арм кбр спфс что это
Разработка модуля создания финансовых сообщений для АРМ КБР/ АРМ КБР-СПФС
Это моя первая небольшая статья про небольшую разработку финансовой программы, прошу строго не судить.
Поскольку не все государственные компании реализовали у себя обмен финансовыми сообщениями через систему передачи финансовых сообщений ЦБ РФ, то мне захотелось самому разобрать и создать небольшой рабочий прототип.
Система передачи финансовых сообщений Банка России (СПФС) — это альтернативный канал передачи электронных сообщений по финансовым операциям. СПФС гарантирует бесперебойность передачи финансовых сообщений внутри страны.
Подключение кредитных организаций и их клиентов — юридических лиц к СПФС происходит по мере их технической готовности и установления договорных отношений с Банком России. Процедурные аспекты определены отдельным нормативным актом Банка России.
Для разработки сетевой схемы взаимодействия необходимо руководствоваться следующими документами:
АРМ КБР/ АРМ КБР СПФС – это специализированное программное обеспечение работников банков или крупных государственных организаций для подготовки и отправки финансовых сообщений в платежный контур центрального банка. Данное ПО позволяет проставлять электронную подпись на финансовые документы, проводить проверку и расшифровку электронных сообщений, поступивших из Банка России. В своей работе АРМ КБР/ АРМ КБР СПФС использует формат финансовых документов УФЭБС. Типы сообщений бывают как платежные сообщения, так и информационные (создание тестового сообщения, запрос технической информации и тд).
Для обработки электронное сообщение должно быть преобразовано в УФЭБС на АРМ КБР или преобразовано в АБС клиента и отправлено на АРМ КБР.
Электронные сообщения при работе в ручном режиме помещаются в каталог АРМ КБР c://uarm3/exg/cli. Встроенный компонент «Входной контроль» выполяет анализ поступившего ЭС. Если сообщение успешно прошло валидацию, то оно попадает во вкладку «введены», если сообщение не прошло валидацию, то оно попадает во вкладку «Забракованное». При работе в автоматическом режиме сообщение попадает в выходную папку.
В рамках разработки удалось реализовать следующий функционал:
Глобальные настройки подключения к БД я установлю в файле app.config. Доступ к глобальным настройкам будет происходить через СonfigurationManager и вызов функции ReadSetting, обновление через функцию AddUpdateAppSettings.
Счётчик сообщений (ed501, ed101) в течение операционного дня (текущего дня) также будет задан через глобальные настройки:
Если текущий операционной день поменялся, то происходит обнуление счётчика и первому ЭС присваивается номер 1.
Подключение к БД будет осуществлять по TCP соединению и 1433 порту. Для работы с MS SQL я буду использовать Microsoft SQL Server Management studio 2018.
Для отображения созданных и принятых электронных сообщений за текущий день/все дни необходимо создать экранную форму (DataGrid).
Форма 1 будет формироваться в классе Form1.cs. Для сохранения платёжного поручения в специализированный формат необходимо разработать глобальные настройки сохранения. Настройки сохранения будут формироваться в классе settings.cs.
Для создания платёжного поручения (форма 0401060 согласно Приложению 2 Положения Банка России от 19 июня 2012 года № 383-П «О правилах осуществления перевода денежных средств» (в редакции Указаний Банка России от 15.07.2013 № 3025-У, от 29.04.2014 № 3248-У, от 19.05.2015 № 3641-У, от 06.11.2015 N 3844-У, от 05.07.2017 N 4449-У и от 11.10.2018 N 4930-У)) необходимо разработать специальный пользовательский интерфейс и механизм автоматического формирования некоторых полей.
Пользовательский интерфейс формы №0401060 представлен ниже:
Данная форма является основным функционалом системы, после создания платёжного поручения его реквизиты можно передать в БД, сформировать PDF документ, отправить на печать, сохранить в соответствующий формат (ed101, ed501, MT101). Форма формируется в классе Form2.cs и используя класс pp.cs для создания нового экземпляра класса CreatePP, значения полей будет заполняться через модификатор доступа get и set. Для каждого поля ПП присвоен соответствующее название P1-P110 c модификатором доступа public и переменные p1-110 с модификатором доступа private.
Фрагмент кода приведён ниже:
Если при сохранении были заполнены не все поля, то программа выделяет пустые поля красным цветом.
