
Організація
має право розміщувати АРМ-НБУ в приміщенні з АРМ-СЕП або в окремому приміщенні
з обмеженим доступом, за винятком приміщення адміністратора захисту інформації,
двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для
опечатування або системою доступу, яка забезпечуватиме персоніфіковану
реєстрацію входу/виходу осіб у спеціальному електронному журналі.
Організація
має право розміщувати АРМ-СЕП та АРМ-НБУ на одній ПЕОМ. Організація має право
розміщувати ПЕОМ з АРМ-СЕП та АРМ-НБУ в серверному приміщенні, якщо цей
програмно-апаратний комплекс працює в автоматичному режимі. У цьому разі
адміністратор АРМ-СЕП зобов'язаний реагувати на інформаційні повідомлення, які
надсилаються на АРМ-СЕП.
8.
Організація зобов'язана оснастити вікно (вікна) у приміщенні АРМ-СЕП ґратами.
9.
Організація зобов'язана обладнати приміщення з АРМ-СЕП/АРМ-НБУ системою
охоронної сигналізації з двома рубежами захисту:
-
перший - установлення сигналізації по периметру;
-
другий - установлення відповідного обладнання для стеження за переміщенням
об'єктів у приміщенні.
10.
Організація зобов'язана встановити в приміщенні з АРМ-СЕП/АРМ-НБУ сейфи
(металеві шафи), призначені для зберігання в неробочий час засобів захисту і
документів до них.
11.
Організація зобов'язана призначати працівників, які мають допуск до приміщення
з АРМ-СЕП/АРМ-НБУ, розпорядчим документом, у якому повинні зазначатися всі
відповідальні особи і засоби захисту, які вони використовують.
Адміністратор
захисту інформації обліковує призначених осіб у журналі обліку адміністратора
захисту інформації (розділ 4 додатка 3).
12.
Працівники організації, які мають право на допуск до приміщення з
АРМ-СЕП/АРМ-НБУ, зобов'язані перебувати в приміщенні з АРМ-СЕП/АРМ-НБУ тільки
під час виконання своїх обов'язків, що пов'язані з роботою АРМ-СЕП/АРМ-НБУ, і
лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ, який заступив на зміну.
Працівники
організації мають право на допуск до приміщення з АРМ-СЕП/АРМ-НБУ на підставі
усного розпорядження керівника організації (або особи, яка виконує його
обов'язки) лише в присутності адміністратора АРМ-СЕП/АРМ-НБУ для вирішення окремих
питань.
13.
Організація зобов'язана розміщувати АРМ-СЕП та АРМ бухгалтера САБ в окремих
приміщеннях з обмеженим доступом.
14.
Організація зобов'язана розмістити робоче місце адміністратора захисту
інформації в окремому приміщенні з обмеженим доступом та обладнати його сейфом
для зберігання засобів захисту, справ і журналу обліку адміністратора захисту
інформації тощо. Це приміщення повинно обладнуватися системою охоронної
сигналізації з одним рубежем захисту та в неробочий час опечатуватися.
15.
Організація зобов'язана обладнати робоче місце адміністратора захисту
інформації ПЕОМ, яка не підключена до локальної мережі організації, для
копіювання ПМГК і генерування ключів відповідальними особами.
16.
Організація зобов'язана розмістити інші робочі місця САБ, на яких
використовуються засоби захисту, у приміщеннях з обмеженим доступом, які
обладнані сейфом оператора робочого місця для зберігання ТК.
17.
Організація має право розміщувати АРМ бухгалтера САБ у будь-якому приміщенні
організації з обмеженим доступом, за винятком кімнати з АРМ-СЕП і приміщення
адміністратора захисту інформації.
18.
Організація зобов'язана обладнати сейфи, які використовуються для зберігання
засобів захисту, місцем для опечатування.
Сейф
з кодовим замком також має обладнуватися місцем для опечатуван-ня, що дасть
змогу виявляти спроби його несанкціонованого відкривання.
19.
Принципи побудови криптографічного захисту інформації
19.1.
Система захисту інформації Національного банку створена для забезпечення конфіденційності
та цілісності електронної інформації, а також суворої автентифікації учасників
СЕП, учасників інформаційних задач і фахівців організацій, які беруть участь у
підготовці й обробленні електронних документів.
19.2.
У засобах захисту інформації для СЕП та інших інформаційних задачах
використовуються механізми суворої автентифікації та формування/ перевірки ЕЦП
на базі несиметричного алгоритму RSA. Організація отримує від територіального
управління / Центральної розрахункової палати Національного банку персональний
ПМГК із убудованим ідентифікатором цієї організації для забезпечення роботи
цього алгоритму.
19.3.
