Центрального Банка Российской Федерации имеет право осуществ-лять банковские операции, предусмотренные закон

Вид материала

Закон

Содержание Понятие эмиссии, эквайринга в пластиковых карточках Процессинг как поддержка взаимодействия участника Авторизационный цикл Материально-денежные потоки, транзакции с помощью пластиковой карточки Стандарты электронно-финансового документооборота Система SWIFT, категории финансовых сообщений, аппараты, элементы системы Способы хранения информации на карточке, методы защиты Карточки с магнитной полосой, стандарт 7810, 7812 ИСО Карточки с микропроцессором ИСО 17816 Вопросы безопасности эксплуатации банковских систем, распределение зон ответственности Методы и стандарты шифрования

Подобный материал:

• О банках и банковской деятельности, 720.56kb.
• О банках и банковской деятельности, 857.85kb.
• О банках и банковской деятельности, 889.53kb.
• Закон о банках и банковской деятельности, 22.42kb.
• Закон Азербайджанской Республики, 359.21kb.
• Лекция Правовое положение Центрального Банка Российской Федерации, 324.33kb.
• Правительства Российской Федерации и Центрального банка Российской Федерации, Совместное, 573.18kb.
• Федеральный закон, 700.63kb.
• «Банковские операции» и«Учет в банке» тема: Процедуры регистрации, лицензирования, 1046.13kb.
• Конституцией Российской Федерации, настоящим Федеральным закон, 688.12kb.

Технология и работа платежных систем, основные участники платежных систем


Платежной системой называют набор механизмов,

правил, норм и инструментов, которые используются для осуществления обмена

финансовыми ценностями, грубо говоря, деньгами, между сторонами в процессе

выполнения ими своих обязательств.

Идеальная платежная система должна минимизировать задержки в платежах и

брать небольшую плату за совершение платежной операции. Платежная система

состоит из некоторого количества элементов:

. участники платежной системы;

. финансовые институты;

. средства перевода;

. связи между системами расчетов;

. разные денежные и другие инструменты;

. законодательная база;

. договорные отношения.

Участниками платежной системы выступают: плательщик, получатель

средств, банк плательщика, банк получателя, центр-место, где платежные

инструменты обмениваются между банками-участниками, регулирующий орган,

который устанавливает правила и методы платежей. Регулирующим органом

обычно выступает Центральный банк – агент расчетов для межбанковских

платежей. Он вырабатывает и вводит в действие правила расчетов, системы

управления денежным потоком, системы аудита, включает в оборот новые

инструментарии расчетов, предоставляет обеспечивающие систему кредитные

ресурсы, осуществляет надзор за участниками платежной системы etc. Любая

платежная операция имеет две стороны – поток информации, содержащей детали

платежа и непосредственно поток денежных средств, которые всегда

взаимосвязаны, но могут перемещаться различными путями и иметь разрыв во

времени.

6. Понятие эмиссии, эквайринга в пластиковых карточках
   

Банковская пластиковая карточка - это инструмент безналичных расчетов и средство получения кредита. Первые карточки современного вида появились в США в начале 50-х годов. Впоследствии система карточных расчетов была введена многими банками. Системы карточных расчетов получили распространение во многих странах мира, а сами расчеты приобрели международный характер.


Преимущества, связанные с внедрением пластиковых карточек - очевидны. Для клиентов - это возможность иметь при себе только карточку, а не крупную сумму денег, что позволяет уменьшить риск потери денег. Держателям карт предоставляются льготы при получении услуг в предприятиях торговли и сервиса, уменьшаются затраты при проведении финансовых операций, в том числе и покупок с использованием различных валют (поскольку конвертация производится по курсу биржи, а не по завышенному курсу магазина).


Очевидны преимущества, получаемые от использования пластиковых карточек предприятиями торговли и сервиса. Это и уменьшение расходов на инкассацию, транспортировку и обналичивание средств, и возможность уменьшения цен при продаже «валютных» товаров, и упрощение расчетов с покупателем (отсутствие сдачи и подсчета денег покупателем и кассиром), а также реклама предприятия и т. д. Безусловный интерес представляет пластиковая карточка и для крупных предприятий при выдаче зарплаты своим сотрудникам.


Интерес государства во внедрении расчетов по пластиковым карточкам тоже очевиден: снижаются колоссальные затраты на инкассацию денежных средств, эмиссию и регенерацию банкнот и монет; упрощаются учет движения денег и взимание налогов; технология расчетов без участия наличных денег помогает снизить криминогенность обстановки вокруг предприятий и лиц, работающих с наличностью; внедрение таких расчетов поможет сгладить и даже в некоторой степени снизить темпы роста инфляции в стране.


Банк выдает клиенту карту, с которой связана определенная сумма. Эту сумму либо за счет кредита банка, либо за счет собственных вкладов клиента, держатель карты может потратить. Проведение платежа состоит в том, что при покупке по карте магазин «записывает» за клиентом долг в размере суммы платежа. А банк, получив от магазина соответствующий документ, списывает со счета клиента эту сумму в счет магазина.


Банк, который выпускает пластиковые карточки и предоставляет их в распоряжение клиентов, называется банк-эмитент. При этом карточки остаются в собственности банка, а клиенты получают право их использования. Выдавая карточку, банк-эмитент берет на себя тем самым гарантийные обязательства по обеспечению платежей по карточке. Характер этих гарантий зависит от платежных полномочий, предоставляемых клиенту и фиксируемых классом карточки. При выдаче карточки осуществляется ее персонализация - на нее заносятся данные, позволяющие идентифицировать держателя карточки, а также осуществить проверку платежеспособности карточки при приеме ее к оплате или выдаче наличных денег.


Банк-эмитент


Основные функции банка-эмитента сводятся к следующему:

• выпуск карточек (кодирование и запись персональных данных владельца карточки, эмбоссинг, высылка карточки клиенту, возобновление карточки);

• анализ кредитоспособности (оценка финансового положения заявителя, открытие карточного счета, определение кредитного лимита);

• авторизация (ответ на запрос торговца о возможности совершения сделки в автоматическом режиме или по телефону, обновление мастер-файла, взаимодействие с системами информационного обмена);

• получение комиссии за обмен информацией;

• подготовка и высылка владельцу карточки выписки по счету с указанием сумм и сроков погашения задолженности;

• бухгалтерский учет операций по карточному счету;

• взыскание просроченной задолженности и контроль превышения кредитного лимита;

• работа с клиентами (ответы на запросы, рассмотрение жалоб);

• обеспечение безопасности и контроль за мошенничеством (подготовка отчетов по украденным и подделанным карточкам, блокирование счетов);

• маркетинг (поиск новых клиентов, реклама, программы активизации операций по карточным счетам).

