Система електронних платежів Національного банку України 25 Завдання та функції сеп

Вид материала

Документы

Содержание 25.8.2. Організація роботи СЕП у мультивалютному режимі 25.8.4. Інформаційно-пошукова система 25.9. Захист інформації та вирішення питань безпеки у СЕП Служба захисту інформації на рівні Націонапьного банку Система безпеки СЕП є багаторівневою. Технологічні засоби контролю включають Бухгалтерські засоби контролю включають Основними засобами захисту інформації у СЕП є апаратні засоби. Резервним засобом захисту у СЕП 25.10. Система резервування СЕП В основу її побудови покладені такі принципи 25.11. Аналіз кількісних показників роботи СЕП 25.11.1. Кількість банків - учасників СЕП 25.11.2. Територіальне розміщення банківських установ 25.11.3. Завантаженість СЕП

Подобный материал:

• Реферат на тему: Система електронних платежів національного банку України, 16.75kb.
• Договір № про використання криптографічних засобів захисту інформації в системі електронних, 73.54kb.
• Правила користування пластиковою платіжною карткою нсмеп терміни платіжна картка Національної, 83.07kb.
• Правила користування пластиковою платіжною карткою нсмеп терміни > Платіжна картка, 87.8kb.
• План Функції національного банку України Організаційні основи діяльності національного, 16.07kb.
• Національний банк україни, 41.1kb.
• «Контрольно-ревізійні функції Національного банку України», 469.25kb.
• Правління національного банку україни, 293.44kb.
• Севастопольський інститут банківської справи української академії банківської справи, 179.34kb.
• Шановні клієнти!, 24.65kb.

25.8.2. Організація роботи СЕП у мультивалютному режимі

Організація роботи СЕП з іноземними валютами базується на таких основних принципах:

1. Режим роботи установ банків, які не виконують розрахунків у іно­земній валюті і є учасниками СЕП, не змінюється;

2. Усі основні принципи розрахунків, технологічної та інформаційної структури, технології та регламенту виконання розрахунків однакові як для національної валюти України, так і для іноземних валют;

3. Учасниками мультивалютних розрахунків можуть бути як банки-резиденти України, так і банки-нерезиденти, які не мають кореспондентсь­ких рахунків у національній валюті України. Але для виконання розрахун­ків в іноземній валюті їм слід мати коррахунок у відповідній валюті в регі­ональному управлінні НБУ.

Нормативно-довідковою інформацією для мультивалютного режиму функціонування СЕП є:

• довідник іноземних валют, з якими працює СЕП;

• довідник валютних рахунків банків - учасників СЕП. Він визначає, в яких саме іноземних валютах є рахунки у банку - учасника СЕП, а також в якому конкретному АРМ-2 СЕП обслуговується кожний рахунок.

З точки зору банку - учасника СЕП, він організує всередині ОДБ об­робку платежів у національній валюті та в іноземних валютах будь-яким зручним йому способом. Головне завдання банку - організувати форму­вання та отримання окремих пакетів платіжних документів (і, відповідно, окремих файлів технологічної інформації) для кожної валюти. Для розпо­ділу пакетів платіжних документів, квитанцій та технологічної інформації за різними валютами використовується перший символ найменування фай­ла (який визначає валюту файла). Можна уявити собі, що для кожної окре­мої валюти створена своя СЕП, які працюють окремо, незалежно одна від одної, і єдине, чим вони відрізняються,- це першим символом наймену­вання файлів, що в ній використовуються. Банк працює із такою кількістю «валютних СЕП», скільки валютних рахунків у цього банку наявні у довід­нику валютних рахунків банків - учасників СЕП (рис. 25.79).

Єдиний файл, діючий для всіх валют одночасно, - це файл $U (зав­дання на коригування довідника учасників). Крім коригування кількісного складу та окремих реквізитів банків-учасників, він також призначений для внесення змін у довідник валютних рахунків банків - учасників СЕП.

На даний час кореспондентські рахунки в іноземній валюті відкрива­ються лише в одному підрозділі НБУ (що має статус регіонального управ­ління) - Центрі міждержавних розрахунків НБУ. Обробку всіх валютних





файлів СЕП здійснює також один АРМ-2 (рис. 25.20). Тому, з точки зору СЕП, усі валютні платежі банків (незалежно від їх фізичного розташуван­ня) є внутрішньорегіональними.

25.8.3. Механізм шлюзових банків та міждержавні розрахунки

Уся економіка України не є ізольованою. З одного боку, незважаючи на розпад колишнього СРСР, збереглися економічні зв'язки між підприєм­ствами його республік. З іншого боку, за останні роки значно посилилися зв'язки підприємств та комерційних структур України з іншими країнами світу. Розвиток міжнародних економічних зв'язків вимагає відповідно на­лагодженого механізму міжнародних розрахунків у різних валютах.

Національний банк України та певна кількість комерційних банків є абонентами S.W.I.F.Т. Але масового прямого підключення українських банків до S.W.I.F.Т. не очікується.

