Система електронних платежів національного банку України
Служба захисту інформації НБУ здійснює свою діяльність згідно з законами України «Про банки та банківську діяльність», «Про захист інформації в автоматизованих системах» та відповідними нормативними актами Національного банку України. У разі необхідності Служба захисту інформації НБУ надає арбітражні послуги банкам — учасникам системи електронних платежів.
З досвіду експлуатації СЕП можна зробити висновок, що Служба захисту інформації НБУ, організована на існуючих принципах її побудови, забезпечує достатній рівень безпеки в СЕП.
Система безпеки в СЕП включає цілий комплекс технологічних та бухгалтерських засобів контролю здійснення платежів у СЕП. Ці засоби контролю вбудовані у програмне забезпечення, вони не можуть бути усунені, а в разі виникнення нестандартної ситуації або підозри на несанкціонований доступ до платежів негайно інформують працівників РРП та ЦРП, що дає можливість оперативно втрутитися в таку ситуацію.
Однак застосування самих лише технологічних та бухгалтерських засобів контролю в СЕП є недостатнім для забезпечення захисту від можливих зловживань. До того ж автоматичне ведення протоколу виконуваних дій у системі платежів, у свою чергу, має супроводжуватися захистом цього протоколу від підробки та модифікації. Усі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засобів шифрування банківської інформації. Шифруванню підлягають усі файли, що передаються між АРМ СЕП, тобто пакети відповідних платіжних документів, квитанції на них, всі інші технологічні файли. Іншими словами, перед відправленням із банківської установи всі платіжні документи СЕП обробляються апаратними або програмними засобами захисту інформації, які забезпечують виконання низки вимог безпеки інформації в СЕП, а саме:
закритість інформації, яка пересилається (повідомлення не
може бути прочитане ніким, крім адресата);
цілісність (будь-яке, випадкове або зловмисне, викривлення
повідомлення на етапі передавання буде виявлене під час приймання);
автентичність відправника (під час приймання однозначно
визначається, хто відправив конкретне повідомлення).
Основу захисту інформації в СЕП становить алгоритм шифрування із закритими симетричними ключами (ГОСТ 28147-89). Він характеризується високою стійкістю до дешифрування, але водночас висуває високі вимоги до процедури транспортування та збері-гання закритих ключів, секретність яких і визначає реальну стійкість системи шифрування загалом. Для забезпечення секретності ключів під час їхнього транспортування, зберігання та використання застосовується комплекс технологічних і організаційних заходів.
Основними засобами захисту інформації в СЕП є апаратні засоби. У них секретність ключів забезпечується технологічно. Резервним засобом захисту в СЕП є програмне шифрування, яке реалізує такий самий алгоритм шифрування.
Транспортування, зберігання та використання програм захисту мають відповідати вимогам, які висуваються до інформації з грифом «Банківська таємниця». Задоволення цих вимог забезпечується організаційними заходами (транспортування фельд'єгерською поштою, суворий облік, робота в спеціальних приміщеннях тощо). Крім того, програмні засоби шифрування виготовляються на пункті генерації ключів НБУ адресно, для конкретного банку — учасника СЕП, і використання їх іншими банками буде негайно помічено системою захисту, а відтак дана інформація не буде прийнята до оброблення.
Під час криптування банківської інформації ведеться шифрований архів банківських платежів, де зберігаються всі зашифровані та відправлені, а також одержані та дешифровані платежі. Дешифрування повідомлень архіву можливе лише за наявності ключа, яким володіє служба захисту електронних банківських документів Національного банку. Наприкінці робочого дня цей шифрований архів обов'язково переписується на гнучкі магнітні носії. Такий архів використовується для надання інформаційно-арбітражних послуг відповідно до «Положення про інформаційно-арбітражні послуги служби захисту електронних банківських документів в СЕП».