Безопасность данных

Обеспечение безопасности данных в ВПС Enigma

         В системе используются наиболее эффективные технологии контроля и защиты информации, предоставляемые СУБД Oracle и криптографическими системами защиты информации.

Средства криптографической защиты информации

        Средства КЗИ предназначены для выполнения криптографических преобразований, которые обеспечивают защиту информации (ее конфиденциальность, целостность и аутентичность) на всех этапах прохождения документа в системе. В средства КЗИ входят АРМ генерации секретных ключей, АРМ сертификации ключей, хранилище сертификатов, библиотеки КЗИ для шифрования, дешифрования, генерации и проверки электронной цифровой подписи.
         В настоящий момент система поддерживает интерфейсы следующих средств криптографической защиты информации:

• Библиотеки "Вега" разработки компании НОКК;
• Библиотеки "Шифр-PKI" разработки компании "Сайфер";

Персональные секретные ключи.

         Каждый операционист, бухгалтер и технолог банка обладает в системе персональным секретным ключом, с помощью которого накладывает электронно-цифровую подпись на документы, платежные или технологические файлы.

При этом каждый ключ имеет свой тип и может применяться только в определенных целях. Для удобства использования системы, типы ключей по обозначениям и функциональной нагрузке соответствуют типам ключей НБУ:

• Операционист (тип - O) - используется для генерации ЭЦП на документах.
• Бухгалтер (тип - B) - используется для генерации ЭЦП на файлах платежных документов и технологических файлах.
• Технолог банка (тип - A) - используется для генерации ЭЦП на технологических файлах.
• Технолог терминала ВПС (тип - 3) - используется оператором для передодписания документов в Терминале ВПС, для шифрования файлов и генерации дополнительной ЭЦП на конверте с файлом при его передаче в РП.
• Технолог РП ВПС (тип - 2) - используется для генерации ЭЦП на технологических и платежных файлах, для шифрования файлов и генерации дополнительной ЭЦП на конверте с файлом при его передаче получателю (филиалу).
• Иные ключи могут быть использованы для генерации ЭЦП на платежах S.W.I.F.T. (при передаче внутри ВПС) и иных информационных файлов.

        При использовании средства КЗИ "Вега" компании НОКК технологи ВПС (технологи терминалов филиалов и технологи РП ВПС) используют единые технологические ключи, создаваемые на узел (для каждого филиала и для РП), необходимые для осуществления шифрования и дешифрования на участках обмена филиал - Расчетная палата. Такой подход соответствует существующей технологии обеспечения конфиденциальности данных при передаче между АРМ3 и АРМ2.
         При использовании системы "Шифр-PKI" компании "Сайфер" ключи технологов ВПС (терминалов и расчетной палаты), могут быть персональными. В этом случае шифрование данных при обмене между расчетной палатой и терминалами осуществляется таким образом, что дешифрование может быть осуществлено любым ключом технолога принимающей стороны. При условии работы технологов по сменам, такой подход обеспечивает персональную ответственность на любом этапе обработки документов и файлов, поскольку шифрование и генерация дополнительной ЭЦП на пакет осуществляется персональным ключом технолога.
        Использование любого из указанных средств КЗИ обеспечивает соблюдение всех требований НБУ к защите информации в полном объеме.
        Средства КЗИ поставляются Заказчику разработчиками таких средств по отдельным договорам.

Дополнительные меры обеспечения высокого уровня защиты информации в системе:

• Персональная регистрация пользователя (аутентификация средствами СУБД Oracle);
• Четкое разграничение прав доступа к данным по пользователям и ролям;
• Разграничение прав на выполнение операций по группам пользователей;
• Использование профилей безопасности;
• Постоянный аудит системы;
• Ведение немодифицируемого журнала действий пользователей в системе.

Copyright (C) компания CS, 2005