Об этом заявила Елена Мареева, заместитель генерального директора по НТР, компания «Системы Практической Безопасности», выступая на конференции «Информационная безопасность банков» по проблемам импортозамещения в области обеспечения безопасности в системах платёжных карт.
По ее словам, положение Банка России 719-П, принятое несколько лет назад, прописывает для операторов платежной системы необходимость импортозамещения. Однако компании «оказались не совсем готовы к тому, чтобы иметь полностью готовые решения. И конечно, сроки немного подкачали, потому что 2024 год у нас наступил сегодня», – сказала Елена Мареева.
Конечно, эксперт имела в виду, что ситуация, связанная с введением санкций, потребовала быть полностью готовыми к процессам импортозамещения. И хотя все понимают, что такой готовности в настоящее время не наблюдается, следует отметить, какая-то работа все-таки за это время была сделана, в том числе вендором HSM-модуля.
«Была произведена инициативная разработка HSM как СКЗИ класса КБ с реализацией российских и импортных криптоалгоритмов, заготовлены опытные образцы, получен сертификат соответствия СКЗИ класса КБ, проведено тестирование совместимости с банковским ПО, проведено тестирование в банках: Сбербанке, Банке России. Было получено большое количество различных замечаний и разработаны соответствующие рекомендации», – рассказала эксперт.
Отвечая на свой собственный вопрос, что же нужно делать дальше, Елена Мареева отметила, что «требуется корректировка технологических карт, потому что это жизненный процесс, они не могут быть статичными и постоянными. Это как требования PSI DSS – они должны жить. Хотя формально создана рабочая группа при ЦБ, которая должна эти вещи регулировать и мониторить площадки, должны вноситься изменения. На самом деле все пока только провозглашено».
Также есть новые рекомендации в области электронной коммерции. «Мы надеемся их в рамках ТК 26 принять», – подчеркнула эксперт.
«Мы как вендор провели переработку аппаратной платформы, программного обеспечения уже в соответствии с новыми требованиями – как к СКЗИ, так и техническими, – рассказала о проделанной работе Елена Мареева. – Был заготовлен первый опытный образец и проведено тестирование совместимости – по программному обеспечению одного из вендоров – компании БПЦ. Буквально накануне мы получили драфт сертификата совместимости. Понятно, что требуется тестирование с банковским ПО других производителей. Мы надеемся, что на это тестирование пойдут работающие в России компании. Безусловно, требуется тестирование в банках и платежных системах, и мы приглашаем всех желающих подключиться к этому и проверить хотя бы функциональные требования, потому что требования по безопасности таким образом проверить нельзя».
