В России в пилотном проекте запущена платформа цифрового рубля. Оператором платформы является Банк России, он же организует и обеспечивает бесперебойность функционирования платформы и устанавливает её правила. Правила на текущий момент установлены положением Банка России от 03.08.2023 № 820-П «О платформе цифрового рубля» и положением Банка России от 07.12.2023 № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля» (далее — Требования ЗИ ЦР).
Пользователями платформы могут стать физические и юридические лица, а подключать пользователей к платформе в настоящее время предстоит кредитным организациям. Чтобы понять, что необходимо выполнить кредитным организациям, которые решат стать участниками платформы цифрового рубля (далее — ЦР, платформа ЦР, участник платформы), в части обеспечения защиты информации, рассмотрим подробнее Требования ЗИ ЦР.
Требования ЗИ ЦР с первых строк напоминают о том, что именно Банк России является оператором платформы, устанавливает правила платформы, требования к обеспечению защиты информации для участников платформы, и о согласовании указанных Требований ЗИ ЦР с ФСБ России и ФСТЭК России. Далее идут 21 пункт Требований ЗИ ЦР и 2 приложения, о которых поговорим ниже.
ЧТО И КАК ЗАЩИЩАТЬ?
Требования ЗИ ЦР распространяются исключительно на участников платформы, являющихся кредитными организациями. В них же приведён перечень защищаемой информации при формировании (подготовке), обработке, передаче и хранении которой кредитным организациям необходимо выполнять Требования ЗИ ЦР на участвующих в обработке указанной информации объектах информационной инфраструктуры. Отдельно отмечено, что выполнение Требований ЗИ ЦР не исключает выполнение требований законодательства в части обеспечения безопасности КИИ. Пункт 4 Требований ЗИ ЦР устанавливает, что размещать указанные объекты информационной инфраструктуры участникам платформы необходимо в выделенных сегментах (группах сегментов) вычислительных сетей, а также определяет уровень защиты информации, который участникам платформы необходимо реализовать в этих сегментах (рис. 1).
Кредитная организация
Уровень защиты информации, который необходимо реализовать на ОИИ, используемых при обеспечении возможности совершения операций с ЦР (в соответствии с ГОСТ 57580.1-2017 [1])
Рисунок 1. Пункт 4 Требований ЗИ ЦР устанавливает, что размещать указанные объекты информационной инфраструктуры участникам платформы необходимо в выделенных сегментах (группах сегментов) вычислительных сетей, а также определяет уровень защиты информации.
Защита информации с использованием СКЗИ согласно Требованиям ЗИ ЦР должна осуществляться в соответствии с Положением ПКЗ-2005 [3], требованиями технической документации на СКЗИ, включая требования к проведению оценки влияния аппаратных, программно-аппаратных и программных средств сети (систем) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований.
Кроме того, Требования ЗИ ЦР закрепляют за участниками платформы обязанность обеспечения защиты сообщений в электронном виде, связанных с осуществлением операций с ЦР (далее — электронных сообщений) в соответствии с альбомом электронных сообщений, предусмотренным ч. 6. ст. 30.7 161-ФЗ [4] [5].
ЧТО ЗАКРЕПИТЬ ВО ВНУТРЕННИХ ДОКУМЕНТАХ
Участники платформы должны определить:
В перечисленные выше списки лиц в соответствии с Требованиями ЗИ ЦР нет необходимости включать пользователей платформы.
Кроме того, реализация функций участника платформы предполагает исполнение функций удостоверяющего центра (далее — УЦ) с целью обеспечения сертификатами и применения электронной подписи (далее — ЭП) пользователей платформы. Это предполагает увеличение числа внутренних нормативных документов, процессы взаимодействия с пользователями платформы, возникающие при эксплуатации УЦ, выдаче, смене, применении, отзыве сертификатов ключа проверки ЭП и ином взаимодействии.
КАК ФОРМИРУЮТСЯ И ХРАНЯТСЯ ЭЛЕКТРОННЫЕ СООБЩЕНИЯ
П. 8 Требований ЗИ ЦР требует от участников платформы использовать при формировании и подписании электронных сообщений собственную автоматизированную систему. П. 9 обязывает участника платформы обеспечить пользователя платформы приложением, в котором тот мог бы применять ЭП (далее — приложение клиента) при формировании и направлении электронных сообщений, а также уточняет, что при применении пользователем платформы приложения клиента участник платформы должен обеспечивать применение в составе мобильного приложения программного обеспечения, распространяемого оператором платформы (далее — Программный модуль Банка России, ПМ БР).