Не доводиться також розраховувати на прозоре злиття банківських сис­тем України та пострадянських країн, зважаючи на відсутність загальнодер­жавних систем електронних розрахунків у більшості з них та на різний рівень розвитку таких систем в інших країнах, що є досить низьким порівняно з Україною. Однак, існує кілька досить розвинених електронних платіжних систем, що є власністю комерційних банків цих країн. Банки - власники та­ких систем зацікавлені в наданні своїй клієнтурі додаткового виду послуг - розрахунків з підприємствами України в стислі терміни. Більшість банків України, для яких СЕП є звичним та зручним способом розрахунків, бажала б виконувати розрахунки з банками країн СНД централізовано, за допомогою СЕП, а не укладаючи окрему угоду (та, відповідно, організовуючи окрему технологію розрахунків) з кожним із банків-кореспондентів з країн СНД. З позиції Національного банку України, розрахунки банків України з банками країн СНД через СЕП також є більш прийнятними, оскільки надають йому можливість контролю за відпливом грошової маси з держави.

Тому однією з додаткових можливостей СЕП є організація розрахун­ків з іноземними банками через механізм «шлюзових» банків.

«Шлюзовим» є банк - учасник СЕП, який:

• є власником (або учасником) системи міжбанківських розрахунків, відмінної від СЕП;

• уклав угоду з власником цієї платіжної системи про виконання ним платіжних трансакцій від імені інших банків;

• бере на себе зобов'язання виконувати платежі між банками - рези­дентами України та абонентами цієї платіжної системи.

Слід зазначити, що на дільниці розрахунків між банком - резидентом України та «шлюзовим» банком передача платіжних документів виконує­ться засобами СЕП.







Зараз у СЕП є два типових зразки організації «шлюзових» банків.

Перший - «шлюз до S.W.I.F.Т.». «Шлюзовий» банк є абонентом S.W.I.F.Т. Зважаючи на те, що S.W.I.F.Т. є транспортною системою, за­вдання «шлюзового» банку - отримання платіжного документа зі СЕП (що транспортується в форматі файла А) та оформлення його в форматі, при­йнятому в S.W.I.F.Т. У цьому форматі міститься більше реквізитів, ніж у документі СЕП. Додаткова інформація для S.W.I.F.Т. повинна бути запов­нена банком-відправником у текстових реквізитах файла А у вигляді, обу­мовленому стандартами СЕП.

Другий - «шлюз до систем країн СНД». На відміну від S.W.I.F.Т., який є всесвітньою мережею, кожна платіжна система конкретного банку СНД має визначений список абонентів Такі абоненти мають назву у СЕП -субкореспонденти «шлюзового» банку. Тому до нормативно-довідкової інформації СЕП додається список усіх субкореспондентів «шлюзових» банків, з якими можливий обмін платіжними документами. Крім того, від «шлюзового» банку вимагається наявність його коррахунку в одному з ре­гіональних управлінь НБУ. Це дозволяє «шлюзовому» банку бути учасни­ком СЕП за загальними правилами, а НБУ - контролювати переміщення коштів за межі України. Платіжні документи, якими обмінюється банк - учасник СЕП зі «шлюзовим» банком, містять додаткову інформацію: якому саме з субкореспондентів «шлюзового» банку спрямований документ.

У довіднику банків - учасників СЕП вказано, який з банків - учасни­ків СЕП є «шлюзовим», до якої платіжної системи та в якій валюті (чи де­кількох валютах) забезпечує доступ.

25.8.4. Інформаційно-пошукова система

Окремою частиною системи електронних міжбанківських розрахунків є інформаційно-пошукова система (ІПС), призначена для надання різним категоріям користувачів довідкової інформації про процес виконання між­банківських розрахунків у СЕП.

Користувачами цієї інформаційної системи є:

• підрозділи НБУ;

• банківські установи, які беруть участь у міжбанківських розрахун­ках у СЕП;

• державні структури, що мають право на отримання такої інформації.

Банківським установам-користувачам ІПС надає інформацію про про­ходження конкретних платежів. Для банку забезпечується право доступу до власної, і тільки власної платіжної інформації.

Іншим користувачам (підрозділам НБУ та державним структурам, на­приклад, Верховній Раді, Державній податковій інспекції тощо) ІПС надає

звіти та відповіді на запити, які різноманітні за рівнем конкретизації та різ­ними періодами часу.

ІПС складається з окремих програмно-технічних комплексів, які ви­користовують для своєї роботи бази даних та архіви АРМ СЕП.

Якщо головний банк працює зі своїми установами з використанням ВПС, то він повинен забезпечити надання інформації для ІПС щодо проход­ження платежів від СЕП через ВПС до його установ - одержувачів платежів.

25.9. Захист інформації та вирішення питань безпеки у СЕП

Система захисту СЕП НБУ розроблялася разом з технологією та бух­галтерською моделлю. Під час експлуатації СЕП вона постійно аналізува­лась і зміцнювалась. Захист електронних платіжних документів є не­від'ємною частиною програмно-апаратних комплексів СЕП, він не може бути виключений або змінений. Усі учасники електронних розрахунків у СЕП повинні мати відповідний дозвіл Національного банку України та до­тримуватися всіх вимог безпеки. Крім того, кожний банк-учасник мусить мати систему захисту внутрішньобанківських розрахунків.

При розробці системи захисту були виділені такі завдання:

• захист від злочинних дій (несанкціоноване розшифрування та ви­кривлення платіжних повідомлень, поява фальсифікованих платежів на будь-якому етапі обробки - від клієнта банку до АРМ-1);

• автоматичне ведення протоколу використання банківської мережі для локалізації джерел появи порушень роботи СЕП;

• захист від технічних порушень апаратури: збоїв та псування апарат­них і програмних засобів, перешкод у каналах зв'язку;

• створення умов роботи СЕП, при яких фахівці банків - учасників СЕП та Національного банку практично не мають змоги втручатися в об­робку платіжних документів після їх формування;

• забезпечення контролю на кожному етапі обробки.

