Банковское дело (часть 4): взаимодействия банка с Банком России
Продолжим информационный цикл статей про банковское дело. Сегодня погрузимся снова в банки РФ, но более детально, а именно в IT-инфраструктуру платежного взаимодействия банка с Банком России. (ознакомиться с третьей частью банковского дела изнутри вы можете здесь).
Мы будем рассматривать на примере исполнения платежа, отправляемого в адрес клиента другого банка.
Вначале клиент должен передать в банк платежное поручение. Сделать это он может двумя способами:
- Явиться лично в отделение банка и передать заверенное платежное распоряжение на бумажном носителе
- Направить платежное распоряжение через систему ДБО ИКБ.
Тут важно отметить, что системы ДБО ИКБ — это лишь системы, обеспечивающие юридически значимый электронный документооборот между клиентом и банком, самостоятельно они платежи не проводят. Именно поэтому, когда клиент открывает расчетный счет в банке, он обычно заключает два договора. Первый — договор обслуживания банковского счета, второй — договор на осуществление электронного документооборота с помощью системы ДБО ИКБ. Если второй договор заключен не будет, то клиент все равно сможет пользоваться своим счетом, но только при личном визите.
Если клиент передал платежное поручение на бумажном носителе, то работник банка на его основании делает электронное платежное поручение в АБС. Если распоряжение было подано через ДБО ИКБ, то через модуль интеграции оно попадает в АБС автоматически.
Попав в АБС, платежное поручение в соответствии с внутренними регламентами банка проходит контроль и передается для исполнения в платежную систему Банка России.
Технические средства (программное обеспечение), используемые для взаимодействия с платежной системой Банка России могут варьироваться в зависимости от территориального учреждения Банка России, обслуживающего корреспондентский счет банка.
Банковское обслуживание в Московском регионе использует следующее ПО:
- АРМ КБР – автоматизированное рабочее место клиента Банка России;
- УТА – специальное программное обеспечение файлового взаимодействия клиента Банка России (универсальный транспортный адаптер);
- СКАД Сигнатура — средство криптографической защиты информации (СКЗИ) «Аппаратно-программный комплекс Сигнатура-клиент» версия 5, сертификаты ФСБ России – СФ/114-2680 (уровень криптозащиты КС1), для уровня криптозащиты КС2 – СФ/124-2681 (уровень криптозащиты КС2). СКАД расшифровывается как система криптографической аутентификации документов;
- АРМ КБР – это ПО, с помощью которого уполномоченные работники банка осуществляют шифрование и электронную подпись исходящих платежных документов, а также расшифровку и проверку электронной подписи платежных документов, поступающих из Банка России. Но, если быть более точным, то АРМ КБР в своей работе оперирует не платежными документами, а электронными сообщениями (ЭС), которые бывают двух типов:
- электронные платежные сообщения (ЭПС), например, ED101 «Платежное поручение»;
- электронные служебно-информационные сообщения (ЭСИС), например, ED201 «Извещение о результатах контроля ЭС»
Объясню разницу:
С помощью MT101 компания дает указание своему финансовому учреждению отправить сообщение о переводе средств от своего имени. С другой стороны, MT 103 находится между двумя финансовыми учреждениями и может быть, например, исполнением того, что было поручено с помощью этого MT101.
Не забывайте, что даже факт того что они находятся в сети SWIFT, не означает, что предприятия могут отправлять и получать любые сообщения MT с кем угодно. Типы и контрагенты сообщений, которыми они обмениваются, на самом деле очень ограничены. Они могут дать указание своим финансовым учреждениям отправлять сообщения о переводе средств от их имени, но сами они не могут отправлять сообщения MT103 в другие банки. MT103 всегда находится между двумя финансовыми учреждениями. Поэтому в первую очередь существует МТ101.
Проще говоря MT101 это платёжка, а MT-103 это начало процесса исполнения платёжки между банками
Для того чтобы АРМ КБР мог обработать платеж, он должен быть преобразован в файл, содержащий электронное платежное сообщение формата УФЭБС. За подобное преобразование отвечает модуль интеграции АБС с платежной системой Банка России. С технической точки зрения подобные преобразования довольно просты, поскольку формат УФЭБС основан на XML.
Файлы электронных сообщений покидают модуль интеграции АБС в открытом виде и помещаются в специальную папку файловой системы (обычно это сетевая папка), которая настроена в АРМ КБР для электронных сообщений, имеющих статус «Введенные».
Затем в процессе обработки электронные сообщения меняют свои статусы на «Контролируемые», «Отправленные» и т. д., что технически реализуется путем перемещения файла с электронным сообщением в соответствующие папки, которые настроены в АРМ КБР.