Положительное решение по заявке клиента на получение кредитной карточки выносится после тщательного изучения его финансового положения и оценки риска неплатежа. Если результаты анализа неблагоприятны для клиента, ему могут предложить дебетовую карточку для снятия наличных денег со счета при 100 %-й авторизации в режиме реального времени.

Эквайринг

Эквайринг - деятельность кредитной организации, включающая в себя осуществление расчетов с предприятиями торговли/услуг по операциям, совершаемым с использованием банковских карт.


Банк-эквайер


осуществляет весь спектр операций по взаимодействию с точками обслуживания карточек:

• обработку запросов на авторизацию;

• процессинг торговых счетов, предоставленных в банк торговцем по операциям с карточками;

• перечисление на расчетные счета точек средств за товары и услуги, предоставленные по карточкам;

• распространение стоп-листов (перечней карточек, операции по которым по тем или иным причинам на сегодняшний день приостановлены);

• рассмотрение заявок торговых организаций на присоединение к системе расчетов, анализ кредитоспособности новых и уже имеющихся торговцев, проверку торговцев, подозревающихся в мошенничестве;

• маркетинг, помощь торговым предприятиям в приобретении оборудования для обслуживания пластиковых карт.

Расчетный банк

Выполнение эквайерами своих функций влечет за собой расчеты с эмитентами. Каждый банк-эквайер осуществляет перечисление средств точкам обслуживания по платежам держателей карточек банков-эмитентов, входящих в данную платежную систему. Поэтому соответствующие средства (а также, возможно, средства, возмещающие выданную наличность) должны быть затем перечислены эквайеру этими эмитентами. Оперативное проведение взаиморасчетов между эквайерами и эмитентами обеспечивается наличием в платежной системе расчетного банка (одного или нескольких), в котором банки - члены системы открывают корреспондентские счета.


Магазины и другие точки обслуживания

Юридические отношения между банками-эквайерами и предприятиями розничной коммерческой сети строятся на основе договора. Каждая платежная система разрабатывает свои требования к такому договору. Но практика работы по эквайрингу выделила некоторые общие принципы и положения, которые обязательно должны быть учтены в договоре. Суть договора заключается в том, что банк или другой уполномоченный член платежной системы предоставляет право предприятию принимать к оплате карточки данной платежной системы с соблюдением определенных требований. В свою очередь он обязуется в установленные сроки возмещать предприятию суммы проведенных операций по карточкам данной системы, удерживая себе оговариваемую плату в виде процента от возмещаемых сумм. Все эти позиции и должны быть подробно отражены в договоре.

7. Процессинг как поддержка взаимодействия участника
   

Процессинговый центр - специализированная сервисная организация -

обеспечивает обработку поступающих от эквайеров (или непосредственно из

точек обслуживания) запросов на авторизацию и/или протоколов транзакций -

фиксируемых данных о произведенных посредством карточек платежах и выдачах

наличных. Для этого центр ведет базу данных, которая, в частности, содержит

данные о банках - членах платежной системы и держателях карточек. Центр

хранит сведения о лимитах держателей карточек и выполняет запросы на

авторизацию в том случае, если банк-эмитент не ведет собственной базы (off-

line банк). В противном случае (on-line банк) процессинговый центр

пересылает полученный запрос в банк-эмитент авторизуемой карточки.

Очевидно, что центр обеспечивает и пересылку ответа банку-эквайеру. Кроме

того, на основании накопленных за день протоколов транзакций процессинговый

центр готовит и рассылает итоговые данные для проведения взаиморасчетов

между банками-участниками платежной системы, а также формирует и рассылает

банкам-эквайерам (а, возможно, и непосредственно в точки обслуживания) стоп-

листы. Процессинговый центр может также обеспечивать потребности банков-

эмитентов в новых карточках, осуществляя их заказ на заводах и последующую

персонализацию. Следует отметить, что разветвленная платежная система может

иметь несколько процессинговых центров, роль которых на региональном уровне

могут выполнять и банки-эквайеры.

8. Авторизационный цикл
   

Процесс утверждения продажи или выдачи

наличных по карточке называется авторизацией. Для ее проведения точка

обслуживания делает запрос платежной системе о подтверждении полномочий

предъявителя карточки и его финансовых возможностей. Технология авторизации

зависит от схемы платежной системы, типа карточки и технической

оснащенности точки обслуживания. Традиционно авторизация проводится

"вручную", когда продавец или кассир передает запрос по телефону оператору

(голосовая авторизация), или автоматически, карточка помещается в POS-

терминал или торговый терминал (POS - Point Of Sale), данные считываются с

карточки, кассиром вводится сумма платежа, а держателем карточки со

специальной клавиатуры - секретный ПИН-код (ПИН - Персональный

Идентификационный Номер). После этого терминал осуществляет авторизацию

либо устанавливая связь с базой данных платежной системы (on-line режим),

либо осуществляя дополнительный обмен данными с самой карточкой (off-line

авторизация). В случае выдачи наличных денег процедура носит аналогичный

характер с той лишь особенностью, что деньги в автоматическом режиме

выдаются специальным устройством - банкоматом, который и проводит

авторизацию.

9. Материально-денежные потоки, транзакции с помощью пластиковой карточки
   

[что такое эти потоки и как они происходят и как транзакции происходят и все.

про транзакции ну что если это он-лайн терминал, то все чики пуки и списание и занесение идет в рещиме реалтайма, а если оффлайн, то в конце дня при обработке карты транзакций. ну и как происходит эта самая транзакция: что все идет через процессинговый центр и там собирается инфа - какой банк какому сколько должен и на какой счет. ]


Материально-денежные потоки - направлены на внесение средств на счет (клиентом- посредством банкомата, кассы в банке или банком при кредитовании) и на снятие с него (при оплате товаров и услуг, снятии через банкомат). При этом производится транзакция - запрос на изменение остатка средств на счете, связанном с картой.


Терминал

POS-терминал или электронный терминал — электронное устройство для осуществления безналичных расчетов за товары и услуги, в которое вставляется или через которое протягивается карточка клиента. Он предназначен для обработки транзакций при финансовых расчетах с использованием пластиковых карточек с магнитной полосой и смарт-карт.

Терминалы устанавливаются в местах обслуживания покупателей. Они используются служащими для ввода и передачи информации о платежных операциях в банковскую систему и для обратного получения и чтения на экране монитора информации о реакции банка на платежные операции клиента. Терминалы могут быть предоставлены торговой фирме банком, в этом случае они считаются принадлежащими банку. Торговые фирмы могут приобретать и собственные терминалы.

Терминалы бывают двух видов:

1. Платежный терминал - специализированные микроЭВМ. Небольшой объем памяти не позволяет хранить большие списки стоп-листов карт и транзакций. Такие терминалы предназначены для обслуживания карт одного эмитента (новый эмитент - новый терминал), что создает определенные неудобста для работников предприятия торговли, не позволяет производить наличный расчет.

2. Кассовые регистраторы - создаются на базе персональных компьютеров. Позволяют принимать все виды платежей, иметь полные стоп-листы. Такие терминалы могут быть объединены в локальную сеть с системой учета, складирования и базой данных штрих кодов товаров магазина. Появление нового эмитента приводит к изменению программного обеспечения. В этом случае возможна полная автоматизация операции оплаты покупки: клиент вставляет карточку и набирает PIN-код, продавец с помощью специального устройства считывает штрих-код товара. Далее все операции производит электронная система расчетов: в базе данных отыскивается товар по штрих-коду и определяется его цена, проверяется возможность оплаты безналичным путем (состояние счета клиента), и происходят расчеты.


Банкомат

Банкомат многофункциональное устройство самообслуживания, предназначенное для обслуживания клиентов в отсутствие банковского персонала, главной функцией которого остается снятие наличных денег с карточного счета. При выполнении перечисленных выше операций происходит обмен информацией между клиентом и платежной системой при посредстве банкомата. Этот обмен может осуществляться в одном из трех режимов:

• On-line (режим реального времени) – банкомат постоянно подключен к процессинговому центру, обмен информацией происходит непрерывно. В этом случае все необходимые данные о клиенте, движении средств и остатках на его счете могут находиться в процессинговом центре, все транзакции по карточному счету выполняются в реальном масштабе времени процессинговым центром.

• Off-line (автономный режим) – банкомат не имеет связи с процессинговым центром, и обмен информацией осуществляется с продолжительными интервалами, путем переноса информации на магнитных носителях. В этом случае возникает необходимость хранить данные о клиенте, движении средств и остатках на его карточном счете в самом банкомате. Транзакции по карточному счету также регистрируются и накапливаются в банкомате, и лишь после переноса информации в процессинговый центр, производится пакетная обработка этих транзакций и корректируется состояние карточного счета клиента. В режиме оff-line проверки производятся с использованием автономной базы данных банкомата. В этом случае обычно устанавливается суточный лимит снятия наличной суммы, которая может быть меньше величины обязательного неснижаемого остатка по карточному счету клиента.

• Квази - on-line - банкомат связывается с процессинговым центром по каналам связи, но связь не поддерживается непрерывно, а осуществляется по некоторому расписанию. Различают системы с дозвоном от банкомата в процессинговый центр или с обзвоном банкоматов процессинговым центром, а также системы с обзвоном/дозвоном по расписанию (например, каждый час или каждые два часа) и системы с дозвоном по мере необходимости, т. е. при осуществлении транзакции.

10. Стандарты электронно-финансового документооборота
    

Одним из альтернативных методов организации финансового документооборота является система протоколов сообщества S.W.I.F.T..


В начале 60-х годов объем банковских операций настолько возрос, что стало невозможным практически обрабатывать их вручную. Необходимость повышения эффективности обработки данных заставила значительную часть больших банков и финансовых учреждений компьютеризовать ведение международных расчетов и функции передачи сообщений. Прямым результатом этого стала "лавина" несовместимых частных коммуникационных сетей, каждая из которых использовала собственные форматы, носители данных и специфические процедуры их обработки. Так как объемы и взаимосвязи транзакций продолжали расти, появилась необходимость обеспечить быструю, надежную, безопасную и, самое главное, унифицированную передачу банковских инструкций между странами.


В начале 70-х годов группа банков взяла на себя инициативу создания общей телекоммуникационной системы.


В результате появился S.W.I.F.T. как


-S- Сообщество

-W- Всемирных

-I- Интербанковских

-F- Финансовых

-T- Телекоммуникаций.


Сообщество основано в Бельгии, в 1973 году при участии 250 банков Европы и Северной Америки. Система начала функционировать 9 мая 1977 года.


Коммуникационная сеть и сопутствующий ей сервис в среде S.W.I.F.T. дают пользователям возможность передавать друг другу международные платежи, распоряжения и другие сообщения, связанные с финансовыми операциями. Сегодня более 2500 финансовых учреждений из 65 стран пересылают друг другу более 1,000,000 сообщений ежедневно.


Организованная первоначально банками для банков, сеть телекоммуникаций стала доступной для некоторых категорий небанковских учреждений, к которым относятся брокерские и дилерские конторы, клиринговые и страховые компании и т.д.


Достоинствами системы S.W.I.F.T. можно назвать то, что:

Все платежные инструкции и другие сообщения вводятся в систему в стандартизованном формате, который упрощает проблемы понимания сообщения получателем и их автоматизированной обработки.

Стандартизованные форматы сообщений позволяют автоматизировать обработку данных к исключить возможность различной интерпретации сообщений отправителем и получателем. Постоянная фиксация выполняемых транзакций дает возможности для простого и полного аудита (контроля) всех входящих и исходящих распоряжений, а детальный ежедневный отчет по проведенным операциям генерируется для пользователей самой системой.

Сообщения от банка к банку передаются немедленно со всеми необходимыми проверками и контролем, которые выполняются автоматически. Если отправитель и получатель сообщения работают в сети коммуникаций одновременно, то доставка сообщения занимает не более 20-ти секунд.