АРМ-СЕП/АРМ-НБУ забезпечує конфіденційність електронних банківських документів,
що містять конфіденційну інформацію, за допомогою апаратного/програмного
шифрування всіх файлів/пакетів, які обробляються.
АРМ-СЕП
і АРМ-НБУ є єдиними програмно-апаратними комплексами, які забезпечують обмін
електронною інформацією в СЕП та інформаційних задачах.
Організація
зобов'язана виконувати системні вимоги до ПЕОМ та інструкції щодо налаштування
комплексів АРМ-СЕП і АРМ-НБУ.
19.4.
АРМ-СЕП уключає вбудовані засоби захисту, що забезпечують конфіденційність і
цілісність інформації під час її пересилання каналами зв'язку. Убудовані засоби
захисту інформації забезпечують два режими роботи АРМ-СЕП - з використанням
апаратних і програмних засобів захисту.
19.5.
АРМ-НБУ включає вбудовані програмні засоби захисту, які забезпечують програмне
шифрування.
19.6.
Використання стандартизованих криптографічних алгоритмів у вбудованих засобах
захисту гарантує задану криптостійкість. Криптографічні алгоритми не становлять
таємниці. Криптостійкість засобів захисту забезпечується криптостійкістю
алгоритмів та ключової інформації і ключів, тому інформація про це належить до
інформації з обмеженим доступом, яка має гриф "Банківська таємниця" і
розголошенню не підлягає.
19.7.
Національний банк виконує побудову ключової системи криптографічного захисту.
Ця система складається з ключів програмних засобів захисту, що генеруються в
організаціях за допомогою наданих ПМГК, і ключів апаратних засобів захисту, які
генеруються безпосередньо за допомогою АРМ-СЕП.
19.8.
Організація, яка використовує засоби захисту, зобов'язана виконувати
організаційні вимоги щодо їх отримання, використання та зберігання і своєчасної
заміни відповідних ключів до них.
Територіальне
управління / Центральна розрахункова палата Національного банку має право
вилучати з організації засоби захисту в разі невиконання вимог щодо
використання та зберігання засобів захисту і режимних вимог до приміщень.
19.9.
Організація забезпечує захист електронних документів за допомогою таких засобів
захисту:
а)
апаратні засоби захисту для СЕП:
АКЗІ;
СК;
програмне
забезпечення керування АКЗІ (убудоване в АРМ-СЕП і не може бути вилучене);
б)
програмні засоби захисту для СЕП та інформаційних задач:
програмний
модуль для шифрування (убудований в АРМ-СЕП та АРМ-НБУ);
ПМГК
(з відповідними незаповненими ТВК);
бібліотеки
накладання/перевірки ЕЦП (Національний банк надає безкоштовно всім
організаціям, які використовують засоби захисту, для вбудовування в програмне
забезпечення САБ або інше відповідне програмне забезпечення).
19.10.
Основними засобами захисту в АРМ-СЕП є АКЗІ.
Адміністратор
АРМ-СЕП зобов'язаний здійснити перехід до роботи з програмними засобами захисту
в разі виходу з ладу АКЗІ.
19.11.
Територіальне управління / Центральна розрахункова палата Національного банку
надає організації АКЗІ разом із СК та/або ПМГК відповідно до встановленого
порядку (глава 5 цих Правил).
19.12.
ПМГК генерує пару ключів одночасно, яка складається з ТК і ВК.
Таблиця
2.3
Перелік
засобів захисту інформації в СЕП НБУ (комерційний банк)
N
з/п
Найменування
засобів захисту Кількість 1 2 3 1 АКЗІ 1 2 СК 2 3 ПМГК 1 4 Копія ПМГК
1 5 ТК АРМ-СЕП 1 6 ТК АРМ-НБУ 1 7 ТК АРМ бухгалтера САБ За кількістю
відповідальних осіб, але не більше 5 8 ТК технолога За кількістю
відповідальних осіб, але не більше 5 9 ТК операціоністів За кількістю
відповідальних осіб 10 ТК інших робочих та технологічних місць для
інформаційних задач За вказівками Департаменту інформатизації Національного
банку
Міжнародна
міжбанківська платіжна телекомунікаційна система (SWIFT) — одна з найвідоміших
комп’ютерних мереж, які було створено з ініціативи фінансових
організацій.
Системи
обробки банківських операцій можна поділити на два типи. До першого типу
належать системи, в яких виконується оперативне пересилання та зберігання
міжбанківських документів, а до другого — системи, в яких виконуються також
функції, безпосередньо пов’язані з виконанням взаємних вимог і
зобов’язань банків.
Система
СВІФТ належить до першого типу, оскільки вона забезпечує лише передавання та
доставляння банківських повідомлень різного типу між банками — учасниками
системи, але не виконує жодних розрахункових чи інших операцій з банківської
обробки цих повідомлень.