Система захисту СЕП включає технологічні, апаратні, програмні засо­би та організаційні заходи захисту, забезпечує чіткий розподіл відпові­дальності на кожному етапі підготовки, обробки та виконання платежів на всіх рівнях - від клієнта банку до АРМ-1.

З урахуванням завдань банківської безпеки у СЕП була створена Служба захисту інформації на двох рівнях: у Національному банку та в регіональ­них розрахункових палатах, через які здійснюються міжрегіональні та внут-рішньорегіональні платежі.

Служба захисту інформації НБУ здійснює свою діяльність відповідно до Законів України «Про банки і банківську діяльність», «Про захист ін­формації в автоматизованих системах» та нормативних актів Національно­го банку.

Служба захисту інформації на рівні Націонапьного банку вирішує пи­тання, що пов'язані з:

• розробкою загальної політики безпеки електронних платежів в Україні;

• постійним аналізом системи захисту та її вдосконаленням;

• розробкою, підготовкою та сертифікацією апаратних і програмних засобів захисту;

• генерацією та розподілом програм криптографічного захисту та ключової інформації;

• наданням консультацій та навчанням персоналу служб захисту ін­формації регіональних розрахункових палат;

• аналізом збоїв у функціонуванні СЕП та спроб несанкціонованого

доступу до СЕП (далі - НСД).

У разі необхідності Служба захисту інформації НБУ надає арбітражні послуги банкам - учасникам системи електронних платежів. Відділи захисту інформації на другому рівні забезпечують:

• впровадження розробленої політики безпеки;

• впровадження апаратних та програмних засобів захисту всіма уча­сниками системи електронних платежів;

• проведення консультацій та навчання персоналу банків, які беруть участь у СЕП;

• нагляд за виконанням вимог банківської безпеки учасниками СЕП;

• підготовку інформації для аналізу збоїв роботи СЕП та НСД.

З досвіду експлуатації системи можна зробити висновок, що Служба захисту інформації НБУ, побудована на основі вищезазначених принципів, забезпечує достатній рівень безпеки у СЕП.

Система безпеки СЕП є багаторівневою. Вона включає не лише засо­би шифрування інформації, які, беззаперечно, є дуже важливими та нада­ють можливість отримати достовірну інформацію на різних рівнях, а й ці­лий комплекс технологічних та бухгалтерських засобів контролю за проход­женням платежів у СЕП. Такий технологічний та бухгалтерський контроль забезпечується програмним забезпеченням на всіх рівнях, що дозволяє персоналу РРП та ЦРП, учасникам розрахунків відстежувати порядок про­ходження платежів як протягом дня, так і за підсумками дня.

Технологічні засоби контролю включають:

• механізм обміну квитанціями в режимі реального часу, який дозволяє однозначно ідентифікувати отримання адресатом конкретного пакета документів та достовірність інформації, що в ньому міститься;

• механізм інформування банку - учасника СЕП про поточний стан його коррахунку за підсумками технологічних сеансів у РРП, який

дозволяє банку відстежувати відповідність змін коррахунку та при­ймання/передачі пакетів платіжних документів;

• взаємообмін між банком та РРП підсумковими документами на кі­нець банківського дня, програмну звірку підсумкових документів як у РРП, так і в банку;

• програмний комплекс самодіагностики, який дозволяє виявити по­рушення цілісності та неузгодженість баз даних АРМ-2, що може ви­никнути внаслідок збою в функціонуванні системи, спроб несанкціо­нованого доступу до баз даних АРМ-2 або фізичного їх псування;

• взаємообмін між АРМ-2 та АРМ-1 повідомленнями звітного харак­теру про функціонування СЕП у цілому;

• механізм контролю програмних засобів для виявлення несанкціо­нованої модифікації модулів програмного забезпечення.

Усі технологічні засоби контролю вбудовані у програмне забезпечен­ня, їх не можна вилучити, а в разі виникнення нестандартної ситуації або підозри на несанкціонований доступ вони негайно інформують працівників РРП та ЦРП, що дає можливість оперативно втручатися у таку ситуацію.

Бухгалтерські засоби контролю включають:

• комплект звітних документів, які отримуються в АРМ-2, містить повну технологічну та бухгалтерську інформацію, перехресні поси­лання та аналіз балансу;

• комплект звітних форм АРМ-1, які містять бухгалтерську інформа­цію про стан СЕП в Україні;

• засоби звірки взаємодії РРП в АРМ-1, які дозволяють виявити роз­біжності в звітній інформації, що надає РРП;

• засоби аналізу причин відсутності балансу в масштабах України.

Однак, застосування тільки технологічних та бухгалтерських засобів контролю у СЕП недостатньо, щоб забезпечити захист від зловживань при передачі платіжних документів у СЕП. До того ж, автоматичне ведення протоколу виконуваних дій у системі платежів має супроводжуватися та­кож захистом цього протоколу від підробки та модифікації. Всі ці вимоги можуть бути виконані тільки за допомогою програмних та апаратних засо­бів шифрування.

Система захисту банківської інформації у СЕП включає комплекс за­ходів шифрування інформації, яка циркулює у платіжній системі. Шифру­ванню підлягають усі файли, що передаються між АРМ СЕП: як пакети початкових та відповідних платіжних документів, так і квитанції на них, всі інші технологічні файли.

