Державний вищий навчальний заклад

"Українська академія банківської справи

Національного банку України"

Кафедра економічної кібернетики

Контрольна робота

З дисципліни: “Платіжні системи"

Тема: Алгоритми шифрування інформації

Виконала:

студентка факультету банківських технологій

гр.

Перевірив: доц..

Суми 2008


Зміст

1. Принципи побудови захисту електронних банківських документів

2. Криптографічний захист інформації

3. Захист інформації та вирішення питань безпеки у СЕП

Список літератури


1. Принципи побудови захисту електронних банківських документів

Система захисту електронних банківських документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації.

Система захисту електронних банківських документів в інформаційній мережі (далі - система захисту) включає:

а) усі етапи розроблення, упровадження та експлуатації програмно-технічного забезпечення в банківських установах, підключених до інформаційної мережі;

б) технологічні, апаратні, програмні засоби та організаційні заходи захисту;

в) чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

Система захисту забезпечує:

а) захист від несанкціонованого розшифрування та викривлення електронних банківських документів, появи фальсифікованих електронних банківських документів на будь-якому етапі оброблення;

б) автоматичне ведення протоколу оброблення електронних банківських документів з метою локалізації джерел появи порушень роботи програмно-технічних комплексів в інформаційній мережі;

в) захист від технічних порушень та збоїв апаратури {у тому числі збоїв та псування апаратних і програмних засобів, перешкод у каналах зв'язку);

г) належні умови для роботи програмно-технічних комплексів в інформаційній мережі, за яких фахівці банків - учасників СЕМП та Національного банку не можуть утручатись в оброблення електронних банківських документів після їх формування, та автоматичний контроль на кожному етапі їх оброблення.

Система захисту є єдиною для всіх інформаційних задач Національного банку і СЕМП. Для підвищення ступеня захисту міжбанківських електронних розрахункових документів у СЕМП використовуються додаткові засоби, уключаючи технологічний контроль. Технологічні та криптографічні засоби безпеки використовуються не лише в СЕМП, а й у всіх інформаційних задачах Національного банку.

Рекордна атака на платіжні системи. Карткові шахраї щорічно викрадають близько 5 млрд. дол. Приблизно 2 млн. втрачають українці.

Інформація, що з’явилася минулого місяця в Інтернеті з посиланням на Associated Press, змусила вкотре серйозно задуматися про безпеку використання пластикових карток. Надбанням громадськості стали звістки про найбільшу за всю історію існування карткових платіжних систем атаку комп’ютерних шахраїв. За попередніми даними, комп’ютерним умільцям виявилася доступною інформація понад 40 млн. карткових рахунків. Чимало знайдеться й українських власників карток, що "засвітилися". Про масовість явища свідчить уже той факт, що шість чоловік (із близько 100 щасливих власників платіжних карток VISA, які працюють у відомій автору організації) були змушені звернутися до банку для перевипуску своїх карток. Напередодні ці люди зіштовхнулися з обмеженнями під час зняття готівки. "Укрсоцбанк", який емітував картки, не поспішав попередити клієнтів про можливі проблеми. Щоправда, після звернення в банк пластик, що "засвітився", перевипустили за рахунок емітента.

Ми припускаємо, хакер зламав сервер компанії CardSystems Solutions, що опрацьовує трансакції по всьому світі, і впровадив у неї вірус, який певний час відстежував всі операції з картами, - цитують представника MasterСard Int. Джессіку Ентл інтернет-видання. Вірус передавав на сторону дані про ім’я власника картки, банк і номер рахунка. Представники компанії CardSystems Solutions Inc повідомили, що про наявність вірусу в системі їм стало відомо ще 22 травня. Інформацію ж про факт відтоку даних із сервера CardSystems оприлюднили лише через місяць після того, як було розпочато розслідування за цією справою. Скільки власників карток уже встигли постраждати з моменту зараження вірусом - невідомо.

Зламування баз даних, які зберігають конфіденційну інформацію власників пластикових карт, стало уже майже повсякденним явищем. Проте згадану аферу відрізняє як масштаб викраденої інформації, так і те, що вперше під загрозою опинилися гроші й наших власників пластику. Сервер, зламаний шахраями, опрацьовував усю інформацію, незалежно від типу операцій, тому в його базах даних були й ті картки, якими розраховувалися в Інтернеті, й ті, якими українці оплачували покупки в торговельних точках за кордоном. Навіть гордість виникає за наших співвітчизників. Кількість українців, які розплатилися за кордоном за допомогою пластику, становить не сотні, а десятки тисяч чоловік. Українські банки наприкінці минулого місяця вже отримали номери українських рахунків, які опинилися в списку потенційно розсекречених, і збираються перевипустити усі "засвічені" картки.

