|
. Elektron to'lovlar xavfsizligi
|
| bet | 13/17 | | Sana | 14.12.2023 | | Hajmi | 118,08 Kb. | | #118853 |
Bog'liq Bank tizimlarida axborotni himoya qilish. Bank axborot xavfsizli3 . Elektron to'lovlar xavfsizligi
axborot bankining kriptografik himoyasi
Har doim kerakli ma'lumotlarga ega bo'lish zarurati ko'plab menejerlarni kompyuter tizimlaridan foydalangan holda o'z biznesini optimallashtirish muammosi haqida o'ylashga majbur qiladi. Ammo tarjima bo'lsa buxgalteriya hisobi Qog'ozdan elektron shaklga o'tish uzoq vaqtdan beri amalga oshirilgan, bank bilan o'zaro hisob-kitoblar hali ham etarli darajada avtomatlashtirilmagan: elektron hujjat aylanishiga ommaviy o'tish hali oldinda.
Bugungi kunda ko'pgina banklarda masofaviy to'lov operatsiyalari uchun qandaydir kanallar mavjud. Siz to'g'ridan-to'g'ri ofisdan modem ulanishi yoki maxsus aloqa liniyasidan foydalangan holda "to'lov topshirig'ini" yuborishingiz mumkin. Internet orqali bank operatsiyalarini amalga oshirish haqiqatga aylandi – buning uchun global tarmoqqa kirish imkoniyatiga ega kompyuter va bankda ro‘yxatdan o‘tgan elektron raqamli imzo (ERI) kalitiga ega bo‘lish kifoya.
Masofaviy bank xizmatlari xususiy biznesning samaradorligini uning egalari tomonidan minimal kuch bilan oshirish imkonini beradi. Bu quyidagilarni ta'minlaydi: vaqtni tejash (bankka shaxsan kelish shart emas, to'lovni istalgan vaqtda amalga oshirish mumkin); ishning qulayligi (barcha operatsiyalar shaxsiy kompyuterdan tanish biznes muhitida amalga oshiriladi); to'lovni qayta ishlashning yuqori tezligi (bank operatori qog'oz asl nusxadagi ma'lumotlarni qayta chop etmaydi, bu esa kiritish xatolarini bartaraf etish va to'lov hujjatini qayta ishlash vaqtini qisqartirish imkonini beradi); hujjatni qayta ishlash jarayonida uning holatini kuzatish; hisobvaraqlardagi mablag'larning harakati to'g'risida ma'lumot olish.
Biroq, aniq afzalliklarga qaramay, Rossiyada elektron to'lovlar hali juda mashhur emas, chunki bank mijozlari ularning xavfsizligiga ishonchlari komil emas. Bu, birinchi navbatda, kompyuter tarmoqlari xaker tomonidan osonlikcha “buzilishi” mumkinligi haqidagi keng tarqalgan fikr bilan bog‘liq. Bu afsona inson ongiga mustahkam o‘rnashib olgan va ommaviy axborot vositalarida muntazam chop etilayotgan boshqa veb-saytga hujumlar haqidagi xabarlar bu fikrni yanada mustahkamlaydi. Ammo vaqt o'zgarmoqda va elektron vositalar ulanishlar ertami-kechmi naqd pulsiz bank o'tkazmasini bir hisobdan boshqasiga o'tkazmoqchi bo'lgan to'lovchining shaxsiy mavjudligini almashtiradi.
Nazarimda, bugungi kunda elektron bank operatsiyalari xavfsizligini ta’minlash mumkin. Bu elektron to'lov hujjatlarini himoya qilish uchun qo'llaniladigan zamonaviy kriptografik usullar bilan kafolatlanadi. Avvalo, bu GOST 34.10-94 ga mos keladigan EDS. 1995 yildan beri u Rossiya banki tomonidan muvaffaqiyatli qo'llanilmoqda. Dastlab u bir nechta hududlarda mintaqalararo elektron hisob-kitoblar tizimini joriy qildi. Endi u Rossiya Federatsiyasining barcha hududlarini qamrab oladi va usiz Rossiya Bankining faoliyatini tasavvur qilish deyarli mumkin emas. Xo'sh, agar elektron raqamli imzodan foydalanish vaqt sinovidan o'tgan va u yoki bu tarzda mamlakatimizning har bir fuqarosiga tegishli bo'lsa, uning ishonchliligiga shubha qilish uchun asos bormi?
