Захист електронних банківських документів - Безготівкові розрахунки

Система захисту електронних банківських документів складається з комплексу апаратно-програмних засобів криптографічного захисту та ключової системи до них, технологічних і організаційних заходів щодо захисту інформації в інформаційно-обчислювальній мережі НБУ.

Система захисту електронних банківських документів охоплює всі етапи розробки, впровадження та експлуатації програмно-технічного забезпечення інформаційно-обчислювальної мережі та включає чіткий розподіл відповідальності на кожному етапі підготовки, обробки та виконання електронних банківських документів на всіх рівнях.

Система захисту електронних банківських документів в інформаційно-обчислювальній мережі є єдиною для усіх інформаційних задач НБУ і СЕП. Для підвищення ступеня захисту електронних розрахункових документів у СЕП використовуються додаткові засоби, включаючи бухгалтерський контроль.

Технологічні та криптографічні засоби безпеки використовуються не тільки в СЕП, а й у всіх інформаційних задачах НБУ.

Для забезпечення контролю за виконанням вимог щодо захисту інформації у банківських установах, що є учасниками інформаційно-обчислювальної мережі НБУ, служби захисту інформації регіональних управлінь НБУ мають виконувати планові (а в разі потреби - і позапланові) перевірки всіх установ, що використовують засоби захисту інформації НБУ. Планові перевірки всіх банківських установ мають виконуватися не менше ніж 1 раз на рік.

Банківські установи, які є учасниками інформаційно-обчислювальної мережі НБУ та які використовують засоби захисту інформації НБУ, повинні виділити приміщення, де обробляються електронні банківські документи, працюють та зберігаються в неробочий час засоби захисту інформації, для яких обов'язковими є такі вимоги:

АРМ-НБУ розміщується в будівлі банківської установи в спеціально виділеному для цього приміщенні з обмеженим доступом, двері якого повинні бути оснащені кодовим або автоматичним замком і місцем для опечатування.

У разі використання АРМ-НБУ для цілодобової роботи приміщення може не опечатуватись, але повинно мати систему обмеження доступу до нього.

Вікно (вікна) в приміщенні, де розташоване АРМ-НБУ, повинно бути захищеним надійними гратами, якщо воно:

    - є внутрішнім і виходить в інше приміщення або коридор банківської установи; - є зовнішнім і розташоване на першому чи останньому поверсі банківської установи або до якого можна легко дістатися з даху сусіднього будинку, з розташованих поруч пожежних сходів, дерев, що близько ростуть, архітектурних деталей будинку тощо.

Допускається не встановлювати металеві грати на вікнах у разі застосування спеціального вікна, міцність якого підтверджена відповідним сертифікатом, узгодженим з Державною службою охорони України.

Приміщення АРМ-НБУ повинно бути обладнане системою сигналізації з трьома рубежами захисту:

    1-й рубіж - захист за периметром (двері, вікна); 2-й рубіж - захист від переміщення приміщенням; 3-й рубіж - захист сейфа адміністратора АРМ-НБУ.

Право допуску в приміщення АРМ-НБУ мають:

    - керівник банківської установи (особа, яка виконує його обов'язки); - заступник керівника банківської установи, який призначений відповідальним за організацію захисту електронної банківської інформації; - адміністратори АРМ-НБУ; - адміністратори захисту інформації; - інші співробітники банківської установи, які постійно вирішують питання обслуговування приміщення і АРМ-НБУ (програміст, прибиральниця тощо).

Робоче місце адміністратора захисту інформації може бути розміщено в будь-якому приміщенні банківської установи за винятком кімнати АРМ-НБУ, АРМ бухгалтера і тих приміщень, куди (виходячи з режимних міркувань) доступ адміністратора АРМ-НБУ, АРМ бухгалтера і операціоністів заборонений.

Адміністратор захисту інформації повинен мати робоче місце, обладнане ПЕОМ, що не підключена до локальної мережі банку під час копіювання ПМГК і генерування ключів.

Сейфи повинні бути обладнані замками і місцем для опечатування.

Якщо сейф обладнаний кодовим замком, то рекомендується також здійснювати опечатування замка, оскільки це дає змогу виявляти спроби його несанкціонованого відкриття.

Відповідальність за виконання вимог режимних умов до приміщень покладається на керівництво банківських установ.

Основною метою криптографічного захисту інформації в інформаційно-обчислювальній мережі НБУ є забезпечення конфіденційності та цілісності електронної банківської інформації, а також суворої автентифікації учасників СЕП і фахівців банківських установ, які беруть участь у підготовці та обробці електронних банківських документів.

