У нас: 141825 рефератів
Щойно додані Реферати Тор 100
Скористайтеся пошуком, наприклад Реферат        Грубий пошук Точний пошук
Вхід в абонемент


та механізми захисту:

1. Ідентифікація, автентифікація й авторизація всіх суб'єктів та об'єктів платіжної системи, а також усієї інформації.

2. Контроль входу користувача до системи та керування системою паролів. Прикладом цього процесу може бути вхід до системи з уведенням імені користувача (ідентифікація), введенням пароля (автентифікація) й отриманням дозволу на доступ (авторизація).

3. Реєстрація, протоколювання й аудит. Ці функції забезпечують отримання й аналіз інформації про стан ресурсів системи, реєстрацію дій, які можуть бути визначеними як небезпечні ситуації, ведення журналу системи, який допоможе оперативно зафіксувати події, що відбуваються у системі.

4. Контроль за цілісністю, тобто захист від несанкціонованої модифікації суб'єктів системи.

5. Протидії "збиранню сміття", тобто визначення заходів, які можуть забезпечувати повне звільнення пам'яті або носіїв інформації від рештків конфіденційної інформації, що не повинна залишатися після закінчення процесів обробки платіжних документів на носіях інформації або в пам'яті обчислювальних машин.

6. Контроль за доступом, тобто обмеження можливостей використання ресурсів системи програмами, процесами і користувачами згідно з політикою безпеки. Існують чотири способи розподілу доступу до об'єктів, що використовуються спільно:

1) фізичний розподіл доступу: користувачі та інші суб'єкти системи мають доступ до різних пристроїв, програм або даних;

2) розподіл доступу в часі: суб'єкти системи з різними правами отримують доступ до програм або даних у різні відрізки часу;

3) логічний розподіл: суб'єкти мають доступ до різних пристроїв, процесів або даних, що використовуються спільно, в межах операційної системи, але під контролем засобів розподілу доступу;

4) криптографічний розподіл доступу: деяка частина інформації системи зберігається у зашифрованому вигляді, й фактично права доступу визначаються наявністю ключа дешифрування цієї інформації.

Криптографічний захист інформації та заходи захисту інформаційної безпеки

Використання криптографічного захисту інформації при побудові політики безпеки платіжної системи значно посилює безпеку роботи системи.

За принципами використання криптографічний захист може бути вбудованим у платіжну систему або бути додатковим механізмом, який може відключатися. Є дві групи криптографічних алгоритмів:

1) загальні:

- симетричні;

- асиметричні;

2) спеціальні.

Криптографічні алгоритми застосовують із метою:

- шифрування інформації;

- захисту даних і повідомлень (інформації) від модифікації або підробки.

Особливу увагу при вивченні теми потрібно приділити методам розподілу криптографічних ключів між учасниками платіжної системи, а саме методом:

- базово-сеансових ключів;

- відкритих ключів.

Апаратно-програмні засоби криптографічного захисту інформації в СБП забезпечують автентифікацію відправника та отримувача електронних банківських документів і службових повідомлень СБП, гарантують їх достовірність та цілісність, неможливість підроблення або викривлення документів у шифрованому вигляді й за наявності ЕЦП. Криптографічний захист інформації охоплює всі етапи оброблення електронних банківських документів з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в СБП. Криптографічний захист інформації гарантує цілісність та конфіденційність електронної банківської інформації, а також сувору автентифікацію учасників СЕП і їх фахівців, які здійснюють підготовку та оброблення електронних банківських документів.

Для здійснення суворої автентифікації банків (філій), які є учасниками СБП, застосовують систему ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту. Учасник СЕП для забезпечення захисту інформації має трибайтний ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований; другий та третій знаки є унікальними ідентифікаторами учасника СЕП у межах цієї території. Ідентифікатори мають бути узгоджені з адресами системи ЕП і бути унікальними в межах банківської системи України. Трибайтні ідентифікатори е складовою частиною ідентифікаторів ключів криптографічного захисту для робочих місць САБ банку (філії), де формуються та обробляються електронні банківські документи. Ідентифікатор ключів криптографічного захисту для робочих місць складається з шести символів, з яких три перші є ідентифікаторами учасника СЕП, четвертий — визначає тип робочого місця (операціоніст, бухгалтер тощо), п'ятий і шостий — ідентифікатор конкретного робочого місця (тобто службовця, який відповідає за оброблення електронних банківських документів на цьому робочому місці). Трибайтний ідентифікатор учасника СЕП убудований у програму генерації ключів і не може бути змінений учасником СЕП, що забезпечує захист від підроблення ключів від імені інших учасників СЕП. Ідентифікатори ключів записуються в апаратуру криптографічного захисту інформації (АКЗІ), яка надається учасникам СЕП і забезпечує апаратне формування (перевірку) ЕЦП та апаратне шифрування (розшифрування) на АРМ-НБУ.

Варто також звернути увагу на заходи захисту інформаційної безпеки. На протидію загрозам та з метою мінімізації можливих збитків користувачів і власників платіжної системи спрямовані чотири групи заходів:

1) правові;

2) морально-етичні;

3) адміністративні;

4) фізичні.

Для нормального функціонування платіжної системи повинні бути створені та введені в дію закони та підзаконні акти, які регламентують правила роботи з платіжною системою і платіжною інформацією, що обробляється, накопичується та зберігається в системі. У разі відсутності державних законів правила роботи платіжної системи повинні бути визначені нормативними документами власника платіжної системи й обов'язково виконуватись усіма учасниками системи.

У договорах, які укладаються між учасниками платіжної системи, обов'язково потрібно узгоджувати питання виконання нормативних документів, які регламентують роботу системи. Окремо потрібно обумовити відповідальність сторін, а також розміри стягнень за порушення правил роботи у платіжній системі.

Крім правових норм роботи платіжної системи, бажано поступово формувати морально-етичні норми поведінки учасників розрахунків, передусім — обслуговуючого персоналу. Звичайно, лише морально-етичні норми поведінки не можуть повністю визначати потрібну поведінку, що має особливе значення для обслуговуючого персоналу системи. Тому необхідне запровадження чітких адміністративних заходів, які детально регламентуватимуть процес функціонування платіжної системи та вимоги до обслуговуючого персоналу.

Адміністративні заходи — це заходи організаційного характеру, які регламентують процес функціонування системи обробки платіжної інформації, використання її ресурсів, діяльність персоналу тощо. До них можна віднести:

- організацію перепускного режиму до приміщень, де розміщені основні обчислювальні засоби для обробки платіжної інформації;

- дотримання правил обробки інформації та інструкцій для обслуговуючого персоналу під час обробки платіжної інформації;

- організацію розподілу доступу і зберігання паролів та криптографічних ключів;

- організацію обліку, зберігання та знищення документів та носіїв з конфіденційною інформацією;

- організацію підготовки користувачів платіжної системи й обслуговуючого персоналу та контролю за їх роботою;

- порядок внесення змін до програмних і апаратних засобів платіжної системи тощо.

Для виконання таких завдань у центральному банку треба виділити окрему групу висококваліфікованих фахівців. Вони зобов'язані знати методи та механізми захисту інформації, повинні ретельно вивчати структуру та технологію роботи платіжної системи, володіти навиками роботи з персоналом.

Для банківських установ — учасників платіжних систем обов'язки адміністраторів безпеки значно вужчі. Одним з основних обов'язків е суворе дотримання положень інструкцій і нормативних документів, що введені в дію у платіжній системі. Інша частина обов'язків буде пов'язана зі забезпеченням захисту інформації всередині банківської установи та навчанням і контролем за роботою персоналу банківської установи.

Фізичний захист систем електронних розрахунків потребує виконання вимог щодо безпечного та надійного функціонування ключових обчислювальних машин платіжної системи. При централізованій обробці платіжних документів особливу увагу треба приділяти фізичній охороні та пропускному режиму будівель, де розміщена основна обчислювальна техніка. Приміщення з обчислювальною технікою повинні бути обладнані кількома рівнями охоронної сигналізації, пожежною сигналізацією, бажано встановити охоронне телебачення для здійснення постійного контролю за обчислювальною технікою. Необхідно укласти відповідні договори з правоохоронними органами з питань охорони будівель, а також розробити інструкції для правоохоронних органів та власних загонів охорони на випадок стихійних лих або спрацювання сигналізації.

Особливої охорони і захисту потребують центри генерації та сертифікації ключів платіжної системи. Вони повинні бути обладнані відповідною обчислювальною технікою, яка пройшла дослідження на побічні електромагнітні випромінювання для захисту від перехоплення і витоку ключової інформації технічними каналами. Обчислювальна техніка для генерації і сертифікації ключів не повинна входити до локальних мереж центрального банку або повинна бути обладнана відповідною системою захисту від втручання з інших робочих місць локальної мережі. Доступ до приміщень центру генерації і сертифікації ключів повинен бути суворо обмеженим.

Окремо треба подбати про фізичний захист обслуговуючого персоналу платіжної системи та створення безпечних умов їхньої роботи.

Учасник СБП має гарантувати дотримання адміністративних вимог щодо безпечного використання, зберігання та обліку засобів захисту інформації, розподілу повноважень між службовими особами банку (філії), які беруть участь в обробленні електронних банківських документів. Усі засоби захисту інформації Національного банку, що використовуються в СБП, надаються учасникам СЕП територіальними управліннями за умови виконання таких вимог:

- укладення договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України між банком (філією) і територіальним управлінням тієї області, в якій розташований банк (філія), незалежно від моделі обслуговування консолідованого кореспондентського рахунку;

- забезпечення відповідності приміщень, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту інформації, вимогам до приміщень учасників СЕП, які використовують засоби захисту інформації Національного банку, що визначені нормативно-правовими актами Національного банку щодо правил організації захисту електронних банківських документів;

- призначення службових осіб, які відповідають за зберігання та використання засобів захисту інформації з поданням належно завіреної копії наказу про призначення до територіального управління;

- подання листа-доручення про отримання


Сторінки: 1 2 3