Захист системи електронних платежів

Зовнішня безпека включає:

- захист від втрати або модифікації  системою інформації при стихійних  лихах (пожежах, землетрусах та ін.);

- захист системи від проникнення  зловмисників ззовні з метою  викрадення, отримання доступу до інформації або виведення системи з ладу.

Мета внутрішньої безпеки – забезпечення надійної та коректної роботи, цілісності інформації і компонентів (ресурсів) системи. Це передбачає створення надійних і зручних механізмів регламентування діяльності всіх користувачів та обслуговуючого персоналу, підтримання дисципліни доступу до ресурсів системи.

Можна виділити два підходи до гарантування безпеки інформаційних систем: фрагментарний та комплексний.

Фрагментарний підхід орієнтується на протидію чітко визначеним загрозам при певних умовах використання системи. Головною позитивною рисою такого підходу є міцний захист щодо конкретної загрози, але основний недолік – локальність дії та відсутність єдиного захищеного середовища для обробки інформації. Тому такий підхід неприйнятний для захисту платіжних систем.

Для створення захисту платіжних систем треба використовувати комплексний підхід, а саме: створення захищеного середовища для обробки платіжної та службової інформації в системі, яке об'єднує різноманітні (правові, організаційні, програмно-технічні) засоби для протидії будь-яким загрозам.

 Суб'єктами відносин, пов'язаних  з обробкою інформації в автоматизованій  системі, є:

- власники інформації чи уповноважені  ними особи;

- власники автоматизованої системи чи уповноважені ними особи;

- користувачі інформації;

- користувачі автоматизованої  системи. [10]

 

 

1.3. Класифікація електронних  систем

 

 

1.3.1 Основні вимоги до  платіжних систем:

- дотримання конфіденційності (дані, наприклад, номер кредитної картки, повинні бути відомі лише тим, хто має право їх знати);

- збереження цілісності інформації (сума чи інші параметри транзакції  не можуть бути змінені);

- надання засобів оплати (можливості  оплати певними, доступними платнику  способами);

- забезпечення аутентифікації (засвідчення, що платник чи отримувач платежу – саме ті, за кого себе видають);

- проведення авторизації (визначення, чи має платник кошти для  здійснення платежу);

- мінімізація плати за транзакцію.

 

 

1.3.2. Класи цифрових грошей

Залежно від використовуваного вигляду цифрові гроші можуть бути класифіковані:

1) Обмін інформацією відкритим  текстом. По суті, це не система, а найпростіший спосіб оплати  в мережі Інтернет - за допомогою  кредитної карти (як при замовленні  по телефону). Він здійснюється за допомогою передачі по мережі всієї інформації (номер карти, ім'я і адреса власника) без яких-небудь особливих заходів безпеки.

2) Системи, що використовують шифрування  інформації на етапі обміну  нею. Це більш захищений варіант  у порівнянні з попереднім. Оплата здійснюється за допомогою кредитної карти, що передбачає передачу по мережі Інтернет інформації за допомогою безпечних або захищених протоколів сеансу зв'язку (шифрування).

3) Системи, що передбачають використання  посвідчень. Варіант, зв'язаний із застосуванням спеціальних захищених протоколів обміну інформацією з використанням цифрових сертифікатів і цифрового підпису, що засвідчують клієнта і продавця.

4) Клірингові системи мережі  Інтернет. Головна ідея клірингових  систем Інтернету полягає в  тому, що клієнт не повинен кожного разу при покупці розкривати свої персональні і банківські дані електронному магазину. Натомість він лише повідомляє магазину (що працює в кліринговій системі) свій ідентифікатор або своє ім'я в цій системі. Після цього магазин запрошує систему і одержує підтвердження або спростування оплати.

5) Цифрова готівка (PC-варіант). Цифрова  готівка – це дуже великі  числа або файли, які і грають  роль купюр і монет. На відміну  від всіх вище наведених систем  ці файли і є самі гроші, а не записи об них. Одним з варіантів цифрової готівки може бути цифровий чек.

6) Цифрова готівка (Smart-card – варіант). Сучасна смарт-карта – це маленький  комп'ютер зі своїм процесором, пам'яттю, програмним забезпеченням  і системою введення/виведення  інформації. Далеко не всі смарт-карти містять в собі цифрову готівку. Поки смарт-карта використовується як звичайна дебетова карта (умовно названа електронним гаманцем), в яку вносяться записи про списання грошей або просто інформація про клієнта.

 

 

 

1.3.3. Опис схем розрахунків платіжних систем

Залежно від способу розрахунків платіжні системи можна класифікувати на:

• кредитні схеми;
• дебетові схеми;
• схеми з використанням «електронних грошей».

1. В основу кредитних схем покладено використання кредитних карток. Переваги кредитної схеми:

• звичність для клієнтів і правова визначеність;
• достатньо висока захищеність конфіденційної інформації завдяки використанню протоколу SET (спеціального ПЗ), розробленого компаніями MasterCard, VISA, Microsoft IBM. Відповідно до цього протоколу номер картки, передаваний по мережі, шифрується з використанням електронного підпису клієнта.

До недоліків цієї схеми відносяться:

• необхідність перевірки кредитоспроможності клієнта і авторизації картки (отримання від банку-емітента банківської платіжної картки дозволу на здійснення операцій з використанням цієї картки; завдяки авторизації блокуються гроші на рахунку з подальшим зменшенням вільної для покупки суми), що підвищує витрати на проведення транзакції і робить систему непристосованою для проведення мікроплатежів;
• відсутність анонімності і, як наслідок, можливий для здійснення нав'язливий сервіс з боку торгових структур;
• обмежена кількість електронних магазинів, що приймають кредитні картки;
• необхідність виплачувати відсотки за кредит.

2) Дебетові картки можуть використовуватися при оплаті товарів і послуг через мережу Інтернет в режимі он-лайн так само, як при отриманні готівки в банкоматі (для здійснення платежу клієнт повинен ввести PIN-код).

Проте, на практиці цей варіант використовується достатньо рідко. Набагато ширше поширені електронні чеки. Електронний чек, як і його паперовий аналог, містить код банку, в який цей чек повинен бути пред'явлений для оплати, а також номер рахунку клієнта. Кліринг по електронних чеках здійснюють різні компанії, наприклад, CyberCash, NetCheque.

До категорії Дебетових схем можна віднести і розрахунки за допомогою електронних «гаманців», для яких передбачений кліринг трансакцій, зокрема за допомогою віртуальних електронних «гаманців» (особливістю яких є те, що сума зберігається в цьому випадку на жорсткому диску комп'ютера). Прикладом системи віртуальних гаманців може служити система Cybercoins, розроблена компанією CyberCasH.

Перевагою дебетових схем платежів є те, що вони позбавляють клієнта від необхідності платити відсотки за кредит.

Недоліки дебетових схем платежів. Проблема забезпечення необхідного рівня безпеки платежів стосовно дебетових схем поки не знаходить прийнятного рішення.

Проте, в секторі дрібних платежів, де проблема безпеки стоїть не так гостро, дебетові схеми можуть успішно конкурувати з кредитними схемами.

3) Схеми платежів з використанням  «електронних грошей».

За своєю сутністю ці схеми відносяться теж до дебетових систем.

Існує два типу цифрової готівки: що зберігається на смарт-картах і на жорсткому диску комп'ютера.

Всі розрахунки по електронних «гаманцях» проводить банк або інша клірингова організація. У системах електронних грошей запис на картці або жорсткому диску комп'ютера прирівнюється до відповідної суми в тій або іншій валюті. Ця сума може конвертуватися або передаватися безпосередньо по каналах зв'язку між продавцем і покупцем. Кліринг операцій з «електронними грошима» не проводиться.

Переваги схем з використанням «електронних грошей»:

• системи цілком підходять для здійснення мікроплатежів;
• забезпечується необхідний рівень анонімності платежів.

До недоліків схем, що базуються на використанні «електронних грошей», відносяться:

• необхідність попередньої покупки купюр;
• відсутність можливості надання кредиту. [7]

 

 

1.4 Висновки по розділу

 

 

В цьому розділі було розглянуто основні Закони України, на яких базується система електронних платежів:

• Закон України «Про платіжні системи та переказ коштів в Україні»;
• Закон України «Про захист інформації в інформаційно-телекомунікацій- них системах»;
• Закон України «Про електронний цифровий підпис»;
• Закон України «Про захист інформації в автоматизованих системах»;

• Закон України «Про банки і банківську діяльність».

Також в даному розділі були викладенні основні поняття системи електронних платежів, її загальна структура, мета внутрішньої і зовнішньої безпеки. 

Опис класифікації електронних систем, перелік вимог до платіжних систем. Класифікація цифрових грошей:

1) Обмін інформацією відкритим  текстом.   

2) Системи, що використовують шифрування  інформації на етапі обміну нею.

3) Системи, що передбачають використання  посвідчень.

4) Клірингові системи мережі  Інтернет.

5) Цифрова готівка (PC-варіант).

6) Цифрова готівка (Smart-card – варіант).

Були розглянуті схеми розрахунків платіжних систем:

• кредитні схеми;
• дебетові схеми;
• схеми з використанням «електронних грошей».

Отже, можна зробити висновок, що на найближчий час банківська система України забезпечена досить функціональною СЕП, яка повністю забезпечує потреби в швидкому та надійному виконанні електронних розрахунків.

Але, як і раніше потрібно спрямовувати зусилля на розроблення нових інструментів та механізмів функціонування системи електронних платежів, підвищення ії пропускної спроможності та надійності.

 

РОЗДІЛ 2.

ОСНОВНІ АСПЕКТИ ЗАХИСТУ СИСТЕМИ ЕЛЕКТРОННИХ ПЛАТЕЖІВ

 

 

2.1.Складові СЕП.

 

 

Система електронних платежів складається з:

• прикладного програмного забезпечення;
• телекомунікаційного середовища;
• засобів захисту інформації.

У свою чергу, до прикладного програмного забезпечення входять:

- програмно-технічні комплекси автоматизованих робочих місць (АРМ) СЕП, призначені для виконання власне розрахунків;

- системи резервування  роботи СЕП, призначені для забезпечення поновлення її роботи у разі збоїв, відмов обладнання або інших надзвичайних ситуацій;

- інформаційно-пошукова система, призначена для одержання довідкової інформації про проходження платежів.

Програмно-технічні комплекси СЕП відповідають трьом рівням структури СЕП.

1)Рівень Центральної розрахункової палати.

 На цьому рівні застосовується програмно-технічний комплекс АРМ-1. Він призначений для керування роботою РРП у масштабах України. АРМ-1 виконує:

• перевірку правильності та узгодженості функціонування РРП;
• синхронізацію роботи СЕП, тобто визначає час виконання 
  учасниками основних операцій;
• контроль та балансування міжрегіональних оборотів;
• захист системи від несанкціонованого втручання;
• надання звітної інформації в цілому по системі;
• виявлення аварійних ситуацій та спроб  несанкціонованого 
  доступу.

2) Рівень регіональних  розрахункових палат.

На даному рівні використовується програмно-технічний комплекс

АРМ-2. Це ‒ комплекс програмних та технічних засобів, призначений для обслуговування банків регіону та організації взаємодії з іншими розрахунковими палатами. АРМ-2 здійснює: