Основні задачі та вимоги до захисту банківської інформації в СЕП

Бухгалтерські засоби контролю включають:

• низку звітних документів, отриманих як від АРМ-2, так і від АРМ-3, що вміщують повну технологічну та бухгалтерську інформацію, перехресні посилання та аналіз балансу;

• низку звітних форм АРМ-1, що вміщують інформацію про стан СЕП в Україні;

• засоби вивірення взаємодій РРП в АРМ-1, що дозволяють виявити неузгодженість в звітній інформації, що надана в РРП;

• засоби аналізу причин відсутності балансу в масштабах України.

Використання тільки технологічних та бухгалтерських методів контролю є недостатнім для забезпечення захисту від зловживань при передачі платіжних документів в СЕП. Тому необхідне автоматичне ведення протоколу виконуваних дій в системі платежів, що має також забезпечувати захист цього протоколу від підробки та модифікацій. Всі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засобів захисту.

Програмні та апаратні засоби захисту інформації

Захист банківської інформації в СЕП включає комплекс дій, пов’язаних з шифруванням інформації, що циркулює в платіжній системі. Шифруванню підлягають усі файли СЕП: початкові і зворотні платіжні файли, файли квитанцій, файли звітів, файли лімітів, файли стану коррахунку, файли нормативно-довідкової інформації.

Усі платіжні документи СЕП перед відправленням з банку обробляються апаратно-програмними засобами захисту інформації, що забезпечують виконання таких вимог з точки зору безпеки інформації:

• інформація, що передається, має бути закритою, тобто повідомлення може бути прочитане лише тим, кому воно адресоване;

• цілісність — випадкове чи навмисне пошкодження повідомлення на етапі його передачі буде виявлене під час його прийому;

• аутентичність відправника (під час прийому повідомлення можна однозначно визначити, хто його відправив).

Крім перерахованих основних вимог, необхідно виконувати низку допоміжних, що дає змогу більш детально аналізувати мож¬ливі нестандартні ситуації:• засобами захисту інформації ведеться шифрований арбітраж¬ний журнал, в якому зберігається протокол обробки інформації, а також вміст файлів, що обробляються;

• у шифроване повідомлення включені поля дати та часу обробки.

В основу роботи засобів захисту інформації в СЕП покладено алгоритм шифрування із закритими ключами відповідно до ДЕСТ 28147-89. Цей метод характеризується високою надійністю з точки зору його дешифрування, але ставить дуже високі вимоги до процедури транспортування та зберігання закритих ключів, секретність яких забезпечує на практиці стійкість системи шифрування.

Основними засобами захисту інформації в СЕП є апаратні засоби. Секретність ключів у них забезпечується технологічно:

• ключі зберігаються в спеціальній електронній картці, прочитати їх можна тільки за допомогою спеціального блоку, що виконує процес шифрування інформації. Прочитати ключі іншими засобами неможливо;

• електронна картка видається банку з попередньою прив’яз¬кою її до конкретного блоку шифрування цього ж банку; втрачена чи викрадена картка не буде працювати в іншому шифро-блоці (наприклад, в апаратурі іншого банку);

• у випадку крадіжки одночасно блоку і картки у конкретного банку передбачено режим виключення цієї апаратури зі списку користувачів СЕП; банк може продовжити роботу в СЕП після вирішення юридичних та фінансових питань, пов’язаних з втратою апаратури та отриманням нового комплексу.