Контрольная работа: Алгоритми шифрування інформації

захист від технічних порушень апаратури: збоїв та псування апаратних і програмних засобів, перешкод у каналах зв'язку;

створення умов роботи СЕП, при яких фахівц банків - учасників СЕП та Національного банку практично не мають змоги втручатися в обробку платіжних документів після їх формування;

забезпечення контролю на кожному етапі обробки.

Система захисту СЕП включає технологічні, апаратні, програмні засоби та організаційні заходи захисту, забезпечує чіткий розподіл відповідальності на кожному етапі підготовки, обробки та виконання платежів на всіх рівнях - від клієнта банку до АРМ-1.

З урахуванням завдань банківської безпеки у СЕП була створена Служба захисту інформації на двох рівнях: у Національному банку та в регіональних розрахункових палатах, через які здійснюються міжрегіональні та внутрішньорегіональні платежі.

Служба захисту інформації НБУ здійснює свою діяльність відповідно до Законів України "Про банки і банківську діяльність", "Про захист інформації в автоматизованих системах" та нормативних актів Національного банку.

Служба захисту інформації на рівн Національного банку вирішує питання, що пов'язані з:

розробкою загальної політики безпеки електронних платежів в Україні;

постійним аналізом системи захисту та вдосконаленням;

розробкою, підготовкою та сертифікацією апаратних і програмних засобів захисту;

генерацією та розподілом програм криптографічного захисту та ключової інформації;

наданням консультацій та навчанням персоналу служб захисту інформації регіональних розрахункових палат;

аналізом збоїв у функціонуванні СЕП та спроб несанкціонованого доступу до СЕП (далі - НСД).

У разі необхідності Служба захисту інформац НБУ надає арбітражні послуги банкам - учасникам системи електронних платежів. Відділи захисту інформації на другому рівні забезпечують:

впровадження розробленої політики безпеки;

впровадження апаратних та програмних засобів захисту всіма учасниками системи електронних платежів;

проведення консультацій та навчання персоналу банків, які беруть участь у СЕП;

нагляд за виконанням вимог банківської безпеки учасниками СЕП;

підготовку інформації для аналізу збоїв роботи СЕП та НСД.

З досвіду експлуатації системи можна зробити висновок, що Служба захисту інформації НБУ, побудована на основі вищезазначених принципів, забезпечує достатній рівень безпеки у СЕП.

Система безпеки СЕП є багаторівневою. Вона включає не лише засоби шифрування інформації, які, беззаперечно, є дуже важливими та надають можливість отримати достовірну інформацію на різних рівнях, а й цілий комплекс технологічних та бухгалтерських засобів контролю за проходженням платежів у СЕП. Такий технологічний та бухгалтерський контроль забезпечується програмним забезпеченням на всіх рівнях, що дозволяє персоналу РРП та ЦРП, учасникам розрахунків відстежувати порядок проходження платежів як протягом дня, так і за підсумками дня.

Технологічні засоби контролю включають:

механізм обміну квитанціями в режимі реального часу, який дозволяє однозначно ідентифікувати отримання адресатом конкретного пакета документів та достовірність інформації, що в ньому міститься;

механізм інформування банку - учасника СЕП про поточний стан його коррахунку за підсумками технологічних сеансів у РРП, який

дозволяє банку відстежувати відповідність змін коррахунку та приймання/передачі пакетів платіжних документів;

взаємообмін між банком та РРП підсумковими документами на кінець банківського дня, програмну звірку підсумкових документів як у РРП, так і в банку;

програмний комплекс самодіагностики, який дозволя виявити порушення цілісності та неузгодженість баз даних АРМ-2, що може виникнути внаслідок збою в функціонуванні системи, спроб несанкціонованого доступу до баз даних АРМ-2 або фізичного їх псування;

взаємообмін між АРМ-2 та АРМ-1 повідомленнями звітного характеру про функціонування СЕП у цілому;

механізм контролю програмних засобів для виявлення несанкціонованої модифікації модулів програмного забезпечення. Ус технологічні засоби контролю вбудовані у програмне забезпечення, їх не можна вилучити, а в разі виникнення нестандартної ситуації або підозри на несанкціонований доступ вони негайно інформують працівників РРП та ЦРП, що да можливість оперативно втручатися у таку ситуацію.

Бухгалтерські засоби контролю включають:

комплект звітних документів, які отримуються в АРМ-2, містить повну технологічну та бухгалтерську інформацію, перехресн посилання та аналіз балансу;

комплект звітних форм АРМ-1, які містять бухгалтерську інформацію про стан СЕП в Україні;

засоби звірки взаємодії РРП в АРМ-1, які дозволяють виявити розбіжності в звітній інформації, що надає РРП;

засоби аналізу причин відсутності балансу в масштабах України.

Однак, застосування тільки технологічних та бухгалтерських засобів контролю у СЕП недостатньо, щоб забезпечити захист від зловживань при передачі платіжних документів у СЕП. До того ж, автоматичне ведення протоколу виконуваних дій у системі платежів має супроводжуватися також захистом цього протоколу від підробки та модифікації. Всі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засобів шифрування.

Система захисту банківської інформації у СЕП включає комплекс заходів шифрування інформації, яка циркулює у платіжній системі. Шифруванню підлягають усі файли, що передаються між АРМ СЕП: як пакети початкових та відповідних платіжних документів, так і квитанції на них, вс нші технологічні файли.

Усі платіжні документи СЕП перед відправкою з банківської установи обробляються апаратними або програмними засобами захисту нформації, які забезпечують виконання ряду вимог безпеки інформації у СЕП, а саме:

закритість інформації, яка пересилається (повідомлення не може бути прочитане ніким, крім адресата);

цілісність (будь-яке, випадкове або зловмисне, викривлення повідомлення на етапі передавання буде виявлене при прийманні);

аутентичність відправника (при прийманн однозначно визначається, хто відправив конкретне повідомлення).

Крім цих основних вимог, виконується ряд додаткових, що дозволяє детальніше аналізувати можливі нестандартні ситуації:

засобами захисту інформації ведеться шифрований арбітражний журнал, який містить протокол обробки інформації, а також зміст оброблених файлів;

у шифроване повідомлення включені реквізити дати та часу обробки.

В основу роботи засобів захисту інформації у СЕП покладений алгоритм шифрування із закритими симетричними ключами за ГОСТ 28147-89. Згаданий метод характеризується високою стійкістю до дешифрування, але одночасно висуває високі вимоги до процедури транспортування та зберігання закритих ключів, секретність яких і визначає реальну стійкість системи шифрування в цілому. Щоб забезпечити секретність ключів при їх транспортуванні, зберіганні та використанні, застосовується комплекс технологічних організаційних заходів.

Основними засобами захисту інформації у СЕП апаратні засоби. В них секретність ключів забезпечується технологічно:

ключі зберігаються в спеціальній електронній картці, їх зчитування можливе лише у пам'яті спеціального блоку ("шифроблоку"), який здійснює процес шифрування інформації. Зчитування ключів іншими засобами не можливе;

електронна картка видається конкретному банку з попередньою прив'язкою її до конкретного шифроблоку цього ж банку; якщо картку загублено або викрадено, то вона не буде працювати в іншому шифроблоці (наприклад, в апаратурі іншого банку);

на випадок викрадення одночасно блоку і картки у конкретного банку передбачений режим виключення цієї апаратури із списку користувачів СЕП; банк зможе продовжувати роботу у СЕП шляхом отримання нового комплекту, після вирішення юридичних та фінансових питань, пов'язаних із втратою апаратури.

Резервним засобом захисту у СЕП є програмне шифрування, яке реалізує такий самий алгоритм шифрування. Програмні засоби шифрування є невід'ємною частиною програмного забезпечення АРМ-1, АРМ-2, АРМ-3 СЕП.

Зберігання та використання засобів захисту повинно відповідати вимогам, які висуваються до інформації з грифом "Банківська таємниця". Задоволення цих вимог забезпечується організаційними заходами.

При роботі засобів криптування банківсько нформації ведеться шифрований архів банківських платежів, де зберігаються вс зашифровані та відправлені, а також одержані та дешифровані платежі. Дешифрування повідомлень архіву можливе лише за наявності ключа, який знаходиться в Служб захисту електронних банківських документів Національного банку. Наприкінц робочого дня цей шифрований архів треба обов'язково переписати на гнучк магнітні носії. Він використовується для надання інформаційно-арбітражних послуг, які надає Служба захисту електронних банківських документів Національного банку відповідно до "Положення про інформаційно-арбітражн послуги служби захисту електронних банківських документів у СЕП".

Арбітражна версія апаратно-програмного комплексу криптографічного захисту дає змогу Службі захисту електронних банківських документів Національного банку при наявності копій шифрованого архіву банківської установи - учасника СЕП дешифрувати всі повідомлення з цього архіву та з абсолютною достовірністю визначати:

ім'я абонента, який відправив (зашифрував) електронний платіж ний документ;

ім'я абонента, якому адресовано електронний платіжний документ;

дату, годину та хвилину, коли виконувалося шифрування електронного платіжного документа;

дату, годину та хвилину, коли та ким виконувалося дешифрування електронного платіжного документа.

При використанні апаратних засобів захисту додатково визначається:

номер апаратури захисту, на якій виконувалось шифрування (дешифрування) електронного платіжного документа;

номер електронної картки, якою користувались під час шифрування (дешифрування) електронного платіжного документа.

Журнали реєстрації надходжень електронно пошти дають змогу володіти інформацією про шлях та час проходження електронного платіжного документа від однієї банківської установи до іншої через усі пункти мережі телекомунікації СЕП.

Апаратні та програмні засоби шифрування, як надає Служба захисту інформації НБУ, отримали позитивну експертну оцінку Служби безпеки

України та рекомендовані для застосування з дотриманням деяких організаційних та технологічних запобіжних заходів.

Додатково для захисту інформації у СЕП використовуються апаратні засоби шифрування в каналах телекомунікаційного зв'язку - апаратура захисту банківських даних (АЗБД). Ця апаратура забезпечу гарантований захист банківських електронних повідомлень від перехоплення, нав'язування, підробки та викривлення їх унаслідок зовнішнього впливу, підтримує абсолютну достовірність повідомлень, використовуючи електронні картки як носії ключово нформації. Такі засоби захисту "прозорі" для телекомунікаційних систем, сумісні зі стандартними протоколами зв'язку та працюють в автоматичному режимі.

З перших місяців роботи СЕП Службою захисту банківської інформації НБУ ведеться аналіз усіх порушень функціонування системи як з погляду надійності її роботи (апаратно-програмні збої, випадкові порушення технології тощо), так і з погляду безпеки (можливість "НСД").

З вищезазначеного можна зробити такі висновки:

1. Найбільший відсоток випадків порушення функціонування (близько 65%) припадає на незначні збої у СЕП, які не порушують роботу системи, обробляються автоматично і не призводять до викривлень бухгалтерських проводок. До таких випадків можна віднести, наприклад, викривлення шифрованих платіжних або інформаційних файлів у каналах зв'язку або неможливість розшифрувати файли, що викликано некоректним використанням шифроблоків (у момент обробки файла електронна картка відсутня в пристро зчитування тощо). Така ситуація обробляється системою автоматично, але повідомлення про збої в системі захисту надходять до ЦРП та служби захисту нформації. Це дозволяє вести аналіз подібних ситуацій, виявляти незначні збої, які найчастіше зустрічаються в системі, і при потребі усувати їх.

2. Значна кількість порушень роботи СЕП (близько 35%), які мали зовнішні ознаки, що вимагали розгляду їх як можливого НСД, насправд спробами несанкціонованого доступу не були, але виникали внаслідок порушення персоналом банківських установ технології обробки платіжної інформації або несумлінного поновлення програмного забезпечення після програмно-апаратних збоїв. У ряді випадків потрібне було спеціальне коригування бухгалтерських проводок, пов'язане з ліквідацією наслідків некоректного поновлення інформації. Найчастіше такі порушення виникають через недостатню кваліфікованість персоналу банку - учасника СЕП та неуважного ставлення до інструкцій та вимог щодо роботи з програмно-апаратним комплексом АРМ-3.

3. У системі було виявлено декілька свідомих спроб несанкціонованого втручання в роботу СЕП, що становить менше 0,01 відсотка загальної кількості порушень функціонування системи. Про всі згадан випадки система захисту СЕП своєчасно й адекватно автоматично інформувала персонал НБУ.

Для всіх випадків НСД простежуються спільн характерні особливості:

усі вони були здійснені представниками банківських установ, при цьому отримання незаконного прибутку призводило до втрати коштів саме тим банком, персоналом якого вони здійснювались (крадіжка у власного банку, а не у держави або іншого банку);

у всіх випадках особи, що здійснювали НСД, мали легальний доступ до систем підготовки та захисту платіжної інформації, причому повноваження їх були явно завищені (доступ до багатьох або навіть до всіх банківських ресурсів системи);

контроль уповноваженими представниками банків (головний бухгалтер, керівник тощо) за роботою персоналу був послаблений або практично відсутній.

4. Зовнішнє втручання у СЕП (не з боку банків - учасників СЕП) не зафіксовано.