Фрагмент кода для проверки поля:
После вызова функции «create_pdf» будет формироваться pdf документ с заполненными полями
В функцию «create_pdf» в качестве параметров будут передаваться значения полей, c помощью fields. SetField данные значения будут проставляться в PDF документ.
Фрагмент кода приведён ниже:
Большинство полей автоматизированы и не требуют участие пользователя.
Автоматически формируется сумма пропью (согласно требованиям ЦБ), подтягивается банк плательщик, плательщик, получатель, банк получателя. По наименованию организации проставляется ИНН, КПП; по наименованию банка проставляется БИК, корреспондентский счёт.
Формируем документ ED101
Формируем документ ED501
Осуществляем отправку сформированного сообщения через АРМ КБР/ АРМ КБР СПФС в платёжный контур ЦБ РФ.
После отправки ЭС ED101/ED501 я получил ответную квитанцию от ЦБ РФ о следующем статусе:
Поля имеют следующую расшифровку:
CorrelationMessageID – исходное сообщение, сформированное АРМ КБР;
ResultCode – код статуса (000 – успешно, 001 — неуспешно),
ResultText – сам статус ЭС (успешно поступило в ТШ, обработано, исполнено).
Разработка схемы взаимодействия АРМ КБР
Для разработки схемы взаимодействия необходимо руководствоваться следующими документами:
АРМ КБР/ АРМ КБР СПФС – это специализированное программное обеспечение работников банков или крупных государственных организаций для подготовки и отправки финансовых сообщений в платежный контур центрального банка. Данное ПО позволяет проставлять электронную подпись на финансовые документы, проводить проверку и расшифровку электронных сообщений, поступивших из Банка России. В своей работе АРМ КБР/ АРМ КБР СПФС использует формат финансовых документов УФЭБС. Типы сообщений бывают как платежные сообщения, так и информационные (создание тестового сообщения, запрос технической информации и тд).
Для обработки электронное сообщение должно быть преобразовано в УФЭБС на АРМ КБР или преобразовано в АБС клиента и отправлено на АРМ КБР.
Электронные сообщения при работе в ручном режиме помещаются в каталог АРМ КБР c://uarm3/exg/cli. Встроенный компонент «Входной контроль» выполяет анализ поступившего ЭС. Если сообщение успешно прошло валидацию, то оно попадает во вкладку «введеные», если сообщение не прошло валидацию, то оно попадает во вкладку «Забракованное». При работе в автоматическом режиме сообщение попадает в выходную папку.
После помещения во вкладку «введеные» данному сообщению проставляется закрытый код и код аутентификации (электронная подпись директора и контролера), после успешного подписания сообщение помещается в папку c://uarm3/exg/apr и ожидают сигнала для дальнейшей отправки в платежной контур платежной системы Банка России. Подготовленные документы для обмена перемещаются из папки c://uarm3/exg/apr в папку c://uarm3/exg/out для выполнения отправки. Помещенные ЭС в папку exg\out отправляются через протокол HTTP (внутри выделенного канала VPN), аутентификация выполняется с помощью пары «логин-пароль».
Принятые сообщения из контура платежной системы принимаются в папку c://uarm3/exg/inc, после принятия сообщения выполняется проверка КА и ЗК подписи. При успешной проверки распакованное сообщение попадает в папку c://uarm3/exg/chk.
Если используется собственная АБС в банке, то принятое электронное сообщение расшифровывается транспортной подписью и перекодируется из base64. Открытое сообщение в открытом виде передается в АБС, где на его основании формируются бухгалтерские проводки, изменяющие остатки на счетах.
В случаи выхода из строя канала связи предусмотрена доставка электронных сообщений на ОМНИ (отчуждаемый машинный носитель информации) с помощью курьера. Работа АРМ КБР/ АРМ КБР СПФС представлена на рисунке
Для ввода АРМ КБР/ АРМ КБР СПФС в локальную вычислительную сеть предприятия необходимо организовать и обеспечить защищённое подключение ПК АРМ КБР в ЛВС клиента, предполагающее отсутствие технической возможности доступа к ПК АРМ КБР из внешних, по отношению к ЛВС клиента, сетей, в том числе из сети Интернет.
Для решения указанной задачи необходимо обеспечить:
Созданные файлы разработанным модулем будут помещаться в папку cli, если сообщение собственного формата, то в папку ed501in.
Разрабатываемый модуль передатчик «ПС БР» может работать как на АРМ КБР, так и на дополнительном изолированном АРМ.
