Главная Контактная информация Карта сайта

Тел./факс: +7 (499) 237-2271
Английская версия
 


"Проблемы создания систем защищенного документооборота"

Щербаков А.Ю. - главный системотехник Департамент информационных систем Банка России, академик РАЕН, д.т.н., профессор

На современном этапе состояние банковской системы России характеризуется устойчивым ростом. Достаточно сказать, что каждый год среднее количество электронных документов, получаемых от кредитных организаций и клиентов, увеличивается на треть и тенденция роста сохраняется. Более 60%всех безналичных платежей, совершенных кредитными организациями по поручениям клиентов и собственным платежам проводится через расчетную сеть Банка России. Статистическая отчетность и сведения об отмывании доходов, доставляемые в Банк России и Комитет Финансового мониторинга также преимущественно поступают в виде электронных документов.

Основными направлениями политики Банка России является дальнейшая модернизация расчетов, совершенствование банковских технологий, внедрение новых платежных инструментов, повышение уровня обслуживания кредитных организаций и создание условий для управления ликвидностью. Решение данных задач тесно связано с созданием корпоративной системы защищенного документооборота и взаимодействие с действующими системами министерств и ведомств.

С этой целью проводится методологическая, организационная и научно-техническая работа по развитию внедрение и использование электронного документооборота, продолжается формирование оптимальной сети расчетных подразделений Банка России, совершенствуется современная автоматизированная система электронного документооборота и банковских расчетов, работающая в режиме реального времени.

В связи с вступлением в силу Федерального закона "Об электронной цифровой подписи" (статья 20) возникла необходимость внесения изменений и доработки нормативных документов, регламентирующих обмен информацией с кредитными организациями и клиентами учреждений Банка России по каналам связи как платежной, так и статической.

Федеральный закон "Об электронной цифровой подписи" предусматривает принадлежность ключа (сертификата) электронной цифровой подписи конкретному физическому лицу, в то время как по сложившейся в Банке России практике в соответствии с договором на обслуживание банковского счета электронная цифровая подпись выдается юридическому лицу - клиенту Учреждения Банка России.

Кроме того, Федеральный закон в приложении к технологии работы с ЭПД предусматривает необходимость подписания (проверки) каждого электронного документа. Данное требование предопределяет существенный рост временных затрат на обработку ЭПД (в несколько десятков раз для крупных регионов и в несколько раз для более мелких). В этом случае при сохранении прежнего количественного и качественного состава вычислительной техники неизбежно нарушение регламента обработки платежей. Однако Банка России делает в настоящее время все возможное, чтобы не допустить нарушение регламентов платежей и доставки документов.

Наряду с этим наблюдается стремительное развитие Интернет-коммерции, в которую вовлекаются коммерческие банки, организации, предприятия и физические лица.

Однако использование общедоступных сетей, в частности сети Internet, в критических банковских технологиях на сегодняшний день Банка России считает нецелесообразным, в том числе и по соображениям безопасности. Сеть Internet не является и, по нашему мнению, не сможет в обозримом будущем стать "юридическим лицом". Использование такого "посредника" в юридически значимых, например электронных платежных технологиях, при отсутствии реальных финансовых гарантий доставки сообщений представляется крайне затруднительным

Анализ показывает, что наиболее распространенными в последнее время становятся массированные атаки международных групп хакеров с целью перегрузки ресурсов, доступных в сети Internet, и отказа в обслуживании их легальных пользователей.

В процессе наиболее сильной подобной атаки на ресурсы Банка России, представленные в сети Internet, регистрировалось до нескольких тысяч одновременных запросов на доступ.

Защищенная система электронного документооборота Банка России интегрирует последние достижения российских информационных технологий и представляет развитый сервис и разнообразные информационно-телекоммуникационные услуги на различных уровнях - от транспортного до прикладного.

При ее развитии во главу угла ставится решение ряда взаимосвязанных проблем надежности и безопасности:

1. Обеспечение устойчивой бесперебойной гарантированной круглосуточной доставки и обработки платежных документов, служебной информации, внутренних распорядительных документов и статистической отчетности от территориальных учреждений Банка России, кредитных организаций и особых клиентов.

2. Обеспечение управляемости платежной системы Банка России в целом.

3. Обеспечение устойчивого интегрального информационного взаимодействия регионов с Центром (телефонная и видеоконференцсвязь, передача данных и транзитного трафика).

4. Обеспечение защищенности информации, ресурсов и сервисов платежной системы Банка России в части конфиденциальности, целостности и доступности.

Система электронного документооборота (особенно ее платежная компонента) Банка России является системообразующей компонентой экономики страны и в полной мере может быть отнесена к критичным информационным технологиям.

Исходя из этого, вопросам обеспечения надежности и безопасности в банковской платежной системе уделяется первоочередное внимание. В первую очередь, решения по обеспечению безопасности должны быть реализованы на архитектурном уровне.

Это означает, что платежная система Банка России должна проектироваться, эксплуатироваться и развиваться как выделенная корпоративная система, реализующая критичные информационные технологии. В частности, должно быть реализовано разделение платежной системы Банка России на всех уровнях ее функционирования от глобальных компьютерных сетей общего пользования.

Такая архитектура является типовой и для построения банковских систем других государств. Примером являются национальные банковские системы Германии, Австрии, Франции, США.

Основой корпоративной сети Банка России является Единая транспортная корпоративная банковская сеть (ЕТКБС), обеспечивающая телекоммуникационное взаимодействие региональных платежных и информационных систем Банка России. ЕТКБС опирается на современные высокоскоростные каналы электросвязи, в том числе и спутниковые. Безопасность транспортной сети ЕТКБС и защищенное взаимодействие между региональными автоматизированными системами банковских расчетов осуществляется с применением средств межсетевой защиты - сертифицированных межсетевых экранов. Предпочтение при создании системы безопасности ЕТКБС отдается программно-аппаратным средствам отечественной разработки. ЕТКБС физически отделена от глобальных телекоммуникационных сетей, включая Интернет.

Высокий уровень защиты банковской информации, реализуемый применением сертифицированных средств обеспечения информационной безопасности позволил полностью исключить хищение денежных средств при проведении расчетных операций через платежную систему Банка России.

Развитие корпоративной системы Банка России ни в коем случае не означает ее полной изолированности от внешних информационных ресурсов. Так постоянно поддерживается и развивается сайт Банка России в Интернет www.cbr.ru, внешним пользователям становятся доступны новые информационные ресурсы, отражающие объективные макроэкономические показатели.

Еще одной угрозой информационной безопасности, обостряющейся с использованием новых сетевых информационных технологий, являются компьютерные вирусы.

Количество регистрируемых вирусных атак, особенно со стороны сети Internet, ежегодно растет. В соответствии с нормативным документом Банка России внедрена и поддерживается жесткая система обеспечения антивирусной защиты. Мировые эпидемии сетевых компьютерных вирусов, имевшие место в последнее время, не затронули Банк России. Случаев нанесения ущерба Банку России в результате воздействия компьютерных вирусов пока удается не допускать.

Однако, анализ ситуации показывает, что новые модификации вирусов появляются все быстрее.

Ранее, 2-3 года назад компании, производящие антивирусные средства, успевали внести необходимые обновления в базы сигнатур вирусов до реального появления этих новых вирусов в нашей стране.

В последнее время уже несколько раз мы регистрировали вирусы, которые не обнаруживались при использовании самых последних версий баз сигнатур наиболее мощных отечественных антивирусных продуктов.

Организационными, техническими и иными мерами пока удается и в подобных случаях не допускать нанесения ущерба, однако мы чувствуем рост напряженности в этом направлении.

Еще одна проблема - критерии, на основании которых можно оценивать реальную защищенность банковских автоматизированных систем.

Действующие нормативные документы Гостехкомиссии России предлагают подход к обеспечению информационной безопасности и оценке ее фактического уровня.

Мировое финансовое сообщество, частью которого является Банк России, рекомендует использовать международные стандарты (например, ISO 15408).

Государственная Дума Российской Федерации, которой подотчетен Банк России, ежегодно определяет международную аудиторскую компанию, проводящую аудит Банка России в том числе, и в части обеспечения информационной безопасности. Следует отметить, что международные аудиторские компании руководствуются методиками, основанными на международных стандартах. В частности, в области информационной безопасности это ISO 15408.

Руководство Банка России, серьезно относясь к проблеме обеспечения информационной безопасности, вынуждено внимательно анализировать и взвешивать возможные финансовые затраты при обеспечении информационной безопасности.

Своими нормативными документами Банка России в сложившейся ситуации предписывает обеспечивать физическую изоляцию автоматизированных систем, обрабатывающих информацию, отнесенную к государственной тайне.

В остальных наших автоматизированных систем мы прорабатываем возможность использования подхода, предложенного в международном стандарте ISO 15408. Этот подход, наряду с международным признанием, позволяет, по нашему мнению, более оперативно и адекватно обеспечить и оценить защищенность автоматизированных систем Банка России.



Члены
Гильдии Управляющих Документацией

     

Дистанционное обучение по образовательным программам
курсов повышения квалификации
  Лицензия № 039458   Государственная аккредитация № 0210

Наши слушатели


Курсы повышения квалификации руководителей, специалистов в сфере ДОУ и электронного документооборота, секретарей-референтов 
на 2020год.
Современные технологии в работе службы ДОУ 23 - 28 ноября 2020 года
14 - 19 декабря 2020 года
Современные технологии в работе секретаря-референта, помощника руководителя
Современные технологии в работе с электронными документами


Полный перечень законодательных актов на CD
Законодательные, иные нормативные правовые акты, методические документы в сфере информации и документации до 2019 года.
Заказать