Вищезазначене демонструє, що найслабшим місцем платіжної системи на поточний момент є дільниця підготовки платежів персоналом банку - учасника СЕП. Для зменшення небезпеки несанкціонованого доступу в цій ланці керівництво НБУ вимагає від учасників СЕП обов'язкового виконання ряду організаційних вимог (деякі з них очевидні):

лише довірені особи можуть бути допущені до ключових операцій підготовки платіжної інформації;

відповідальні особи банків мусять здійснювати постійний, реальний та достатній контроль за станом бухгалтерського балансу та кореспондентського рахунку банку (СЕП надає всю необхідну для цього інформацію);

не допускається зосередження повноважень щодо доступу до програмно-технічних ресурсів банку в одного із співробітників, за кожну дільницю обробки платіжної інформації повинен відповідати окремий уповноважений (адміністратор локальної мережі, адміністратор електронної пошти, відповідальний за роботу з АРМ-3 СЕП тощо).

Для надання допомоги банкам - учасникам СЕП у розмежуванні повноважень осіб, які здійснюють підготовку платіжних документів до передачі у СЕП, впроваджено технологію перехресного накладання електронного цифрового підпису на електронні платіжні документи. її суть полягає у тому, що в жодному пункті проходження платіжного документа через СЕП не існує повного набору ключів, який міг би дозволити викривити інформацію. Таким чином забезпечується контроль за достовірністю при проходженні платежів усередин банку та через мережу розрахункових палат НБУ (рис.1).

Рис.1. Взаємодія засобів захисту інформації в СЕП

Алгоритм RSA, на якому базується програмний комплекс накладання електронного цифрового підпису, належить до несиметричних алгоритмів шифрування. Кожний учасник обміну електронними документами має два ключі шифрування: таємний, який повинен ретельно охоронятися від сторонніх та бути відомим лише власнику, і відкритий, який розповсюджується у систем повинен бути відомим кожному її учаснику. Концепція алгоритму RSA зводиться до того, що в основу електронного цифрового підпису покладено оброблене спеціальним алгоритмом стиснення самого повідомлення, яке підписується. При цьому шифрування цього прототипу електронного цифрового підпису здійснюється за допомогою секретного ключа відправника та відкритого ключа отримувача повідомлення. Саме повідомлення може не шифруватися (це реалізовано в програмному комплексі електронного підпису), модифікація підписаного повідомлення (зміна навіть одного біта) буде негайно виявлена при перевірц підпису отримувачем повідомлення. Під час перевірки електронного підпису програмним комплексом отримувача формується прототип електронного підпису отриманого повідомлення. Отриманий цифровий підпис повідомлення дешифрується відкритим ключем відправника та секретним ключем отримувача. Цей прототип електронного цифрового підпису порівнюється з вирахуваним прототипом. Збіг прототипів підпису (отриманого та вирахуваного) означає, що повідомлення було підписане саме вказаним відправником інформації, спрямоване саме згаданому отримувачу та отримане саме в тому вигляді, в якому воно було підписане.

Кожному банку - учаснику СЕП Службою захисту нформації НБУ надається програмне забезпечення, яке складається з трьох модулів:

Власне модуля накладання/перевірки електронного цифрового підпису у вигляді бібліотеки об'єктних модулів, яка може бути вбудована в програмний комплекс "Операційний день банку" на будь-якому робочому місці підготовки платіжних документів.

Модуля генерації ключів для банку - учасника СЕП. Модуль генерації ключів надається у вигляді виконуваного модуля виготовляється особисто для кожної установи - учасника СЕП. За допомогою такого генератора ключів учасник СЕП сам генерує пари таємного та відкритого ключів для всіх робочих місць підготовки платежів.

Модуля поновлення таблиці відкритих ключів та незаповнених таблиць відкритих ключів на кожне робоче місце, який викону коректне поновлення таблиць відкритих ключів, створює їх резервні копії і веде протокол виконаних дій.

При генерації ключів таємний ключ записується на дискету або на touch-memory. Відкриті ключі, які використовуються всередин банку (наприклад, ключі операціоністів), записуються до згаданого каталогу у вигляді файлів змін таблиці відкритих ключів. Відкриті ключі робочих місць, електронний цифровий підпис яких перевіряється у СЕП, а саме - відкриті ключ АРМ-3 та АРМ бухгалтера, записуються у вигляді файлів сертифікації до каталогу, який задається. Ці файли надсилаються до Служби захисту інформації НБУ для виконання їх сертифікації, що дає можливість перед розповсюдженням їх через СЕП переконатися в тому, що вони належать саме цьому учаснику СЕП, а не були згенеровані кимось іншим від імені цього учасника, і що для них виконані вс вимоги, які висуваються до відкритих ключів алгоритму RSA. Після успішного проходження сертифікації відкриті ключі учасника СЕП розсилаються у вигляд файлів змін таблиць відкритих ключів на робочі місця, обумовлені технологією перевірки електронного цифрового підпису (АРМ-3 та АРМ-2).

