• переносимость (установка не требует больших мощностей и затрат);
• простота (САТ позволяет учиться навыку тестирования без серьезной подготовки).
Список литературы
1. Федеральный закон от 09.02.2007 № 16-ФЗ (ред. от 06.07.2016) «О транспортной безопасности», 23 с.
2. Официальный сайт ФГУП «ЗащитаИнфоТранс». [Электронный ресурс]. Режим доступа: http://www.z-it.ru/projects/egis-otb/obshhie-svedeniya-o-egis-otb-i-aczbpdp/ (дата обращения: 30.05.2018).
СОВРЕМЕННЫЕ СРЕДСТВА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ БАНКОВСКОЙ ОТЧЕТНОСТИ ДЛЯ ОТПРАВКИ В СЛУЖБЫ ФИНАНСОВОГО МОНИТОРИНГА Хорунжина К.С.
Хорунжина Кристина Сергеевна - магистрант, направление: информатика и вычислительная техника, кафедра компьютерных систем и сетей, Московский государственный технический университет им. Н.Э. Баумана, г. Москва
Аннотация: в настоящее время с развитием в России законодательства в рамках противодействия отмыванию денежных средств и финансирования терроризма растет необходимость в ускорении процесса обработки отчетности, присылаемой кредитными организациями. Но такая документация должна передаваться в федеральные органы без искажений в исходном виде, как она есть. Для этого рассмотрим в данной статье возможности и сервисы безопасной передачи такой отчетности в уполномоченные органы, особенности механизма электронной цифровой подписи и ее достоинства. Ключевые слова: финансовый терроризм, криптографическая защита, ЭЦП.
Эффективность работы российской системы ПОД/ФТ осуществляет Федеральная служба по финансовому мониторингу (Росфинмониторинг). Данный надзорный орган является федеральной службой, осуществляющей функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, устранению угроз национальной безопасности, возникающих в результате легализации (отмывания) и выработке мер для их устранения.
Согласно Федеральному закону №115-Ф3 от 7.08.01 «О противодействии отмыванию прибылей, получаемых незаконным путем и финансированию терроризма» коммерческие организации обязаны отправлять отчеты по всем банковским операциям или операциям, связанным с иным имуществом. Данная документация приходит в Росфинмониторинг в виде электронных сообщений, подписанных электронной квалифицированной подписью.
Существует множество программных продуктов для шифрования данных, но остановимся на системе разработанной московским отделением Пензенского исследовательского института, имеющей в своем арсенале реализацию системы ЭЦП.
Систему криптографической защиты информации (СКЗИ) «Верба» можно использовать для защиты персональных данных при передаче отчетности банками в уполномоченные органы. Шифрование информации позволит уберечь документ от прочтения третьими лицами и злоумышленниками.
СКЗИ «Верба» сертифицирована РОСС RU 0001.030001 от 15.11.93 г. в соответствии с утвержденной Госстандартом Системой сертификации средств криптографической защиты информации. Она может работать как самостоятельная программа, так и встраиваемым модулем и функционирует в различных операционных системах, включая Windows.
На данный момент семейство программно-аппаратных СКЗИ «Верба» реализует следующие задачи:
• шифрование / дешифрование информации на уровне файлов, блоков данных;
• генерация ключей шифрования и ключей электронной цифровой подписи (ЭЦП);
• проверка ЭЦП;
• обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию [1].
В СКЗИ «Верба» используется алгоритм шифрования, соответствующий ГОСТ 28147-89, ЭЦП соответствует ГОСТ Р 34.10-94, функция хеширования удовлетворяет требованиям ГОСТ Р 34.1194, процедура выработки имитовставки, необходимая для контроля целостности и подлинности справочников открытых ключей, определяется ГОСТ 28147-89.
Из выше сказанного следует, что система ЭЦП в СКЗИ «Верба» включает методы криптографической защиты данных с использованием хэш-функции. В СКЗИ «Верба» уполномоченный пользователь самостоятельно формирует личный секретный и открытый ключ (применяется механизм открытого распределения ключей), которые потом заносятся в справочник открытых ключей подписи пользователей сети.
Документ, заверенный ЭЦП, «сжимается» с помощью функции хеширования. Хэш-функция на входе имеет исходное сообщение произвольной длины и преобразует его в хэш-значение фиксированной длины (256 бит) [2]. В зависимости от документа, меняется и сама хэш-функции, то есть любое изменение в тексе-повлияет на хэш-функцию, но с ее помощью придти к документу, до преобразования, не получится. Такой подход обеспечивает высокую криптостойкость, потому что хэш-значения двух 256-битовых документов могут совпасть только в одном из 2256 (1077) случаев. С помощью математических преобразований и хэш-функции получается уже ЭЦП [3].
Получатель документа, подписанного ЭЦП, должен иметь открытый ключ отправителя для проверки пришедшего файла на подлинность. В подлинности открытого ключа получатель должен быть уверен на 100%. Проверка подлинности заключается в вычислении, а потом сравнении вычисленного хэш-значения документа, подписи и открытого ключа отправителя. Если это соотношение не выполняется, то документ считается недействительным.
В некоторых случаях эту передачу документа может сопровождать третье лицо(арбитр), который помогает разрешать конфликтные и спорные моменты при искажении пересылаемого документа или открытого ключа проверки подписи. Арбитр обладает достоверной копией открытого ключа, но при этом все действия с документом и данными в нем у третьей стороны отсутствуют. Передаваемая информация выглядит как последовательность двоичных чисел.
Система криптографической защиты информации (СКЗИ) «Верба», способная легко встраиваться в любое программное оборудование, может поспособствовать быстрому обмену и расследованию легализации доходов, полученных преступным путем. Данная система уже успешно применяется в системе защиты информации Московской межбанковской валютной биржи (ММВБ), Государственной налоговой инспекции (ГНИ), Депозитарно-Клиринговая Компания (ДКК), Сбербанк РФ. В настоящее время многие организации и учреждения стремятся полностью перейти на систему электронного документооборота, призванный снизить временные затраты на получение тех или иных документов. В банковской сфере время на обработку таких документов имеет большое значение. Поступление отчетности, сертифицированной ЭЦП в уполномоченные органы в кратчайшие сроки после совершения незаконной операции, напрямую скажется на скорости обработки документации и времени обнаружения нарушителя в рамках закона ПОД/ФТ.
Список литературы
1. Короткий Станислав. Улучшение безопасности автоматизированных комплексов // [Электронный ресурс]. Режим доступа: http://pmn.narod.ru/secur/jgurnal/bpv.htm/ (дата обращения: 02.02.2018).
2. Салий В.Н. Средства криптографической защиты информации // Изв. АН, 1998. № 2. С. 71.
3. Домашев А.В., Грунтович М.М., Попов В.О. Программирование алгоритмов защиты информации. И.: Нолидж, 2011. 58-71 с.