Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Зарегистрирован
- Активность
Специализация
Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование
Суть резервирования в следующем.
Банк, условно, имеет 1 млрд. рублей капитала, по нормам ЦБ он может привлечь не больше 10 млрд. рублей депозитов. Если 2 млрд. капитал, то 20 млрд. депозитов и т.д.
ЦБ следит чтобы банки не падали и для этого он установил (Положение 254-П) нормы резервирования на возможные потери. Суть этих норм в следующем. Предположим банк выдал кредит. Проходит время и клиент перестает его возвращать. Риск того, что он его не вернет увеличивается с каждым днем просрочки и чем больше риск, тем больше должен быть резерв, зачастую достигая 100% от суммы кредита по «плохим» кредитам. Резервирование нужно чтобы банки не раздавали кредиты «направо-налево» с учетом того, что кредитные деньги, это деньги вкладчиков.
Касательно мирового единого центра не скажу, но в России все деньги в итоге лежат ЦБ. Смотрите, у вас есть платежная карта, деньги с которой лежат в банке-эмитенте. Свободные деньги банка-эмитента лежат на корр. счете в ЦБ. Наличные из касс банков, кроме разрешенного лимита, ежедневно передаются в ЦБ.
Содержание собственной сети банкоматов довольно дорого удовольствие, но в то же время для клиентов очень критично снимать нал. без комиссии. Поэтому некоторые банки для лояльности клиентов компенсируют клиентам комиссию за снятие в чужом банкомате. Комиссии взымаются с операции и чем больше операций тем больше комиссий. Поэтому и делают ограничение в 3000 р.
Очень нужная вещь. Сейчас перевод из Word в Habr-статью очень длительный и крайне неудобный.
К функционалу редактора и верстки хотелось бы также:
1. Возможность выделять ячейки таблиц цветов.
2. Возможность сохранить написанную статью в PDF/RTF или другом формате.
Но надо смотреть на всю картину в целом, а не только на КБР.
Да, могут.
Пока таких требований не видел.
В общем, платежная система Банка России довольно неплохо защищена, если грамотно применять защитные меры. Другое дело в том, что банки не всегда это делают, и как мне кажется основная причина в том, что до конца не осознают системность проблемы.
Данное исследование и было предпринято, как раз что бы и банки и ЦБ смогли в комплексе увидеть все нюансы безопасности.
То и другое может быть вскрыто, как путем похищения закрытых ключей, так и вмешательством в работу в самого СКЗИ.
Соответственно, применение второго СКЗИ, добавляет место откуда могут быть похищены ключи или на которое может быть оказано вредоносное воздействие.
Если оба СКЗИ работают на разных ключах, и оба выполняют и шифрование и ЭП (эшелонированная защита), то подобных проблем не будет.
В случае применения АРМ КБР-Н, такого нет. ЭП подпись выполняется на стороне АБС, а шифрование выполняется на стороне АРМ КБР-Н.
Более чем уверен, что будут банки которые это будут делать на базе одних и тех же ключей.
Но с *nix тема в том, что СКЗИ может не подойти именно под ваш *nix.
Таким образом в большинстве случаев криптография будет реализовываться внешним отношению к АБС модулем. В данном исследовании мы их называем модуль интеграции АБС-АРМ КБР. То есть то, о чем вы и сказали — «кроилово».
В данном случае незащищенный канал АБС-АРМ КБР, может поменяется на незащищенный канал АБС-модуль интеграции АБС-КБР. Плюс к этому появятся дополнительные угрозы свалянные с еще одним СКЗИ. Если раньше оно было только одно на АРМ КБР, то теперь их будет 2: АРМ КБР-Н и модуль интеграции АБС-АРМ КБР.
Конечно можно сделать все и по уму — защищая канал АБС-модуль интеграции АБС-АРМ-КБР. Все будет зависеть от конкретной реализации.
Если было бы все так хорошо, то Банк России не стал бы выпускать 552-П, но об этом в следующих сериях.
Если у клиента на руках есть выписка в виде электронного документа заверенного усиленной электронной подписью (банк не сможет изменить содержащуюся в ней инфу, в отличии от выписки в виде заверенной АСП), и в котором указано что ему на счет поступил платеж, то банк «откатить» платеж может только по согласованию с клиентом. В противном случае любой суд встанет на сторону клиента. Хотя конечно есть нюанс связанный с ошибочными платежами и требованиями ГК РФ по возврату «необоснованного обогащения».
При «межбанке», в какой-то мере даже проще, если банк-отправитель быстро очухался то платеж может быть завешен на «не выясненные» и с минимальными издержками возвращен отправителю.
А то, что банки гоняют платежи «туды-сюды», так и некоторые из них и вклады только в тетрадку записывали. Это вовсе не говорит о том, что они действуют в рамках правового поля.
Основная цель этой части дать базовые понятия, чтобы было понятно дальнейшее описание функционирования безналичных платежей, информационной инфраструктуры, угроз и атак с ними связанных.