Многоуровневая комбинация физических, технических и организационных методов защиты данных обеспечивает их сохранность и секретность одновременно, коммуникационная сеть полностью защищена от несанкционированного доступа и махинаций. Системная защита не только не позволяет ввести "подложное" сообщение, но и не допустит его изменения (искажения) в процессе пересылки. Как дополнительная гарантия, все сообщения пересылаемые в системе, шифруются. Сам S.W.I.F.T. не знает содержания сообщения, кроме той части, которая необходима для правильной передачи - идентификаторов отправителя и получателя, типа сообщения и его приоритета.

Поручения клиентов и балансовые отчеты, получаемые посредством S.W.I.F.T., могут использоваться, как базисная информация о состоянии счетов и платежей, для расширения перечня услуг, предоставляемых банками своим клиентам.

Через S.W.I.F.T. могут взаимодействовать друг с другом приблизительно 2600 банков 65 стран всех континентов. Коммуникационная сеть доступна 24 часа в сутки и все сообщения поступают получателям в рабочее время вне зависимости от географического положения отправителя.


Таким образом, S.W.I.F.T. обеспечивает:

организацию обработки информации;

защиту данных;

быструю передачу сообщений;

сокращение потерь и ошибок;

управление фондами (средствами);

прямой контакт с клиентами и корреспондентами расположенными далеко от банка;

автоматизацию обработки данных.


Все Региональные Процессоры (коммуникационные узловые ЭВМ), обрабатывающие поступающие сообщения, постоянно контролируются из Операционного Центра. Специальная система автоматически обнаруживает несанкционированное или неоправданное условиями проникновение в РП, фиксирует физические аномалии (отклонение от нормы различных физических параметров) установки и дает возможность системным операторам принять все необходимые по ситуации меры. В крайнем случае Региональный Процессор может быть изолирован или блокирован (выведен из системы).


Основные особенности реализации межофисного оборота финансовых документов в системе S.W.I.F.T. перечислены ниже:

Доступ к системе: Каждому сообщению присваивается последовательный входной номер (ISN) при вводе в систему и выходной порядковый номер (OSN) при выводе из нее. Проверки выполняются по этим номерам. Если ISN сообщения не в порядке, система его отвергает, отключает терминал от системы и требует новой идентификации посредством кода LOGIN. Сообщения, вводимые в систему с отступлением от стандарта, протокола или формата будут отвергнуты.

Приватность сообщений: Все посылки по международным линиям связи систематически кодируются S.W.I.F.T. с использованием шифров, которые действуют и изменяются в произвольные (случайные) интервалы времени. По усмотрению пользователя "закрывается" и соединение Терминал - Региональный Процессор, причем для большинства стран это обычная практика. Хранимые сообщения тоже зашифрованы для обеспечения приватности данных.

Авторизация сообщений: Каждому сообщению при вводе присваивается ключ достоверности, гарантирующий идентификацию отправителя и получателя.


Авторизация базируется на алгоритме, специально разработанном и установленном S.W.I.F.T., и на двухстороннем обмене ключами, который выполняется пользователями системы S.W.I.F.T. Алгоритм является правилом, общим для всех пользователей, но обмен ключами исключает попытки неавторизованного входа в коммуникацию партнеров.


Следует , однако, отметить некоторые недостатки системы обмена финансовой информации, предлагаемой S.W.I.F.T.:

В связи с тем, что протоколы, используемые в S.W.I.F.T., узко специализированы, число пользователей системы относительно невелико, что, в свою очередь повышает стоимость эксплуатации системы и обслуживания оборудования, приходящегося на каждого пользователя.

Протокол криптографической защиты, применяемый в S.W.I.F.T., не стандартизирован ГОСТом РФ. Криптографическая защита передаваемой информации осуществляется посредством двух 64-х битных ключей. При этом, один ключ является главным и редко изменяется, а второй является сеансным, другими словами, ключом передачи сообщения. Получение главного ключа возможным злоумышленником из числа обслуживающего персонала значительно снижает защищенность криптосистемы в целом, поскольку при современном уровне развитии вычислительной техники размер ключа в 64 бита не считается аналитиками достаточным для надежной защиты. Включение же дополнительных средств защиты затруднено закрытостью системы.

В целом, средства стандартизированного форматирования документов ориентированы на западный стиль делопроизводства и зачастую непригодны для российского пользователя.

8. Международный стандарт на формат представления межофисных документов и Интернет, как среда передачи документов.


Более приемлемым вариантом организации межофисного протокола обмена документов, особенно для организаций обрабатывающих кроме финансовых, также документы торгового и управленческого характера, является организация передачи информации на основе протокола EDIFACT и использование средств Интернет как среды передачи.


В конце 80-х - начале 90-х годов международными организациями по стандартизации (ISO, CCITT, ECMA) была проведена значительная работа по стандартизации электронных документов. В частности, были разработаны:


1985: ECMA-101 Office Document Archtecture


1986: ISO 8879 Standart Generalized Markup Language (SGML)


1987: ECMA TR/41 ODA Document Speifcation Language


1988: ISO 8613 Office Document Architecture (ODA) and Interchange Formats


1988: CCITT T.4xx Documents Transfer, Access and Manipulation


В работах по созданию этих стандартов были решены не только технические проблемы согласования различных структурных характеристик документов. Самое главное заключается в том, что была разработана общая модель документа, которая стала основой выработки нескольких взаимоувязанных стандартов.


Задачи электронного обмена являются типичным классом задач, решаемых при автоматизации учрежденческой деятельности. Первоначально в 80-х годах появились стандартные соглашения на службы электронной почты (рекомендации CCITT X.400, относящиеся к системам обработки сообщений MHS (Message Handling System)), которые были поддержаны многими общегосударственными службами. Однако в настоящее время все большее распространение, в качестве среды передачи таких сообщений, получает электронная почта на базе технологий Интернет.


Экономия от замены бумажного документооборота электронным может составить 7-10% стоимости мирового товарообмена, поэтому столько много внимания, в настоящее время, уделяется этой проблеме крупными международными организациями.


Согласно принципам модели ТОР, стандарты на структуры обмениваемых сообщений должны учитывать не только требования однозначной идентификации всех элементов отправителем и получателем , но также очень важны требования независимости форматных и структурных преобразований документа как по отношению к особенностям преобразования текст-обрабатывающими системами отправителя, так и к содержанию обрабатываемого документа.


Настойчивое следование данному принципу привело к созданию нового стандарта на формат передаваемых межофисных документов.


Стандарт электронного коммуникационного обмена деловыми документами (UN/EDIFACT).


Как реальный стандарт формы представления документа в модели ТОР, но при этом независимый от необходимости реализации только в рамках данной модели, на передний план документооборота в финансовой, товарно-транспортной и управленческой сферах деятельности выступил стандарт UN/EDIFACT.


Службы EDIFACT дают пример специальной структуры документов, как логической так и синтаксической, разработанных в соответствии с требованиями документального сопровождения товарно-транспортных и финансовых операций.


Эти службы интенсивно развиваются с 1985 года как международный стандартизированный обмен, на базе протоколов почтовой службы X.400 или Е-Mail, экономическими, финансовыми и распорядительными документами.


Данный протокол стал развитием соглашения по обмену коммерческими документами Trade Data Exchange (TDE) и стандарта ANSI X12 в США и приобрел значительную популярность во всем мире. Так к 1994 году более 250000 организаций США и около 180 000 предприятий и учреждений Западной Европы использовали этот протокол, специфицирующий форму межофисных документов.


Среди многих других, основными преимуществами этого стандарта, которые необходимо упомянуть, являются:

улучшение материально технического снабжения: ускорение и повышение качества обработки заказов;

улучшение управления запасами путем эффективного ведения складской документации;

ускорение цикла выдачи/обработки счетов;

снижение затрат на пересылку деловой корреспонденции.


В 1993 году, распоряжением Совета Министров Правительства Российской Федерации за номером ¦1097-р был создан национальный Межведомственный Координирующий Совет по внедрению системы электронного обмена данными в управлении, торговле и на транспорте ЭДИФАКТ/ООН (Российский МВКС ЭДИФАКТ при Межведомственной комиссии по делам ЕЭК ООН). Этот комитет должен был решить задачи по унификации документооборота в России и обеспечении совместимости подобного протокола с протоколом UN/EDIFACT. Создание МВКС вытекало из известной рекомендации Европейского Экономической Комиссии за номером ¦4 ?Национальные органы по упрощению процедур торговли и обеспечения на национальном уровне координации работ в этой области¦. На основе формуляра - образца ООН торговых документов на основе стандартов ISO 9735-88 и ISO 7372-86 Международной организации по стандартизации советом МВКС ведется адаптация стандарта представления документа UN/EDIFACT для системы российского делопроизводства.


Областью эффективного использования UN/EDIFACT могут являться любые системы отчетности одной предметной области используемые в разных организациях.


Хотя документы подготовленные в различных системах автоматизации делопроизводства и просто в различных организациях, как правило имеют отличия в структуре и формате данных: платежные поручения могут отличаться языком заполнения, структурой полей, списками используемых кодов и просто формой.


В результате существует насущная необходимость преобразования документов, поступающих из других организаций, к их внутриофисному виду, принятому в данной организации. Эта работа по преобразованию документов требует значительных организационных усилий по согласованию форматов и списков кодов, вносит проблемы при формировании БД (Базы Данных).


Принятый стандарт форматирования документов межофисного обмена призван решить поднятые проблемы путем стандартизации кодовых обозначений и форматов документов. Так, например, вышеуказанные языковые отличия между документами устраняются в стандарте EDIFACT путем широкого использования стандартного кодирования для обозначения передаваемой информации.


По определению, UN/EDIFACT (United Nations rules for Electronic Data Interchange for Administration, Commerce and Transport) - набор международных стандартов, справочников и правил электронного обмена структурированными данными относящихся к области коммерции, экономики и управления между независимыми информационными системами.


В ответ на данные инициативы, предложенные Комитетом стандартизации ООН, Государственным комитетом по стандартизации РФ выработаны два отечественных стандарта, являющихся отечественными аналогами UN/EDIFACT. Это ГОСТ 6.20.1-90 ?Электронный обмен данными в управлении (ISO 9735-88), торговле и на транспорте (ЭДИФАКТ) (синтаксические правила)¦ и ГОСТ 6.20.2-91 ?Элементы внешнеторговых данных (ISO 7372-86)¦ от 01.01.92г.


Технология UN/EDIFACT и ее российский аналог ЭДИФАКТ базируется на системе международных справочников и кодов, централизованно поддерживаемых и обновляемых Европейским Экономическим Комитетом ООН, и Стандартного обобщенного языка разметки документа SGML (Standart Generalized Markup Language). С помощью данной технологии любой административный или коммерческий документ можно представить в виде стандартного сообщения - United Nation Standart Message (UNSM).


Для представления межофисных документов в виде стандартного сообщения (UNSM) уже существуют множество автоматических конвертеров форматов для самых распространенных АРМов, а процесс написания такого конвертера для практически любых, пока не поддерживаемых систем достаточно прост и изучен, что сильно облегчает внедрение протокола ЭДИФАКТ для использования в реальной системе документооборота предприятия. При этом модернизация программ автоматизации рабочей деятельности не обязательна, что позволяет сохранить вложенные в систему АРМ средства.


Преимущества подобной системы организации документооборота очевидны:

согласование форматов документов, списков используемых кодов и протоколов связи обеспечивается централизованно, в соответствии с международными соглашениями;

обеспечена минимизация расходов по переписке (из-за минимизации объема передаваемых сообщений при использовании специальных кодов);

стандарт не выдвигает специальных требований к протоколу передачи сообщений, что позволяет использовать сеть Интернет (эксплуатация доступа к которой, в настоящее время, доступна любому предприятию) для обмена межофисными документами;

стандарт ЭДИФАКТ не является таким узкоспециализированным, как система передачи финансовых документов S.W.I.F.T, а может применяться в торговой, финансовой и управленческой сферах деятельности.


Однако в настоящее время ни система S.W.I.F.T, ни протоколы ЭДИФАКТ не соответствуют в полном объеме специфике системы делопроизводства и платежной системы России. Поэтому в 1994г. при участии ЦБ Российской Федерации была создана комиссия по изучению данной проблемы и выработке рекомендаций по адаптации протоколов межофисного документооборота для повышения эффективности их использования в российских условиях.


Поскольку стандарт ЭДИФАКТ не специфицирует требования по обеспечению секретности при межофисном документообороте необходимо рассмотреть наиболее удобные и высокоэффективные методы защиты и авторизации передаваемых сообщений.

11. Система SWIFT, категории финансовых сообщений, аппараты, элементы системы
    

Основу системы SWIFT составляют три распределительных центра в

Брюсселе, Амстердаме и штате Вирджиния (США), которые оборудованы двойными

процессорами.

Каждый из процессоров в отдельности может регулировать поток

поступающей информацию. Каждая страна - член SWIFT - имеет свой

национальный узловой пункт (концентратор сообщений), который связан

телефонными линиями с одним из распределительных центров и вместе с линиями

является собственностью SWIFT. Банки - члены сообщества, подключаются

к концентраторам по местным линиям связи своей страны.

Правила SWIFT требуют, чтобы входящая в нее организация “занималась

тем же самым видом бизнеса, что и остальные, и принимала участие в

международных передачах телеграфных финансовых сообщений”.

Организация SWIFT формально является бельгийским кооперативным

обществом, зарегистрированным в Брюсселе. Она полностью принадлежит банкам-

членам SWIFT, а ее акции распределены пропорционально числу телеграфных

сообщений, поданных банком через телеграфную сеть SWIFT. Каждый банк-член

платит разовый взнос в размере 1,5 млн бельгийских франков при вступлении в

организацию SWIFT. За подключение к региональному процессору (Брюссель,

Амстердам, Нью-Йорк, Вена , Копенгаген, Лондон, Люксембург, Милан,

Монреаль, Осло, Париж, Стокгольм, Франкфурт, Хельсинки, Цюрих) установлена

разовая плата в размере 190 тыс. бельгийских франков. За оборудование

средств связи и обучение пользованию ими (в зависимости от конкретных форм

подключения каждого банка) взымается около 700 тыс. бельгийских франков.

Тарифная плата за услуги SWIFT взымается с ее членов ежеквартально.

Обычное телеграфное сообщение (доставка -20 минут), содержащее менее 325

знаков стоит 18 бельгийских франков. Для срочных сообщений (доставка - 1

минута) стоимость в 2 раза выше. Банки-члены SWIFT оплачивают стоимость

пересылки телеграфных сообщений региональному процессору. (Тарифы указаны

на октябрь 1978 г. В настоящее время размер первоначального взноса зависит

от ряда причин и составляет от 50 до 300 тыс. долларов США, стоимость

телеграфных сообщений также увеличилась).


II.2. Виды услуг, предоставляемые системой SWIFT.


Для передачи телеграфных сообщений установлены две очередности:

обычная и срочная. Для срочных сообщений можно указывать время доставки.

Все сообщения получают порядковые номера, за нумерацией осуществляется

контроль. Передача каждого сообщения подтверждается поролем.

Система SWIFT дает возможность осуществлять следующие виды телеграфных

пе реводов:

= клиентские переводы;

= банковские переводы;

= извещения дебетовые и кредитовые;

= валютно-конверсионные операции;

= кредитно-депозитные операции;

= выплаты процентов;

= выписки со счета.

Для каждого вида сообщения разработан свой специальный формат, в котором

указывается количество обязательных или произвольных реквизитов в

сообщении.

SWIFT не производит расчетов по передаваемым телеграфным переводам.

Расчет производится дебетованием или кредитованием корреспондентских

счетов, т.е. банк-получатель дебетует счет банка-отправителя и кредитует

счет получателя телеграфного перевода. Если банк-получатель берет на себя

риск убытка от операции кредитования, то он может выплатить деньги

получателю перевода, а позднее произвести расчет с банком-отправителем.


Одно из основных достижений SWIFT - создание и использование

специальных стандартов банковской документации, призванных международной

организацией стандартизации. Унификация банковских документов позволила

избежать сложностей и ошибок, которые вызывались расхождениями в традициях

их оформления в разных странах, затруднений языкового х арактера. Немалое

преимущество данных стандартов заключается в том, что их создатели

одновременно являются и их пользователями, а, следовательно, имеют

возможность оперативно их совершенствовать. Всевозможные виды входящей и

исходящей документации были сведены примерно к 70 видам форматов, разбитых

на группы по основным видам операций.. Так, группа “ операции с ценными

бумагами” включает 16, группа “расчеты по инкассо” - 7, “ расчеты по

аккредитивам” - 18 видов документов. Преимущества стандартов SWIFT

оказались настолько очевидными для банковских учреждений, что другие

аналогичные (Лондонская CHAPS, французская SAGITTAIRE, Нью-Йоркская CHIPS)

также приняли их на вооружение, или создали систему автоматического

перевода стандартов SWIFT в собственные.

= банковский терминал, который устанавливается в банке и предназначен

для доступа персонала банка в сеть. Терминалами системы SWIFT

обычно является персональный компьютер. Смонтированное оборудование

может сдаваться “под ключ” или интегрироваться в существующую

банковскую систему;

= региональный процессор ( РП), основным назначением, которого

является организация взаимодействия пользователей некоторой

ограниченной области ( страны, групп стран);

= слайс-процессор (СП), необходимый для обмена сообщениями между

подключенными к нему РП, краткосрочного и длительного архивирования

сообщений и генерации системных отчетов. Система SWIFT позволяет

сохранить информацию о произведенных переводах в течении 4 месяцев;

= процессор управления системой (ПУС), выполняющей функции монитора

системы, управления системой и сетью. Существует 2 ПУС : один в

Голландии, второй в США. ПУС единственный уровень системы, которой

не занят обработкой сообщений, а предназначен исключительно для

управления системой SWIFT в целом;

Доступ к системе осуществляется следующим образом:

Каждому сообщению присваивается последовательный входной номер при

вводе в систему и выходной - при выходе из нее. Проверки выполняются по

этим номерам. Если входной номер не в порядке, система его отвергает,

отключает терминал от системы и требует новый идентификации посредством

кода. Сообщения, вводимые в систему с отступлением от стандартного,

протокола или формата будут отвергнуты.

12. Способы хранения информации на карточке, методы защиты
    

Способы хранения информации на карточке, методы защиты


Магнитные карты


Карты такого типа являются сегодня наиболее распространенными, и в обращении находится уже свыше двух миллиардов подобных карт. Согласно описывающему их стандарту ISO 7811, магнитные полосы на картах состоят из трех дорожек (хотя бывает и четыре). Первые две предназначены для хранения в закодированном виде идентификационных данных карты (тип и номер, срок действия и т. п.), а на третью можно записывать другую информацию (например, текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи-считывания запись на магнитную полосу во многих случаях не используется, и такие карты применяют только для считывания информации. Выявились в процессе использования и другие недостатки карт этого типа. Так, максимальный объем памяти магнитной полосы тоже не очень велик - менее 100 байт информации (всего несколько строк текста), что уже не устраивает многие современные системы. Не вполне удовлетворительными являются и эксплуатационные характеристики таких карт: магнитная полоса слабо защищена от механического, физического и химического воздействия, довольно быстро выходит из строя. Поэтому гарантированный срок службы магнитных карт не превышает двух лет.


К тому же магнитная полоса не обеспечивает достаточного уровня защиты информации от мошенничества и подделок. Для частичного устранения этого недостатка во многих системах стали применяться средства дополнительной защиты: необходимость ввода PIN-кода при выполнении авторизации, голографические метки, реальная подпись владельца и т. п., что, естественно, усложняло процесс использования карт.


Чиповые карты


Недостатки, присущие картам с магнитной полосой, обусловили проведение в течение ряда лет широкомасштабных работ по поиску более надежного способа записи информации. И в итоге такой способ был найден: быстрое развитие микроэлектроники позволило создавать бескорпусные интегральные схемы (чипы), которые благодаря своим малым размерам и высокой надежности могли быть "упакованы" в пластиковую карточку.

Специфической особенностью этих карт является наличие в них микросхем, выполняющих функции элемента памяти, содержимое которого может изменяться на фиксированную величину (например, автоматически уменьшаться в зависимости от продолжительности телефонных переговоров).

У существующих карт этого типа объем памяти может иметь величину от 32 байт до 16 килобайт. Такие карточки бывают как разовые (память в них реализована в виде ППЗУ, допускающего однократную запись при изготовлении и многократное считывание с уменьшением содержимого), которые после полного использования выбрасываются, так и позволяющие производить многократную перезапись (ЭСППЗУ).

Подобные карты-счетчики получили распространение в различных системах с предоплатой услуг: местные междугородные и международные телефоны-автоматы, счетчики времени парковки, турникеты в метро, на платных автомагистралях и т. д. Число находящихся в обращении карт этой группы в 2003 году оценивалось величиной порядка 2,5 млрд штук.


Смарт-карты


Однако наибольшие перспективы развития чип-технологии открылись в связи с появлением карт со встроенными микропроцессорами. Такие карты, называемые смарт-картами ("интеллектуальными" картами), представляют собой по сути микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты: центральный процессор, ОЗУ, ПЗУ, ППЗУ, ЭСППЗУ. Типовые параметры наиболее мощных современных микропроцессорных карт вполне сопоставимы с характеристиками персональных компьютеров начала 80-х годов: ЭСППУ - от 2 до 8 Кбайт, ПЗУ - до 16 Кбайт, ОЗУ - 512 байт, тактовая частота - от 1 до 10 МГц. Операционная система, хранящаяся в ПЗУ такой карты, принципиально не отличается от операционной системы ПК и предоставляет большой набор сервисных операций и средств безопасности. Она поддерживает файловую систему, базирующуюся в ЭСППЗУ и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карты, что вместе со встроенными криптографическими средствами делает смарт-карту высокозащищенным средством, которое может быть использовано в приложениях, предъявляющих повышенные требования к защите информации. Например, в случае несанкционированного доступа (при неправильном наборе кодов доступа) смарт-карта может самостоятельно прекращать работу на какое-то время или навсегда.


Характерный пример смарт-карт в связи - SIM-карта GSM. Вставив такую карту в мобильный телефон и введя личный идентификационный номер, пользователь автоматически присваивает данному телефону свой телефонный номер. Смарт-карты довольно надежны и достаточно долговечны. Время хранения информации на них составляет не менее 10 лет, а перезаписывать информацию можно, как минимум, 10 тыс. раз.


Благодаря широким возможностям смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт. Вычислительные мощности смарт-карт позволяют использовать одну и ту же карту для очень многих целей и хранить информацию как о пользователе (служить рабочим пропуском, паспортом, правами, медкартой, и т. д.), так и, например, о его банковском счете, реализуя функцию "электронного кошелька".


Смарт-карты имеют различную емкость, объем памяти обычной карты составляет приблизительно 256 байт, но существуют карты с объемом памяти от 32 байт до 8 Кбайт. Микросхемы позволяют хранить в памяти такой карты, кроме идентификационной информации, и стоимостные показатели.

Рассмотрим типологию смарт-карт. В зависимости от внутреннего устройства и выполняемых функций специалисты подразделяют смарт-карты на два вида:

• карты с памятью;

• микропроцессорные карты.

Карты с памятью. Это название весьма условно, так как все смарт-карты имеют память. Обычно карты подобного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью.

В картах с незащищенной памятью нет ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.

Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, т.е. шифрование данных в памяти карты от мошенничества подобного рода не спасает. Практика показывает, что в России людей, способных на такое занятие, достаточно.

В карточках с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты. Сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены, и при этом недороги. Так, цена карты СРМ896 составляет не более 4 долл. для тиражей выше 5 тыс. экз.

Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «прожигаются».

Необходимо также, чтобы на платежной карте были, по меньшей мере, две защищенные области. Уже отмечалось, что в технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области - дебетовую и кредитную. Каждый участник операции имеет свой секретный ключ.

Для защиты областей данных от несанкционированного доступа предусматриваются поля, контролирующие доступ к этим данным. Существуют три типа ключей:

I-Кеу - ключ банка,

Р-Кеу - ключ владельца карточки - PIN-код,

А-Кеуs - ключи торговых организаций или иных приложений.

Использование этих ключей дает возможность доступа к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать.

Правильное предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму.

13. Карточки с магнитной полосой, стандарт 7810, 7812 ИСО
    

Карточки с магнитной полосой являются на сегодняшний день наиболее

распространенными - в обращении находится свыше двух миллиардов карт

подобного типа. Магнитная полоса располагается на обратной стороне карты и,

согласно стандарту ISO 7811, состоит из трех дорожек. Из них первые две

предназначены для хранения идентификационных данных, а на третью можно

записыва ть информацию (например, текущее значение лимита дебетовой

карточки). Однако из-за невысокой надежности многократно повторяемого

процесса записи/считывания, запись на магнитную полосу, как правило, не

практикуется, и такие карты используются только в режиме считывания

информации. Защищенность карт с магнитной полосой существенно выше, чем у

карт со штрих-кодом. Однако и такой тип карт относительно уязвим для

мошенничества. Тем не менее, развитая инфраструктура существующих платежных

систем и, в первую очередь, мировых лидеров "карточного" бизнеса - компаний

MasterCard/Europay является причиной интенсивного использования карточек с

магнитной полосой и сегодня. Отметим, что для повышения защищенности

карточек системы VISA и MasterCard/Europay используются дополнительные

графические средства защиты: голограммы и нестандартные шрифты для

эмбоссирования.

На лицевой стороне карточки с магнитной полосой обычно указывается:

логотип банка-эмитента, логотип платежной системы, номер карточки (первые 6

цифр - код банка, следующие 9 - банковский номер карточки, последняя цифра

- контрольная, последние четыре цифры нанесены на голограмму), срок

действия карточки, имя держателя карточки; на оборотной стороне - магнитная

полоса, место для подписи.

14. Карточки с микропроцессором ИСО 17816
    

Карты с микропроцессором представляют собой по сути микрокомпьютеры и

содержат все соответствующие основные аппаратные компоненты: центральный

процессор, ОЗУ, ПЗУ, ППЗУ, ЭСППЗУ. Параметры наиболее мощных современных

микропроцессорных карт сопоставимы с характеристиками персональных

компьютеров начала восьмидесятых. Операционная система, хранящаяся в ПЗУ

микропроцессорной карты, принципиально ничем не отличается от операционной

системы ПК и предоставляет большой набор сервисных операций и средств

безопасности. Операционная система поддерживает файловую систе му,

базирующуюся в ЭСППЗУ (емкость которого обычно находится в диапазоне 1 - 8

Кбайта, но может достигать и 64 Кбайт) и обеспечивающую регламентацию

доступа к данным. При этом часть данных может быть доступна только

внутренним программам карточки, что вместе со встроенными

криптографическими средствами делает микропроцессорную карту

высокозащищенным инструментом, который может быть использован в финансовых

приложениях, предъявляющих повышенные требования к защите информации.

Именно поэтому микропроцессорные карты (и смарт-карты вообще)

рассматриваются в настоящее время как наиболее перспективный вид

пластиковых карт. Кроме того, смарт-карты являются наиболее перспективным

типом пластиковых карт также и с точки зрения функциональных возможностей.

Вычислительные возможности смарт-карт позволяют использовать, например,

одну и ту же карту и в операциях с on-line авторизацией и как многовалютный

электронный кошелек. Их широкое использование в системах VISA и

Europay/MasterCard начнется уже в ближайшие год-два, а в течение

десятилетия смарт-карты должны полностью вытеснить карты с магнитной

полосой.

15. Вопросы безопасности эксплуатации банковских систем, распределение зон ответственности
    

Стандарт SET

Аббревиатура SET расшифровывается как Secure Electronic Transactions -

безопасные (или защищенные) электронные транзакции. Стандарт SET, совместно

разработанный компаниями Visa и MasterCard, обещает увеличить объем продаж

по кредитным карточкам через Internet. Совокупное количество потенциальных

покупателей - держателей карточек Visa и MasterCard по всему миру -

превышает 700 миллионов человек. Обеспечение безопасности электронных

транзакций для такого пула покупателей могло бы привести к заметным

изменениям, выражающимся в уменьшении себестоимости транзакции для банков и

процессинговых компаний. К этому следует добавить, что и American Express

объявила о намерении приступить к внедрению стандарта SET.

Для того, чтобы совершить транзакцию в соответствии со стандартом SET,

обе участвующие в сделке стороны - покупатель и торгующая организация

(поставщик) - должны иметь счета в банке (или другой финансовой

организации), использующем стандарт SET, а также располагать совместимым с

SET программным обеспечением. В таком качестве могут, например, выступать

Web-браузер для покупателя и Web-сервер для продавца - оба, очевидно, с

поддержкой SET.


1. Виды умышленных угроз безопасности информации

Пассивные угрозы направлены в основном на несанкционированное

использование информационных ресурсов ИС, не оказывая при этом

влияния на ее функционирование. Например, несанкционированный

доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального

функционирования ИС путем целенаправленного воздействия на ее

компоненты. К активным угрозам относятся, например, вывод из строя

компьютера или его операционной системы, искажение сведений в БнД,

разрушение ПО компьютеров, нарушение работы линий связи и т.д.

Источником активных угроз могут быть действия взломщиков,

вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние

(возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной

напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями

конкурентов, экономическими условиями и другими причинами

(например, стихийными бедствиями). По данным зарубежных источников,

получил широкое распространение промышленный шпионаж — это

наносящие ущерб владельцу коммерческой тайны незаконные сбор,

присвоение и передача сведений, составляющих коммерческую тайну,

лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального

функционирования ИС относятся:

• утечка конфиденциальной информации;

• компрометация информации;

• несанкционированное использование информационных ресурсов;

• ошибочное использование информационных ресурсов;

• несанкционированный обмен информацией между абонентами;

• отказ от информации;

• нарушение информационного обслуживания;

• незаконное использование привилегий.

Утечка конфиденциальной информации — это бесконтрольный

выход конфиденциальной информации за пределы ИС или круга лиц,

которым она была доверена по службе или стала известна в процессе

работы. Эта утечка может быть следствием:

• разглашения конфиденциальной информации;

• ухода информации по различным, главным образом техническим,

каналам;

• несанкционированного доступа к конфиденциальной информации

различными способами.

Разглашение информации ее владельцем или обладателем есть

умышленные или неосторожные действия должностных лиц и

пользователей, которым соответствующие сведения в установленном

порядке были доверены по службе или по работе, приведшие к

ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по

визуально-оптическим, акустическим, электромагнитным и другим

каналам.

16. Методы и стандарты шифрования
    

Параметр

DES

ГОСТ 28147-89