Використання криптографічного захисту інформації при побудові політики безпеки платіжної системи значно посилює безпеку роботи системи.
За принципами використання криптографічний захист може бути вбудованим у платіжну систему або бути додатковим механізмом, який може відключатися. Є дві групи криптографічних алгоритмів:
1) загальні:
- симетричні;
- асиметричні;
2) спеціальні.
Криптографічні алгоритми застосовують із метою:
- шифрування інформації;
- захисту даних і повідомлень (інформації) від модифікації або підробки.
Особливу увагу при вивченні теми потрібно приділити методам розподілу криптографічних ключів між учасниками платіжної системи, а саме методом:
- базово-сеансових ключів;
- відкритих ключів.
Апаратно-програмні засоби криптографічного захисту інформації в СБП забезпечують автентифікацію відправника та отримувача електронних банківських документів і службових повідомлень СБП, гарантують їх достовірність та цілісність, неможливість підроблення або викривлення документів у шифрованому вигляді й за наявності ЕЦП. Криптографічний захист інформації охоплює всі етапи оброблення електронних банківських документів з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в СБП. Криптографічний захист інформації гарантує цілісність та конфіденційність електронної банківської інформації, а також сувору автентифікацію учасників СЕП і їх фахівців, які здійснюють підготовку та оброблення електронних банківських документів.
Для здійснення суворої автентифікації банків (філій), які є учасниками СБП, застосовують систему ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту. Учасник СЕП для забезпечення захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований; другий та третій знаки є унікальними ідентифікаторами учасника СЕП у межах цієї території. Ідентифікатори мають бути узгоджені з адресами системи ЕП і бути унікальними в межах банківської системи України. Трибайтні ідентифікатори е складовою частиною ідентифікаторів ключів криптографічного захисту для робочих місць САБ банку (філії), де формуються та обробляються електронні банківські документи. Ідентифікатор ключів криптографічного захисту для робочих місць складається з шести символів, з яких три перші є ідентифікаторами учасника СЕП, четвертий — визначає тип робочого місця (операціоніст, бухгалтер тощо), п'ятий і шостий — ідентифікатор конкретного робочого місця (тобто службовця, який відповідає за оброблення електронних банківських документів на цьому робочому місці). Трибайтний ідентифікатор учасника СЕП убудований у програму генерації ключів і не може бути змінений учасником СЕП, що забезпечує захист від підроблення ключів від імені інших учасників СЕП. Ідентифікатори ключів записуються в апаратуру криптографічного захисту інформації (АКЗІ), яка надається учасникам СЕП і забезпечує апаратне формування (перевірку) ЕЦП та апаратне шифрування (розшифрування) на АРМ-НБУ.
Варто також звернути увагу на заходи захисту інформаційної безпеки. На протидію загрозам та з метою мінімізації можливих збитків користувачів і власників платіжної системи спрямовані чотири групи заходів:
1) правові;
2) морально-етичні;
3) адміністративні;
4) фізичні.
Для нормального функціонування платіжної системи повинні бути створені та введені в дію закони та підзаконні акти, які регламентують правила роботи з платіжною системою і платіжною інформацією, що обробляється, накопичується та зберігається в системі. У разі відсутності державних законів правила роботи платіжної системи повинні бути визначені нормативними документами власника платіжної системи й обов'язково виконуватись усіма учасниками системи.
У договорах, які укладаються між учасниками платіжної системи, обов'язково потрібно узгоджувати питання виконання нормативних документів, які регламентують роботу системи. Окремо потрібно обумовити відповідальність сторін, а також розміри стягнень за порушення правил роботи у платіжній системі.
Крім правових норм роботи платіжної системи, бажано поступово формувати морально-етичні норми поведінки учасників розрахунків, передусім — обслуговуючого персоналу. Звичайно, лише морально-етичні норми поведінки не можуть повністю визначати потрібну поведінку, що має особливе значення для обслуговуючого персоналу системи. Тому необхідне запровадження чітких адміністративних заходів, які детально регламентуватимуть процес функціонування платіжної системи та вимоги до обслуговуючого персоналу.
Адміністративні заходи — це заходи організаційного характеру, які регламентують процес функціонування системи обробки платіжної інформації, використання її ресурсів, діяльність персоналу тощо. До них можна віднести:
- організацію перепускного режиму до приміщень, де розміщені основні обчислювальні засоби для обробки платіжної інформації;
- дотримання правил обробки інформації та інструкцій для обслуговуючого персоналу під час обробки платіжної інформації;
- організацію розподілу доступу і зберігання паролів та криптографічних ключів;
- організацію обліку, зберігання та знищення документів та носіїв з конфіденційною інформацією;
- організацію підготовки користувачів платіжної системи й обслуговуючого персоналу та контролю за їх роботою;
- порядок внесення змін до програмних і апаратних засобів платіжної системи тощо.
Для виконання таких завдань у центральному банку треба виділити окрему групу висококваліфікованих фахівців. Вони зобов'язані знати методи та механізми захисту інформації, повинні ретельно вивчати структуру та технологію роботи платіжної системи, володіти навиками роботи з персоналом.
Для банківських установ — учасників платіжних систем обов'язки адміністраторів безпеки значно вужчі. Одним з основних обов'язків е суворе дотримання положень інструкцій і нормативних документів, що введені в дію у платіжній системі. Інша частина обов'язків буде пов'язана зі забезпеченням захисту інформації всередині банківської установи та навчанням і контролем за роботою персоналу банківської установи.
Фізичний захист систем електронних розрахунків потребує виконання вимог щодо безпечного та надійного функціонування ключових обчислювальних машин платіжної системи. При централізованій обробці платіжних документів особливу увагу треба приділяти фізичній охороні та пропускному режиму будівель, де розміщена основна обчислювальна техніка. Приміщення з обчислювальною технікою повинні бути обладнані кількома рівнями охоронної сигналізації, пожежною сигналізацією, бажано встановити охоронне телебачення для здійснення постійного контролю за обчислювальною технікою. Необхідно укласти відповідні договори з правоохоронними органами з питань охорони будівель, а також розробити інструкції для правоохоронних органів та власних загонів охорони на випадок стихійних лих або спрацювання сигналізації.
Особливої охорони і захисту потребують центри генерації та сертифікації ключів платіжної системи. Вони повинні бути обладнані відповідною обчислювальною технікою, яка пройшла дослідження на побічні електромагнітні випромінювання для захисту від перехоплення і витоку ключової інформації технічними каналами. Обчислювальна техніка для генерації і сертифікації ключів не повинна входити до локальних мереж центрального банку або повинна бути обладнана відповідною системою захисту від втручання з інших робочих місць локальної мережі. Доступ до приміщень центру генерації і сертифікації ключів повинен бути суворо обмеженим.
Окремо треба подбати про фізичний захист обслуговуючого персоналу платіжної системи та створення безпечних умов їхньої роботи.
Учасник СБП має гарантувати дотримання адміністративних вимог щодо безпечного використання, зберігання та обліку засобів захисту інформації, розподілу повноважень між службовими особами банку (філії), які беруть участь в обробленні електронних банківських документів. Усі засоби захисту інформації Національного банку, що використовуються в СБП, надаються учасникам СЕП територіальними управліннями за умови виконання таких вимог:
- укладення договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України між банком (філією) і територіальним управлінням тієї області, в якій розташований банк (філія), незалежно від моделі обслуговування консолідованого кореспондентського рахунку;
- забезпечення відповідності приміщень, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту інформації, вимогам до приміщень учасників СЕП, які використовують засоби захисту інформації Національного банку, що визначені нормативно-правовими актами Національного банку щодо правил організації захисту електронних банківських документів;
- призначення службових осіб, які відповідають за зберігання та використання засобів захисту інформації з поданням належно завіреної копії наказу про призначення до територіального управління;
- подання листа-доручення про отримання конкретних засобів захисту інформації.
Засоби захисту інформації для банку (філії) виготовляються Департаментом інформатизації на замовлення територіального управління. Банк (філія) — учасник СЕП не має права передавати засоби захисту інформації іншій установі. Учасник СЕП має забезпечити реєстрацію в окремому журналі такої інформації:
- обліку апаратних та програмних засобів захисту інформації із зазначенням нормативно-правових актів Національного банку, що регулюють порядок їх використання;
- переліку службових осіб, відповідальних за користування та зберігання отриманих засобів захисту інформації;
- переліку службових осіб, на яких, згідно з наказом керівника банку (філії), покладено виконання криптографічного захисту електронних банківських документів.
Питання для самостійного вивчення
1. Аналіз відмінностей вбудованих та додаткових механізмів криптографічного захисту.
2. Суть, функціональні можливості, особливості використання цифрового електронного підпису.
3. Характеристика груп заходів, спрямованих для протидії загрозам та з метою мінімізації можливих збитків користувачів платіжної системи.
4. Аналіз та характеристика завдань фахівців Національного банку України з питань захисту інформації.
Основна література: 1; 2; 3; 13; 15; 16.
Додаткова: 17; 18; 21; 28; 41; 47; 48; 49.
Тема 5. СПЕЦИФІКА ДІЇ ЗАРУБІЖНИХ ПЛАТІЖНИХ СИСТЕМ
5.1. Загальні відомості про зарубіжні платіжні системи
5.2. Товариство міжнародних міжбанківських фінансових телекомунікацій СВІФТ (SWIFT)
5.3. Електронна комерція з використанням засобів Інтернету
Питання для самостійного вивчення
Тема 6. СИСТЕМА ЕЛЕКТРОННИХ ПЛАТЕЖІВ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
6.1. Методологія розробки платіжних систем
Визначення потреб, формулювання цілей та специфікацій проекту
Створення платіжної системи