ПМ БР осуществляет функции по криптографической защите информации и распространяется Банком Росси доверенным способом. Список функций ПМ БР, обеспечивающих криптографическую защиту информации, приведён на официальном сайте Банка России [6]. В случае если не используется приложение клиента, пользователь платформы должен будет применять СКЗИ, которое должно реализовывать функции по криптографической защите информации, аналогичные реализуемым ПМ БР.
Участник платформы обязан осуществлять сбор, передачу оператору платформы и обновление идентификационной информации устройства пользователя платформы (далее — цифровой отпечаток устройства) при использовании приложения клиента. При смене устройства пользователем платформы участник платформы обязан передать обновлённый цифровой отпечаток устройства оператору платформы, при этом ответственность за подтверждение легитимности смены устройства возлагается на участника платформы.
Любые подписанные ЭП электронные сообщения участник платформы обязан хранить не менее пяти лет с даты подписания, при этом не исключается и более длительное хранение электронных сообщений в соответствии с Перечнем документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения [7].
КАК ОСУЩЕСТВЛЯЕТСЯ ЗАЩИТА СООБЩЕНИЙ
Технология защиты информации с применением ЭП при обмене электронными сообщениями между участником платформы и пользователем платформы описана в п. 13 Требований ЗИ ЦР и предполагает выполнение определённых действий участником и пользователем платформы. Так, участнику платформы необходимо развернуть УЦ и при этом использовать средства УЦ не ниже класса КС3 [8], а также обеспечить передачу в УЦ запроса на сертификат ключа проверки ЭП при помощи приложения клиента. Иные требования касаются хранения, использования и изготовления криптографических ключей участника и пользователя платформы, а также процессов, осуществляемых при выдаче сертификата ключа проверки ЭП пользователю платформы, подписания электронных сообщений участником и пользователем платформы, проверки ЭП, контроля сроков действия криптографических ключей, направления информации участником платформы в случаях досрочного прекращения или аннулирования сертификата ключа проверки ЭП пользователя платформы.
При совершении операций с ЦР и обмене возникающими электронными сообщениями основным способом защиты информации является применение ЭП, использование средств ЭП и СКЗИ, прошедших в установленном порядке оценку соответствия, сохранение в тайне криптографических ключей и все сопутствующие криптографической защите информации процессы, в том числе поэкземплярный учёт, допуски персонала после соответствующего обучения, надёжные хранилища, требования Правил пользования к СКЗИ и т. д. (рис. 2).
Рисунок 2. При совершении операций с ЦР и обмене возникающими электронными сообщениями основным способом защиты информации является применение ЭП, использование средств ЭП и СКЗИ, прошедших в установленном порядке оценку соответствия, сохранение в тайне криптографических ключей и все сопутствующие криптографической защите информации процессы
ТРЕБОВАНИЯ К СКЗИ И СРЕДСТВАМ ЭП
В соответствии с п. 14 Требований ЗИ ЦР определяются конкретные классы СКЗИ и средств ЭП, которые необходимо использовать при обмене электронными сообщениями как между участником и оператором платформы, так и между участником и пользователем платформы. При обмене между участником и оператором платформы электронные сообщения, направляемые на платформу ЦР, необходимо подписывать усиленной неквалифицированной ЭП с использованием средств ЭП [9] не ниже класса КС2 и шифровать (расшифровывать) с использованием СКЗИ [10] не ниже класса КС2. С 01.01.2025 при аналогичном обмене необходимо будет применять уже средства ЭП и СКЗИ классов КС3 и выше. Для организации виртуальной частной сети между участником и оператором платформы необходимо использовать СКЗИ не ниже класса КС2.
Также п. 14 устанавливает необходимость обработки электронных сообщений в соответствии с приложением «Требования к обеспечению защиты информации, применяемые в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями», которые предполагают организацию двух выделенных контуров: контура контроля и контура обработки, а также соблюдение ряда правил по обработке и передаче электронных сообщений.
Подключение к платформе ЦР осуществляется Банком России с помощью стандартных, предоставляемых им решений [11] (рис. 3).
Рисунок 3. Подключение к платформе ЦР осуществляется Банком России с помощью стандартных, предоставляемых им решений
Аналогично при обмене электронными сообщениями между участником и пользователем платформы электронные сообщения, направляемые участником пользователю платформы, необходимо подписывать усиленной неквалифицированной ЭП и шифровать (расшифровывать) с использованием средств ЭП и СКЗИ классов КС2 и выше. С 01.01.2025 при аналогичном направлении электронных сообщений участнику платформы необходимо будет применять средства ЭП и СКЗИ классов КС3 и выше. Пользователь платформы сейчас и после 01.01.2025 может подписывать и шифровать (расшифровывать) электронные сообщения с использованием средств ЭП и СКЗИ классов КС1 и выше. Также предполагается применение СКЗИ не ниже класса КС2 (TLS-шлюз) участником платформы и не ниже класса КС1 пользователем платформы для двухсторонней аутентификации и шифрования. Все функции на стороне пользователя платформы должны быть реализованы при применении им ПМ БР (рис. 4).
Рисунок 4. Все функции на стороне пользователя платформы должны быть реализованы при применении им ПМ БР.
Проводить оценку соответствия Требованиям ЗИ ЦР участнику платформы необходимо не реже одного раза в два года с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг по технической защите конфиденциальной информации (пп. «б») п. 4 Положения 79 [12], оценка проводится в соответствии с ГОСТ Р 57580.2-2018 [13]. Хранить отчёт об оценке соответствия участник платформы обязан в течение 5 лет, а уровень соответствия, который необходимо обеспечить, устанавливается не ниже четвёртого. Кроме этого, участник платформы обязан проводить ежегодное тестирование на проникновение и анализ уязвимостей в отношении объектов информационной инфраструктуры в выделенных им сегментах вычислительных сетей.
О ПРИЛОЖЕНИИ КЛИЕНТА
П. 20 Требований ЗИ ЦР обязывает участника платформы соблюдать «Требования к обеспечению защиты информации, применяемые в отношении приложения клиента». Ничего сверхъестественного указанные требования не предъявляют, но количество операционной нагрузки безусловно увеличивают. Есть и повод для небольшой радости для участников платформы: 17.05.2024 Банком России был опубликован Порядок проведения работ по оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование программного модуля Банка России, на выполнение предъявленных к входящему в его состав средству криптографической защиты информации требований, устанавливающий упрощённый регламент проведения указанных работ.
Что осталось между строк?
Сложившаяся практика и требования к средствам УЦ предполагают использование отдельного УЦ для выпуска сертификатов, предназначенных для шифрования канала связи, организованного TLS-шлюзом участника платформы, что означает организацию ещё одного УЦ (и соответственно траты на его обслуживание как финансовые, так и людские) в инфраструктуре участника платформы.
Подводя итог, можно сказать, что участнику платформы ЦР необходимо реализовать ряд непростых и недешёвых решений, в том числе по выделению отдельных сегментов вычислительных сетей, обеспечению требуемого уровня соответствия, проведению ежегодного тестирования на проникновение и анализа уязвимостей, развёртыванию двух УЦ и применению соответствующих средств УЦ, средств ЭП и СКЗИ соответствующих классов, а также выделить для обеспечения защиты информации при осуществлении взаимодействия с платформой ЦР штат или оптимизировать имеющие людские ресурсы.
[1] ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
[2] Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе».
[3] Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утверждённое приказом ФСБ РФ от 09.02.2005 № 66.
[4] «Защита электронных сообщений».
[5] «Правила обмена сообщениями».
[6] «Правила обмена сообщениями».
[7] Ч. 1.1. ст. 23 ФЗ от 22.10.2002 № 125-ФЗ «Об архивном деле в Российской Федерации».
[8] Приказ ФСБ России от 27.12.2011 № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
[9] Здесь и далее класс средств ЭП указан в соответствии с Приказом ФСБ России от 27.12.2011 № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
[10] Здесь и далее класс СКЗИ указан в соответствии с Приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных…».
[11] «Порядок подключения участника платформы к платформе цифрового рубля».
[12] Положение о лицензировании деятельности по технической защите конфиденциальной информации (утверждённое Постановлением Правительства РФ от 03.02.2012 № 79).
[13] ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных