|
|
Обеспечение безопасности в системах Дистанционного Банковского Обслуживания |
11/08
|
|
|
|
|
|
Необходимость защиты информации в системах Дистанционного Банковского Обслуживания.
Использование электронных средств для финансового документооборота требует применения дополнительных средств для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации. В настоящее время в качестве таких средств повсеместно используются средства криптографической защиты.
Система криптографической защиты должна обеспечивать:
- Конфиденциальность - информация должна быть защищена от несанкционированного прочтения как при хранении, так и при передаче. Если сравнивать с бумажной технологией, то это аналогично запечатыванию информации в конверт. Содержание становится известно только после того, как будет открыт запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.
- Контроль доступа - информация должна быть доступна только для того, для кого она предназначена. Если сравнивать с бумажной технологией, то только разрешенный получатель может открыть запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.
- Аутентификацию - возможность однозначно идентифицировать отправителя. Если сравнивать с бумажной технологией, то это аналогично подписи отправителя. В системах криптографической защиты обеспечивается Электронной Цифровой Подписью.
- Целостность - информация должна быть защищена от несанкционированной модификации как при хранении, так и при передаче. В системах криптографической защиты обеспечивается Электронной Цифровой Подписью.
- Неотрекаемость - отправитель не может отказаться от совершенного действия. Если сравнивать с бумажной технологией, то это аналогично предъявлению отправителем паспорта перед выполнением действия. В системах криптографической защиты обеспечивается Электронной Цифровой Подписью.
Для обеспечения аутентификации, целостности и неотрекаемости используется Электронная Цифровая Подпись (ЭЦП). ЭЦП – это Аналог Собственноручной Подписи (АСП), в виде уникальной цифровой последовательности, получаемой в результате специальных математических (криптографических) преобразований электронного документа. Более подробное определение ЭЦП можно прочитать в Проекте закона Республики Молдова «О цифровой подписи и электронной аутентификации». Более подробно об ЭЦП можно прочитать в разделе «Юридическая значимость».
Для обеспечения конфиденциальности и контроля доступа используется шифрование.
Шифрование – это криптографический метод, при котором сообщение (открытый текст) трансформируется в другое сообщение (шифрованный текст) по определенным правилам с использованием секретного параметра, называемого ключом.
Таким образом, главное различие функций между средствами шифрования и средствами ЭЦП в том, что: «Конфиденциальность (посредством шифрования) не позволяет лицам, не имеющим соответствующих прав, просматривать передаваемый документ. Целостность (с помощью ЭЦП) гарантирует, что документ не подделан».
На данный момент наиболее адекватной системой криптографии для использования в банковской практике является криптография с открытыми ключами.
Что такое криптография с открытыми ключами
Криптография делится на два класса: с симметричными ключами и открытыми ключами.
В криптографии с симметричными ключами отправитель и получатель используют один и тот же (общий) ключ, как для шифрования, так и для расшифрования. Таким образом, ключ известен, как минимум, двум сторонам, что не обеспечивает необходимый уровень безопасности для осуществления электронного финасового документооборота.
В криптографии с открытыми ключами используется пара ключей: открытый ключ и секретный (личный) ключ, известный только его владельцу. В отличие от секретного ключа, который должен сохраняться в тайне, открытый ключ может распространяться по сети. Секретный ключ в криптографии с открытыми ключами используется для формирования электронной подписи и расшифрования данных.
 Криптография с открытыми ключами обеспечивает все требования, предъявляемые к современным криптографическим системам и широко используется в современных системах электронного документооборота. |
|
|
|
|
