WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаБанківська справа → Організація і функціонування систем міжбанківських розрахунків в Україні - Курсова робота

Організація і функціонування систем міжбанківських розрахунків в Україні - Курсова робота

Порушення функціонування платіжної системи завдають шкоди самій системі, здатні загрожувати економічній безпеці країни та врешті-решт негативно впливати на стан національної безпеки в цілому.

Система повинна бути розроблена з адекватним контролем несанкціонованого доступу чи втручання в данні платіжного балансу. Для цього потрібно належним чином ідентифікувати одержувача грошей та платника і гарантувати, що сума платежу і жоден з інших його реквізитів не можуть бути змінені на користь однієї зі сторін операції або на користь третьої сторони. Користувач повинен бути захищений від несанкціонованого доступу.

Учасники системи платежів повинні бути впевнені, що інформація про їхні перекази не буде доступна третім особам. Дані повинні бути захищені від доступу протягом терміну угоди і того часу, поки платіж буде проведений.

Кожна сторона операції, що здійснюється, повинна бути здатна довести, що платіж був здійснений, а також забезпечити всю інформацію про податки. Цілісність і правильність записів за операціями повинні бути перевірені, і структура записів повинна враховуватись як вимога скорочення витрат і забезпечення доступу до даних.

Створення комплексу заходів інформаційної безпеки – досить складне завдання. Для запобігання створення "надмірного захисту" автоматизованих банківських систем й отримання можливості реалізації ефективних заходів інформаційного захисту необхідно визначити основні фактори загроз і втрат, які вони завдають.

Основними типами загроз для платіжних систем є:

неавтоматизоване проникнення до системи, несанкціонована модифікація або знищення інформації;

ненавмисна модифікація або знищення інформації;

не доставка або помилкова доставка інформації;

затримка або погіршення обслуговування.

Загроза неавтоматизованого проникнення до системи включає усі типи несанкціонованого доступу, у тому числі: фальсифікація санкції на доступ, неправомірне використання паролів, вірусні атаки тощо. Загроза ненавмисної модифікації виникає унаслідок помилок у програмному забезпеченні, апаратних збоїв, помилок персоналу і користувачів та ін. Затримка або погіршення обслуговування можуть призвести до втрати коштів за рахунок штрафних санкцій і, що найважливіше, до втрати довіри до платіжної системи.

Часто зустрічається така загроза безпеці, як незаконне використання привілеїв. Найбільш часто для цього використовується штатне програмне забезпечення, яке функціонує у позаштатному режимі. Незаконне захоплення привілеїв можливе при наявності помилок у самій системі або при недбалому ставленні до керування системою в цілому і розподілом привілеїв зокрема.

Досить суворою загрозою є вірусні атаки будь-якого типу. Вони можуть призвести до повної зупинки системи, повної або часткової модифікації програмного забезпечення системи, викрадення інформації.

Враховуючи основні загрози щодо платіжної системи легко виділити найбільш вразливі місця в системі. Це, в першу чергу – персонал, який обслуговує платіжну систему, та її користувачі. Далі – апаратні засоби, прикладне програмне забезпечення та загальне програмне забезпечення на усіх етапах, включаючи операційні середовища і телекомунікаційну мережу.

На етапі розробки система захисту формується у вигляді єдиної сукупності заходів різного плану для протидії можливим загрозам. Вони включають:

правові заходи: закони, укази та інші нормативні документи, які регламентують правила роботи з платіжною інформацією, що обробляється, накопичується та зберігається в системі, та відповідальність за порушення цих правил;

морально-етичні заходи: норми поведінки учасників розрахунків та обслуговуючого персоналу;

адміністративні заходи: заходи організаційного характеру, які регламентують процес функціонування системи обробки платіжної інформації, використання її ресурсів, діяльність персоналу тощо. До них можна віднести розробку правил обробки інформації, проектування будівель для розміщення платіжних систем з урахуванням впливу зовнішнього середовища під час стихійних лих, пожеж тощо; відбір персоналу; організацію пропускного режиму до приміщень тощо;

фізичні заходи захисту, які включають охорону приміщень, техніки та персоналу платіжної системи;

технічні (апаратно-програмні та програмні) засоби захисту, які самостійно або в комплексі з іншими засобами забезпечують функції захисту: ідентифікацію й аутентифікацію користувачів, розподіл доступу та ін.