Дополнительная защита от НСД обеспечивается прямым VPN соединением между организацией и ЦБ РФ. IP адреса организации используют те, которые выделяет ЦБ РФ для конкретной организации.
Информационная безопасность банковских безналичных платежей. Часть 2 — Типовая IT-инфраструктура банка
В первой части нашего исследования мы рассмотрели работу системы банковских безналичных платежей c экономической точки зрения. Теперь настало время посмотреть на внутреннее устройство ИТ-инфраструктуры банка, с помощью которой эти платежи реализуются.
Disclaimer
Статья не содержит конфиденциальной информации. Все использованные материалы публично доступны в Интернете, в том числе на сайте Банка России.
Глава 1. Общее описание ИТ-инфраструктуры
Основные термины
автоматизированная система; AC: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
В рамках данного исследования оба термина будут использоваться как синонимы.
Справедливость подобного подхода можно доказать тем, что в Приказе ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» для защиты информационных систем госрегулятор предписывает руководствоваться ГОСТами по автоматизированным системам.
Помимо информационных систем в IT-инфраструктуре банка можно выделить еще один тип элементов — информационные сервисы, или, как их часто называют, роботы.
Дать определение понятию информационный сервис довольно сложно, поэтому просто перечислим его основные отличия от информационной системы:
Автоматизированная банковская система
Ядром информационной инфраструктуры любого банка является автоматизированная банковская система или сокращенно АБС.
автоматизированная система, реализующая банковский технологический процесс.
Данное определение позволяет подвести под него практически любую IT-систему в банке. В то же время обычные банковские служащие называют АБС ту систему, которая занимается учетом банковских счетов, проводок между ними (движением денежных средств) и остатков. Второе определение не противоречит первому и более четко его детализирует, им и будем пользоваться дальше.
В современных Российских банках наиболее распространенными являются следующие АБС :
Иногда в банках параллельно используют несколько АБС различных производителей. Зачастую это происходит, когда банк пытается перейти с одной АБС на другую, но возможны и менее тривиальные причины.
Прикладные информационные системы
Несмотря на то что АБС автоматизирует довольно большое количество задач, она не покрывает все нужды банка. Есть задачи, которые АБС не делает вообще или делает не так, как хочет того банк. Поэтому к АБС подключаются (интегрируются) другие информационные системы, автоматизирующие отдельные бизнес-процессы. В дальнейшем подобные информационные системы будем называть — прикладными информационными системами.
Примерами прикладных информационных систем могут быть:
Инфраструктурные информационные системы
Помимо АБС и прикладных информационных систем, автоматизирующих основные бизнес-процессы, в банках также присутствует приличное количество вспомогательных инфраструктурных информационных систем. Примерами подобных систем могу быть:
Информационные сервисы
В банках используется гигантское количество различных информационных сервисов, выполняющих простые, рутинные функции, например, загрузка справочников БИК и ФИАС, публикация курсов валют на официальном сайте и т.д.
Клиентские части сторонних информационных систем
Отдельного упоминания стоят клиентские части внешних по отношению к банку информационных систем. В качестве примеров приведу:
Типовые способы интеграции информационных систем
Для интеграции информационных систем обычно применяются следующие механизмы:
Модули интеграции
Под модулем интеграции будем понимать виртуальный элемент IT-инфраструктуры, реализующий интеграцию других элементов IT-инфраструктуры.
Данный элемент мы назвали виртуальным, потому что его функционал может быть реализован, как в виде отдельного специализированного элемента ИТ-инфраструктуры (например, информационного сервиса), так и в виде компонентов интегрируемых информационных систем. Более того, в качестве модуля интеграции может выступать даже человек, «вручную» переносящий информацию между интегрируемыми информационными системами.
Пример ИТ-инфраструктуры банка
На Рис.1 можно увидеть фрагмент типовой информационной инфраструктуры банка, содержащий рассмотренные выше типы элементов.
Глава 2. Инфраструктура безналичных расчетов
Если посмотреть на эту схему (Рис.1) с точки зрения осуществления безналичных расчетов, то можно увидеть, что банк реализует их при помощи:
Для успешного функционирования банк обязан обеспечивать у себя информационную безопасность всех перечисленных способов осуществления платежей. Рассмотреть их в рамках одного, даже крупного исследования весьма проблематично, и поэтому мы сконцентрируемся только на одном наиболее критичном, с точки зрения возможных потерь, направлении — платежном взаимодействии банка с Банком России.
Инфраструктура обеспечения платежного взаимодействия с Банком России
Рис. 2.
IT-инфраструктуру платежного взаимодействия банка с Банком России будем рассматривать на примере исполнения платежа, отправляемого в адрес клиента другого банка.
Как мы помним из первой части, вначале клиент должен передать в банк платежное поручение. Сделать это он может двумя способами:
Если клиент передал платежное поручение на бумажном носителе, то работник банка на его основании делает электронное платежное поручение в АБС. Если распоряжение было подано через ДБО ИКБ, то через модуль интеграции оно попадает в АБС автоматически.
Доказательством того, что именно клиент сделал распоряжение о переводе денежных средств, в первом случае является лично подписанный им бумажный документ, а во втором, электронный документ в ДБО ИКБ, заверенный в соответствии с договором.
Обычно для заверения электронных документов клиентов — юридических лиц в ДБО ИКБ применяют криптографическую электронную подпись, а для документов клиентов — физических лиц коды SMS-подтверждений. С юридической точки зрения для заверения электронных документов в обоих случаях банки обычно применяют правовой режим аналога собственноручной подписи (АСП).
Попав в АБС, платежное поручение в соответствии с внутренними регламентами банка проходит контроль и передается для исполнения в платежную систему Банка России.
Технические средства взаимодействия с платежной системой Банка России
Технические средства (программное обеспечение), используемые для взаимодействия с платежной системой Банка России могут варьироваться в зависимости от территориального учреждения Банка России, обслуживающего корр. счет банка.
Для банков, обслуживаемых в Московском регионе, применяется следующее ПО:
АРМ КБР
АРМ КБР – это ПО, с помощью которого уполномоченные работники банка осуществляют шифрование и электронную подпись исходящих платежных документов, а также расшифровку и проверку электронной подписи платежных документов, поступающих из Банка России. Но, если быть более точным, то АРМ КБР в своей работе оперирует не платежными документами, а электронными сообщениями (ЭС), которые бывают двух типов:
Для того чтобы АРМ КБР мог обработать платеж, он должен быть преобразован в файл, содержащий электронное платежное сообщение формата УФЭБС. За подобное преобразование отвечает модуль интеграции АБС с платежной системой Банка России. С технической точки зрения подобные преобразования довольно просты, поскольку формат УФЭБС основан на XML.
Файлы электронных сообщений покидают модуль интеграции АБС в открытом виде и помещаются в специальную папку файловой системы (обычно это сетевая папка), которая настроена в АРМ КБР для электронных сообщений, имеющих статус «Введенные». На ранее представленной схеме (Рис. 2.) эта папка обозначена как «Папка 1».
Затем в процессе обработки электронные сообщения меняют свои статусы на «Контролируемые», «Отправленные» и т. д., что технически реализуется путем перемещения файла с электронным сообщением в соответствующие папки, которые настроены в АРМ КБР. На схеме (Рис. 2.) эти папки обозначены как «Папка 2».
В определенный момент технологической обработки (установленный внутренними регламентами банка) исходящих электронных сообщений они шифруются и подписываются электронной подписью с помощью СКАД Сигнатура и закрытых криптографических ключей ответственных работников.
СКАД Сигнатура
СКАД Сигнатура, это СКЗИ, разработанное компанией ООО «Валидата» по заказу Банка России и предназначенное для защиты информации в платежной системе Банка России. Данного СКЗИ нет в открытом доступе (кроме документации, размещенной на сайте ЦБ РФ), и оно распространяется Банком России только среди участников его платежной системы. К отличительным особенностям данного СКЗИ можно отнести:
Зашифрованные и подписанные электронные сообщения помещаются в специальную папку, на схеме (Рис. 2.) это «Папка 3». УТА непрерывно мониторит эту папку и, если он видит там новые файлы, передает их в ЦБ РФ одним из следующих способов:
Следует отметить, что все электронные сообщения, с которыми работает УТА, зашифрованы и подписаны электронной подписью.
Получив зашифрованное электронное сообщение, УТА перекладывает его в папку с входящими зашифрованными сообщениями. Уполномоченный работник с помощью своих криптоключей и АРМ КБР проверяет электронную подпись и расшифровывает сообщение.
Далее обработка производится в зависимости от типа электронного сообщения. Если это платежное сообщение, то оно через модуль интеграции передается в АБС, где на его основании формируются бухгалтерские проводки, изменяющие остатки на счетах. Важно отметить, что при взаимодействии АБС (модуля интеграции) и АРМ КБР используются файлы стандартного формата в открытом виде.
В процессе функционирования АРМ КБР ведет журнал своей работы, который может быть реализован в виде текстовых файлов или с помощью БД, работающих под управлением СУБД.
Альтернативные схемы обработки
Мы рассмотрели «классическую» схему работы системы. В реальности существует множество ее разновидностей. Рассмотрим некоторые из них.
Разновидность 1. Разделение контуров отправки и приема сообщений
Реализуется схема с двумя АРМ КБР. Первый работает с участием человека и выполняет только отправку сообщений, второй работает в автоматическом режиме и выполняет только прием сообщений.
Разновидность 2. Полный автомат
АРМ КБР настраивается на работу полностью в автоматическом режиме без участия человека
Разновидность 3. Изолированный АРМ КБР
АРМ КБР функционирует как выделенный компьютер, не подключенный к сети банка. Электронные сообщения передаются на него человеком-оператором с помощью ОМНИ.
Перенос электронной подписи из АРМ КБР в АБС
Банк России планирует перейти на новую технологическую схему обработки платежей, при которой электронные сообщения будут подписываться не в АРМ КБР, как было ранее, а в АБС (точнее в модуле интеграции АБС — АРМ КБР).
Для реализации данного подхода выпущена новая версия АРМ КБР, которая стала называться АРМ КБР-Н (новая). Все основные изменения можно увидеть, если сравнить схемы информационных потоков, проходящих через АРМ КБР старой и новой версии.
Рассмотрим схему информационных потоков в классическом АРМ КБР. Источник схемы – официальная документация на АРМ КБР «АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ. Руководство программиста. ЦБРФ.61209-04 33 01».
Рис. 3.
Примечания.
Рис. 4.
С точки зрения криптографии АРМ КБР-Н отвечает за шифрование / расшифрование электронных сообщений, а также за проверку электронных подписей на них. Формирование электронных подписей перенесено в модуль интеграции АБС.
Логично предположить, что данный модуль также должен будет проверять подписи под сообщениями, полученными из АРМ КБР-Н. С технической точки зрения это не является обязательным, но с точки зрения обеспечения безопасности имеет критическое значение, поскольку обеспечивает целостность сообщений, передаваемых между АБС и АРМ КБР-Н.
Помимо файлового интерфейса взаимодействия между АБС, АРМ КБР-Н и УТА добавлен интерфейс IBM WebSphere MQ, что позволяет строить сервис-ориентированную ИТ-инфраструктуру банка и решить проблему старой схемы с организацией одновременной работы нескольких операторов, ответственных за отправку платежей.
АРМ КБР-Н — день Х скоро придет, кто не подготовился сам виноват
Переход клиентов Банка России на новые АРМ – замена АРМ КБР:
Планируемый срок окончания миграции на новый ПК АРМ КБР-Н – 28.06.2019.
После негладкого запуска обмена через «ТШ КБР», стал более тщательно изучать дорожную карту Банка России, в части новых комплексов.
Банк России отбросил от себя часть функций (в части снабжения участников обмена программным обеспечением для выполнения всего спектра функций обмена по УФЭБС).
На сайте Банка России, выложена документация по новыми программным комплексам.
Как оказалось АРМ КБР-Н- это сильно кастрированное издание.
Сейчас при обмене через АРМ КБР можно организовать полнофункциональный обмен пакетами, см. картинку.
АРМ КБР-Н только шифрует(расшифрует) и отправляет(принимает) пакеты в(из) ТШ КБР, см. картинку.
Есть набор функций, которые однозначно не будут реализованы в новом комплексе ПК АРМ КБР-Н:
Что делать с теми функциями, которые ушли из старого АРМ КБР и не появились в новом АРМ КБР-Н:
Нашел три подходящие кандидатуры для замены старого АРМ КБР (комплексы, не интегрированные в АС-клиента):
Переход на дополнительное ПО однозначно необходим, в «блокноте» пакеты по форматам УФЭБС не напишешь.
Может есть еще и другие, готовые и оттестированные решения? Буду рад, если кто-то сообщит ссылки на них!
Попутно всплыли еще вопросы: