|
А.М. Рыбников
Платежные системы
Учебное пособие – Симферополь: ТНУ, 2011. – 228 с.
Глава 4. Мероприятия защиты информационной безопасности платежных систем
4.3. Криптографическая защита информации и меры защиты информационной безопасности
Криптография
играет одну из главных ролей в развитии технологий и стандартов СЭП. В
используемых протоколах СЭП решаются типовые для различных областей техники
задачи защиты информации от несанкционированного доступа, к числу которых
относятся:
• обеспечение целостности информации (невозможность для третьей стороны,
расположенной между участниками информационного обмена, модифицировать
передаваемую информацию таким образом, чтобы принимающая сторона этого не
заметила);
• обеспечение конфиденциальности информации (невозможность для третьей
стороны получить информацию, содержащуюся в передаваемых сообщениях);
• аутентификация источника информации (подтверждение того, что передающая
сторона является тем, за кого она себя выдает); остальную часть этого пункта
нужно вычеркнуть то есть невозможность для третьей стороны присвоить себе
авторство какого-либо сообщения);
• авторизация информации (невозможность отказаться от
авторства сообщения).
Для решения
перечисленных задач используются различные криптографические алгоритмы. Под
криптоалгоритмом понимается взаимно однозначное преобразование, отображающее
множество возможных сообщений отправителя, содержание которых необходимо скрыть
от третьей стороны, во множество сообщений, называемых также криптотекстами,
понятных только отправителю и адресату. Криптоалгоритмы иначе называют
алгоритмами шифрования.
Существуют общие
и специальные криптографические алгоритмы. Все общие алгоритмы шифрования
делятся на два класса:
• симметричные алгоритмы шифрования;
• асимметричные алгоритмы шифрования.
Симметричные
алгоритмы шифрования основаны на использовании обеими сторонами информационного
обмена общего секрета, называемого ключом. Знание ключа X полностью определяет
криптографическое преобразование Z=Eх(Y), которое еще иначе называют
засекречиванием сообщения Y. Это преобразование является взаимно однозначным,
то есть существует такая функция Eх1(Z), что для любых Z и Y, связанных
равенством Z=Ex(Y), верно Y=Ex1(Z). Обратное преобразование часто называют
расшифровкой или дешифрованием сообщения Z.
Самым надежным
симметричным криптографическим алгоритмом является код Вернама. Суть алгоритма
состоит в том, что для каждого отправляемого сообщения Y, представленного в
виде последовательности двоичных нулей и единиц, по случайному закону
генерируется из нулей и единиц последовательность той же длины, что и
отправляемое сообщение. Эта последовательность играет в схеме Вернама роль
одноразового ключа X. Тогда криптографическое преобразование состоит в побитном
сложении по модулю 2 значений X и Y. Очевидно, что для «вскрытия» описанного
криптоалгоритма (то есть для определения Y) необходимо перебрать все возможные
значения ключа X.
Очевидными недостатками этого метода являются
необходимость передачи получателю значения ключа Y для каждого шифруемого
сообщения, а также переменная длина ключа.
Суть
асимметричных алгоритмов (иначе схемы, основанные на таких алгоритмах, называют
криптосистемами с общественными или открытыми ключами) состоит в следующем. В
математике известны такие функции Е, для которых обратная функция D вычисляется
достаточно сложно, если не известен некоторый параметр (в криптографических
схемах этот параметр становится секретным ключом). Функция Е предоставляется в
распоряжение любому желающему отправить сообщение обладателю параметра. Для
шифрования информации, предназначенной обладателю параметра, достаточно
применить к передаваемому сообщению преобразование Е. Тогда обладатель
параметра, используя обратное преобразование D, легко расшифровывает полученное
сообщение. Наоборот, лицо, не обладающее заветным параметром, не сумеет
вычислить обратное преобразование и, следовательно, восстановить передаваемое
сообщение. Асимметричные алгоритмы являются идеальным механизмом для решения
задач обеспечения целостности передаваемой информации и аутентификации ее
источника.
Для решения задачи обеспечения конфиденциальности
передаваемой информации обычно применяются симметричные алгоритмы. Если
открытое и закрытое преобразования в асимметричном алгоритме определены на
одном множестве сообщений и являются коммутативными, то асимметричный алгоритм
может использоваться и для шифрования сообщений.
