Анекдот
На Сигнатуру скоро заканчивается Сертификат соответствия.
Позвонил в информационную безопасность территориального ГУ ЦБ.
Там спросили, что такое Сертификат соответствия? Как жить?
Позвонил в информационную безопасность территориального ГУ ЦБ.
Там спросили, что такое Сертификат соответствия? Как жить?
В соответствии с планом мероприятий ( дорожной карте ) по реализации мер, направленных на предотвращение хищений денежных средств на финансовом рынке Российской Федерации, утверждённым 6 мая 2016 года Председателем Банка России Набиуллиной Э.С., на протяжении второй половины 2016г. и первой половины 2017г. проводились работы по реализации комплекса мер, направленных на повышение уровня безопасности автоматизированных систем клиентов Банка России (далее АСК).
31.10.2016 Банк России провёл встречу с поставщиками АСК и организациями, имеющими лицензию на деятельность по разработке, производству и распространению криптографических средств, на которой довёл до сведения участников, что основным содержанием этих работ для клиентов Банка России (КБР) и их поставщиков АСК является перенос подписания электронных сообщений (ЭС) из Автоматизированного рабочего места клиента Банка России (АРМ КБР) в АСК. Это решение было мотивировано заявлениями о масштабных хищениях средств через АРМ КБР со схожими сценариями атаки (подкладывание во входной каталог АРМ КБР файла с фальшивым исходящим платежом, который принимался штатной функциональностью АРМ КБР и далее обрабатывался как легальный).
19.12.2016 вступило в силу Положение ЦБ РФ от 24.08.2016 552-П О требованиях к защите информации в платёжной системе (далее ПС) Банка России (далее - Положение 552-П). Краткий обзор здесь .
Хронология событий, связанных с переносом подписания ЭС из АРМ КБР в АСК.
- информационное сообщение БР от 19.01.2017 3 (ИС-3) О предложениях по доработке ПК АРМ;
- письмо БР от 20.01.2017 (где-то от 13.01.2017) О передаче СКАД "Сигнатура" с Приложением ЭД-170 от Департамента информационных технологий БР (ДИТ БР):
- письмо БР от 23.01.2017 О доработке АС клиента" с Приложением ЭД-447 от ДИТ БР;
- информационное сообщение БР от 24.01.2017 17 (ИС-17) О предложениях по доработке ПК АРМ;
- информационное сообщение от 05.06.2017 58 (ИС-58) О планируемых изменениях программного обеспечения, предоставляемого Банком России участникам обмена электронными сообщениями, в котором 2 приложения:
Приложение 1 Общие требования к ПК АРМ КБР-Н;
Приложение 2 Общие требования по переносу подписания ЭС в АС клиента Банка России.
- письмо БР от 19.06.2017Тестирование ПК АРМ КБР-Н";
- письмо БР от 23.06.2017О размещении ПК АРМ КБР-Н и эксплуатационной документации";
- письмо БР от 30.06.2017О направлении регламента работы стенда совмещенного тестирования.
Все письма БР имеют директивный характер и в каждом обозначены те или иные задачи и сроки их выполнения для клиентов БР.
Приведу основные моменты из указанных писем БР.
В ЭД-170сообщается, что рамках проведения планируемых БР работ, функции формирования кодов аутентификации (КА) и защитных кодов (ЗК) будут исключены из ПС КБР и должны быть перенесены в автоматизированную систему клиента (АСК) платёжной системы Банка России (БР).
Все клиенты ПС Банка России (кредитные организации и другие клиенты Банка России, взаимодействующее с АС Банка России), должны провести работы по встраиванию средств криптографической защиты информации (СКЗИ) в собственные АСК для формирования КА и снабжения ими ЭС (пакетов ЭС), а также для формирования ЗК и включения их в состав реквизитов ЭС в соответствии с действующим альбомом УФЭБС. Подробнее содержимое письма ЭД-170 рассматривается здесь .
В ЭД-447 сообщается, что все входящие ЭС (пакеты ЭС) в ПС Банка России должны быть снабжены одним кодом аутентификации (КА) участника перевода или адресуемой внешней системы (далее КА участника) для всего пакета, а также одним защитным кодом (ЗК) участника перевода или адресуемой внешней системы (далее ЗК участника) для каждого распоряжения в пакете. Расположение ЗК участника и КА участника для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии с третьим вариантом защиты ЭС, описанным в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k.
Все исходящие ЭС (пакеты ЭС) из ПС Банка России должны быть снабжены двумя электронными подписями - ЗК контура обработки и КА контура контроля. Расположение ЗК и КА для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии со вторым вариантом защиты ЭС, описанным в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k.
В качестве срока внедрения указанной технологии планируется выпуск ПО 4/2017 (комплексное тестирование с 28.08.2017, внедрение в постоянную эксплуатацию 02.10.2017).
До 17.02.2017г. кредитным организациям необходимо направить информацию о сроках доработки АСК.
В ИС-17 сообщается:
Все входящие ЭС (пакеты ЭС) в платёжную систему Банка России должны быть снабжены одним кодом аутентификации (КА) участника перевода (далее КА участника) для всего ЭС (пакета), а также одним защитным кодом (ЗК) участника перевода (далее ЗК участника) для каждого ЭС/распоряжения в пакете. Порядок использования ЗК участника и КА участника для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии с третьим вариантом защиты ЭС, описанным в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k.
Для исходящих ЭС (пакетов ЭС) из платежной системы Банка России схема защиты сообщений не изменяется (второй вариант защиты ЭС, описанный в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k).
Тестирование указанной технологии на стенде совмещенного тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) будет организовано начиная с 28.08.2017. Внедрение в постоянную эксплуатацию указанной технологии (дополнительно к существующей) со 02.10.2017.
В ИС-58(повторение положений, которые впервые были обнародованы на Уральском форуме (февраль 2017г.) в проекте Методических рекомендаций по переносу подписания ЭС из АРМ КБР в АС клиента ПС БР, которым так и не был присвоен статус официального документа) сообщается о разработке программного обеспечения программного комплекса [Автоматизированное рабочее место клиента Банка России новоеk (далее ПК АРМ КБР-Н) и начале его тиражирования с 16.07.2017 для использования участниками обмена (далее - УО) ЭС при переводе денежных средств в рамках ПС Банка России.
МЦОИ обращает внимание УО, что тестирование ПК АРМ КБР-Н на стенде совмещенного тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) - с 28.08.2017.
Возможность использования ПК АРМ КБР-Н в промышленной эксплуатации будет реализована с 02.10.2017.
Далее привожу общее описание ПК АРМ КБР-Н из презентации для разработчиков АС Перенос подписания электронных сообщений в АС финансовой организации.
Набор функций, планируемый к реализации в ПК АРМ КБР-Н
получение ЭС формата УФЭБС из АС клиента;
структурный контроль полученных ЭС;
шифрование/упаковка содержимого ЭС;
формирование ЭС в формате служебного конверта;
передача на отправку;
приём ЭС (с выхода УТА);
разбор служебного конверта, расшифрование/распаковка ЭС;
проверка КА/ЗК;
передача проверенных ЭС в АС клиента;
выгрузка ЭС из хранилища на внешний носитель;
выгрузка ЭС в формате АРМ РКС.
Набор функций, которые не будут реализованы в ПК АРМ КБР-Н
формирование ЭС типа ED501 из сообщений свободного формата, полученных из АС клиента;
формирование ЭС типа ED503 из сообщений формата SWIFT, полученных из АС клиента;
формирование ЗК;
формирование КА;
возврат на сверку в АБС клиента подписанных ЭС и приём сверенных;
извлечение сообщений свободного формата из ЭС типа ED501, передача в АС клиента;
извлечение сообщений формата SWIFT из ЭС типа ED503, передача в АС клиента;
первичный ввод реквизитов документа оператором с опциональной проверкой согласно [Справочнику БИК РФk, логический контроль реквизитов;
контрольный ввод цифровых реквизитов ЭПС контролером либо визуальный контроль ЭСИС;
Набор функций, необходимость реализации которых в будущем ПК обеспечения электронного обмена обсуждается;
логический контроль полученных ЭС;
помещение переданных ЭС в хранилище для хранения в течение операционного дня;
помещение принятых ЭС в хранилище для хранения в течение операционного дня;
квитовка - связывание отправленных ЭС и ЭС-ответов и изменение состояния отправленных ЭС в соответствии с полученными ЭС;
передача контролером ЭС на обработку;
поиск отправленных и полученных ЭС, их отображение и печать (с предварительной проверкой ЭП);
визуальный мониторинг процессов обработки ЭС.
