14 сентября, 2011, BIS Journal №3(3)/2011

Токены на выбор


Левиев Дмитрий

Председатель Совета (НП «Партнерство специалистов по информационной безопасности»)

Особенности применения электронных токенов второго поколения для построения систем электронного документооборота на базе квалифицированной усиленной электронной подписи

В современном Банке системы «Банк – Клиент» давно перешагнули грань информационных систем для управления счетом и стали полноценной системой электронного документооборота между Банком и Клиентом. Принятие Федерального закона об электронной подписи, постепенное внедрение анализа операционного риска, а также Комплекса Стандартов Банка России заставляет по новому взглянуть на эксплуатируемые системы «Банк-Клиент» с целью минимизации риска и стоимости владения с улучшением качества обслуживания и уменьшением требований, по возможности, к рабочему месту Клиента.

Современная система «Банк-Клиент» представляет собой трёхступенчатую систему, состоящую из сервера приложения, системы управления ключевой информации и клиентских рабочих мест. Сервер приложения и система управления ключевой информации располагаются в Банке и часто называются серверной частью системы «Банк-Клиент», рабочие места операционных сотрудников Банка и клиентов системы могут быть выполнены в виде тонких и толстых клиентов3.

Согласно ФЗ об электронной подписи1 в сертификате электронной подписи должны содержаться данные, отнесенные в соответствии с ФЗ о персональных данных4 к  персональным данным. Согласно п.7.7 Стандарта Банка России2 при построении содержащих персональные данные систем электронного документооборота, защищенных с использованием шифровальных (криптографических) средств, необходимо применять средства криптографической защиты информации (далее СКЗИ) не ниже класса КС2.

На рабочем месте Клиента при использовании широко распространенных СКЗИ необходимо использовать средства защиты, перечисленные в Таблице 1.

Использование перечисленных в Таблице 1 средств защиты создает большие неудобства для клиентов, особенно руководителей клиентов – юридических лиц, которые в большинстве используют мобильные компьютеры.

Альтернативой использования АПМДЗ является использование токенов второго поколения без возможности извлечения закрытого (секретного) ключа и формирование электронной подписи и сеансовых ключей шифрования непосредственно на самом устройстве. Сравнительные характеристики токенов, отвечающих требованиям Стандарта Банка России2 приведены  в Таблице 2.

Все приведенные в Таблице 2 токены являются в понимании ПП9575 средствами криптографической защиты информации, и их передача Клиентам Банком должна проводится на основании лицензии на распространение СКЗИ по адресам, указанной в данной лицензии. Это требование необходимо учитывать при формировании внутренней нормативно-правовой базы эксплуатации систем «Банк-Клиент».

Реализация средства электронной подписи на клиентском месте в понимании ФЗ об электронной подписи1 и формирования защищенного канала взаимодействия с серверной частью системы требует применения единого комплекса программных и программно-аппаратных средств, состоящих из прикладного программного обеспечения, позволяющего создать и отобразить перед подписанием документ, программного СКЗИ для формирования защищенного канала связи и хэш-функции подписываемого документа и собственно токена.

Согласно требованиям ФЗ об электронной подписи средства электронной подписи1 должны пройти оценку соответствия в системе сертификации ФСБ России в виде контроля встраивания по процедуре, предусмотренной ПКЗ-20056 и  эксплуатационной документации на используемые СКЗИ на основании согласованного с ФСБ России Технического задания на построение информационной системы «Банк-Клиент», защищенного с использованием шифровальных (криптографических) средств.

Для выполнения требований, предъявляемых к системе управления ключевой информации для квалифицированной усиленной подписи, необходимо использовать сертифицированные ФСБ России Удостоверяющие центры.

Класс Удостоверяющего центра не должен быть ниже требования к СКЗИ, т.е. не ниже КС2. Перечень сертифицированных Удостоверяющих центров класса не ниже КС2 приведен в Таблице 3.

Для проверки электронной подписи и формирования защищенного канала взаимодействия сервера приложения системы «Банк-Клиент» должны использоваться сертифицированные СКЗИ в исполнении не ниже КС2. Для выполнения указанных требований на Сервер приложений устанавливается АПМДЗ, а также используются межсетевой экран, средства защиты от несанкционированного доступа и антивирусное средство защиты согласно требованиям эксплуатационной документации на используемое СКЗИ.

Построение системы «Банк-Клиент» с квалифицированной электронной подписью является хорошо структурированным процессом с жестким алгоритмом выполнения требования и этапов. Качественное выполнение всех этапов позволяет получить эффективную и безопасную информационную систему, соответствующую требованиям действующего законодательства РФ.

 

ПЕРЕЧЕНЬ ЛИТЕРАТУРЫ

1. Федеральный закон «Об электронной подписи» № 63-ФЗ от 06 апреля 2011 года.

2. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения «СТОБР ИББС-1.0-2010» (принят и введен в действие Распоряжением Банка России № Р-705 от 21 июня 2010 года).

3. Д.Левиев. Информационная система современного банка сегодня. Журнал Connect! Мир Связи № 11 2008 г.

4. Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 г.

5. Постановление Правительства РФ «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» № 957 от 29 декабря 2007 года, вместе с:

  • «Положением о лицензировании предоставления услуг в области шифрования информации»;
  • «Положением о лицензировании деятельности по распространению шифровальных (криптографических) средств»;
  • «Положением о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств»;
  • «Положением о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем».

6. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005). Утверждено приказом ФСБ России № 66 от 9 февраля 2005 года, зарегистрировано в Минюсте РФ под № 6382 03 марта 2005 года.

 

 

Смотрите также

Подпишись на новости!
Подписаться