Зломщики комп’ютерів дістали доступ до інформації чотирьох платіжних систем. Найбільше потенційно постраждалих - серед власників карток системи VISA. Зловмисники отримали дані по 22 млн. карт. Постраждалих власників MasterCard менше - зловмисникам удалося скачати інформацію про 14 млн. карток цієї системи.4 млн. постраждалих використовували American Express або Discover Card.

Українці сьогодні користуються переважно картками двох перших платіжних систем. Хоч American Express і заявила нещодавно про вихід на український ринок, картки цієї елітної платіжної системи мають одиниці.

По всіх українських банках платіжними системами розіслані номери карт, що були в базі CardSystems й інформація з яких може перебувати в руках шахраїв. Ми радимо банкам перевіряти трансакції по цих картах і, якщо це можливо, то й перевипустити картки", - повідомив директор Української міжбанківської асоціації банків - членів Europay International Олександр Карпов.

Українські банки мають намір розв’язати проблему просто - вони готові перевипустити картки, що потрапили під підозру. Причому більшість банків згодні зробити це безплатно й у стислий термін. Деякі великі банки вже практично завершили цю процедуру. У заміні карток зацікавлений і банк, і клієнт банку. Адже у разі надходження інформації про несанкціоновані списання з рахунків щодо кожного випадку банки змушені проводити ретельне розслідування. Йдеться про опротестування конкретних сум, які відшкодовувати клієнту доведеться банку, після чого вимагати, щоб йому ці витрати покрила платіжна система. Залежно від складності ситуації розслідування може тривати від тижня до року. Тому банки вважають за краще переконувати клієнтів, чиї карткові рахунки потрапили в списки розсекречених, у необхідності термінової заміни карток. Водночас банки радять про усякий випадок відкрити новий картковий рахунок усім, хто розраховувався пластиком за кордоном і знову збирається за кордон, незалежно від наявності номера його рахунка в списках, що надійшли. Правда, у цьому разі заміна відбуватиметься за рахунок власника картки.

Універсальна ж порада, запропонована банкірами, - підписатися на послуги sms-банкінгу, суть якої зводиться до інформування клієнта про кожну його трансакцію. Тоді клієнт дістає можливість відстежувати й оперативно припиняти спроби несанкціонованого використання своєї платіжної картки.

В міру збільшення обсягів вітчизняного пластикового ринку проблема безпеки коштів на картках стає дедалі актуальнішою. В Україні емітуються досить дешеві карти й у масовому порядку. Ризик їхньої підробки при цьому, природно, зростає.

Офіційної статистики з діяльності карткових шахраїв в Україні нині не існує. Якщо банки і проводять роботу з моніторингу шахрайських операцій, то ця інформація є строго конфіденційною.

Відповідно до вимог Visa і Europay, збитки від діяльності карткових шахраїв не мають перевищувати 0,14% обсягу операцій із картами. Реально ж у країнах єврозони на частку шахраїв припадає 0,3% операцій, а в Україні, за неофіційними даними, - майже 1%, або 1-2 млн. доларів.

У світовому масштабі шахраї щорічно викрадають за допомогою пластикових карток систем Visa і Europay близько 5 млрд. дол. Світовий досвід показує, що кількість афер із картками залежить від "зрілості" ринку. Шахраї постійно шукають країни, які мають великі обсяги емісії карток, але ще не навчилися ефективно боротися з картковими зловживаннями. Сьогодні на українському ринку еквайрингу працює багато дрібних і середніх банків - еквайерів, не готових витрачати досить зусиль і коштів на безпеку й якість цієї послуги. У результаті рівень шахрайства з операцій із платіжними картками в Україні набагато вищий за світовий. Піклуватися ж про безпеку своїх грошей доводиться самому власнику картки.

КБ "Приватбанк" завершив дослідні випробування і приступив до промислової експлуатації системи моніторингу шахрайських операцій по платіжних картах, яка забезпечить більш високий рівень безпеки для власників пластикових карт, повідомляє "УНІАН" з посиланням на прес-службу банку.

Нова система моніторингу побудована на базі аналітичної системи TranzWare Data Warehouse і, зокрема, додатків TranzWare Fraud Analyzer, розроблених компанією Compass Plus.

За інформацією прес-служби, тепер всі основні потоки транзакцій, пов’язаних з операціями по платіжних картах банку, перевіряються системою моніторингу в реальному режимі.

Також банк проводить роботи по розширенню і уточненню списку контролюючих правил (зараз система перевіряє операції за більш ніж 70 активними правилами).

За даними прес-служби, КБ "Приватбанк" планує використовувати і інші аналітичні додатки системи TranzWare Data Warehouse для подальшого дослідження нагромаджується в базі даних інформації по фінансових транзакціях, а також розширенню застосування розробленого і упровадженого інструменту моніторингу на інші операції клієнтів банку.

КБ "Приватбанк" входить до числа найбільших українських банків. Національна мережа банківського обслуговування КБ "Приватбанк" включає 1 577 філіалів і відділень по всій території України. На сьогоднішній день баком емітовано понад 5,3 млн. пластикових карток. В мережі обслуговування пластикових карт КБ "Приватбанк" працює 1 474 банкомати, 13 675 POS-терміналів. До кінця року банк планує збільшити сіть банкоматів до 2 300.

Компанія Compass Plus - російська компанія - розробник програмного забезпечення, рішень і технологій для систем електронних платежів. Створена в 1989 році. Продуктами компанії сімейства TranzWare оснащені більше 35 банків в Росії, країнах СНГ, Балтії, Європи і Азії.

 

2. Криптографічний захист інформації

Апаратно-програмні засоби криптографічного захисту інформації в СЕП забезпечують автентифікацію адресата та відправника міжбанківських електронних розрахункових документів і службових повідомлень СЕП, гарантують їх достовірність та цілісність у результаті неможливості підроблення або викривлення документів у шифрованому вигляді або за наявності ЕЦП.

Криптографічний захист інформації має охоплювати всі етапи оброблення електронних банківських документів, починаючи з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в інформаційній мережі, а також відокремлене оброблення інформації стосовно різних задач інформатизації Національного банку.

Основною метою криптографічного захисту інформації є забезпечення конфіденційності та цілісності електронної банківської інформації, а також суворої автентифікації учасників СЕП і фахівців банківських установ, які беруть участь у підготовці та обробленні електронних банківських документів.

Для забезпечення розв'язання завдань суворої автентифікації банківських установ, підключених до інформаційної мережі, розроблено систему ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту.

Кожна банківська установа з точки зору захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій розташована ця банківська установа; другий та третій знаки є унікальним ідентифікатором банківської установи в межах цієї території. Ці ідентифікатори узгоджені з адресами системи ЕП і є унікальними в межах банківської системи України.

Трибайтні ідентифікатори є основою для ідентифікації робочих місць у банківських установах та ідентифікаторів ключі її для всіх робочих місць банківської установи. Ідентифікатор ключів робочих місць складається з шести символів, з яких три перших є ідентифікаторами банківської установи, четвертий символ визначає тип робочого місця (операціоніст, бухгалтер тощо), п'ятий та шостий символи - ідентифікатор конкретного робочого місця (тобто службової особи, яка відповідає за оброблення платіжної інформації на цьому робочому місці). Трибайтний ідентифікатор банківської установи вбудований у програму генерації ключів і не може бути змінений у банківській установі, що забезпечує захист від підроблення ключів від імені інших банківських установ.

Відповідні ідентифікатори ключів записуються в електронні картки, які є носіями ключової інформації для апаратного шифрування.

Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та безперервного захисту платіжної інформації з часу її формування система захисту СЕП та інших інформаційних задач включає механізми формування/перевірки ЕЦП на базі несиметричного алгоритму RSA.

Для забезпечення роботи цього алгоритму кожна банківська установа отримує від служб захисту інформації територіальних управлінь персональний генератор ключів із вбудованим ідентифікатором цієї банківської установи. За допомогою цього генератора ключів банківська установа має змогу генерувати ключі для всіх робочих місць, які працюють з електронними банківськими документами. Для забезпечення захисту ключової інформації (а саме відкритих ключів) від викривлення та підроблення відкриті ключі ЕЦП мають надсилатися до служби захисту Інформації Національного банку для сертифікації (крім ключів для робочих місць операціоністів та інших, що використовуються лише в САБ).

Технологія накладання/перевірки ЕЦП у СЕП створена таким чином, щоб одна службова особа не мала змоги відіслати міжбанківський електронний розрахунковий документ. Під час формування міжбанківського електронного розрахункового документа на робочому місці операціоніста службова особа, яка формує цей документ, має накладати ЕЦП на документ за допомогою свого таємного ключа. Під час формування файла міжбанківських електронних розрахункових документів на робочому місці бухгалтера накладається ЕЦП на цей файл, що забезпечує захист від модифікації файла в цілому. Сформований таким чином платіжний файл обробляється АРМ-НБУ, де виконується перевірка ЕЦП операціоніста на кожному міжбанківському електронному розрахунковому документі та накладається ЕЦП АРМ-НБУ, який можуть перевірити всі банківські установи - учасники СЕП. Під час оброблення платіжних файлів на АРМ-2 виконується перевірка підписів на файлі в цілому та після формування файлів відповідних платежів накладається ЕЦП на файл у цілому за допомогою таємного ключа АРМ-2.


3. Захист інформації та вирішення питань безпеки у СЕП

Система захисту СЕП НБУ розроблялася разом з технологією та бухгалтерською моделлю. Під час експлуатації СЕП вона постійно аналізувалась і зміцнювалась. Захист електронних платіжних документів є невід'ємною частиною програмно-апаратних комплексів СЕП, він не може бути виключений або змінений. Усі учасники електронних розрахунків у СЕП повинні мати відповідний дозвіл Національного банку України та дотримуватися всіх вимог безпеки. Крім того, кожний банк-учасник мусить мати систему захисту внутрішньобанківських розрахунків.

При розробці системи захисту були виділені такі завдання:

захист від злочинних дій (несанкціоноване розшифрування та викривлення платіжних повідомлень, поява фальсифікованих платежів на будь-якому етапі обробки - від клієнта банку до АРМ-1);

автоматичне ведення протоколу використання банківської мережі для локалізації джерел появи порушень роботи СЕП;

захист від технічних порушень апаратури: збоїв та псування апаратних і програмних засобів, перешкод у каналах зв'язку;

створення умов роботи СЕП, при яких фахівці банків - учасників СЕП та Національного банку практично не мають змоги втручатися в обробку платіжних документів після їх формування;

забезпечення контролю на кожному етапі обробки.

Система захисту СЕП включає технологічні, апаратні, програмні засоби та організаційні заходи захисту, забезпечує чіткий розподіл відповідальності на кожному етапі підготовки, обробки та виконання платежів на всіх рівнях - від клієнта банку до АРМ-1.

З урахуванням завдань банківської безпеки у СЕП була створена Служба захисту інформації на двох рівнях: у Національному банку та в регіональних розрахункових палатах, через які здійснюються міжрегіональні та внутрішньорегіональні платежі.

Служба захисту інформації НБУ здійснює свою діяльність відповідно до Законів України "Про банки і банківську діяльність", "Про захист інформації в автоматизованих системах" та нормативних актів Національного банку.

Служба захисту інформації на рівні Національного банку вирішує питання, що пов'язані з:

розробкою загальної політики безпеки електронних платежів в Україні;

постійним аналізом системи захисту та її вдосконаленням;

розробкою, підготовкою та сертифікацією апаратних і програмних засобів захисту;

генерацією та розподілом програм криптографічного захисту та ключової інформації;

наданням консультацій та навчанням персоналу служб захисту інформації регіональних розрахункових палат;

аналізом збоїв у функціонуванні СЕП та спроб несанкціонованого доступу до СЕП (далі - НСД).

У разі необхідності Служба захисту інформації НБУ надає арбітражні послуги банкам - учасникам системи електронних платежів. Відділи захисту інформації на другому рівні забезпечують:

впровадження розробленої політики безпеки;

впровадження апаратних та програмних засобів захисту всіма учасниками системи електронних платежів;

проведення консультацій та навчання персоналу банків, які беруть участь у СЕП;

нагляд за виконанням вимог банківської безпеки учасниками СЕП;

підготовку інформації для аналізу збоїв роботи СЕП та НСД.

