- •Предмет, метод і завдання курсу
- •Тема 1. Загальна концепція платіжної системи
- •Тема 2. Технологічна структура платіжних систем
- •Тема 3. Безпека платіжних систем
- •Тема 4. Зарубіжні платіжні системи
- •Тема 6. Електронні міжбанківські розрахунки в Україні
- •Тема 7. Система масових електронних платежі та їх розбудова в Україні
- •Тема 8. Розвиток платіжних систем в Україні
Тема 3. Безпека платіжних систем
Інформаційна безпека означає можливість протистояти спробам нанесення збитків власникам або користувачам системи при різних навмисних або ненавмисних впливах на неї.
Система захисту інформації повинна забезпечувати безперервний захист іформації щодо переказу грошей на усіх етапах її формування, обробки, передачі та зберігання.
Електронні документи, що містять іформацію, яка відноситься до банківської таємниці або є конфіденційною, повинні бути зашифрованими пі час передавання їх за допомогою телекомунікаційних каналів зв'язку.
Система захисту інформації складається з: 1) законодавчих актів України та інших нормативно-правових актів, а також внутрішніх нормативних актів суб'єкті переказу, що регулюють порядок доступу та роботи з відповідною іформацією, а також відповідальність за порушення цих правил; 2) заході охорони приміщень, технічного обладнання віповідної платіжної системи та персоналу суб'єкта переказу; 3) технологічних та програмно-апаратних засобі криптографічного захисту інформації, що обробляється в платіжній системі.
Система захисту інформації повинна забезпечувати: 1) цілісність шформації, що передається в платіжній системі, та компонентів платіжної системи; 2) конфіденційність інформації під час її обробки, передавання та зберігання в платіжній системі; 3) неможливість відмови ініціатора від факту передавання та отримувачем від факту прийняття документа на переказ, документа за операціями із застосуванням засобів ідентифікації, документа на відкликання; 4) забезпечення постійного та безперешкодного доступу до компоненті платіжної системи особам, які мають на це право або повноваження, визначені законодавством України, а також встановлені договором.
Суб'єкти переказу зобов'язані виконувати встановлені законодавством України та правилами платіжних систем вимоги щодо захисту іформації, яка обробляється за допомогою цих платіжних систем. Правила платіжних систем мають передбачати відповідальність за порушення цих вимог з урахуванням вимог законодавства України.
При проведенні переказу його суб'єкти мають здійснювати в межах своїх повноважень захист відповідної інформації від: 1) несанкціонованого доступу до інформації - доступу до інформації щодо переказу, що є банківською таємницею або конфіденційною інформацією, осіб, які не мають на це прав або повноважень, визначених законодавством України, а також якщо це не встановлено договором.; 2) несанкціонованих змін інформації - внесення змін або часткового чи повного знищення інформації щодо переказу особами, які не мають на це права або повноважень, визначених законодавством України, а також встановлених договором; 3) несанкціонованих операцій з компонентами платіжних систем - використання або внесення змін до компонентів платіжної системи протягом її функціонування особами, які не мають на це права або повноважень, визначених законодавством України, а також встановлених договором.
При побудові політики безпеки платіжної системи використання криптографічного захисту інформації та безпечного розподілу ключів значно посилює безпеку роботи системи.
За принципами використання криптографічний захист може бути вбудованим у платіжну систему або бути додатковим механізмом, який може відключатися.
Виділяють дві групи криптографічних алгоритмів: 1) загальні криптоалгоритми мають повністю відкритий алгоритм, а їх криптостійкість визначається ключами шифрування; 2) спеціальні криптоалгоритми мають таємний алгоритм шифрування.
Загальні криптоалгоритми розподіляються на дві групи: 1) симетричні алгоритми - криптографічні алгоритми, для яких шифрування і розшифрування виконуються одним ключем. Відправник і отримувач повідомлення повинні мати один і той самий ключ; 2) асиметричні алгоритми - криптографічні алгоритми, для яких шифрування і розшифрування виконуються за допомогою різних ключів.
Криптографічні алгоритми використовуються з метою: по-перше, шифрування інформації (приховування змісту повідомлень і даних); по-друге, забезпечення захисту даних і повідомлень (інформації)) від модифікації, викривлення або підробки.
Для асиметричних криптографічних алгоритмів є можливість сформувати додаткову інформацію у вигляді електронного цифрового підпису.
Виділяють два методи розподілу криптографічних ключів між учасниками платіжної системи: 1) метод базових-сеансових ключів використовується для розподілу ключів симетричних алгоритмів шифрування. Для розподілу ключів вводиться ієрархія ключів: ключ шифрування ключів і ключ шифрування даних; метод відкритих ключів використовується для розподілу ключів як для симетричного, так і для асиметричного шифрування. Використання метод дає можливість кожне повідомлення шифрувати окремим ключем симетричного алгоритму та передавати цей ключ із самим повідомленням у зашифрованому асиметричним алгоритмом вигляді.
Для протидії загрозам та з метою мінімізації можливих збитків користувачів і власників платіжної системи спрямовані чотири групи заходів: 1) правові заходи; 2) морально-етичні; 3) адміністративні заходи; 4) фізичні заходи.