Правові основи та нормативні документи НБУ повинні забезпечити правове середовище для захисту електронних міжбанківських розрахунків із визначенням юридичних та фізичних осіб, які несуть відповідальність за виконання операцій в системі, прав і обов'язків учасників системи, гарантують виконання фінансових трансакцій та дотримання конфіденційності інформації, що циркулює в системі. Особлива увага в нормативних документах НБУ та підзаконних актах приділяється розгляду спірних питань і порядку ведення арбітражних справ між учасниками системи електронних міжбанківських розрахунків, опису обов'язків учасників системи щодо збереження та своєчасного надання арбітражної інформації, яка створюється засобами криптозахисту програмних комплексів системи та зберігається зашифрованою.

Нормативними документами НБУ визначається комплекс адміністративних заходів, спрямованих на забезпечення захисту підготовки, передачі, обробки та зберігання у кожного учасника системи нформації про електронні фінансові трансакції; визначені правила доступу фізичного захисту вузлів збирання, обробки та зберігання інформації. Нормативн документи НБУ регламентують також порядок генерації, транспортування, розподілу, оновлення і використання ключів криптографічного захисту в системі. Спеціальн нструкції НБУ суворо регламентують порядок роботи фахівців банківських установ з засобами захисту, використання та зберігання криптографічних ключів, розподіл повноважень щодо питань захисту інформації в банківській установі.

У головних вузлах збору, обробки та зберігання нформації в системі (Центральна розрахункова палата, регіональні розрахунков палати тощо) повинні вживатися заходи для захисту інформації від витоку технічними каналами. В усіх приміщеннях, де розташовані сервери системи, включаючи телекомунікаційні, постійно ведеться контроль за дотриманням визначеного комплексу організаційно-технічних заходів щодо порядку обстеження цих приміщень для контролю за витіканням інформації технічними каналами (лін живлення, заземлення, допоміжні технічні засоби, електромагнітне випромінювання обчислювальних машин). Спеціальні вимоги щодо дотримання режимних умов у приміщеннях банківських установ - учасників СЕП, де обробляються, працюють та зберігаються засоби захисту, зазначені у "Положенні про міжбанківськ розрахунки в Україні" і обов'язкові для усіх банківських установ. Ус службові особи, які виконують електронні розрахунки, зобов'язані суворо дотримуватися цих вимог. Відповідальність за виконання вищезгаданих вимог покладено на керівників банківських установ.

Список літератури

1.         Банківське законодавство України. Загальні положення, рахунков операції, платіжні системи, валютне регулювання [Текст] // Бюлетень законодавства і юридичної практики України. - 2006. - N 9

2.         Бекетов Н.В. Организационно-техническое обеспечение оценки эффективности управления платежными системами [Текст] / Н.В. Бекетов // Финансы и кредит. - 2008. - N 13. - C.29-34

3.         Вовчак О.Д. Платіжні системи [Text]: навчальний посібник / О.Д. Вовчак, Г. Є. Шпаргало, Т.Я. Андрейків. - К.: Знання, 2008. - 341 с.

4.         Геронин Н.Н. Мировая практика регулирования платежных систем центральными банками [Текст] / Н.Н. Геронин // Финансы и кредит. - 2006. - N 36. - C.46-51

5.         Карчевский С.П. Платежные системы: понятие, структура, типология и принципы построения [Текст] / С.П. Карчевский // Расчеты и операционная работа в коммерческом банке. - 2007. - N 4. - C.23-35

6.         Пиріг С.О. Платіжні системи [Текст]: навчальний посібник / С.О. Пиріг; Мін-во освіти і науки України, Луцький держ. техн. ун-т. - К.: ЦУЛ, 2008. - 240 с.

7.         Полищук С.А. Эффективная и безопасная национальная платежная система [Текст] / С.А. Полищук // Банковское дело. - 2006. - N 11. - C.13-16

8.         Про внесення змін до Закону України "Про платіжні системи та переказ грошей в Україні" [Текст]: закон України / Україна. Закон. - [Б. м.: б. и.], 2004. - Б. ц.

9.         Пряжникова Ю.А. Зарубежный опыт функционирования платежных систем [Текст] / Ю.А. Пряжникова // Финансы и кредит. - 2007. - N 26. - C.50-59

10.      Румянцев М.И. Информационные системы и технологии финансово-кредитных учреждений [Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасский ин-т экономики и управления. - Днепропетровск: ИМА-пресс, 2006. - 482 с.

11.      Федорусенко А.В. Совершенствование платежной системы банка [Текст] / А.В. Федорусенко // Банковское дело. - 2006. - N 8. - C.60-64