BIS Journal №3(3)/2011

14 сентября, 2011

Токены на выбор

В современном Банке системы «Банк – Клиент» давно перешагнули грань информационных систем для управления счетом и стали полноценной системой электронного документооборота между Банком и Клиентом. Принятие Федерального закона об электронной подписи, постепенное внедрение анализа операционного риска, а также Комплекса Стандартов Банка России заставляет по новому взглянуть на эксплуатируемые системы «Банк-Клиент» с целью минимизации риска и стоимости владения с улучшением качества обслуживания и уменьшением требований, по возможности, к рабочему месту Клиента.

Современная система «Банк-Клиент» представляет собой трёхступенчатую систему, состоящую из сервера приложения, системы управления ключевой информации и клиентских рабочих мест. Сервер приложения и система управления ключевой информации располагаются в Банке и часто называются серверной частью системы «Банк-Клиент», рабочие места операционных сотрудников Банка и клиентов системы могут быть выполнены в виде тонких и толстых клиентов3.

Согласно ФЗ об электронной подписи1 в сертификате электронной подписи должны содержаться данные, отнесенные в соответствии с ФЗ о персональных данных4 к  персональным данным. Согласно п.7.7 Стандарта Банка России2 при построении содержащих персональные данные систем электронного документооборота, защищенных с использованием шифровальных (криптографических) средств, необходимо применять средства криптографической защиты информации (далее СКЗИ) не ниже класса КС2.

На рабочем месте Клиента при использовании широко распространенных СКЗИ необходимо использовать средства защиты, перечисленные в Таблице 1.

Использование перечисленных в Таблице 1 средств защиты создает большие неудобства для клиентов, особенно руководителей клиентов – юридических лиц, которые в большинстве используют мобильные компьютеры.

Альтернативой использования АПМДЗ является использование токенов второго поколения без возможности извлечения закрытого (секретного) ключа и формирование электронной подписи и сеансовых ключей шифрования непосредственно на самом устройстве. Сравнительные характеристики токенов, отвечающих требованиям Стандарта Банка России2 приведены  в Таблице 2.

Все приведенные в Таблице 2 токены являются в понимании ПП9575 средствами криптографической защиты информации, и их передача Клиентам Банком должна проводится на основании лицензии на распространение СКЗИ по адресам, указанной в данной лицензии. Это требование необходимо учитывать при формировании внутренней нормативно-правовой базы эксплуатации систем «Банк-Клиент».

Реализация средства электронной подписи на клиентском месте в понимании ФЗ об электронной подписи1 и формирования защищенного канала взаимодействия с серверной частью системы требует применения единого комплекса программных и программно-аппаратных средств, состоящих из прикладного программного обеспечения, позволяющего создать и отобразить перед подписанием документ, программного СКЗИ для формирования защищенного канала связи и хэш-функции подписываемого документа и собственно токена.

Согласно требованиям ФЗ об электронной подписи средства электронной подписи1 должны пройти оценку соответствия в системе сертификации ФСБ России в виде контроля встраивания по процедуре, предусмотренной ПКЗ-20056 и  эксплуатационной документации на используемые СКЗИ на основании согласованного с ФСБ России Технического задания на построение информационной системы «Банк-Клиент», защищенного с использованием шифровальных (криптографических) средств.

Для выполнения требований, предъявляемых к системе управления ключевой информации для квалифицированной усиленной подписи, необходимо использовать сертифицированные ФСБ России Удостоверяющие центры.

Класс Удостоверяющего центра не должен быть ниже требования к СКЗИ, т.е. не ниже КС2. Перечень сертифицированных Удостоверяющих центров класса не ниже КС2 приведен в Таблице 3.

Для проверки электронной подписи и формирования защищенного канала взаимодействия сервера приложения системы «Банк-Клиент» должны использоваться сертифицированные СКЗИ в исполнении не ниже КС2. Для выполнения указанных требований на Сервер приложений устанавливается АПМДЗ, а также используются межсетевой экран, средства защиты от несанкционированного доступа и антивирусное средство защиты согласно требованиям эксплуатационной документации на используемое СКЗИ.

Построение системы «Банк-Клиент» с квалифицированной электронной подписью является хорошо структурированным процессом с жестким алгоритмом выполнения требования и этапов. Качественное выполнение всех этапов позволяет получить эффективную и безопасную информационную систему, соответствующую требованиям действующего законодательства РФ.

 

ПЕРЕЧЕНЬ ЛИТЕРАТУРЫ

1. Федеральный закон «Об электронной подписи» № 63-ФЗ от 06 апреля 2011 года.

2. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения «СТОБР ИББС-1.0-2010» (принят и введен в действие Распоряжением Банка России № Р-705 от 21 июня 2010 года).

3. Д.Левиев. Информационная система современного банка сегодня. Журнал Connect! Мир Связи № 11 2008 г.

4. Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 г.

5. Постановление Правительства РФ «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» № 957 от 29 декабря 2007 года, вместе с:

  • «Положением о лицензировании предоставления услуг в области шифрования информации»;
  • «Положением о лицензировании деятельности по распространению шифровальных (криптографических) средств»;
  • «Положением о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств»;
  • «Положением о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем».

6. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005). Утверждено приказом ФСБ России № 66 от 9 февраля 2005 года, зарегистрировано в Минюсте РФ под № 6382 03 марта 2005 года.

 

Смотрите также