Кібербезпека банківських та комерційних структур

2.1. Криптографічний захист інформації та заходи захисту інформаційної безпеки в платіжних системах банку

Використання криптографічного захисту інформації під час розроблення політики платіжної системи як складової політики інформаційної безпеки значно посилює безпеку роботи системи.

За принципами використання криптографічний захист може бути вбудованим у платіжну систему або бути додатковим механізмом, який може відключатися. Використовуються дві групи криптографічних алгоритмів:

1) загальні:

• симетричні;

• асиметричні;

2) спеціальні.

Особливу увагу потрібно приділити методам розподілу криптографічних ключів між учасниками платіжної системи, а саме методом:

• базово-сеансових ключів;

• відкритих ключів.

Апаратно-програмні засоби криптографічного захисту інформації в системі банківських платежів забезпечують автентифікацію відправника та отримувача електронних банківських документів і службових повідомлень системи банківських платежів, гарантують їх достовірність та цілісність, неможливість підроблення або викривлення документів у шифрованому вигляді та за наявності електронного цифрового підпису.

Криптографічний захист інформації охоплює всі етапи оброблення електронних банківських документів з часу їх створення до зберігання в архівах банку. Використання різних криптографічних алгоритмів на різних етапах оброблення електронних банківських документів дає змогу забезпечити безперервний захист інформації в системі банківських платежів. Криптографічний захист інформації гарантує цілісність та конфіденційність електронної банківської інформації, а також сувору автентифікацію учасників системи банківських платежів і їх фахівців, які здійснюють підготовку та оброблення електронних банківських документів.

Для здійснення суворої автентифікації банків (філій), які є учасниками системи банківських платежів, застосовують систему ідентифікації користувачів, яка є основою системи розподілу ключів криптографічного захисту. Учасник системи електронних платежів (СЕП) для забезпечення захисту інформації має трибайтові ідентифікатор, перший знак якого є літерою відповідної території, на якій він розташований; другий та третій знаки є унікальними ідентифікаторами учасника СЕП у межах цієї території. Ідентифікатори мають бути узгодженими з адресами СЕП і бути унікальними у межах банківської системи України.

Трибайтові ідентифікатори є складовою частиною ідентифікаторів ключів криптографічного захисту для робочих місць системи автоматизації банку, де формуються та обробляються електронні банківські документи. Ідентифікатор ключів криптографічного захисту для робочих місць складається з шести символів, з яких три перші є ідентифікаторами учасника системи електронних платежів, четвертий - визначає тип робочого місця (операціоніст, бухгалтер тощо), п’ятий і шостий - ідентифікатор конкретного робочого місця (тобто службовця, який відповідає за оброблення електронних банківських документів на цьому робочому місці). Трибайтовий ідентифікатор учасника СЕП убудований у програму генерації ключів і не може бути змінено учасником СЕП, що забезпечує захист від підроблення ключів від імені інших учасників СЕП. Ідентифікатори ключів записуються в апаратуру криптографічного захисту інформації (АКЗІ), яка надається учасникам СЕП і забезпечує апаратне формування (перевірку) електронного цифрового підпису та апаратне шифрування (розшифрування) на АРМ-НБУ.

Фізичний захист систем електронних платежів потребує виконання вимог щодо безпечного та надійного функціонування ключових обчислювальних машин платіжної системи.

Особливої охорони і захисту потребують центри генерації та сертифікації ключів платіжної системи. Вони повинні бути обладнані відповідною обчислювальною технікою, яка пройшла дослідження на побічні електромагнітні ви промінювання для захисту від перехоплення і витоку ключової інформації технічними каналами. Обчислювальна техніка для генерації і сертифікації ключів не повинна входити до локальних мереж центрального банку або повинна бути обладнана відповідною системою захисту від втручання з інших робочих місць локальної мережі. Доступ до приміщень центру генерації і сертифікації ключів повинен бути суворо обмеженим.