Для забезпечення захисту інформації від модифікації з одночасною суворою автентифікацією та забезпечення нерозривності захисту платіжної інформації з часу її формування система захисту СЕП та інших інформаційних задач включає механізми формування/перевірки електронного цифрового підпису (далі - ЕЦП) на базі несиметричного алгоритму RSA. Для забезпечення роботи цього алгоритму кожна банківська установа отримує від служб захисту інформації регіональних управлінь НБУ персональний генератор ключів з вбудованим ідентифікатором цієї банківської установи.

Для забезпечення конфіденційності інформації, що циркулює в інформаційно-обчислювальній мережі НБУ, усі файли, що містять конфіденційну інформацію, мають бути оброблені в АРМ-НБУ.

Цей програмно-апаратний комплекс є єдиним шлюзом до всіх задач пакетного оброблення інформації НБУ і в першу чергу - СЕП. Виконання системних вимог та інструкцій щодо розміщення програмного комплексу АРМ-НБУ є обов'язковим.

АРМ-НБУ включає до свого складу вбудовані засоби захисту, що забезпечують конфіденційність інформації під час її пересилки каналами зв'язку. Вбудовані засоби захисту забезпечують два режими шифрування АРМ-НБУ: апаратне та програмне.

Використання стандартизованих криптографічних алгоритмів у системі захисту інформації гарантує задану криптостійкість, при цьому криптографічні алгоритми не становлять таємниці. Основою криптографічного захисту є ключова система та самі ключі, тому інформація про це має закритий характер і розголошенню не підлягає.

Забороняється використання засобів захисту НБУ у внутрішніх платіжних системах банків, системах "клієнт-банк" та інших програмних комплексах, які знаходяться за межами системи автоматизації банку.

Криптографічний захист електронних банківських документів в установах, що є учасниками інформаційно-обчислювальної мережі НБУ, виконується за допомогою таких засобів криптозахисту:

    А) засоби апаратного шифрування:
      - криптоблок (АЗЕГО); - електронна картка (ЕК); - програмне забезпечення керування апаратурою захисту, яке вбудоване в АРМ-НБУ та не може бути вилучене;
    Б) засоби програмного шифрування:
      - програма шифрування, вбудована в АРМ-НБУ;
    В) засоби електронного цифрового підпису:
      - програмний модуль генерації ключів з відповідними незаповненими таблицями відкритих ключів; - бібліотеки накладання/перевірки ЕЦП, що надаються усім учасникам інформаційно-обчислювальної мережі управлінням захисту інформації НБУ безкоштовно для вбудови в програмне забезпечення системи автоматизації банку.

Основними засобами шифрування в СЕП є апаратні засоби захисту. Для усіх платіжних документів СЕП у штатному режимі роботи АРМ-НБУ виконує апаратне шифрування.

Під час генерації ключів одночасно створюється ключова пара, яка складається з таємного і відкритого ключів.

Засоби апаратного шифрування, програмного шифрування, електронного цифрового підпису є предметами обмеженого доступу, суворого обліку, контролю і звітності. Порядок зберігання та використання перебувають під контролем служби захисту інформації регіонального управління

Для роботи із засобами криптозахисту призначаються такі відповідальні особи:

    - адміністратор захисту інформації; - адміністратор АРМ-НБУ; - оператор АРМ бухгалтера; - операціоніст; - особи, відповідальні за роботу із засобами криптозахисту на робочих місцях інформаційних задач НБУ.

Для уникнення непередбачених затримок у роботі банківської установи в СЕП НБУ, у разі повного або часткового знищення таблиць відкритих ключів, у банківській установі мають вестися:

    - архів діючих відкритих ключів операціоністів, згенерованих у цій банківській установі; - архів файлів сертифікатів відкритих ключів, що надходять з управління захисту інформації НБУ.

Для отримання від служби захисту інформації НБУ достовірної інформації при вирішенні спірних питань, пов'язаних з електронними платіжними документами, в тому числі і для господарського суду, в банківській установі мають вестися:

    - архів електронних платежів банківської установи; - архів роботи АРМ-НБУ, що включає арбітражні журнали роботи АРМ-НБУ та захищений від модифікації протокол роботи; - архів відкритих ключів операціоністів, згенерованих у цій банківській установі.

У разі збоїв у роботі АРМ-НБУ, які призвели до втрати частини архіву (в тому числі арбітражних журналів та захищеного від модифікації протоколу роботи), складається акт у довільній формі про подію, що сталася. Строк зберігання цього акта збігається зі строком зберігання архівів електронних платежів.

Порядок ведення архівів, їх облік, призначення осіб, відповідальних за роботу з архівом, належить до компетенції керівництва банківської установи.

Похожие статьи




Захист електронних банківських документів - Безготівкові розрахунки

Предыдущая | Следующая