Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Основою криптографічного захисту є ключова інформація та ключі.

Для забезпечення конфіденційності інформація СЕП обробляється АРМ-НБУ, яке включає вбудовані засоби захисту інформації та забезпечує апаратне і програмне шифрування (розшифрування) інформації.

Для здійснення суворої автентифікації банків (філій), які є учасниками СЕП, застосовується система ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту.

Апаратно-програмні засобикриптографічного захистуінформації в СЕП забезпечують автентифікацію відправника та отримувачаелектронних банківських документів і службових повідомлень СЕП, гарантують їх достовірність та цілісність, неможливість підроблення або викривлення документів у шифрованому вигляді та за наявності ЕЦП.

Глава 3. Криптографічний захист інформації

Глава 2. Технологічні засоби безпеки в СЕП

Глава 1. Принципи побудови захисту електронних банківських документів

1. Система захисту електронних банківських документів (далі - система захисту) забезпечує:

а) захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;

б) автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів у СЕП;

в) захист від технічних порушень роботи апаратури (у тому числі від псування апаратних і програмних засобів, перешкод у каналах зв'язку);

г) умови для роботи програмно-технічних комплексів у СЕП, за яких фахівці банків - учасників СЕП і Національного банку не можуть утручатися в оброблення електронних банківських документів після їх формування, та автоматичний контроль на кожному етапі їх оброблення.

2. Система захисту:

а) охоплює всі етапи розроблення, упровадження та експлуатації програмно-технічного забезпечення в банках (філіях);

б) уключає технологічні, апаратні, програмні засоби та організаційні заходи захисту;

в) визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

1. Технологічний контроль використовується для підвищення ступеня захисту електронних банківських документів у СЕП і здійснюється програмним забезпеченням на всіх рівнях їх оброблення, що дає змогу контролювати здійснення розрахунків протягом робочого дня, а також виконувати їх звіряння в кінці дня.

2. Технологічні засоби контролю включають:

механізм обміну квитанціями, який дає змогу однозначно ідентифікувати отримання адресатом будь-якого файла або пакета електронних банківських документів у СЕП і забезпечує можливість контролю отриманої в ньому інформації;

механізм інформування банку - учасника СЕП щодо поточного стану його кореспондентського рахунку за підсумками циклів оброблення платежів у ЦОСЕП;

механізм надання банку - учаснику СЕП інформації щодо поточного стану його технічного рахунку;

взаємообмін між банком і ЦОСЕП технологічною інформацією за підсумками банківського дня з переліком відображених за технічним рахунком міжбанківських електронних розрахункових документів, які оброблені засобами СЕП у файловому режимі та режимі реального часу, що дає змогу здійснювати їх програмне звіряння як у ЦОСЕП, так і в банку;

програмний комплекс самодіагностики, який дає змогу виявляти порушення цілісності баз даних програмного забезпечення ЦОСЕП, псування яких може виникнути внаслідок порушень функціонування системи, спроб несанкціонованого доступу або фізичного псування баз даних;

автоматичний механізм контролю за несанкціонованим модифікуванням робочих модулів;

механізм резервування для забезпечення швидкого відновлення роботи ЦОСЕП з мінімальними втратами інформації.

Технологічні засоби контролю, убудовані в програмне забезпечення, не можуть бути відключені. У разі виникнення нестандартної ситуації або підозри щодо несанкціонованого доступу ЦОСЕП автоматично формує повідомлення для оперативного реагування ЦРП.

До засобів контролю включають також:

технологічну інформацію ЦОСЕП про стан технічних рахунків і стан функціонування СЕП за підсумками банківського дня;

засоби аналізу причин невідповідності балансу.

Криптографічний захист інформації охоплює всі етапи оброблення електронних банківських документів з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в СЕП.

Криптографічний захист інформації забезпечує цілісність та конфіденційність електронної банківської інформації, а також сувору автентифікацію учасників СЕП і їх фахівців, які здійснюють підготовку та оброблення електронних банківських документів.

Учасник СЕП для забезпечення захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований; другий та третій знаки є унікальними ідентифікаторами учасника СЕП у межах цієї території. Ідентифікатори мають бути узгоджені з адресами системи ЕП і бути унікальними в межах банківської системи України.