З досвіду експлуатації системи можна зробити висновок, що Служба захисту інформації НБУ, побудована на основі вищезазначених принципів, забезпечує достатній рівень безпеки у СЕП.

Система безпеки СЕП є багаторівневою. Вона включає не лише засоби шифрування інформації, які, беззаперечно, є дуже важливими та надають можливість отримати достовірну інформацію на різних рівнях, а й цілий комплекс технологічних та бухгалтерських засобів контролю за проходженням платежів у СЕП. Такий технологічний та бухгалтерський контроль забезпечується програмним забезпеченням на всіх рівнях, що дозволяє персоналу РРП та ЦРП, учасникам розрахунків відстежувати порядок проходження платежів як протягом дня, так і за підсумками дня.

Технологічні засоби контролю включають:

механізм обміну квитанціями в режимі реального часу, який дозволяє однозначно ідентифікувати отримання адресатом конкретного пакета документів та достовірність інформації, що в ньому міститься;

механізм інформування банку - учасника СЕП про поточний стан його коррахунку за підсумками технологічних сеансів у РРП, який

дозволяє банку відстежувати відповідність змін коррахунку та приймання/передачі пакетів платіжних документів;

взаємообмін між банком та РРП підсумковими документами на кінець банківського дня, програмну звірку підсумкових документів як у РРП, так і в банку;

програмний комплекс самодіагностики, який дозволяє виявити порушення цілісності та неузгодженість баз даних АРМ-2, що може виникнути внаслідок збою в функціонуванні системи, спроб несанкціонованого доступу до баз даних АРМ-2 або фізичного їх псування;

взаємообмін між АРМ-2 та АРМ-1 повідомленнями звітного характеру про функціонування СЕП у цілому;

механізм контролю програмних засобів для виявлення несанкціонованої модифікації модулів програмного забезпечення. Усі технологічні засоби контролю вбудовані у програмне забезпечення, їх не можна вилучити, а в разі виникнення нестандартної ситуації або підозри на несанкціонований доступ вони негайно інформують працівників РРП та ЦРП, що дає можливість оперативно втручатися у таку ситуацію.

Бухгалтерські засоби контролю включають:

комплект звітних документів, які отримуються в АРМ-2, містить повну технологічну та бухгалтерську інформацію, перехресні посилання та аналіз балансу;

комплект звітних форм АРМ-1, які містять бухгалтерську інформацію про стан СЕП в Україні;

засоби звірки взаємодії РРП в АРМ-1, які дозволяють виявити розбіжності в звітній інформації, що надає РРП;

засоби аналізу причин відсутності балансу в масштабах України.

Однак, застосування тільки технологічних та бухгалтерських засобів контролю у СЕП недостатньо, щоб забезпечити захист від зловживань при передачі платіжних документів у СЕП. До того ж, автоматичне ведення протоколу виконуваних дій у системі платежів має супроводжуватися також захистом цього протоколу від підробки та модифікації. Всі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засобів шифрування.

Система захисту банківської інформації у СЕП включає комплекс заходів шифрування інформації, яка циркулює у платіжній системі. Шифруванню підлягають усі файли, що передаються між АРМ СЕП: як пакети початкових та відповідних платіжних документів, так і квитанції на них, всі інші технологічні файли.

Усі платіжні документи СЕП перед відправкою з банківської установи обробляються апаратними або програмними засобами захисту інформації, які забезпечують виконання ряду вимог безпеки інформації у СЕП, а саме:

закритість інформації, яка пересилається (повідомлення не може бути прочитане ніким, крім адресата);

цілісність (будь-яке, випадкове або зловмисне, викривлення повідомлення на етапі передавання буде виявлене при прийманні);

аутентичність відправника (при прийманні однозначно визначається, хто відправив конкретне повідомлення).

Крім цих основних вимог, виконується ряд додаткових, що дозволяє детальніше аналізувати можливі нестандартні ситуації:

засобами захисту інформації ведеться шифрований арбітражний журнал, який містить протокол обробки інформації, а також зміст оброблених файлів;

у шифроване повідомлення включені реквізити дати та часу обробки.

В основу роботи засобів захисту інформації у СЕП покладений алгоритм шифрування із закритими симетричними ключами за ГОСТ 28147-89. Згаданий метод характеризується високою стійкістю до дешифрування, але одночасно висуває високі вимоги до процедури транспортування та зберігання закритих ключів, секретність яких і визначає реальну стійкість системи шифрування в цілому. Щоб забезпечити секретність ключів при їх транспортуванні, зберіганні та використанні, застосовується комплекс технологічних і організаційних заходів.

