РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ПЛАСТИКОВЫХ КАРТ
Оптимальный алгоритм с точки зрения реализации (аппаратная или программная) и криптостойкости для решения задачи повышения эффективности экономической безопасности является отечественный стандарт шифрования ГОСТ 28147-89.
Однако для достижения цели организации эффективного обмена конфиденциальной информацией пластиковых карт следует руководствоваться не только понятиями целостности и конфиденциальности информации, но и качеством обработки. Последнее свойство приобретает особую важность в последнее время одновременно с созданием нормативно-правовой базы безопасности информации в нашей стране.
Принимая решение о запуске средств криптографической защиты информации, пользователи чаще всего обращаются к рекомендациям органов государственной власти и управления. Объясняется это тем, что качество информации, позволяющее обеспечить юридическую силу информационным процессам в соответствии с правовым режимом информационных ресурсов, устанавливается законодательством Российской Федерации. Следует отметить, что для обеспечения этого качества необходимо использовать сертифицированные средства защиты информации, разработанные организациями-лицензиатами, т.е. предприятиями, располагающими правом на разработку средств защиты информации. В РФ подобных предприятий насчитывается около 30.
Задачу повышения эффективности обмена информацией пластиковых карт можно успешно решить с помощью широкой номенклатуры сертифицированных программных СКЗИ разработки Московского отделения Пензенского научно-исследовательского электротехнического института (МО ПНИЭИ). Данные средства позволяют защищать электронные документы и информационные потоки с использованием механизмов шифрования и электронной подписи при использовании финансовыми организациями практически всех современных информационных технологий, в том числе телекоммуникаций в режиме онлайн.
ПНИЭИ представлены два программных модуля, реализующих процедуру шифрования файлов - исполняемый модуль шифрования и электронно-цифровой подписи (ЭЦП) VB.exe и файловый криптоменеджер FCOLSEOW.exe. Исполняемый модуль шифрования и ЭЦП СКЗИ "ВЕРБА-W/OW" Vb.exe предназначен для встраивания в системы электронной почты, банковские приложения и прикладное программное обеспечение и позволяет в автоматическом режиме при вызове из командной строки шифровать и дешифровать файлы, формировать и проверять электронную цифровую подпись файлов в соответствии с Российскими стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 28147-89. Использование исполняемого модуля Vb.exe существенно упрощает процесс встраивания динамических библиотек СКЗИ "ВЕРБА-W/OW" в прикладное программное обеспечение (ПО). Это объясняется тем, что вызов функций СКЗИ осуществляется не на прямую из библиотеки, а через исполняемый модуль, что в ряде случаев может оказаться более предпочтительным и простым.
Исполняемый модуль Vb.exe функционирует под управлением ОС Windows. Для его работы на устройствах работы с пластиковыми катами предварительно должны быть установлены библиотеки шифрования и ЭЦП СКЗИ "Верба-W/OW".
Vb.exe запускается в пакетном режиме и выполняет следующие функции:
¾ шифрование/дешифрование информации на уровне файлов;
¾ формирование ЭЦП файла;
¾ проверка ЭЦП под файлом/удаление подписи (подписей) в файле;
¾ добавление/удаление открытых ключей подписи (и шифрования для СКЗИ "Верба-OW") в справочник открытых ключей.
К числу крупнейших заказчиков исполняемого модуля Vb.exe СКЗИ "Верба-W/OW" относятся ФАПСИ, Банк России, Пенсионный Фонд России и ММВБ.
Файловый криптоменеджер FCOLSEOW.exe представляет собой приложение WIN32 API, позволяющее криптографическими методами решать задачи защиты конфиденциальной информации при ее хранении и передаче по каналам связи. Он широко применяется для криптографической защиты данных при их передаче в Пенсионный Фонд РФ. В настоящее время, уже несколько тысяч организаций по всей России используют данный файловый криптоменеджер для этих целей.
На уровне файлов FCOLSEOW.exe выполняет следующие функции:
¾ шифрование/дешифрование информации на ключе, включая имитозащиту (имитозащита обеспечивает защиту информации от случайных или преднамеренных искажений);
¾ формирование/проверка ЭЦП. ЭЦП обеспечивает подтверждение авторства и подлинности сообщения.
Файловый криптоменеджер FCOLSEOW.exe входит в состав СКЗИ "ВЕРБА-W/OW". Очевидными преимуществами исполняемого модуля Vb.exe и файлового криптоменеджера FCOLSEOW.exe являются:
¾ низкая стоимость;
¾ работа в среде операционных систем ОС Windows, испльзуемых в большинстве устройств для работы с пластиковыми картами;
¾ максимально удобный пользовательский интерфейс.
Программное обеспечение всех терминальных устройств (банкоматов, кассовых терминалов) работает в среде ОС Windows, что позволит встроить данные файловые криптоменеджеры в прикладное программное обеспечение устройств работы с пластиковыми картами, настроив соответствующую аппликацию формирования файла авторизационного запроса. Исключение составляют POS-терминалы, программное обеспечение которых не позволяет встроить файловые криптоменеджеры.
Для решения задачи встраивания предлагается реализовать следующие мероприятия:
¾ через имеющиеся на POS-терминалах порты осуществить их подключение к ЭВМ, расположенной в предприятии;
¾ в случае наличия нескольких POS-терминалов в предприятии, предварительно объединив их в локальную сеть (для минимизации материальных затрат на вычислительные ресурсы), также осуществить их подключение к ЭВМ;
¾ установить исполняемый модуль Vb.exe или файловый криптоменеджер FCOLSEOW.exe на ЭВМ предприятия;
¾ осуществлять процедуру шифрования файла авторизационного запроса на ЭВМ предприятия с последующей его передачей в банк-эквайер
В таблице 6 приведены данные по стоимости составляющих компонент файлового криптоменеджера FCOLSEOW.exe Московского отделения Пензенского научно-исследовательского электротехнического института за ноябрь 2014 года.
Таблица 6 – Ценовой лист средств криптографической защиты информации Московского отделения Пензенского научно-исследовательского электротехнического института
¾
Наименование продукта | Цена (USD) |
Автоматизированное рабочее место (АРМ) шифрования и ЭЦП -«FCOLSEOW» (Win32) | 90*n |
Автоматизированное рабочее место (АРМ) шифрования и ЭЦП -«FCOLSEOW» (Win32) (Дистрибутив с одним ключом установки) | |
Библиотеки шифрования и ЭЦП (Win 32) (Дистрибутив с п>1 ключами установки) | 60*n |
Библиотеки шифрования и ЭЦП (Win 32) (Дистрибутив с одним ключом установки) | |
Видеофильм по обучению работе со средствами шифрования «Bep6a-OW» |
Для оценки стоимости затрат на организацию эффективного обмена конфиденциальной информацией можно разобрать пример.
Банк X планирует запуск программы выпуска пластиковых карт, причем объем операций по пластиковым картам за первые два года составит 3000000 долларов США. Банк представлен пятью филиалами, каждый из которых, в свою очередь, представлен тремя ГОН, в которых установлено по 3 терминала. Общее количество терминальных устройств банка – 45 торговых терминалов. Также банк имеет 40 банкоматов.
При оценке потенциального риска из-за мошеннического использования поддельных пластиковых карт определена максимальная величина финансовых потерь - не более 1% от общего объема операций, что составит 30000 долларов США.
Конфиденциальная информация для производства поддельных карт становится известна мошенникам в результате либо кражи действительных пластиковых карт, либо перехвата при передаче по каналам связи между участниками безналичных расчетов. Исходя из практики, можно утверждать, что процентное соотношение каждого их способов составляет 50%. Соответственно, убытки, возникшие в результате мошеннического использования конфиденциальной информации пластиковых карт, полученной в результате перехвата при передаче по каналам связи, составляют 15000 долларов США.
Стоимость организации эффективного обмена конфиденциальной информацией пластиковых карт на основе ПСКЗИ:
S=Sf+Sj+So+Sd, (1)
где Sf – затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт перед передачей по каналам связи в банкоматах;
Sj – затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт перед передачей по каналам связи в
торговых терминалах;
Sо – затраты на дешифрование файла авторизационного запроса на хосте банка-эквайера (банка-эмитента);
Sd – затраты на обучение сотрудников.
Рассчитаем затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт:
S=(90+60) 40+(90+60)-3-5+150+50-5=6000+2250+150+250=8650 долларов США.
Подставив значения убытков, возникающих в результате мошеннического использования конфиденциальной информации пластиковых карт и затрат на организацию эффективного обмена данной информацией, проверим его выполнение неравенства:
8650<0,6-15000=9000 долларов США.
Время окупаемости механизма эффективного обмена конфиденциальной информацией пластиковых карт на основе ПСКЗИ составит менее года (около шести месяцев).
Согласно анализу предложений сертифицированных ПСКЗИ 30 компаний-лицензиатов, в основе которых лежит алгоритм шифрования ГОСТ 28147-89, нетрудно заметить, что ценовой разброс на данные продукты крайне незначителен. Выбор сертифицированных средств Московского отделения Пензенского научно - исследовательского электротехнического института (МО ПНИЭИ) позволит повысить экономическую безопасность использования пластиковых карт и снизить затраты на организацию эффективного обмена конфиденциальной информацией. Этого возможно благодаря низкой стоимости устанавливаемого программного обеспечения и аппаратуры по отношению к другим компаниям-лицензиатам.