5.3. Меры по обеспечению безопасности и защите информации в платежной системе

Безопасность и защита информации в платежной системе Банка России обеспечивается проведением следующих мероприятий:

идентификация пользователей;

контроль целостности и подтверждение подлинности платежных документов;

разграничение прав доступа и защита от несанкционированного доступа к ресурсам систем обработки платежей;

контроль за проведением расчетных операций;

криптографическая защита платежной информации;

резервирование программно-технических комплексов и информа­ционных ресурсов.

В традиционных банковских технологиях безопасность платежей обеспе­чивается за счет наличия и подлинности имеющихся на платежных документах подписей уполномоченных лиц и печати организации, банка, прочих необхо­димых отметок и штампов, присутствие которых регламентируется соответст­вующими банковскими правилами. При этом физический носитель информации (бумага) и нанесенные на нее средства аутентификации (подписи, печати, штампы) неразрывны.

В электронных же документах физическая связь заменяется математиче­ской, позволяющей устанавливать подлинность информации на основе ее внут­ренней структуры. Это достигается за счет криптографического преобразования исходной информации с помощью специального секретного ключа.

Применяемый Банком России и его подразделениями, участвующими в электронных платежах, порядок обеспечения безопасности технологии обра­ботки электронных документов обеспечивается созданием системы, включа­ющей в себя комплекс технологических, организационных, технических и про­граммных мер и средств защиты на этапах подготовки, обработки, передачи и хранения ЭПД.

Ядром такой системы безопасности является система криптографической защиты информации, призванная обеспечить конфиденциальность, целостность и подлинность данных и предотвратить несанкционированное ознакомление с их содержанием или их модификацией. Специализированные организации, привлекаемые на договорной основе для разработки и установки средств и сис­тем защиты ЭПД, должны иметь лицензии от Государственной технической комиссии России (ГТК) и других государственных органов в соответствии с российским законодательством. Используемые при этом средства защиты ин­формации от несанкционированного доступа должны иметь сертификат ГТК России.

Внутренний порядок применения средств защиты от несанкционирован­ного доступа и обеспечения криптографической защиты информации определя­ется непосредственно руководством Банка России.

Обязанности по администрированию программно-технических средств защиты электронных платежных документов для каждого технологического участка прохождения этих документов возлагаются на соответствующих спе­циалистов, задействованных на данном участке и являющихся администрато­рами информационной безопасности. К числу их основных обязанностей отно­сятся обеспечение функционирования установленных средств и систем защиты информации, контроль за надлежащим соблюдением инструкций по их экс­плуатации, а также выявление и регистрация попыток несанкционированного доступа в систему обработки электронных платежей.

В целях обеспечения информационной безопасности при проведении электронных платежей специалистами Банка России проводится комплекс мер, которые условно можно сгруппировать следующим образом:

обеспечение информационной безопасности при внедрении и эксплуа­тации систем обработки электронных платежей;

обеспечение информационной безопасности при передаче электронных платежных документов;

обеспечение защиты помещений и технических средств;

обеспечение информационной безопасности при использовании криптографических средств защиты;

5) контроль за обеспечением безопасности технологии обработки элект­ронных платежных документов.

Вопросы и задания для обсуждения

Что понимается под платежной системой страны?

Какие платежные системы входят в платежную систему Банка России?

По каким направлениям Банк России осуществляет регулирование системы расчетов и платежей?

Где и какие счета открываются для проведения расчетных операций по перечислению денежных средств кредитными организациями (филиалами)?

Сколько корреспондентских счетов и субсчетов может открыть учреж­дение Банка России кредитной организации и филиалу?

Чем вызвана необходимость установления прямых корреспондентских отношений между банками?

Назовите операции, за проведение которых Банк России не взимает плату с клиентов.

Какую роль в регулировании расчетов и платежей играют кредиты Банка России, предоставляемые кредитным организациям? Назовите эти кредиты.

Назовите виды расчетных рисков.

Какова структура системы электронных межбанковских расчетов?

Как вы понимаете такие характеристики электронных платежей, как гарантированность и безотзывность?

Что понимается под электронной цифровой подписью и когда она ис­пользуется?

Какие типы электронных платежных документов используются для проведения операций по счетам клиентов в системе Банка России?

Назовите способы обработки учетно-операционной информации при межбанковских электронных расчетах.

Что такое «квитовка» электронных платежных документов?

Как обеспечивается безопасность и защита информации в платежной системе Банка России?

Безопасность и защита информации в платежной системе Банка России обеспечивается проведением следующих мероприятий:

идентификация пользователей;

контроль целостности и подтверждение подлинности платежных документов;

разграничение прав доступа и защита от несанкционированного доступа к ресурсам систем обработки платежей;

контроль за проведением расчетных операций;

криптографическая защита платежной информации;

резервирование программно-технических комплексов и информа­ционных ресурсов.

В традиционных банковских технологиях безопасность платежей обеспе­чивается за счет наличия и подлинности имеющихся на платежных документах подписей уполномоченных лиц и печати организации, банка, прочих необхо­димых отметок и штампов, присутствие которых регламентируется соответст­вующими банковскими правилами. При этом физический носитель информации (бумага) и нанесенные на нее средства аутентификации (подписи, печати, штампы) неразрывны.

В электронных же документах физическая связь заменяется математиче­ской, позволяющей устанавливать подлинность информации на основе ее внут­ренней структуры. Это достигается за счет криптографического преобразования исходной информации с помощью специального секретного ключа.

Применяемый Банком России и его подразделениями, участвующими в электронных платежах, порядок обеспечения безопасности технологии обра­ботки электронных документов обеспечивается созданием системы, включа­ющей в себя комплекс технологических, организационных, технических и про­граммных мер и средств защиты на этапах подготовки, обработки, передачи и хранения ЭПД.

Ядром такой системы безопасности является система криптографической защиты информации, призванная обеспечить конфиденциальность, целостность и подлинность данных и предотвратить несанкционированное ознакомление с их содержанием или их модификацией. Специализированные организации, привлекаемые на договорной основе для разработки и установки средств и сис­тем защиты ЭПД, должны иметь лицензии от Государственной технической комиссии России (ГТК) и других государственных органов в соответствии с российским законодательством. Используемые при этом средства защиты ин­формации от несанкционированного доступа должны иметь сертификат ГТК России.

Внутренний порядок применения средств защиты от несанкционирован­ного доступа и обеспечения криптографической защиты информации определя­ется непосредственно руководством Банка России.

Обязанности по администрированию программно-технических средств защиты электронных платежных документов для каждого технологического участка прохождения этих документов возлагаются на соответствующих спе­циалистов, задействованных на данном участке и являющихся администрато­рами информационной безопасности. К числу их основных обязанностей отно­сятся обеспечение функционирования установленных средств и систем защиты информации, контроль за надлежащим соблюдением инструкций по их экс­плуатации, а также выявление и регистрация попыток несанкционированного доступа в систему обработки электронных платежей.

В целях обеспечения информационной безопасности при проведении электронных платежей специалистами Банка России проводится комплекс мер, которые условно можно сгруппировать следующим образом:

обеспечение информационной безопасности при внедрении и эксплуа­тации систем обработки электронных платежей;

обеспечение информационной безопасности при передаче электронных платежных документов;

обеспечение защиты помещений и технических средств;

обеспечение информационной безопасности при использовании криптографических средств защиты;

5) контроль за обеспечением безопасности технологии обработки элект­ронных платежных документов.

Вопросы и задания для обсуждения

Что понимается под платежной системой страны?

Какие платежные системы входят в платежную систему Банка России?

По каким направлениям Банк России осуществляет регулирование системы расчетов и платежей?

Где и какие счета открываются для проведения расчетных операций по перечислению денежных средств кредитными организациями (филиалами)?

Сколько корреспондентских счетов и субсчетов может открыть учреж­дение Банка России кредитной организации и филиалу?

Чем вызвана необходимость установления прямых корреспондентских отношений между банками?

Назовите операции, за проведение которых Банк России не взимает плату с клиентов.

Какую роль в регулировании расчетов и платежей играют кредиты Банка России, предоставляемые кредитным организациям? Назовите эти кредиты.

Назовите виды расчетных рисков.

Какова структура системы электронных межбанковских расчетов?

Как вы понимаете такие характеристики электронных платежей, как гарантированность и безотзывность?

Что понимается под электронной цифровой подписью и когда она ис­пользуется?

Какие типы электронных платежных документов используются для проведения операций по счетам клиентов в системе Банка России?

Назовите способы обработки учетно-операционной информации при межбанковских электронных расчетах.

Что такое «квитовка» электронных платежных документов?

Как обеспечивается безопасность и защита информации в платежной системе Банка России?