Основними засобами захисту інформації у СЕП є апаратні засоби. В них секретність ключів забезпечується технологічно:

ключі зберігаються в спеціальній електронній картці, їх зчитування можливе лише у пам'яті спеціального блоку ("шифроблоку"), який здійснює процес шифрування інформації. Зчитування ключів іншими засобами не можливе;

електронна картка видається конкретному банку з попередньою прив'язкою її до конкретного шифроблоку цього ж банку; якщо картку загублено або викрадено, то вона не буде працювати в іншому шифроблоці (наприклад, в апаратурі іншого банку);

на випадок викрадення одночасно блоку і картки у конкретного банку передбачений режим виключення цієї апаратури із списку користувачів СЕП; банк зможе продовжувати роботу у СЕП шляхом отримання нового комплекту, після вирішення юридичних та фінансових питань, пов'язаних із втратою апаратури.

Резервним засобом захисту у СЕП є програмне шифрування, яке реалізує такий самий алгоритм шифрування. Програмні засоби шифрування є невід'ємною частиною програмного забезпечення АРМ-1, АРМ-2, АРМ-3 СЕП.

Зберігання та використання засобів захисту повинно відповідати вимогам, які висуваються до інформації з грифом "Банківська таємниця". Задоволення цих вимог забезпечується організаційними заходами.

При роботі засобів криптування банківської інформації ведеться шифрований архів банківських платежів, де зберігаються всі зашифровані та відправлені, а також одержані та дешифровані платежі. Дешифрування повідомлень архіву можливе лише за наявності ключа, який знаходиться в Службі захисту електронних банківських документів Національного банку. Наприкінці робочого дня цей шифрований архів треба обов'язково переписати на гнучкі магнітні носії. Він використовується для надання інформаційно-арбітражних послуг, які надає Служба захисту електронних банківських документів Національного банку відповідно до "Положення про інформаційно-арбітражні послуги служби захисту електронних банківських документів у СЕП".

Арбітражна версія апаратно-програмного комплексу криптографічного захисту дає змогу Службі захисту електронних банківських документів Національного банку при наявності копій шифрованого архіву банківської установи - учасника СЕП дешифрувати всі повідомлення з цього архіву та з абсолютною достовірністю визначати:

ім'я абонента, який відправив (зашифрував) електронний платіж ний документ;

ім'я абонента, якому адресовано електронний платіжний документ;

дату, годину та хвилину, коли виконувалося шифрування електронного платіжного документа;

дату, годину та хвилину, коли та ким виконувалося дешифрування електронного платіжного документа.

При використанні апаратних засобів захисту додатково визначається:

номер апаратури захисту, на якій виконувалось шифрування (дешифрування) електронного платіжного документа;

номер електронної картки, якою користувались під час шифрування (дешифрування) електронного платіжного документа.

Журнали реєстрації надходжень електронної пошти дають змогу володіти інформацією про шлях та час проходження електронного платіжного документа від однієї банківської установи до іншої через усі пункти мережі телекомунікації СЕП.

Апаратні та програмні засоби шифрування, які надає Служба захисту інформації НБУ, отримали позитивну експертну оцінку Служби безпеки

України та рекомендовані для застосування з дотриманням деяких організаційних та технологічних запобіжних заходів.

Додатково для захисту інформації у СЕП використовуються апаратні засоби шифрування в каналах телекомунікаційного зв'язку - апаратура захисту банківських даних (АЗБД). Ця апаратура забезпечує гарантований захист банківських електронних повідомлень від перехоплення, нав'язування, підробки та викривлення їх унаслідок зовнішнього впливу, підтримує абсолютну достовірність повідомлень, використовуючи електронні картки як носії ключової інформації. Такі засоби захисту "прозорі" для телекомунікаційних систем, сумісні зі стандартними протоколами зв'язку та працюють в автоматичному режимі.

З перших місяців роботи СЕП Службою захисту банківської інформації НБУ ведеться аналіз усіх порушень функціонування системи як з погляду надійності її роботи (апаратно-програмні збої, випадкові порушення технології тощо), так і з погляду безпеки (можливість "НСД").

З вищезазначеного можна зробити такі висновки:

1. Найбільший відсоток випадків порушення функціонування (близько 65%) припадає на незначні збої у СЕП, які не порушують роботу системи, обробляються автоматично і не призводять до викривлень бухгалтерських проводок. До таких випадків можна віднести, наприклад, викривлення шифрованих платіжних або інформаційних файлів у каналах зв'язку або неможливість розшифрувати файли, що викликано некоректним використанням шифроблоків (у момент обробки файла електронна картка відсутня в пристрої зчитування тощо). Така ситуація обробляється системою автоматично, але повідомлення про збої в системі захисту надходять до ЦРП та служби захисту інформації. Це дозволяє вести аналіз подібних ситуацій, виявляти незначні збої, які найчастіше зустрічаються в системі, і при потребі усувати їх.

2. Значна кількість порушень роботи СЕП (близько 35%), які мали зовнішні ознаки, що вимагали розгляду їх як можливого НСД, насправді спробами несанкціонованого доступу не були, але виникали внаслідок порушення персоналом банківських установ технології обробки платіжної інформації або несумлінного поновлення програмного забезпечення після програмно-апаратних збоїв. У ряді випадків потрібне було спеціальне коригування бухгалтерських проводок, пов'язане з ліквідацією наслідків некоректного поновлення інформації. Найчастіше такі порушення виникають через недостатню кваліфікованість персоналу банку - учасника СЕП та неуважного ставлення до інструкцій та вимог щодо роботи з програмно-апаратним комплексом АРМ-3.

3. У системі було виявлено декілька свідомих спроб несанкціонованого втручання в роботу СЕП, що становить менше 0,01 відсотка загальної кількості порушень функціонування системи. Про всі згадані випадки система захисту СЕП своєчасно й адекватно автоматично інформувала персонал НБУ.

Для всіх випадків НСД простежуються спільні характерні особливості:

усі вони були здійснені представниками банківських установ, при цьому отримання незаконного прибутку призводило до втрати коштів саме тим банком, персоналом якого вони здійснювались (крадіжка у власного банку, а не у держави або іншого банку);

у всіх випадках особи, що здійснювали НСД, мали легальний доступ до систем підготовки та захисту платіжної інформації, причому повноваження їх були явно завищені (доступ до багатьох або навіть до всіх банківських ресурсів системи);

контроль уповноваженими представниками банків (головний бухгалтер, керівник тощо) за роботою персоналу був послаблений або практично відсутній.


Информация о работе «Алгоритми шифрування інформації»
Раздел: Информатика, программирование
Количество знаков с пробелами: 39343
Количество таблиц: 0
Количество изображений: 1

Похожие работы

Скачать
123947
7
22

... по захисту інформації (маючих відповідний сертифікат); перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку й АС в цілому установленим вимогам по захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку й АС); здійснення контролю по захисту інформації. Стаття 11. Встановлення вимог і правил по захисту інформації Вимоги і ...

Скачать
58706
1
7

... захисту необхідно виявити можливі погрози безпеці інформації, оцінити їх наслідки, визначити необхідні заходи і засоби захисту і оцінити їх ефективність. [25] 1.3 Криптографічні методи захисту інформації   Криптографічний захист інформації — вид захисту інформації, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або ...

Скачать
114386
2
2

... передбаченою. 3. Генерація гамми не повинна бути дуже трудомісткою. Слід зазначити, що алгоритми криптосистем з відкритим ключем (СВК) можна використовувати за трьома напрямками: 1. Як самостійні засоби захисту даних, що передаються чи зберігаються. 2. Як засіб для розподілу ключів. Алгоритми СВК більш трудомісткі, ніж традиційні криптосистеми. Обмін великими інформаційними потоками здійснюють ...

Скачать
367716
10
48

... В АБС АКБ «ПРОМІНВЕСТБАНК» ТА ОЦІНКА РІВНЯ ВРАЗЛИВОСТІ БАНКІВСЬКОЇ ІНФОРМАЦІЇ 3.1 Постановка алгоритму задачі формування та опис елементів матриці контролю комплексної системи захисту інформації (КСЗІ) інформаційних об’єктів комерційного банку В дипломному дослідженні матриця контролю стану побудови та експлуатації комплексної системи захисту інформації в комерційному банку представлена у вигляді ...

0 комментариев


Наверх