Рекомендации по улучшению экономической безопасности при использовании пластиковых карт

Оптимальный алгоритм с точки зрения реализации (аппаратная или программная) и криптостойкости для решения задачи повышения эффективности экономической безопасности является отечественный стандарт шифрования ГОСТ 28147-89.

Однако для достижения цели организации эффективного обмена конфиденциальной информацией пластиковых карт следует руководствоваться не только понятиями целостности и конфиденциальности информации, но и качеством обработки. Последнее свойство приобретает особую важность в последнее время одновременно с созданием нормативно-правовой базы безопасности информации в нашей стране.

Принимая решение о запуске средств криптографической защиты информации, пользователи чаще всего обращаются к рекомендациям органов государственной власти и управления. Объясняется это тем, что качество информации, позволяющее обеспечить юридическую силу информационным процессам в соответствии с правовым режимом информационных ресурсов, устанавливается законодательством Российской Федерации. Следует отметить, что для обеспечения этого качества необходимо использовать сертифицированные средства защиты информации, разработанные организациями-лицензиатами, т.е. предприятиями, располагающими правом на разработку средств защиты информации. В РФ подобных предприятий насчитывается около 30.

Задачу повышения эффективности обмена информацией пластиковых карт можно успешно решить с помощью широкой номенклатуры сертифицированных программных СКЗИ разработки Московского отделения Пензенского научно-исследовательского электротехнического института (МО ПНИЭИ). Данные средства позволяют защищать электронные документы и информационные потоки с использованием механизмов шифрования и электронной подписи при использовании финансовыми организациями практически всех современных информационных технологий, в том числе телекоммуникаций в режиме онлайн.

ПНИЭИ представлены два программных модуля, реализующих процедуру шифрования файлов - исполняемый модуль шифрования и электронно-цифровой подписи (ЭЦП) VB.exe и файловый криптоменеджер FCOLSEOW.exe. Исполняемый модуль шифрования и ЭЦП СКЗИ "ВЕРБА-W/OW" Vb.exe предназначен для встраивания в системы электронной почты, банковские приложения и прикладное программное обеспечение и позволяет в автоматическом режиме при вызове из командной строки шифровать и дешифровать файлы, формировать и проверять электронную цифровую подпись файлов в соответствии с Российскими стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 28147-89. Использование исполняемого модуля Vb.exe существенно упрощает процесс встраивания динамических библиотек СКЗИ "ВЕРБА-W/OW" в прикладное программное обеспечение (ПО). Это объясняется тем, что вызов функций СКЗИ осуществляется не на прямую из библиотеки, а через исполняемый модуль, что в ряде случаев может оказаться более предпочтительным и простым.

Исполняемый модуль Vb.exe функционирует под управлением ОС Windows. Для его работы на устройствах работы с пластиковыми катами предварительно должны быть установлены библиотеки шифрования и ЭЦП СКЗИ "Верба-W/OW".

Vb.exe запускается в пакетном режиме и выполняет следующие функции:

¾ шифрование/дешифрование информации на уровне файлов;

¾ формирование ЭЦП файла;

¾ проверка ЭЦП под файлом/удаление подписи (подписей) в файле;

¾ добавление/удаление открытых ключей подписи (и шифрования для СКЗИ "Верба-OW") в справочник открытых ключей.

К числу крупнейших заказчиков исполняемого модуля Vb.exe СКЗИ "Верба-W/OW" относятся ФАПСИ, Банк России, Пенсионный Фонд России и ММВБ.

Файловый криптоменеджер FCOLSEOW.exe представляет собой приложение WIN32 API, позволяющее криптографическими методами решать задачи защиты конфиденциальной информации при ее хранении и передаче по каналам связи. Он широко применяется для криптографической защиты данных при их передаче в Пенсионный Фонд РФ. В настоящее время, уже несколько тысяч организаций по всей России используют данный файловый криптоменеджер для этих целей.

На уровне файлов FCOLSEOW.exe выполняет следующие функции:

¾ шифрование/дешифрование информации на ключе, включая имитозащиту (имитозащита обеспечивает защиту информации от случайных или преднамеренных искажений);

¾ формирование/проверка ЭЦП. ЭЦП обеспечивает подтверждение авторства и подлинности сообщения.

Файловый криптоменеджер FCOLSEOW.exe входит в состав СКЗИ "ВЕРБА-W/OW". Очевидными преимуществами исполняемого модуля Vb.exe и файлового криптоменеджера FCOLSEOW.exe являются:

¾ низкая стоимость;

¾ работа в среде операционных систем ОС Windows, испльзуемых в большинстве устройств для работы с пластиковыми картами;

¾ максимально удобный пользовательский интерфейс.

Программное обеспечение всех терминальных устройств (банкоматов, кассовых терминалов) работает в среде ОС Windows, что позволит встроить данные файловые криптоменеджеры в прикладное программное обеспечение устройств работы с пластиковыми картами, настроив соответствующую аппликацию формирования файла авторизационного запроса. Исключение составляют POS-терминалы, программное обеспечение которых не позволяет встроить файловые криптоменеджеры.

Для решения задачи встраивания предлагается реализовать следующие мероприятия:

¾ через имеющиеся на POS-терминалах порты осуществить их подключение к ЭВМ, расположенной в предприятии;

¾ в случае наличия нескольких POS-терминалов в предприятии, предварительно объединив их в локальную сеть (для минимизации материальных затрат на вычислительные ресурсы), также осуществить их подключение к ЭВМ;

¾ установить исполняемый модуль Vb.exe или файловый криптоменеджер FCOLSEOW.exe на ЭВМ предприятия;

¾ осуществлять процедуру шифрования файла авторизационного запроса на ЭВМ предприятия с последующей его передачей в банк-эквайер

В таблице 6 приведены данные по стоимости составляющих компонент файлового криптоменеджера FCOLSEOW.exe Московского отделения Пензенского научно-исследовательского электротехнического института за ноябрь 2014 года.

Таблица 6 – Ценовой лист средств криптографической защиты информации Московского отделения Пензенского научно-исследовательского электротехнического института

¾

Наименование продукта Цена (USD)
Автоматизированное рабочее место (АРМ) шифрования и ЭЦП -«FCOLSEOW» (Win32) 90*n
Автоматизированное рабочее место (АРМ) шифрования и ЭЦП -«FCOLSEOW» (Win32) (Дистрибутив с одним ключом установки)
Библиотеки шифрования и ЭЦП (Win 32) (Дистрибутив с п>1 ключами установки) 60*n
Библиотеки шифрования и ЭЦП (Win 32) (Дистрибутив с одним ключом установки)
Видеофильм по обучению работе со средствами шифрования «Bep6a-OW»

Для оценки стоимости затрат на организацию эффективного обмена конфиденциальной информацией можно разобрать пример.

Банк X планирует запуск программы выпуска пластиковых карт, причем объем операций по пластиковым картам за первые два года составит 3000000 долларов США. Банк представлен пятью филиалами, каждый из которых, в свою очередь, представлен тремя ГОН, в которых установлено по 3 терминала. Общее количество терминальных устройств банка – 45 торговых терминалов. Также банк имеет 40 банкоматов.

При оценке потенциального риска из-за мошеннического использования поддельных пластиковых карт определена максимальная величина финансовых потерь - не более 1% от общего объема операций, что составит 30000 долларов США.

Конфиденциальная информация для производства поддельных карт становится известна мошенникам в результате либо кражи действительных пластиковых карт, либо перехвата при передаче по каналам связи между участниками безналичных расчетов. Исходя из практики, можно утверждать, что процентное соотношение каждого их способов составляет 50%. Соответственно, убытки, возникшие в результате мошеннического использования конфиденциальной информации пластиковых карт, полученной в результате перехвата при передаче по каналам связи, составляют 15000 долларов США.

Стоимость организации эффективного обмена конфиденциальной информацией пластиковых карт на основе ПСКЗИ:

S=Sf+Sj+So+Sd, (1)

где Sf – затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт перед передачей по каналам связи в банкоматах;

Sj – затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт перед передачей по каналам связи в

торговых терминалах;

Sо – затраты на дешифрование файла авторизационного запроса на хосте банка-эквайера (банка-эмитента);

Sd – затраты на обучение сотрудников.

Рассчитаем затраты на организацию эффективного обмена конфиденциальной информацией пластиковых карт:

S=(90+60) 40+(90+60)-3-5+150+50-5=6000+2250+150+250=8650 долларов США.

Подставив значения убытков, возникающих в результате мошеннического использования конфиденциальной информации пластиковых карт и затрат на организацию эффективного обмена данной информацией, проверим его выполнение неравенства:

8650<0,6-15000=9000 долларов США.

Время окупаемости механизма эффективного обмена конфиденциальной информацией пластиковых карт на основе ПСКЗИ составит менее года (около шести месяцев).

Согласно анализу предложений сертифицированных ПСКЗИ 30 компаний-лицензиатов, в основе которых лежит алгоритм шифрования ГОСТ 28147-89, нетрудно заметить, что ценовой разброс на данные продукты крайне незначителен. Выбор сертифицированных средств Московского отделения Пензенского научно - исследовательского электротехнического института (МО ПНИЭИ) позволит повысить экономическую безопасность использования пластиковых карт и снизить затраты на организацию эффективного обмена конфиденциальной информацией. Этого возможно благодаря низкой стоимости устанавливаемого программного обеспечения и аппаратуры по отношению к другим компаниям-лицензиатам.

Наши рекомендации