Elektron raqamli imzo xavfsizlik kafolati hisoblanadi. Ga binoan standart shartnoma Bank va mijoz o‘rtasida elektron hujjat bo‘yicha ERI ro‘yxatdan o‘tgan yetarli miqdordagi vakolatli shaxslarning mavjudligi mijozning hisobvaraqlari bo‘yicha bank operatsiyalarini amalga oshirish uchun asos bo‘lib xizmat qiladi. V Federal qonun 10.01.02 N 1-FZ "Elektron raqamli imzo to'g'risida" gi ERI FAPSI tomonidan sertifikatlangan dasturiy ta'minot tomonidan yaratilishi va tekshirilishi kerakligi aniqlangan. EDS sertifikati - bu dastur GOST standartlariga muvofiq kriptografik funktsiyalarni bajarishi va foydalanuvchi kompyuterida halokatli harakatlar qilmasligi kafolati.
Elektron hujjatga ERI qo'yish uchun siz uning kalitiga ega bo'lishingiz kerak, u ba'zi asosiy ma'lumotlar tashuvchisida saqlanishi mumkin. Zamonaviy kalit tashuvchilar ("e-Token", "USB-drive", "Touch-Memory") shakli bo'yicha kalit foblarga o'xshaydi va ularni oddiy kalitlar to'plamida olib yurish mumkin. Floppi disklardan asosiy axborot tashuvchisi sifatida ham foydalanish mumkin.
Har bir ERI kaliti vakolatli shaxsning qo'lyozma imzosining analogi bo'lib xizmat qiladi. Agar tashkilotda qog'oz "to'lovlar" odatda direktor tomonidan imzolanadi va Bosh hisobchi keyin ichkariga elektron tizim bir xil tartibni saqlash va vakolatli shaxslarga turli xil ERI kalitlarini taqdim etish yaxshiroqdir. Shu bilan birga, bitta ERIdan ham foydalanish mumkin - bu fakt bank va mijoz o'rtasidagi shartnomada aks ettirilishi kerak.
EDS kaliti ikki qismdan iborat - yopiq va ochiq. Ommaviy qism (ommaviy kalit) egasi tomonidan yaratilgandan so'ng, Sertifikatlashtirish markaziga taqdim etiladi, uning rolini odatda bank o'ynaydi. Ochiq kalit, uning egasi haqidagi ma’lumotlar, kalitning maqsadi va boshqa ma’lumotlar Sertifikatlashtirish markazining ERI tomonidan imzolanadi. Shunday qilib, bankning elektron hisob-kitob tizimida ro'yxatdan o'tkazilishi kerak bo'lgan ERI sertifikati yaratiladi.
ERI kalitining shaxsiy qismi (maxfiy kalit) hech qanday holatda kalit egasi tomonidan boshqa shaxsga o'tkazilmasligi kerak. Agar shaxsiy kalit qisqa muddatga boshqa shaxsga topshirilgan bo'lsa yoki biror joyda qarovsiz qoldirilgan bo'lsa, kalit "buzilgan" deb hisoblanadi (ya'ni, kalitdan nusxa ko'chirish yoki noqonuniy foydalanish ehtimoli nazarda tutiladi). Boshqacha qilib aytadigan bo'lsak, bu holda kalit egasi bo'lmagan shaxs tashkilot rahbariyati tomonidan ruxsat etilmagan elektron hujjatni imzolash imkoniyatiga ega bo'ladi, bank uni bajarish uchun qabul qiladi va tekshirilgandan beri to'g'ri bo'ladi. ERI o'zining haqiqiyligini ko'rsatadi. Bu holatda barcha javobgarlik faqat kalit egasiga yuklanadi. Ushbu vaziyatda ERI egasining harakatlari oddiy plastik karta yo'qolgan taqdirda qilingan harakatlarga o'xshash bo'lishi kerak: bu shaxs bankni ERI kalitining "kompromis" (yo'qolishi) haqida xabardor qilishi kerak. Keyin bank ushbu ERI sertifikatini o'zining to'lov tizimida bloklaydi va tajovuzkor o'zining noqonuniy sotib olishidan foydalana olmaydi.