Усі платіжні документи СЕП перед відправкою з банківської установи обробляються апаратними або програмними засобами захисту інформації, які забезпечують виконання ряду вимог безпеки інформації у СЕП, а саме:

• закритість інформації, яка пересилається (повідомлення не може бути прочитане ніким, крім адресата);

• цілісність (будь-яке, випадкове або зловмисне, викривлення пові­домлення на етапі передавання буде виявлене при прийманні);

• автентичність відправника (при прийманні однозначно визначаєть­ся, хто відправив конкретне повідомлення).

Крім цих основних вимог, виконується ряд додаткових, що дозволяє детальніше аналізувати можливі нестандартні ситуації:

• засобами захисту інформації ведеться шифрований арбітражний журнал, який містить протокол обробки інформації, а також зміст оброблених файлів;

• у шифроване повідомлення включені реквізити дати та часу обробки.

В основу роботи засобів захисту інформації у СЕП покладений алго­ритм шифрування із закритими симетричними ключами за ГОСТ 28147-89. Згаданий метод характеризується високою стійкістю до дешифрування, але одночасно висуває високі вимоги до процедури транспортування та збері­гання закритих ключів, секретність яких і визначає реальну стійкість сис­теми шифрування в цілому. Щоб забезпечити секретність ключів при їх транспортуванні, зберіганні та використанні, застосовується комплекс тех­нологічних і організаційних заходів.

Основними засобами захисту інформації у СЕП є апаратні засоби. В них секретність ключів забезпечується технологічно:

• ключі зберігаються в спеціальній електронній картці, їх зчитування можливе лише у пам'яті спеціального блоку («шифроблоку»), який здійснює процес шифрування інформації. Зчитування ключів ін­шими засобами не можливе;

• електронна картка видається конкретному банку з попередньою прив'язкою її до конкретного шифроблоку цього ж банку; якщо картку загублено або викрадено, то вона не буде працювати в ін­шому шифроблоці (наприклад, в апаратурі іншого банку);

• на випадок викрадення одночасно блоку і картки у конкретного банку передбачений режим виключення цієї апаратури із списку користувачів СЕП; банк зможе продовжувати роботу у СЕП шля­хом отримання нового комплекту, після вирішення юридичних та фінансових питань, пов'язаних із втратою апаратури.

Резервним засобом захисту у СЕП є програмне шифрування, яке реалі­зує такий самий алгоритм шифрування. Програмні засоби шифрування є не­від'ємною частиною програмного забезпечення АРМ-1, АРМ-2, АРМ-3 СЕП.

Зберігання та використання засобів захисту повинно відповідати ви­могам, які висуваються до інформації з грифом «Банківська таємниця». За­доволення цих вимог забезпечується організаційними заходами.

При роботі засобів криптування банківської інформації ведеться шиф­рований архів банківських платежів, де зберігаються всі зашифровані та відправлені, а також одержані та дешифровані платежі. Дешифрування по­відомлень архіву можливе лише за наявності ключа, який знаходиться в Службі захисту електронних банківських документів Національного банку. Наприкінці робочого дня цей шифрований архів треба обов'язково перепи­сати на гнучкі магнітні носії. Він використовується для надання інформа­ційно-арбітражних послуг, які надає Служба захисту електронних банків­ських документів Національного банку відповідно до «Положення про ін­формаційно-арбітражні послуги служби захисту електронних банківських документів у СЕП».

Арбітражна версія апаратно-програмного комплексу криптографічно­го захисту дає змогу Службі захисту електронних банківських документів Національного банку при наявності копій шифрованого архіву банківської установи - учасника СЕП дешифрувати всі повідомлення з цього архіву та з абсолютною достовірністю визначати:

• ім'я абонента, який відправив (зашифрував) електронний платіж­ний документ;

• ім'я абонента, якому адресовано електронний платіжний документ;

• дату, годину та хвилину, коли виконувалося шифрування елект­ронного платіжного документа;

• дату, годину та хвилину, коли та ким виконувалося дешифрування

електронного платіжного документа. При використанні апаратних засобів захисту додатково визначається:

• номер апаратури захисту, на якій виконувалось шифрування (де­шифрування) електронного платіжного документа;

• номер електронної картки, якою користувались під час шифруван­ня (дешифрування) електронного платіжного документа.

Журнали реєстрації надходжень електронної пошти дають змогу во­лодіти інформацією про шлях та час проходження електронного платіжно­го документа від однієї банківської установи до іншої через усі пункти ме­режі телекомунікації СЕП.

Апаратні та програмні засоби шифрування, які надає Служба захисту інформації НБУ, отримали позитивну експертну оцінку Служби безпеки

України та рекомендовані для застосування з дотриманням деяких органі­заційних та технологічних запобіжних заходів.

Додатково для захисту інформації у СЕП використовуються апаратні засоби шифрування в каналах телекомунікаційного зв'язку - апаратура за­хисту банківських даних (АЗБД). Ця апаратура забезпечує гарантований захист банківських електронних повідомлень від перехоплення, нав'язу­вання, підробки та викривлення їх унаслідок зовнішнього впливу, підтри­мує абсолютну достовірність повідомлень, використовуючи електронні картки як носії ключової інформації. Такі засоби захисту «прозорі» для те­лекомунікаційних систем, сумісні зі стандартними протоколами зв'язку та працюють в автоматичному режимі.