В определенный момент технологической обработки (установленный внутренними регламентами банка) исходящих электронных сообщений они шифруются и подписываются электронной подписью с помощью СКАД Сигнатура и шифруется с помощью криптографических ключей ответственными за это работниками.
Немного о СКАД Сигантура
СКАД Сигнатура — это СКЗИ, (средство криптографической защиты информации.) разработанное компанией ООО «Валидата» по заказу Банка России и предназначенное для защиты информации в платежной системе Банка России. Данного СКЗИ нет в открытом доступе (кроме документации, размещенной на сайте ЦБ РФ), и оно распространяется Банком России только среди участников его платежной системы. К отличительным особенностям данного СКЗИ можно отнести:
Данное СКЗИ, в отличие от других распространенных в деловых кругах России СКЗИ (например, как Крипто-ПРО CSP, VIPNET CSP и др.), реализует собственную, изолированную от операционной системы инфраструктуру открытых ключей (PKI). Это проявляется в том, что справочник открытых ключей, содержащий сертификаты, список доверенных сертификатов, список отозванных сертификатов, и т. д. криптографически защищен на закрытом ключе пользователя, что не позволяет злоумышленнику внести в него изменения, например, установить доверенный сертификат без ведома пользователя.
Примечание. СКЗИ Верба-OW реализует схожую ключевую модель.
Следующая особенность вытекает из предыдущей. В СКЗИ для того, чтобы сделать рабочие ключи, необходимо сначала создать справочник сертификатов с помощью специальных ключей регистрации. По истечении срока действия рабочих ключей генерируются новые, но для того, чтобы их сгенерировать, нужно обладать действующими предыдущими рабочими ключами. Ключи создаются по децентрализованной схеме с Банком России в качестве Центра Сертификации.
СКЗИ поддерживает работу с функционально-ключевыми носителями (vdToken), выполняющими функции электронной подписи и шифрования у себя на борту, без передачи закрытых ключей в память ЭВМ.
О криптографических ключах
Криптографические ключи, используемые для взаимодействия с платежной системой Банка России, бывают двух видов:
- «Только шифрование» – позволяют зашифровывать / расшифровывать электронные сообщения.
- «Шифрование и подпись» – делают то же самое, что и в первом случае, а также позволяют подписывать электронные сообщения.
Как передаются электронные сообщения между банком и Банком России
Зашифрованные и подписанные электронные сообщения помещаются в специальную папку, на схеме это «Папка 3». УТА непрерывно мониторит эту папку и, если он видит там новые файлы, передает их в ЦБ РФ одним из следующих способов.
Однако следует отметить, что все электронные сообщения, с которыми работает УТА, зашифрованы и подписаны электронной подписью.
Получив зашифрованное электронное сообщение, УТА перекладывает его в папку с входящими зашифрованными сообщениями. Уполномоченный работник с помощью своих криптоключей и АРМ КБР проверяет электронную подпись и расшифровывает сообщение:
- «По Интернет», хотя на самом деле это не совсем так. Вместо интернета используется специализированный оператор связи, предоставляющий выделенные каналы связи до ЦБ РФ, но поскольку сеть IP-адресуемая то говорят, что отправка идет через Интернет.
- «По модему». На случай аварии первого вида связи есть резерв в виде модемного соединения по телефонной сети общего пользования.
- На случай выхода из строя всех каналов связи предусмотрена доставка электронных сообщений на ОМНИ (отчуждаемый машинный носитель информации) с помощью курьера. Кстати говоря, это один из способов, с помощью которого банки с отозванной лицензией проводят платежи во время своей ликвидации.
Достучавшись до ЦБ (первым или вторым способом), УТА передает электронные сообщения через публикуемый ЦБ API. Во время сеансов связи УТА также получает из ЦБ входные электронные сообщения.
Следует отметить, что все электронные сообщения, с которыми работает УТА, зашифрованы и подписаны электронной подписью.
Получив зашифрованное электронное сообщение, УТА перекладывает его в папку с входящими зашифрованными сообщениями. Уполномоченный работник с помощью своих криптоключей и АРМ КБР проверяет электронную подпись и расшифровывает сообщение.
Далее обработка производится в зависимости от типа электронного сообщения. Если это платежное сообщение, то оно через модуль интеграции передается в АБС, где на его основании формируются бухгалтерские проводки, изменяющие остатки на счетах. Важно отметить, что при взаимодействии АБС (модуля интеграции) и АРМ КБР используются файлы стандартного формата в открытом виде.
В процессе функционирования АРМ КБР ведет журнал своей работы, который может быть реализован в виде текстовых файлов или с помощью БД, работающих под управлением СУБД.
Автор: Кирилл Руддин, аналитик Freedman Сlub Crypto News