Способы формирования и простановки КА/ЗК
1. Встраивание СКЗИ в ПО АС клиента;
2. Разработка промежуточного ПО между АС клиента и ПК обеспечения электронного обмена вместо ПС КБР;
3. Использование Криптографического сервера разработки ООО Валидата.
Рекомендации БР
1. Передача разработчикам программного обеспечения СКАД [Сигнатураk осуществляется клиентами Банка России.
2. Передавать программное обеспечения СКАД [Сигнатураk привлекаемой организации (разработчикам АС клиента Банка России) необходимо на безвозмездной основе на основании акта приема-передачи, составленного в произвольной форме и предусматривающего использование указанного программного обеспечения исключительно для целей встраивания СКАД [Сигнатураk в АС клиента Банка России.
3. Для консультаций по вопросам встраивания и эксплуатации СКАД [Сигнатураk может быть привлечена ООО [Валидатаk.
4. Получение разработчиками программного обеспечения тестовых ключей обеспечивается на основе договорных отношений с разработчиком СКАД [Сигнатураk или клиентом Банка России.
5. Для проведения работ по встраиванию СКАД [Сигнатураk в АС клиентов Банка России направлять в МЦОИ Банка России запрос для получения компонентов СКАД [Сигнатураk.
6. Детальные планы перехода клиентов на использование АС с функцией подписания электронных сообщений будут составлены отдельно в каждом ТУ Банка России.
7. Кредитным организациям необходимо руководствоваться положениями, изложенными в документации на АПК [Сигнатура-клиентk версия 5 и, в частности, в документах ВАМБ.0010601 33 01 [СКАД [Сигнатураk версия 5. [Сигнатура-клиентk версия 5. Руководство программистаk и ВАМБ.0010701 33 01 [СКАД [Сигнатураk версия 5. [Сигнатура-клиентk версия 5. Средство криптографической защиты информации СКАД [Сигнатураk версия 5. Руководство программистаk.
Согласно срокам, указанным в дорожной карте БР, работы по внедрению ПК АРМ КБР-Н должны быть завершены до 30.12.2017. Доработку и поддержку действующих ПС КБР планируется прекратить в 2018 году. Все сроки работ сведены далее в отдельной таблице.
Планируемые сроки работ
п/п | Перечень работ | Срок реализации | Наименование документа БР |
1. | Направить информацию в ДИТ БР о сроках доработки АСК; Комплексное тестирование; Внедрение в постоянную эксплуатацию | до 17.02.2017г. с 28.08.2017 с 02.10.2017 | ЭД-447 |
2. | Работы, связанные с разработкой типового ПК АРМ КБР | до 01.06.2017 | |
3. | Выполнение кредитными организациями требований Положения 552-П к защите информации на участке ПС БР | до 30.06.2017 | Положение 552-П |
4. | Начало тиражирования ПК АРМ КБРН | с 16.07.2017 | ИС-58 |
5. | Тестирование указанной технологии на стенде совмещённого тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) | с 28.08.2017 | -ИС-17; -Письмо БР от 19.06.2017 Тестирование АРМ КБР-Н" |
6. | Внедрение ПК АРМ КБР-Н | до 30.12.2017 | ИС-58 |
7. | Встраивание СКЗИ в АС и внедрение в промышленную эксплуатацию доработанной АС | до 30.12.2017 | ИС-58 |
8. | Доработку и поддержку действующих ПС КБР (ПК АРМ КБР, ПК АРМ ПУР, ПК КБР-С, ПК АРМ ФКВ) планируется прекратить | в 2018 году | |