- •Інформаційні банківські технології
- •Принципи побудови системи захисту інформації та порядок отримання і повернення засобів захисту інформації організаціями-учасниками системи електронних платежів (сеп).
- •Заходи інформаційної безпеки у системі електронних платежів (сеп).
- •13. Оператори арм бухгалтера саб, операціоністи та оператори інших робочих і технологічних місць саб та інформаційних задач, які працюють із ззі, зобов'язані:
- •Внутрішній контроль за станом інформаційної безпеки в банку.
- •1. Вимоги до інтерфейсу з арм-3 сеп
- •2. Вимоги щодо інформаційної безпеки підготовки файлів інтерфейсу з сеп в середовищі одб
- •3. Вимоги до одб щодо внутрішньої інформаційної безпеки банку
- •4. Вимоги щодо інформаційної безпеки системи "клієнт-банк"
- •Функціональні обов'язки адміністратора інформаційної безпеки банку.
- •Рекомендації нбу держателям платіжних карток щодо безпеки.
- •Комплексні системи захисту банківських інформаційних технологій та їх застосування. Загальна характеристика внутрішньобанківської платіжної системи.
- •1.1 Мета і призначення комплексної системи захисту банківських інформаційних технологій (ксз біт).
- •1.2 Загальна характеристика впс кб і умови її функціонування.
- •1.3. Вимоги до комплексної системи захисту інформації впс акб усб
- •1.4 Вимоги до комплексної системи захисту інформації у впс кб у частині захисту від витоку інформації технічними каналами
- •1.5. Вимоги до підсистеми криптографічного захисту інформації
- •Захист інформації у Засвідчувальному центрі ключів нбу.
- •Безпека передачі та опрацювання повідомлень swift.
- •Захист інформації у системах дистанційного банківського обслуговування.
- •Можливості протоколу set щодо захисту транзакцій в інтернет.
- •3. Учасники транзакцій set.
- •4. Дуальний підпис.
1.4 Вимоги до комплексної системи захисту інформації у впс кб у частині захисту від витоку інформації технічними каналами
Вимоги до захисту інформації повинні бути реалізовані відповідно до Положення - 94, ВПКО-95, та інших керівних документів ДСТСЗІ СБУ.
Устаткування ВПС КБ, у яких циркулює інформація з обмеженим доступом, повинне розміщатися в приміщеннях об'єктів з урахуванням вимог мінімізації зон небезпеки інформації.
Повинні бути проведені спецдослідження робочих станцій і мережного устаткування ВПС КБ на предмет визначення рівня побічних електромагнітних випромінювань. ПЕОМ і мережні засоби, що використовуються у ВПС КБ, повинні бути в спеціальному виконанні, що забезпечує рівень захищеності по 3 категорії згідно з СТР-3, для реальної контрольованої зони об'єкта з радіусом (R2) не більш 30 метрів.
Системи електроживлення і заземлення устаткування складових частин ВПС КБ, у якому циркулює інформація з обмеженим доступом, повинні розміщатися усередині контрольованої зони і не мати виходів за її межі.
До складу заходів захисту повинні бути включені організаційні заходи захисту.
1.5. Вимоги до підсистеми криптографічного захисту інформації
Система криптографічного захисту призначена для комплексного і безупинного захисту інформації в кожній локальній мережі внутрішньобанківської платіжної системи КБ при обробці критичної й оперативно-службової інформації центральних, регіональних і територіальних відомчих інформаційних підсистем і при інформаційному обміні повідомленнями по електронній пошті КБ.
Система повинна включати робочі станції користувачів, сервери мережі (сервери доступу), Головний центр управління ключами і регіональні центри.
Робоча станція користувачів локальної мережі складової частини внутрішньобанківської платіжної системи КБ на прикладному рівні повинна забезпечувати:
-
цифровий підпис повідомлення з використанням національного або міжнародного стандарту, включаючи цифровий підпис в групах точок еліптичних кривих;
-
архівування і рандомізацію (додаткове шифрування) повідомлень;
-
симетричне зашифрування і розшифрування повідомлень;
-
підготовку криптограм для ефективної передачі по інформаційних мережах ВПС АКБ УСБ;
-
автоматичне протоколювання всіх операцій, виконуваних на робочих станціях, блокування у випадку НСД із сигналізацією на вищий рівень управління;
-
генерацію для деяких користувачів особистих і відкритих ключів з використанням іменних генераторів, передачу їх у центр для сертифікації, прийом сертифікованих, запис, збереження і використання.
Сервер мережі (доступу ЛОМ), повинен забезпечувати:
-
інкапсуляцію шифрування всіх пакетів на мережному рівні з використанням стандартних протоколів;
-
вироблення особистих і відкритих ключів, передачу і прийом відкритих ключів після їхньої сертифікації;
-
взаємодію з «видимими» робочими станціями мережного рівня (криптографічними серверами ЛОМ (серверами доступу);
-
взаємодію з усіма центрами управління безпекою (серверами криптографічного захисту ЛОМ).
Локальний центр управління ключами (сервер криптографічного захисту ЛОМ) повинен забезпечувати:
-
створення інсталяційного пакета іменного генератора ключів для кожного користувача ЛОМ;
-
регенерацію і розподіл симетричних ключів;
-
генерацію (розрахунок) відкритих ключових параметрів цифрового підпису;
-
формування секретних і відкритих параметрів ключа сертифікації центру;
-
формування, розподіл і доставку відкритих загальносистемних параметрів, відкритого ключа сертифікації центру (сервера криптографічного захисту ЛОМ) і транспортних ключів користувачів на відповідні робочі станції;
-
генерацію і/або сертифікацію відкритих робочих ключів усіх робочих станцій і передачу сертифікатів на робочі станції.
Головний центр управління ключами (Міжмережевий Центр управління ключами) повинен забезпечувати:
-
формування, розподіл і доставку відкритих і загальносистемних параметрів і відкритих ключів сертифікації центру на робочі станції мережного рівня (сервера мережі (доступу) ЛОМ);
-
сертифікацію відкритих ключів і створення бази сертифікатів;
-
узгодження механізмів захисту між різними відомствами і регіонами;
-
генерацію і розподіл усіх видів ключів користувачів;
-
управління ключовими структурами з використанням слушних протоколів;
-
зміна конфігурації мережі, у тому числі в режимах видалення або додавання робочих станцій;
-
розсилання баз сертифікатів користувачам відповідно до вимог конфігурації.
Генератор ключів адміністратора (користувача) повинен забезпечувати:
-
генерацію конфіденційних і відкритих ключів;
-
запис на носій конфіденційних ключів у захищеному виді;
-
прямі і зворотні захисні перетворення робочих ключів при їхній передачі на сертифікацію і прийом сертифікатів;
-
запис сертифікатів у базу відкритих ключів;
-
безупинний самоконтроль цілісності і дійсності;
-
планову або аварійну зміну ключів та ін.