Для осуществления жесткой аутентификации банков
(филиалов) участников СЭП используют систему идентификации пользователей,
которая является основой системы распределения ключей криптографической защиты.
Участник СЭП для обеспечения защиты информации имеет трехбайтный идентификатор.
Первым знаком этого идентификатора является буква, обозначающая соответствующую
территорию, на которой расположен участник СЭП. Второй и третий знаки являются
уникальными идентификаторами участника СЭП в границах этой территории.
Идентификаторы должны быть согласованы с адресами системы ЭП и быть уникальными
в границах банковской системы Украины. Трехбайтные идентификаторы являются
составной частью идентификаторов ключей криптографической защиты для рабочих
мест системы автоматизации банка (САБ) или его филиала, где формируются и
обрабатываются электронные банковские документы. Идентификатор ключей
криптографической защиты для рабочих мест состоит из шести символов, из которых
первых три – идентификаторы участника СЭП, четвертый – определяет тип рабочего
места (операционист, бухгалтер и т.п.), пятый и шестой – идентификатор
конкретного рабочего места (т.е. служащего, который отвечает за обработку
электронных банковских документов на этом рабочем месте). Трехбайтный идентификатор
участника СЭП встроен в программу генерации ключей и не может быть изменен
участником СЭП, что обеспечивает защиту от подделки ключей от имени других
участников СЭП.
Важно также обратить внимание на меры защиты
информационной безопасности. На противодействие угрозам и с целью минимизации
возможных убытков пользователей и владельцев платежной системы направлены
четыре группы мер:
- правовые меры: законы, указы,
договора между участниками платежной системы и другие нормативные документы,
которые регламентируют правила работы платежной системы, и ответственность за
нарушение этих правил. При отсутствии государственных законов правила работы
платежной системы должны быть определены нормативными документами хозяина
платежной системы и обязательно исполняться всеми участниками системы;
- морально-этические
меры:
нормы поведения участников расчетов и обслуживающего персонала;
- административные
меры:
меры организационного характера, регламентирующие процесс функционирования
системы обработки платежной информации, использование ее ресурсов, а также
деятельность персонала. К ним можно отнести:
º организацию
пропускного режима в помещения, где размещены вычислительные средства,
обрабатывающие платежную информацию;
º соблюдение
правил обработки информации и инструкций для обслуживающего персонала во время
обработки платежной информации;
º организацию
распределения доступа и сохранения паролей и криптографических ключей;
º организацию
учета, сохранения и уничтожения документов и носителей с конфиденциальной
информацией;
º организацию
подготовки пользователей платежной системы и обслуживающего персонала и
контроля за их работой;
º порядок внесения
изменений в программные и аппаратные средства платежной системы и т.п.
- физические
средства
защиты, включающие охрану помещений, техники и персонала платежной системы.
Все используемые в СЭП средства защиты информации
Национального банка, даются участникам СЭП территориальными управлениями при
условии выполнения следующих требований:
- заключение
договора об использовании криптографических средств защиты информации в системе
электронных платежей Национального банка Украины между банком (филиалом) и
территориальным управлением той области, где расположен банк (филиал),
независимо от модели обслуживания консолидированного корреспондентского счета;
- обеспечение
соответствия помещений, в которых обрабатываются электронные банковские
документы, используются и сохраняются в нерабочее время средства защиты
информации, требованиям к помещениям участников СЭП, которые используют
средства защиты информации Национального банка, определенные
нормативно-правовыми актами Национального банка о правилах организации защиты
электронных банковских документов;
- назначение
служебных лиц, ответственных за сохранение и использование средств защиты
информации с предъявлением должным образом заверенной копии приказа о
назначении в территориальное управление;
- представление
письма-поручения о получении средств защиты информации.
Средства защиты информации для банка (филиала)
изготавливаются Департаментом информатизации по заказу территориального
управления. Банк (филиал)-участник СЭП не имеет права передавать средства
защиты информации другой организации. Участник СЭП должен обеспечить
регистрацию в отдельном журнале следующей информации:
- учет аппаратных и программных средств защиты информации с указанием
нормативно-правовых актов Национального банка, регулирующих порядок их
использования;
- перечень служебных лиц, ответственных за использование и сохранение
полученных средств защиты информации;
- перечень служебных лиц, на которые, согласно приказу руководителя банка
(филиала), наложено выполнение криптографической защиты электронных банковских
документов.
|