Система захисту СЕП НБУ розроблялася разом з технологією та бухгалтерською моделлю. Під час експлуатації СЕП вона постійно аналізувалася і зміцнювалася. Захист електронних платіжних документів є невід'ємною частиною програмно-апаратних комплексів СЕП, він не може бути виключений або змінений. Усі учасники електронних розрахунків у СЕП повинні мати відповідний дозвіл НБУ та дотримуватися всіх вимог безпеки. Крім того, кожний банк-учасник мусить мати систему захисту внутрішньобанківських розрахунків.

З урахуванням завдань банківської безпеки у СЕП була створена Служба захисту інформації на двох рівнях: у Національному банку та в регіональних розрахункових палатах, через які здійснюються міжрегіональні та внутрішньо регіональні платежі.

Система безпеки СЕП є багаторівневою. Вона включає не лише засоби шифрування інформації, які, беззаперечно, є дуже важливим та надають можливість отримати достовірну інформацію на різних рівнях, а й цілий комплекс технологічних та бухгалтерських засобів контролю за проходженням платежів у СЕП. Такий технологічний та бухгалтерський контроль забезпечується програмним забезпеченням на всіх рівнях, що дозволяє персоналу РРП та ЦРП, учасникам розрахунків відстежувати порядок проходження платежів як протягом дня, так і за підсумками дня.

Однак застосування самих лише технологічних та бухгалтерських засобів контролю в СЕП є недостатнім для забезпечення захисту від можливих зловживань. До того ж автоматичне ведення протоколу виконуваних дій у системі платежів, у свою чергу, має супроводжуватися захистом цього протоколу від підробки та модифікації. Усі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засобів шифрування банківської інформації. Шифруванню підлягають усі файли, що передаються між АРМ СЕП, тобто пакети відповідних платіжних документів, квитанції на них, всі інші технологічні файли. Іншими словами, перед відправленням із банківської установи всі платіжні документи СЕП обробляються апаратними або програмними засобами захисту інформації, які забезпечують виконання низки вимог безпеки інформації в СЕП, а саме:

закритість інформації, яка пересилається (повідомленням не може бути прочитане ніким, крім адресата);

цілісність (будь-яке, випадкове або зловмисне, викривлення повідомлення на етапі передавання буде виявлене під час приймання);

автентичність відправника (під час приймання однозначно визначається, хто відправив конкретне повідомлення).

Основу захисту інформації в СЕП становить алгоритм шифрування із закритими симетричними ключами. Він характеризується високою стійкістю до дешифрування, але водночас висуває високі вимоги до процедури транспортування та зберігання закритих ключів, секретність яких і визначає реальну стійкість системи шифрування загалом. Для забезпечення секретності ключів під час їхнього транспортування, зберігання та використання застосовується комплекс технологічних і організаційних заходів.

Основними засобами захисту інформації в СЕП є апаратні засоби. У них секретність ключів забезпечується технологічно. Резервним засобом захисту в СЕП є програмне шифрування, яке реалізує такий самий алгоритм шифрування.

Транспортування, зберігання та використання програм захисту мають відповідати вимогам, які висуваються до інформації з грифом "Банківська інформація". Задоволення цих вимог забезпечується організаційними заходами (транспортування фельд'єгерською поштою, суворий облік, робота в спеціальних приміщеннях тощо). Крім того, програмні засоби шифрування виготовлюються на пункті генерації ключів НБУ адресно, для конкретного банку – учасника СЕП, і використання їх іншими банками буде негайно помічено системою захисту, а відтак дана інформація не буде прийнята до оброблення.

Під час криптування банківської інформації ведеться шифрований архів банківських платежів, де зберігаються всі зашифровані та відправлені , а також одержані та дешифровані платежі. Дешифрування повідомлень архіву можливе лише за наявності ключа, яким володіє служба захисту електронних банківських документів Національного банку. Наприкінці робочого дня цей шифрований архів обов'язково переписується на гнучкі магнітні носії. Такий архів використовується для надання інформаційно-арбітражних послуг відповідно до "Положення про інформаційно-арбітражні послуги служби захисту електронних банківських документів в СЕП".

Loading...

 
 

Цікаве