Трибайтні ідентифікатори є складовою частиною ідентифікаторів ключів криптографічного захисту для робочих місць САБ банку (філії), де формуються та обробляються електронні банківські документи. Ідентифікатор ключів криптографічного захисту для робочих місць складається з шести символів, з яких три перші є ідентифікаторами учасника СЕП, четвертий - визначає тип робочого місця (операціоніст, бухгалтер тощо), п'ятий і шостий - ідентифікатор конкретного робочого місця (тобто службовця, який відповідає за оброблення електронних банківських документів на цьому робочому місці). Трибайтний ідентифікатор учасника СЕП убудований у програму генерації ключів і не може бути змінений учасником СЕП, що забезпечує захист від підроблення ключів від імені інших учасників СЕП.

Рис. 1. Ідентифікатор ключів криптографічного захисту для робочих місць САБ банку (філії), де формуються та обробляються електронні банківські документи

Ідентифікатори ключів записуються в апаратуру криптографічного захисту інформації (далі - АКЗІ), яка надається учасникам СЕП і забезпечує апаратне формування (перевірку) ЕЦП та апаратне шифрування (розшифрування) на АРМ-НБУ.

3. Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту електронних банківських документів з часу їх формування система захисту СЕП уключає механізми формування (перевірки) ЕЦП на базі несиметричних алгоритмів RSAтаДСТУ 4145. Для забезпечення роботи алгоритму RSA учасник СЕП отримує від територіального управління персональний генератор ключів з убудованим ідентифікатором учасника СЕП. За допомогою цього генератора ключів учасник СЕП має змогу генерувати ключі для всіх робочих місць, де працюють з електронними банківськими документами. Кожен таємний ключ робочого місця обов'язково має бути захищений особистим паролем відповідальної особи, яка працює з цим ключем. Для забезпечення захисту ключової інформації (а саме відкритих ключів) від несанкціонованої модифікації відкриті ключі ЕЦП мають надсилатися до Департаменту інформатизації для сертифікації (крім відкритих ключів для робочих місць операціоністів, що використовуються лише в САБ).

Рис. 2. Генерація та розподіл ключів ЕЦП в банку

Генерація ключів для АКЗІ здійснюється на комп'ютері, де розміщується програмно-технічний комплекс АРМ-НБУ, за допомогою генератора, убудованого в АРМ-НБУ. Для забезпечення безперебійної роботи АРМ-НБУ з апаратурою захисту під час генерації ключа АКЗІ згенерований ключ повинен записуватися на дві смарт-картки (основну та резервну).

Учасник СЕП зобов'язаний забезпечити дотримання механізму накладання (перевірки) ЕЦП згідно з вимогами цієї глави, які унеможливлюють формування та відсилання електронного банківського документа однією службовою особою.

Під час формування електронного банківського документа на робочому місці операціоніста САБ відповідальна особа, яка формує цей документ, має накладати ЕЦП на документ за допомогою свого таємного ключа. Під час формування файла (пакета) електронних банківських документів на робочому місці бухгалтера САБ накладається ЕЦП на цей файл (пакет) у цілому, що забезпечує його захист від модифікації. Сформований таким чином файл (пакет) обробляється АРМ-НБУ, де виконується перевірка ЕЦП операціоніста на кожному електронному банківському документі та накладається ЕЦП АРМ-НБУ, який можуть перевірити всі учасники СЕП. Під час оброблення файлів (пакетів)ЦОСЕП виконує перевірку підписів на кожному електронному банківському документі та файлі (пакеті) у цілому та після формування файлів (пакетів) відповідних платежів накладає ЕЦП на файл (пакет) у цілому за допомогою таємного ключа ЦОСЕП. Разом з цим на кожному електронному банківському документі залишається ЕЦП АРМ-НБУ учасника СЕП, який відправляв цей електронний банківський документ. Під час отримання файлів (пакетів) відповідних платежів виконується така сама перевірка (накладання) ЕЦП до часу остаточного оброблення документів операціоністом САБ отримувача.

Рис. 3. Накладання (перевірка) ЕЦП

Технологія оброблення платежів у САБ учасника СЕП забезпечує надійний розподіл доступу під час оброблення електронних банківських документів і захист цих документів від модифікації в локальній мережі банку. Виконання технології використання ЕЦП на всіх етапах оброблення електронних банківських документів є обов'язковою вимогою для всіх типів САБ, які працюють у банках (філіях), незалежно від моделі обслуговування консолідованого кореспондентського рахунку.

Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в АРМ-НБУ програмними засобами захисту інформації і забезпечує апаратне шифрування (розшифрування) інформації за стандартом ГОСТ 28147[1].

Як резервний засіб шифрування в СЕП використовується вбудована в АРМ-НБУ функція програмного шифрування. Для кожного файла (пакета) СЕП, що обробляється АРМ-НБУ, генерується одноразовий ключ шифрування для алгоритму ГОСТ 28147-89, який обробляється відповідно до стандарту ISO 11166-94[2] і додається до повідомлення в зашифрованому вигляді. Такий спосіб передавання повідомлень забезпечує, що лише дійсний отримувач повідомлення має змогу виконати його розшифрування.

Рис. 4. Спосіб передавання повідомлень

Засоби шифрування АРМ-НБУ (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді.

АРМ-НБУ в режимі реального часу забезпечує додаткову сувору взаємну автентифікацію АРМ-НБУ учасника СЕП та ЦОСЕП під час встановлення сеансу зв'язку.

Під час роботи АРМ-НБУ створює шифровані архіви оброблених електронних банківських документів та захищений від модифікації протокол роботи АРМ-НБУ, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня шифровані архіви та протокол роботи АРМ-НБУ підлягають обов'язковому збереженню в архіві. Цей архів використовується для надання Національним банком інформаційних послуг відповідно до глави 6 цього розділу.

Ключова інформація містить ключі асиметричного криптографічного алгоритму, що генеруються учасником СЕП за допомогою наданих генераторів ключів та АРМ-НБУ для АКЗІ, а також ключів, що використовуються для апаратного шифрування у формі захищених записів на смарт-картках АКЗІ. Ключова інформація під час роботи АКЗІ використовується виключно всередині смарт-картки, що унеможливлює підроблення та перехоплення ключової інформації. Департамент інформатизації виготовляє АКЗІ та смарт-картки для кожного учасника СЕП на замовлення територіального управління, яке надає їх учасникам СЕП відповідно до умов договору.

Ключова інформація для програмного шифрування та для ЕЦП має генеруватися безпосередньо відповідальною особою банку (філії) у присутності адміністратора захисту інформації банку (філії) за допомогою генератора ключів, який надається учаснику СЕП територіальним управлінням. Генератори ключів є персональними для кожного учасника СЕП, мають убудований унікальний ідентифікатор учасника СЕП, який не може бути вилучений або змінений. Генератори мають змогу запису таємного ключа на носії двох видів - на дискету або на Touch Memory[3], у якому додатково вбудований захист від копіювання ключової інформації з одного носія на інший. Таємні ключі, які зберігаються на дискетах, обов'язково мають бути захищені паролем, що забезпечує додатковий захист від спроб несанкціонованого використання скопійованих таємних ключів. Довжина пароля становить шість символів і не може бути зменшена.

Рис. 5. Ключова інформація в СЕП України

Рис. 6. Носії ключової інформації

Підготовка генераторів ключів, АКЗІ зі смарт-картками, контроль за їх обліком і використанням, техніко-експлуатаційне обслуговування та ремонт АКЗІ, а також сертифікація відкритих ключів покладаються на Департамент інформатизації.


Читайте також:

  1. Аварійно-рятувальні підрозділи Оперативно-рятувальної служби цивільного захисту, їх призначення і склад.
  2. Авілум – “син чоловіка” – повноправна людина, охороні його життя, здоров’я, захисту його майнових інтересів присвячена значна частина законника.
  3. Адміністративно-правовий спосіб захисту прав
  4. Адміністративно-правовий спосіб захисту прав
  5. Акустичні засоби|кошти| захисту
  6. Апостеріорна інформація
  7. Апріорна інформація
  8. Асиметрична інформація
  9. Базові напрями організації захисту інформації ІКСМ.
  10. Банк (філія) - учасник СЕП не має права передавати засоби захисту інформації іншій установі.
  11. Безумовною є інформація про події, що реально відбуваються у матеріальному світі.
  12. Варіантів захисту підсудного




Переглядів: 1188

<== попередня сторінка | наступна сторінка ==>
Розділ IX. Вимоги щодо захисту електронних банківських документів у банках (філіях) - учасниках СЕП | Банк (філія) - учасник СЕП не має права передавати засоби захисту інформації іншій установі.

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.022 сек.