З перших місяців роботи СЕП Службою захисту банківської інформа­ції НБУ ведеться аналіз усіх порушень функціонування системи як з погля­ду надійності її роботи (апаратно-програмні збої, випадкові порушення технології тощо), так і з погляду безпеки (можливість «НСД»).

З вищезазначеного можна зробити такі висновки:

1. Найбільший відсоток випадків порушення функціонування (близько 65%) припадає на незначні збої у СЕП, які не порушують роботу системи, обробляються автоматично і не призводять до викривлень бухгалтерських проводок. До таких випадків можна віднести, наприклад, викривлення шифрованих платіжних або інформаційних файлів у каналах зв'язку або неможливість розшифрувати файли, що викликано некоректним викорис­танням шифроблоків (у момент обробки файла електронна картка відсутня в пристрої зчитування тощо). Така ситуація обробляється системою авто­матично, але повідомлення про збої в системі захисту надходять до ЦРП та служби захисту інформації. Це дозволяє вести аналіз подібних ситуацій, виявляти незначні збої, які найчастіше зустрічаються в системі, і при по­требі усувати їх.

2. Значна кількість порушень роботи СЕП (близько 35%), які мали зов­нішні ознаки, що вимагали розгляду їх як можливого НСД, насправді спро­бами несанкціонованого доступу не були, але виникали внаслідок пору­шення персоналом банківських установ технології обробки платіжної ін­формації або несумлінного поновлення програмного забезпечення після програмно-апаратних збоїв. У ряді випадків потрібне було спеціальне ко­ригування бухгалтерських проводок, пов'язане з ліквідацією наслідків не­коректного поновлення інформації. Найчастіше такі порушення виникають через недостатню кваліфікованість персоналу банку - учасника СЕП та не­уважного ставлення до інструкцій та вимог щодо роботи з програмно-апа­ратним комплексом АРМ-3.

3. У системі було виявлено декілька свідомих спроб несанкціонованого втручання в роботу СЕП, що становить менше 0,01 відсотка загальної кілько­сті порушень функціонування системи. Про всі згадані випадки система за­хисту СЕП своєчасно й адекватно автоматично інформувала персонал НБУ. Для всіх випадків НСД простежуються спільні характерні особливості:

• усі вони були здійснені представниками банківських установ, при цьому отримання незаконного прибутку призводило до втрати кош­тів саме тим банком, персоналом якого вони здійснювались (кра­діжка у власного банку, а не у держави або іншого банку);

• у всіх випадках особи, що здійснювали НСД, мали легальний до­ступ до систем підготовки та захисту платіжної інформації, причо­му повноваження їх були явно завищені (доступ до багатьох або навіть до всіх банківських ресурсів системи);

• контроль уповноваженими представниками банків (головний бух­галтер, керівник тощо) за роботою персоналу був послаблений або практично відсутній.

4. Зовнішнє втручання у СЕП (не з боку банків - учасників СЕП) не зафіксовано.

Вищезазначене демонструє, що найслабшим місцем платіжної систе­ми на поточний момент є дільниця підготовки платежів персоналом банку - учасника СЕП. Для зменшення небезпеки несанкціонованого доступу в цій ланці керівництво НБУ вимагає від учасників СЕП обов'язкового ви­конання ряду організаційних вимог (деякі з них очевидні):

• лише довірені особи можуть бути допущені до ключових операцій підготовки платіжної інформації;

• відповідальні особи банків мусять здійснювати постійний, реаль­ний та достатній контроль за станом бухгалтерського балансу та кореспондентського рахунку банку (СЕП надає всю необхідну для цього інформацію);

• не допускається зосередження повноважень щодо доступу до про­грамно-технічних ресурсів банку в одного із співробітників, за кожну дільницю обробки платіжної інформації повинен відповідати окре­мий уповноважений (адміністратор локальної мережі, адміністратор електронної пошти, відповідальний за роботу з АРМ-3 СЕП тощо). Для надання допомоги банкам - учасникам СЕП у розмежуванні повно­важень осіб, які здійснюють підготовку платіжних документів до передачі у СЕП, впроваджено технологію перехресного накладання електронного циф­рового підпису на електронні платіжні документи, її суть полягає у тому, що в жодному пункті проходження платіжного документа через СЕП не існує

повного набору ключів, який міг би дозволити викривити інформацію. Таким чином забезпечується контроль за достовірністю при проходженні платежів усередині банку та через мережу розрахункових палат НБУ (рис. 25.21).

Алгоритм К8А, на якому базується програмний комплекс накладання електронного цифрового підпису, належить до несиметричних алгоритмів шифрування. Кожний учасник обміну електронними документами має два ключі шифрування: таємний, який повинен ретельно охоронятися від сто­ронніх та бути відомим лише власнику, і відкритий, який розповсюджується у системі і повинен бути відомим кожному її учаснику. Концепція алгоритму Я8А зводиться до того, що в основу електронного цифрового підпису покла­дено оброблене спеціальним алгоритмом стиснення самого повідомлення, яке підписується. При цьому шифрування цього прототипу електронного цифрового підпису здійснюється за допомогою секретного ключа відправни­ка та відкритого ключа отримувача повідомлення. Саме повідомлення може не шифруватися (це реалізовано в програмному комплексі електронного під­пису), модифікація підписаного повідомлення (зміна навіть одного біта) буде негайно виявлена при перевірці підпису отримувачем повідомлення. Під час перевірки електронного підпису програмним комплексом отримувача фор­мується прототип електронного підпису отриманого повідомлення. Отрима­ний цифровий підпис повідомлення дешифрується відкритим ключем від­правника та секретним ключем отримувача. Цей прототип електронного ци­фрового підпису порівнюється з вирахуваним прототипом. Збіг прототипів підпису (отриманого та вирахуваного) означає, що повідомлення було підпи­сане саме вказаним відправником інформації, спрямоване саме згаданому отримувачу та отримане саме в тому вигляді, в якому воно було підписане.

Кожному банку - учаснику СЕП Службою захисту інформації НБУ надається програмне забезпечення, яке складається з трьох модулів:

1. Власне модуля накладання/перевірки електронного цифрового під­пису у вигляді бібліотеки об'єктних модулів, яка може бути вбудо­вана в програмний комплекс «Операційний день банку» на будь-якому робочому місці підготовки платіжних документів.

2. Модуля генерації ключів для банку - учасника СЕП. Модуль гене­рації ключів надається у вигляді виконуваного модуля і виготовляє­ться особисто для кожної установи - учасника СЕП. За допомогою такого генератора ключів учасник СЕП сам генерує пари таємного та відкритого ключів для всіх робочих місць підготовки платежів.

3. Модуля поновлення таблиці відкритих ключів та незаповнених таб­лиць відкритих ключів на кожне робоче місце, який виконує корек­тне поновлення таблиць відкритих ключів, створює їх резервні копії і веде протокол виконаних дій.





При генерації ключів таємний ключ записується на дискету або на їоисЬтетогу. Відкриті ключі, які використовуються всередині банку (на­приклад, ключі операціоністів), записуються до згаданого каталогу у ви­гляді файлів змін таблиці відкритих ключів. Відкриті ключі робочих місць, електронний цифровий підпис яких перевіряється у СЕП, а саме - відкриті ключі АРМ-3 та АРМ бухгалтера, записуються у вигляді файлів сертифіка­ції до каталогу, який задається. Ці файли надсилаються до Служби захисту інформації НБУ для виконання їх сертифікації, що дає можливість перед розповсюдженням їх через СЕП переконатися в тому, що вони належать саме цьому учаснику СЕП, а не були згенеровані кимось іншим від імені цього учасника, і що для них виконані всі вимоги, які висуваються до від­критих ключів алгоритму Я8А. Після успішного проходження сертифікації відкриті ключі учасника СЕП розсилаються у вигляді файлів змін таблиць відкритих ключів на робочі місця, обумовлені технологією перевірки елек­тронного цифрового підпису (АРМ-3 та АРМ-2).

Правові основи та нормативні документи НБУ повинні забезпечити правове середовище для захисту електронних міжбанківських розрахунків із визначенням юридичних та фізичних осіб, які несуть відповідальність за виконання операцій в системі, прав і обов'язків учасників системи, гаран­тують виконання фінансових трансакцій та дотримання конфіденційності інформації, що циркулює в системі. Особлива увага в нормативних доку­ментах НБУ та підзаконних актах приділяється розгляду спірних питань і порядку ведення арбітражних справ між учасниками системи електронних міжбанківських розрахунків, опису обов'язків учасників системи щодо збереження та своєчасного надання арбітражної інформації, яка створює­ться засобами криптозахисту програмних комплексів системи та зберігає­ться зашифрованою.

Нормативними документами НБУ визначається комплекс адміністра­тивних заходів, спрямованих на забезпечення захисту підготовки, передачі, обробки та зберігання у кожного учасника системи інформації про елект­ронні фінансові трансакції; визначені правила доступу і фізичного захисту вузлів збирання, обробки та зберігання інформації. Нормативні документи НБУ регламентують також порядок генерації, транспортування, розподілу, оновлення і використання ключів криптографічного захисту в системі. Спеціальні інструкції НБУ суворо регламентують порядок роботи фахівців банківських установ із засобами захисту, використання та зберігання крип­тографічних ключів, розподіл повноважень щодо питань захисту інформа­ції в банківській установі.

У головних вузлах збору, обробки та зберігання інформації в системі (Центральна розрахункова палата, регіональні розрахункові палати тощо) повинні вживатися заходи для захисту інформації від витоку технічними

каналами. В усіх приміщеннях, де розташовані сервери системи, включаю­чи телекомунікаційні, постійно ведеться контроль за дотриманням визна­ченого комплексу організаційно-технічних заходів щодо порядку обсте­ження цих приміщень для контролю за витіканням інформації технічними каналами (лінії живлення, заземлення, допоміжні технічні засоби, електро­магнітне випромінювання обчислювальних машин). Спеціальні вимоги щодо дотримання режимних умов у приміщеннях банківських установ -учасників СЕП, де обробляються, працюють та зберігаються засоби захис­ту, зазначені у «Положенні про міжбанківські розрахунки в Україні» і обов'язкові для усіх банківських установ. Усі службові особи, які викону­ють електронні розрахунки, зобов'язані суворо дотримуватися цих вимог. Відповідальність за виконання вищезгаданих вимог покладено на керівни­ків банківських установ.

25.10. Система резервування СЕП

За період експлуатації СЕП виявила, в цілому, достатньо задовільну надійність та стійкість щодо збоїв. Не зареєстровано випадків, що будь-кому з учасників СЕП було завдано фінансових збитків унаслідок техноло­гічних збоїв або помилок у програмному забезпеченні.

Зважаючи на низький рівень технічного та енергетичного забезпечен­ня, що є наслідком загальнодержавних проблем України, особлива увага при розробці СЕП приділялася її стійкості при збоях енергоживлення та технічного устаткування.

Необхідною технологічною умовою роботи програмно-технічних ком­плексів СЕП є періодичне (через визначені технологією проміжки часу) створення резервних копій інформації.

Засоби періодичного створення резервних копій, самодіагностики сис­теми та сервісу дозволяють виконувати відкат (тобто повернення до яко­гось фіксованого попереднього стану системи для подальшого повторення функціонування системи, починаючи з цього стану) як на початок будь-якого технологічного сеансу АРМ-2 (або АРМ-1), так і на початок банків­ського дня в цілому.

Система квитанцій, звітних форм та бухгалтерського контролю дозво­ляє проводити перехресну звірку, що є запобіжним заходом для своєчасно­го виявлення можливого руйнування баз даних.

Вихід з ладу одного з елементів СЕП не тягне за собою порушення функціонування більш великих її частин або системи в цілому. Більше то­го, передбачена можливість автономної роботи окремих ланок системи (РРП та банки-учасники всередині регіону) із створенням черги незавер­шених міжрегіональних трансакцій.

Але ці програмні рішення в рамках одного АРМ неспроможні забез­печити безперебійне функціонування СЕП у випадку стихійного лиха або

зловмисних дій, що призведуть до руйнування приміщення, в якому роз­ташований цей АРМ (та його резервні копії).

Окремі регіони України, внаслідок свого географічного розташування, можуть підлягати впливу потенційно небезпечних факторів зовнішнього середовища - землетруси, повені тощо.

Враховуючи особливу важливість надійного зберігання інформації у СЕП та необхідність забезпечити її безперебійне функціонування, нагаль­ною потребою є зниження ризику порушення нормальної роботи системи. Для цього створено систему резервування та поновлення діяльності СЕП.

В основу її побудови покладені такі принципи:

• незалежність резервування та поновлення окремих компонентів, окремих АРМ платіжної системи;

• багаторівневість дублювання інформації та резервування діяльності платіжної системи;

• ефективність і економічність розробки та функціонування системи резервування;

• безпека та конфіденційність банківської інформації у разі виник­нення аварійних або надзвичайних ситуацій;

• забезпечення для учасників розрахунків максимуму зручностей та сервісного обслуговування під час аварійних та надзвичайних си­туацій;

• надійність та оперативність поновлення діяльності СЕП, що вклю­чає збереження всієї суттєвої інформації у разі аварійних або над­звичайних ситуацій, швидке поновлення життєво важливих функ­цій платіжної системи, запобігання або хоча б мінімізація втрат для учасників платежів;

• гнучкість та актуальність системи резервування, відповідність ви­могам кредитно-банківських та інших фінансових установ.

Для резервування діяльності СЕП створено мережу пунктів гарячого і холодного резервування Центральної та регіональних розрахункових палат.

Для кожної розрахункової палати створюються два резервні пункти (так званого «гарячого» резервування - у тому ж населеному пункті, де розташована розрахункова палата, і «холодного» резервування - на знач­ній відстані від розрахункової палати). Ці резервні пункти повністю іден­тичні за своїми програмно-технічними засобами розрахунковій палаті.

Пункт «гарячого» резервування повинен виконувати функції розрахун­кової палати у разі порушень, які неможливо усунути за припустимий час, у системі забезпечення (електроенергією, засобами зв'язку тощо) будівлі, де розташована розрахункова палата, при збереженні нормального забез­печення і умов у населеному пункті в цілому.

Пункт «холодного» резервування має виконувати функції розрахунко­вої палати у разі порушень у системі забезпечення населеного пункту в ці­лому, які неможливо усунути в припустимий час.

Можливе об'єднання на одній території однотипних пунктів резерву­вання для декількох різних підсистем, наприклад, для декількох регіональ­них розрахункових палат, а також розміщення на одній території пунктів «холодного» резервування для ЦРП та однієї або кількох РРП.

У разі виникнення аварійної або надзвичайної ситуації і неможливості оперативного поновлення діяльності центрального вузла перехід на вико­нання одним із резервних пунктів функцій СЕП забезпечується системою автоматичної перекомутації каналів зв'язку.

Система резервування виконує такі функції:

• створення та актуалізація планів дій на випадок аварійних або над­звичайних ситуацій;

• регулярне навчання і тренування персоналу та учасників платежів;

• своєчасне та повне дублювання всієї необхідної інформації, що стосується системи електронних міжбанківських платежів Націо­нального банку України та її поточного функціонування;

• надійне зберігання резервної інформації, включаючи надсилання до віддаленого сховища, забезпечення її безпеки та конфіденційності;

• дублювання і підтримка в робочому стані резервної матеріально-технічної та телекомунікаційної інфраструктури СЕП;

• автоматичне поновлення діяльності електронної платіжної системи у разі порушення її функціонування;

• оперативна передислокація та розгортання компонентів системи, в разі необхідності, на резервних пунктах з урахуванням вимог безпеки;

• своєчасне інформування учасників платежів та надання їм можли­востей роботи з електронною платіжною системою у разі аварійних або надзвичайних ситуацій;

• створення та підтримка в робочому стані системи автоматичної пе­рекомутації каналів зв'язку на випадок виникнення аварійної або надзвичайної ситуації, коли неможливо продовжити роботу підсис­теми за місцем розташування.