Прикладом
систем другого типу може бути система електронних міжбанківських розрахунків
(СЕП) Національного банку України, яка не лише забезпечує приймання та
передавання банківських повідомлень, а й виконує операції з кореспондентськими
рахунками банків — учасників розрахунків.
Головна
мета створення СВІФТ і її основна функція полягають у тому, щоб надавати своїм
користувачам цілодобовий доступ до високошвидкісної мережі передавання
банківської інформації за умови високого ступеня контролю та захисту від
несанкціонованого доступу.
Система
СВІФТ базується на використанні єдиної мови, забезпечуючи єдину організацію
обробки інформації, її захист і швидке передавання. Вона працює 24 год на добу
і 365 днів у році. У разі, коли відправник і одержувач повідомлення працюють у
мережі одночасно, то доставляння повідомлення виконується не більш як протягом
20 с.
Система
СВІФТ — типовий приклад використання мережі пакетної комутації. Дані
передаються по мережі у вигляді структурованих повідомлень, кожне з яких
призначено для виконання певної фінансової операції. Для кожного підімкненого
вузла та банку система індивідуально підтверджує приймання повідомлення та його
обробку.
Особливістю
СВІФТ є використання єдиних для всіх користувачів правил і понять. Єдина ділова
мова поряд із можливістю ввімкнення користувачів у єдину всесвітню мережу
телекомунікацій перетворюють цю систему на важливий інтеграційний чинник сучасного
фінансового світу. Розроблені типи повідомлень охоплюють сферу переміщення
платежів клієнтів, міжбанківський рух платежів, дані про торгівлю грошима та
валютою, виписки з поточних рахунків банків тощо.
Усі
платіжні повідомлення вводяться в систему в стандартному форматі, який спрощує
автоматизовану обробку повідомлень та їх розуміння одержувачем, виключаючи
можливість різного тлумачення повідомлень відправником і одержувачем. Переваги
стандартизації настільки очевидні, що стандартні тексти повідомлень СВІФТ
стають стандартами «де-факто» для фінансових повідомлень.
Для
забезпечення єдності підходу всі повідомлення поділено на 11 (0, 1, ..., 9, n)
категорій, які охоплюють понад 130 типів повідомлень. До категорії 0 належать
системні повідомлення, які дають змогу взаємодіяти системі з користувачем. Такі
повідомлення застосовуються для запитів щодо певних дій і отримання спеціальних
звітів, для пошуку повідомлень у базі даних, для навчальних і тренувальних
цілей. СВІФТ може надсилати запити й очікувати відповіді на них користувача або
інформувати його про стан системи, про її оновлення, появу нових послуг тощо.
До
категорій 1—9 належать типи повідомлень, які призначено для визначення
операцій, безпосередньо пов’язаних із банківською діяльністю. Категорії
мають таке призначення: 1 — операції з обслуговування клієнтів; 2 —
міжбанківські операції; 3 — валютні операції; 4 — акредитиви; 5 — цінні папери;
6 – операції з дорогоцінними металами, 7 — документальний кредит, 8 — дорожні
чеки і 9 — спеціальні повідомлення, пов’язані з банківськими
операціями (запит, звіт, підтвердження тощо). Категорія n містить повідомлення
загальної групи.
Будь-яке
повідомлення в системі СВІФТ утворюється з чотирьох складових: заголовок,
текст, посвідчення і закінчення.
Заголовок
містить адресну інформацію, необхідну для доставляння повідомлення, зокрема код
одержувача (11 знаків), код термінала-відправника, (поточний
п’ятисимвольний номер, який виконує контрольну та захисну функції),
трисимвольний код типу повідомлення і т. ін.
Тип
повідомлення в системі визначається його трицифровим номером, в якому перша
цифра визначає номер категорії, а останні дві — номер типу в категорії.
Наприклад, код повідомлення 100 означає операцію «переказ за дорученням
клієнта»; 200 — переказ за рахунок коштів банку; 300 — підтвердження валютної
угоди тощо. Код Х99 у всіх категоріях означає вільний формат.
Кожна
категорія має свою групу типів повідомлень. Кількість типів повідомлень за
категоріями різна. Наприклад, категорії 5 відповідає група в 16 типів
повідомлень, а категорії 4 — 18 типів повідомлень.
Текст
банківського повідомлення складається з послідовності полів, які заздалегідь
пронумеровані двоцифровими кодами. Скажімо, 32 — сума, 70 — призначення
платежу, 71 — за чий рахунок комісія, її сума тощо. Залежно від типу
повідомлення поля можуть бути обов’язково заповнюваними або
заповнюваними за вибором.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20
|
