Для разработки схемы взаимодействия необходимо руководствоваться следующими документами:
- ЦБРФ.61209-049301«Руководством по обеспечению информационной безопасности»;
- ЦБРФ.61209-049201 «Автоматизированное рабочее место клиента Банка России. Руководство пользователя»;
- ЦБРФ.61209-049202 «Автоматизированное рабочее место клиента Банка России. Руководство администратора»;
- ВАМБ.00106-019301 «СКАД «Сигнатура» версия 5. «Сигнатура-клиент» версия 5. Руководство администратора информационной безопасности».
АРМ КБР/ АРМ КБР СПФС – это специализированное программное обеспечение работников банков или крупных государственных организаций для подготовки и отправки финансовых сообщений в платежный контур центрального банка. Данное ПО позволяет проставлять электронную подпись на финансовые документы, проводить проверку и расшифровку электронных сообщений, поступивших из Банка России. В своей работе АРМ КБР/ АРМ КБР СПФС использует формат финансовых документов УФЭБС. Типы сообщений бывают как платежные сообщения, так и информационные (создание тестового сообщения, запрос технической информации и тд).
Для обработки электронное сообщение должно быть преобразовано в УФЭБС на АРМ КБР или преобразовано в АБС клиента и отправлено на АРМ КБР.
Электронные сообщения при работе в ручном режиме помещаются в каталог АРМ КБР c://uarm3/exg/cli. Встроенный компонент «Входной контроль» выполяет анализ поступившего ЭС. Если сообщение успешно прошло валидацию, то оно попадает во вкладку «введеные», если сообщение не прошло валидацию, то оно попадает во вкладку «Забракованное». При работе в автоматическом режиме сообщение попадает в выходную папку.
После помещения во вкладку «введеные» данному сообщению проставляется закрытый код и код аутентификации (электронная подпись директора и контролера), после успешного подписания сообщение помещается в папку c://uarm3/exg/apr и ожидают сигнала для дальнейшей отправки в платежной контур платежной системы Банка России. Подготовленные документы для обмена перемещаются из папки c://uarm3/exg/apr в папку c://uarm3/exg/out для выполнения отправки. Помещенные ЭС в папку exg\out отправляются через протокол HTTP (внутри выделенного канала VPN), аутентификация выполняется с помощью пары «логин-пароль».
Принятые сообщения из контура платежной системы принимаются в папку c://uarm3/exg/inc, после принятия сообщения выполняется проверка КА и ЗК подписи. При успешной проверки распакованное сообщение попадает в папку c://uarm3/exg/chk.
Если используется собственная АБС в банке, то принятое электронное сообщение расшифровывается транспортной подписью и перекодируется из base64. Открытое сообщение в открытом виде передается в АБС, где на его основании формируются бухгалтерские проводки, изменяющие остатки на счетах.
В процессе работы АРМ КБР ведет логирование своей работы , и в случае возникновения критической ситуации или сбоя программы она немедленно сообщает это администратору информационной безопасности.
В случаи выхода из строя канала связи предусмотрена доставка электронных сообщений на ОМНИ (отчуждаемый машинный носитель информации) с помощью курьера. Работа АРМ КБР/ АРМ КБР СПФС представлена на рисунке
Для ввода АРМ КБР/ АРМ КБР СПФС в локальную вычислительную сеть предприятия необходимо организовать и обеспечить защищённое подключение ПК АРМ КБР в ЛВС клиента, предполагающее отсутствие технической возможности доступа к ПК АРМ КБР из внешних, по отношению к ЛВС клиента, сетей, в том числе из сети Интернет.
Для решения указанной задачи необходимо обеспечить:
- защиту ЛВС клиента от сетевых атак из внешних сетей, в том числе из сети Интернет, путём применения межсетевого экрана, который должен осуществлять фильтрацию сетевого графика и соответствовать требованиям руководящего документа ФСТЭК России «Средства вычислительной техники, Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» по 4 классу защищённости;
- реализацию таких схем конфигурирования ПК АРМ КБР, при которых обеспечивается невозможность вброса данных в обход заданного технологического цикла обработки данных.
Созданные файлы разработанным модулем будут помещаться в папку cli, если сообщение собственного формата, то в папку ed501in.
Разрабатываемый модуль передатчик «ПС БР» может работать как на АРМ КБР, так и на дополнительном изолированном АРМ.
Дополнительная защита от НСД обеспечивается прямым VPN соединением между организацией и ЦБ РФ. IP адреса организации используют те, которые выделяет ЦБ РФ для конкретной организации.