25.11. Аналіз кількісних показників роботи СЕП

Основні кількісні показники системи електронних міжбанківських платежів України за станом на кінець 1997 року:

• навантаження системи міжбанківських електронних платежів ста­новить близько 250-350 тисяч платіжних документів протягом банківського дня;

• кількість банківських установ - абонентів СЕП становить приблиз­но 2500;

• середні терміни проходження платіжних документів від платника до одержувача - від 10 хвилин до 2 годин;

• суми платежів не обмежені; доларові еквіваленти сум платежів - у діапазоні від 0,01 долара США до 100000000;

• максимальна зареєстрована сума трансакції становила близько 600 млн. доларів США на момент виконання трансакції.

25.11.1. Кількість банків - учасників СЕП

1994 року в основному було завершено процес залучення банків Украї­ни та їх установ до Системи електронних міжбанківських платежів НБУ. За­раз СЕП охоплює майже всі банківські установи України. Тому, починаючи з 1995 року, кількість банків - учасників СЕП є тим показником, що характе­ризує тенденції до зміни кількості українських банків та їх установ у цілому (рис. 25.22).

У другій половині 1994 року почалася розробка моделей обслугову­вання консолідованих кореспондентських рахунків у СЕП, зорієнтованих на обслуговування філій головного банку за допомогою внутрішньобанківських платіжних систем. З того часу ряд банків - учасників СЕП були пе­реведені за їх ініціативою на обслуговування у СЕП за однією з діючих мо­делей консолідованого кореспондентського рахунку (рис. 25.23).

Таким чином, кількість кореспондентських рахунків банківських установ, відкритих у регіональних управліннях Національного банку України, досягла максимуму в середині 1994 року і з розвитком моделей обслуговування консо­лідованого кореспондентського рахунку поступово зменшувалась.

У міру того, як впроваджуються моделі, що дозволяють вести консо­лідований кореспондентський рахунок групи банківських установ у масш­табах України, особливо ті моделі, які не вимагають наявності внутрішньобанківської платіжної системи, слід очікувати подальшого зменшення кількості кореспондентських рахунків і зосередження на окремих корес­пондентських рахунках великих коштів.

25.11.2. Територіальне розміщення банківських установ

У цілому концентрація банківських установ в адміністративних регіо­нах України приблизно відповідає розмірам регіону та його економічній активності, тобто можна зробити висновок: забезпеченість регіонів послу­гами банків приблизно однакова.

Але з впровадженням моделей обслуговування консолідованого корес­пондентського рахунку, які дозволяють ведення єдиного кореспондентсь­кого рахунку в масштабах України, відбувається перенесення обслугову­вання банківської установи, що територіальне розміщена в будь-якому ре­гіоні України, до розрахункової палати, де ведеться консолідований корес­пондентський рахунок (рис. 25.24).


Зважаючи на те, що існує стійка тенденція переходу банківських уста­нов до роботи за моделями обслуговування консолідованого коррахунку в масштабах України, цей процес надалі прискорюватиметься.




Слід зазначити, що більшість банків - юридичних осіб, які мають знач­ну кількість філій, розташована в Києві. Тому надалі відбуватиметься про­цес поступового перенесення обслуговування філій за консолідованим коррахунком до Центральної розрахункової палати.

25.11.3. Завантаженість СЕП

Слід зазначити тенденцію до зростання середньодобової кількості пла­тіжних трансакцій і величини оборотів (рис. 25.25). Але якщо величина обо­ротів залежить також від рівня цін у країні і є показником, що, крім роботи СЕП, залежить також від рівня інфляції та інших процесів в економіці, то кількість платіжних трансакцій є більш об'єктивним показником для СЕП.

На поточний момент середньодобова кількість платіжних трансакцій, що проводяться через СЕП, становить не менше 250 000 і поступово та не­ухильно зростає. Це, перш за все, свідчить про такі процеси в банківській сфері України:







• зростання потреб підприємств України в послугах банків і в міжбанківських розрахунках;

• недостатнє використання банками альтернативних засобів міжбанківських розрахунків, таких, як взаємні коррахунки, та виконання міжбанківських розрахунків через власну платіжну систему.

Нині СЕП є єдиною загальнодержавною системою міжбанківських розрахунків. Тому суми платежів, а відповідно - і їх важливість та термі­новість, перебувають у великому діапазоні.

Кількість платежів малими сумами (до 100 доларів США) становить приблизно половину загальної кількості трансакцій (рис. 25.26), незважаю­чи на те, що їх частка в загальному обсязі оборотів становить менше 1 про­цента (рис. 25.27).

У міру того, як розвиватимуться системи електронних розрахунків на­селення за товари і послуги та інші паралельні системи грошового обігу в країні, очікується зростання загальної кількості платіжних трансакцій за рахунок платежів як малими, так і великими сумами. Не очікується суттє­вих змін у розподілі кількості трансакцій за сумами.





25.11.4. Обіг коштів

1994-1996 роки характеризувалися неухильним зростанням коефіцієн­та обігу коштів у СЕП (рис. 25.28). Це свідчить про те, що СЕП є досить зручною для користувачів системою і банки - учасники СЕП працюють раціонально, відповідно до своїх потреб, з повним використанням поточ­них можливостей системи.