Обеспечение целостности, конфиденциальности платежных документов при осуществлении электронных расчетов через платежную систему Банка России

Чернышов Д.В.
выпускник группы MBA CIO
Школа IT-менеджмента
РАНХиГС при Президенте РФ

На сегодняшний день основным средством осуществления банковских переводов юридических лиц является платежная система Банка России. Доля безналичных расчетов, осуществляемых через платежную систему Банка России, в общей доле национальной платежной системы достигает 60% по объему и 40% по количеству платежей. Основными клиентами платежной системы Банка России являются кредитные организации и органы федерального казначейства. Средством осуществления безналичных расчетов через систему электронных расчетов является электронный платежный документ (ЭПД), заверенный электронной подписью (ЭП) составителя.

С момента поступления ЭПД в платежную систему, Банк России возлагает на себя следующие юридически оформленные обязательства:
• обеспечение целостности и конфиденциальности электронного платежного документа;
• обеспечение правомерности списания и зачисления денежных средств.

Риски, связанные с возможной реализацией угрозы, по искажению реквизитов электронного платежного документа, в результате злонамеренных или ошибочных действий персонала БР, осуществляющего обработку платежных документов трудно недооценить. Достаточно «подправить» всего один платеж из потока денежных средств проходящих через систему электронных расчетов и кредитная организация может остаться без ликвидности, а районная больница без бюджетного финансирования.

Что же произойдет при осуществлении данного рода угрозы?
Во-первых, это прямые денежные потери клиента Банка России - при этом стоимость потерь равна сумме платежного документа. Во-вторых, это потеря имиджа Банка России как гаранта обеспечения стабильности платежной системы.

Какие предпринять действия, чтобы минимизировать риски реализации вышеописанных угроз?
Ответ на этот вопрос очевиден - необходимо реализовать эффективный механизм защиты платежной информации от преднамеренных или ошибочных искажений во время их обработки в платежной системе Банка России.

Основным инструментом, применяемым для обеспечения целостности платежных документов в электронной форме является ЭП. Кроме обеспечения целостности, ЭП несет в себе функцию аутентичности, которая позволяет достоверно определить автора электронного документа – лицо ответственное за его содержание.

Юридически использование ЭП для обеспечения целостности и аутентичности ЭД закреплено в договоре между клиентом - участником системы электронных расчетов и УБР, предоставляющим сервисы электронных расчетов. Исходя из договорных отношений, стороны признают юридическую силу ЭПД, подписанных ЭП (при положительном результате проверки ЭП), равной юридической силе документов на бумажном носителе, оформленных в соответствии с требованиями законодательства.
Но является ли использование ЭП гарантией обеспечения целостности ЭПД, на всех стадиях его жизненного цикла?

Рассмотрим формы платежного документа, который он может принимать в процессе автоматизированной обработки.

Изначально платежный документ – это лист бумаги, содержащий реквизиты платежа, заверенный подписями лиц, его создавших. После ввода реквизитов документа с бумажного носителя в автоматизированную систему, платежный документ начинает свое существование в виде некого электронного образа документа, который может быть представлен в различных формах:
ЭПД определенного формата
ЭПД в составе пакета определенного формата
Запись в базе данных
Электронное сообщение (блок данных, в определенном формате)
Документо - строка в текстовом файле
Печатная форма.
Что же происходит с документом в процессе обработки?

После выполнения процедуры проверки подлинности, ЭП на ЭПД поступившем в обработку, снимается. А после обработки – ставится ЭП обрабатывающего учреждения. Почему же так происходит? Первая причина – в процессе обработки ЭП приходится снимать, так как изменение формы платежного документа приведет к отрицательному результату ее проверки. Вторая причина – организация ключевой системы. Как правило – звезда. Участники системы электронных расчетов знают ЭП только обрабатывающего центра.

За содержание документа, направленного в систему обработки несет ответственность составитель, а за неизменность его содержания в процессе обработки – обрабатывающий центр. Таким образом технологию совершения электронных расчетов можно рассматривать как цепочку передачи ответственности за содержание электронного документа между взаимодействующими субъектами.

Задачей обеспечения целостности является не допустить или обнаружить изменения содержания электронного документа при изменении его формы. Для этого необходимо реализовать пореквизитный контроль документа прошедшего обработку, с документом, целостность которого подтверждена ЭП составителя, направившего документ в обработку.

Существуют два способа проведения пореквизитного контроля - визуальный контроль ответственным исполнителем контура контроля (контролером) и контроль посредством автоматизированного процесса. При осуществлении контроля первым способом контролер осуществляет сверку поступивших в систему обработки и исходящих из системы обработки ЭПД, на экране или на распечатке. Этот способ прост в реализации, но имеет очень много отрицательных моментов. Самый главный – это физическая невозможность его осуществления при значительном объеме документооборота. Например, для двадцати исходящих документов количество выверяемых реквизитов приближается к цифре 600.

Единственным способом выверки документов в наших условиях является осуществление пореквизитного контроля посредством автоматизированного процесса.
Автоматизированный процесс выполняет следующие функции:
• Формирование проекции эталонной базы – таблицы, в которой хранятся в защищенном виде считанные из входящих потоков реквизиты ЭПД.
• Выверку реквизитов исходящих документов с проекцией эталонной базы.
• Выверку печатных форм электронных платежных документов.
• Контроль на дублирование исходящих документов.

Как процесс независимый, по отношению к процессу обработки, контур контроля позволяет контролировать качество обработки платежной информации. Например, выявлять следующие нарушения технологии обработки платежных документов:
• ввод в систему обработки дубликатов платежных документов;
• неполную обработку документов, поступивших в систему обработки;
ошибки ПО, приводящие к некорректному формированию исходящих документов и т.д.
Таким образом, для обеспечения целостности платежного документа на всех стадиях его жизненного цикла необходима реализация контура контроля у всех участников системы электронных расчетов Банка России.