Shuningdek, kalitga ham, ayrim turdagi kalit tashuvchilarga ham o'rnatilgan parol yordamida maxfiy kalitdan noqonuniy foydalanishning oldini olish mumkin. Bu yo'qolgan taqdirda zararni minimallashtirishga yordam beradi, chunki parolsiz kalit yaroqsiz bo'lib qoladi va egasi bankni ERIning "murosaga kelishi" haqida xabardor qilish uchun etarli vaqtga ega bo'ladi.
Agar bank elektron to'lovlarni kompleks amalga oshirish tizimini o'rnatgan bo'lsa, mijoz elektron to'lovlar xizmatlaridan qanday foydalanishi mumkinligini ko'rib chiqaylik. bank xizmatlari Banklararo. Agar mijoz xususiy tadbirkor bo'lsa yoki kichik tijorat kompaniyasini boshqarsa va Internetga kirish imkoniga ega bo'lsa, unga o'zi foydalanmoqchi bo'lgan kriptografik himoya tizimini (EDS va shifrlash) tanlash kifoya qiladi. Mijoz sertifikatlangan "CryptoPro CSP" dasturini o'rnatishi yoki Microsoft Windows tizimiga o'rnatilgan Microsoft Base CSP tizimidan foydalanishi mumkin.
Agar mijoz katta moliyaviy aylanmaga ega bo'lgan yirik kompaniya bo'lsa, unda unga Banklararo tuzilmaning boshqa quyi tizimi - "Windows Client" tavsiya etilishi mumkin. Uning yordami bilan mijoz mustaqil ravishda elektron hujjatlar ma'lumotlar bazasini yuritadi va bank bilan aloqa seansidan foydalanmasdan o'z kompyuterida to'lov topshiriqlarini tayyorlashi mumkin. Barcha kerakli hujjatlar shakllantirilgandan so'ng, mijoz bankka telefon yoki ma'lumotlar almashinuvi uchun ajratilgan liniya orqali ulanadi.
Banklararo kompleks tomonidan ko'rsatiladigan xizmatlarning yana bir turi bu mijozni uning bank hisobvaraqlari holati, valyuta kurslari to'g'risida xabardor qilish va ovozli aloqa, faks yoki uyali telefon ekrani orqali boshqa ma'lumotnomalarni uzatishdir.
Elektron hisob-kitoblardan foydalanishning qulay usuli kompaniyaning vakolatli xodimlari tomonidan bir-biridan ancha masofada joylashgan to'lov hujjatlarini imzolashdir. Misol uchun, bosh buxgalter elektronni tayyorladi va imzoladi to'lov hujjati... Direktor hozirda boshqa shaharda yoki boshqa davlatda xizmat safarida bo'lganida, ushbu hujjatni ko'rishi, imzolashi va bankka yuborishi mumkin. Bu harakatlarning barchasini “Internet-mijoz” quyi tizimi amalga oshirishi mumkin, bu tizimga korxonaning hisobchisi va direktori internet orqali ulanadi. Ma'lumotlarni shifrlash va foydalanuvchi autentifikatsiyasi standart protokollardan biri - SSL yoki TLS orqali amalga oshiriladi.
Shunday qilib, biznesda elektron to'lovlardan foydalanish an'anaviy xizmatdan sezilarli afzalliklarni beradi. Xavfsizlikka kelsak, u bir tomondan EDS standarti (GOST 34.10-94), ikkinchi tomondan mijozning imzo kalitini saqlash uchun javobgarligi bilan ta'minlanadi. Mijoz har doim bankda ERI kalitlaridan foydalanish va saqlash bo'yicha tavsiyalar olishi mumkin va agar u ularga amal qilsa, to'lovlarning ishonchliligi kafolatlanadi.
|
| |
