Перенос подписания ЭС из АРМ КБР в АСК и всё, что с этим связано

Перенос подписания ЭС из АРМ КБР в АСК и всё, что с этим связано
Анекдот
На Сигнатуру скоро заканчивается Сертификат соответствия.
Позвонил в информационную безопасность территориального ГУ ЦБ.
Там спросили, что такое Сертификат соответствия? Как жить?





В соответствии с планом мероприятий ( дорожной карте ) по реализации мер, направленных на предотвращение хищений денежных средств на финансовом рынке Российской Федерации, утверждённым 6 мая 2016 года Председателем Банка России Набиуллиной Э.С., на протяжении второй половины 2016г. и первой половины 2017г. проводились работы по реализации комплекса мер, направленных на повышение уровня безопасности автоматизированных систем клиентов Банка России (далее АСК).
31.10.2016 Банк России провёл встречу с поставщиками АСК и организациями, имеющими лицензию на деятельность по разработке, производству и распространению криптографических средств, на которой довёл до сведения участников, что основным содержанием этих работ для клиентов Банка России (КБР) и их поставщиков АСК является перенос подписания электронных сообщений (ЭС) из Автоматизированного рабочего места клиента Банка России (АРМ КБР) в АСК. Это решение было мотивировано заявлениями о масштабных хищениях средств через АРМ КБР со схожими сценариями атаки (подкладывание во входной каталог АРМ КБР файла с фальшивым исходящим платежом, который принимался штатной функциональностью АРМ КБР и далее обрабатывался как легальный).
19.12.2016 вступило в силу Положение ЦБ РФ от 24.08.2016 552-П О требованиях к защите информации в платёжной системе (далее ПС) Банка России (далее - Положение 552-П). Краткий обзор здесь .
Хронология событий, связанных с переносом подписания ЭС из АРМ КБР в АСК.
- информационное сообщение БР от 19.01.2017 3 (ИС-3) О предложениях по доработке ПК АРМ;
- письмо БР от 20.01.2017 (где-то от 13.01.2017) О передаче СКАД "Сигнатура" с Приложением ЭД-170 от Департамента информационных технологий БР (ДИТ БР):
- письмо БР от 23.01.2017 О доработке АС клиента" с Приложением ЭД-447 от ДИТ БР;
- информационное сообщение БР от 24.01.2017 17 (ИС-17) О предложениях по доработке ПК АРМ;
- информационное сообщение от 05.06.2017 58 (ИС-58) О планируемых изменениях программного обеспечения, предоставляемого Банком России участникам обмена электронными сообщениями, в котором 2 приложения:
Приложение 1 Общие требования к ПК АРМ КБР-Н;
Приложение 2 Общие требования по переносу подписания ЭС в АС клиента Банка России.
- письмо БР от 19.06.2017Тестирование ПК АРМ КБР-Н";
- письмо БР от 23.06.2017О размещении ПК АРМ КБР-Н и эксплуатационной документации";
- письмо БР от 30.06.2017О направлении регламента работы стенда совмещенного тестирования.
Все письма БР имеют директивный характер и в каждом обозначены те или иные задачи и сроки их выполнения для клиентов БР.
Приведу основные моменты из указанных писем БР.
В ЭД-170сообщается, что рамках проведения планируемых БР работ, функции формирования кодов аутентификации (КА) и защитных кодов (ЗК) будут исключены из ПС КБР и должны быть перенесены в автоматизированную систему клиента (АСК) платёжной системы Банка России (БР).
Все клиенты ПС Банка России (кредитные организации и другие клиенты Банка России, взаимодействующее с АС Банка России), должны провести работы по встраиванию средств криптографической защиты информации (СКЗИ) в собственные АСК для формирования КА и снабжения ими ЭС (пакетов ЭС), а также для формирования ЗК и включения их в состав реквизитов ЭС в соответствии с действующим альбомом УФЭБС. Подробнее содержимое письма ЭД-170 рассматривается здесь .
В ЭД-447 сообщается, что все входящие ЭС (пакеты ЭС) в ПС Банка России должны быть снабжены одним кодом аутентификации (КА) участника перевода или адресуемой внешней системы (далее КА участника) для всего пакета, а также одним защитным кодом (ЗК) участника перевода или адресуемой внешней системы (далее ЗК участника) для каждого распоряжения в пакете. Расположение ЗК участника и КА участника для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии с третьим вариантом защиты ЭС, описанным в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k.
Все исходящие ЭС (пакеты ЭС) из ПС Банка России должны быть снабжены двумя электронными подписями - ЗК контура обработки и КА контура контроля. Расположение ЗК и КА для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии со вторым вариантом защиты ЭС, описанным в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k.
В качестве срока внедрения указанной технологии планируется выпуск ПО 4/2017 (комплексное тестирование с 28.08.2017, внедрение в постоянную эксплуатацию 02.10.2017).
До 17.02.2017г. кредитным организациям необходимо направить информацию о сроках доработки АСК.
В ИС-17 сообщается:
Все входящие ЭС (пакеты ЭС) в платёжную систему Банка России должны быть снабжены одним кодом аутентификации (КА) участника перевода (далее КА участника) для всего ЭС (пакета), а также одним защитным кодом (ЗК) участника перевода (далее ЗК участника) для каждого ЭС/распоряжения в пакете. Порядок использования ЗК участника и КА участника для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии с третьим вариантом защиты ЭС, описанным в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k.
Для исходящих ЭС (пакетов ЭС) из платежной системы Банка России схема защиты сообщений не изменяется (второй вариант защиты ЭС, описанный в документе [Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)k).
Тестирование указанной технологии на стенде совмещенного тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) будет организовано начиная с 28.08.2017. Внедрение в постоянную эксплуатацию указанной технологии (дополнительно к существующей) со 02.10.2017.
В ИС-58(повторение положений, которые впервые были обнародованы на Уральском форуме (февраль 2017г.) в проекте Методических рекомендаций по переносу подписания ЭС из АРМ КБР в АС клиента ПС БР, которым так и не был присвоен статус официального документа) сообщается о разработке программного обеспечения программного комплекса [Автоматизированное рабочее место клиента Банка России новоеk (далее ПК АРМ КБР-Н) и начале его тиражирования с 16.07.2017 для использования участниками обмена (далее - УО) ЭС при переводе денежных средств в рамках ПС Банка России.
МЦОИ обращает внимание УО, что тестирование ПК АРМ КБР-Н на стенде совмещенного тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) - с 28.08.2017.
Возможность использования ПК АРМ КБР-Н в промышленной эксплуатации будет реализована с 02.10.2017.
Далее привожу общее описание ПК АРМ КБР-Н из презентации для разработчиков АС Перенос подписания электронных сообщений в АС финансовой организации.
Набор функций, планируемый к реализации в ПК АРМ КБР-Н
  получение ЭС формата УФЭБС из АС клиента;
  структурный контроль полученных ЭС;
  шифрование/упаковка содержимого ЭС;
  формирование ЭС в формате служебного конверта;
  передача на отправку;
  приём ЭС (с выхода УТА);
  разбор служебного конверта, расшифрование/распаковка ЭС;
  проверка КА/ЗК;
  передача проверенных ЭС в АС клиента;
  выгрузка ЭС из хранилища на внешний носитель;
  выгрузка ЭС в формате АРМ РКС.

Набор функций, которые не будут реализованы в ПК АРМ КБР-Н
  формирование ЭС типа ED501 из сообщений свободного формата, полученных из АС клиента;
  формирование ЭС типа ED503 из сообщений формата SWIFT, полученных из АС клиента;
  формирование ЗК;
  формирование КА;
  возврат на сверку в АБС клиента подписанных ЭС и приём сверенных;
  извлечение сообщений свободного формата из ЭС типа ED501, передача в АС клиента;
  извлечение сообщений формата SWIFT из ЭС типа ED503, передача в АС клиента;
  первичный ввод реквизитов документа оператором с опциональной проверкой согласно [Справочнику БИК РФk, логический контроль реквизитов;
  контрольный ввод цифровых реквизитов ЭПС контролером либо визуальный контроль ЭСИС;
Набор функций, необходимость реализации которых  в будущем ПК обеспечения электронного обмена обсуждается;
  логический контроль полученных ЭС;
  помещение переданных ЭС в хранилище для хранения в течение операционного дня;
  помещение принятых ЭС в хранилище для хранения в течение операционного дня;
  квитовка - связывание отправленных ЭС и ЭС-ответов и изменение состояния отправленных ЭС в соответствии с полученными ЭС;
  передача контролером ЭС на обработку;
  поиск отправленных и полученных ЭС, их отображение и печать (с предварительной проверкой ЭП);
  визуальный мониторинг процессов обработки ЭС.

Способы формирования и простановки КА/ЗК
1. Встраивание СКЗИ в ПО АС клиента;
2. Разработка промежуточного ПО между АС клиента и ПК обеспечения электронного обмена вместо ПС КБР;
3. Использование Криптографического сервера разработки ООО Валидата.

Рекомендации БР
1. Передача разработчикам программного обеспечения СКАД [Сигнатураk осуществляется клиентами Банка России.
2. Передавать программное обеспечения СКАД [Сигнатураk привлекаемой организации (разработчикам АС клиента Банка России) необходимо на безвозмездной основе на основании акта приема-передачи, составленного в произвольной форме и предусматривающего использование указанного программного обеспечения исключительно для целей встраивания СКАД [Сигнатураk в АС клиента Банка России.
3. Для консультаций по вопросам встраивания и эксплуатации СКАД [Сигнатураk может быть привлечена ООО [Валидатаk.
4. Получение разработчиками программного обеспечения тестовых ключей обеспечивается на основе договорных отношений с разработчиком СКАД [Сигнатураk или клиентом Банка России.
5. Для проведения работ по встраиванию СКАД [Сигнатураk в АС клиентов Банка России направлять в МЦОИ Банка России запрос для получения компонентов СКАД [Сигнатураk.
6. Детальные планы перехода клиентов на использование АС с функцией подписания электронных сообщений будут составлены отдельно в каждом ТУ Банка России.
7. Кредитным организациям необходимо руководствоваться положениями, изложенными в документации на АПК [Сигнатура-клиентk версия 5 и, в частности, в документах ВАМБ.0010601 33 01 [СКАД [Сигнатураk версия 5. [Сигнатура-клиентk версия 5. Руководство программистаk и ВАМБ.0010701 33 01 [СКАД [Сигнатураk версия 5. [Сигнатура-клиентk версия 5. Средство криптографической защиты информации СКАД [Сигнатураk версия 5. Руководство программистаk. 
Согласно срокам, указанным в дорожной карте БР, работы по внедрению ПК АРМ КБР-Н должны быть завершены до 30.12.2017.  Доработку и поддержку действующих ПС КБР планируется прекратить в 2018 году. Все сроки работ сведены далее в отдельной таблице. 
Планируемые сроки работ 

п
/п
Перечень работ
Срок реализации
Наименование документа БР
1.
Направить информацию в ДИТ БР о сроках доработки АСК;
Комплексное тестирование;
Внедрение в постоянную эксплуатацию
до 17.02.2017г.

с 28.08.2017
с 02.10.2017
ЭД-447
2.
Работы, связанные с разработкой типового ПК АРМ КБР
до 01.06.2017

3.
Выполнение кредитными организациями требований Положения 552-П к защите информации на участке ПС БР
до 30.06.2017
Положение 552-П
4.
Начало тиражирования ПК АРМ КБРН
с 16.07.2017
ИС-58
5.
Тестирование указанной технологии на стенде совмещённого тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва)
с 28.08.2017
-ИС-17;
-Письмо БР от 19.06.2017 Тестирование АРМ КБР-Н"
6.
Внедрение ПК АРМ КБР-Н
до 30.12.2017
ИС-58
7.
Встраивание СКЗИ в АС и внедрение в промышленную эксплуатацию доработанной АС
до 30.12.2017
ИС-58
8.
Доработку и поддержку действующих ПС КБР (ПК АРМ КБР, ПК АРМ ПУР, ПК КБР-С, ПК АРМ ФКВ) планируется прекратить
в 2018 году



Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)