Аналитика и комментарии
05 декабря 2024
SDK Systems: прозрачный путь подключения к Платформе Цифрового рубля
Компания SDK Systems вместе со своими клиентами – банками включилась в проект «Цифровой рубль» больше года назад – летом 2023 года. С тех пор SDK Systems анализирует ситуацию и новые требования регулятора, которые неизменно учитывает в своих решениях. Компания эволюционирует вместе с банками в понимании процесса и констатирует, что для подключения к Платформе Цифрового рубля (ЦР) кредитным организациям нужно решить значительно больше задач, чем это представлялось изначально. Генеральный директор компании SDK Systems Алексей АЛЕКСАНДРОВ рассказал Национальному банковскому журналу (NBJ) об опыте создания защищённой инфраструктуры и выполнении всех требований информационной безопасности при подключении к Платформе ЦР.
Планируемые сроки внедрения цифрового рубля
В сентябре Банк России опубликовал информацию, где предложил установить сроки введения ЦР в оборот в зависимости от объёмов бизнеса кредитных организаций и размера годовой выручки компаний.
Так, крупнейшие (системообразующие) банки должны будут обеспечить клиентам возможность проводить операции с ЦР (открывать и пополнять счета ЦР, делать переводы, а также принимать ЦР в своей инфраструктуре) к 1 июля 2025 года, остальным банкам с универсальной лицензией предоставят время до 1 июля 2026 года, а прочим кредитным организациям – до 1 июля 2027 года.
В аналогичные сроки планируется введение ЦР в торговых и сервисных предприятиях (ТСП). Организации с выручкой более 30 млн рублей в год должны будут начать приём оплаты в ЦР с 1 июля 2025 года. Для компаний с выручкой более 20 млн рублей крайним сроком планируют назначить 1 июля 2026 года, все остальные компании должны будут обеспечить клиентам возможность платить ЦР до 1 июля 2027 года.
При этом следует иметь в виду, что если у банка есть клиенты – предприятия из первой группы, которые должны подключиться к ЦР с 1 июля 2025 года, то они тоже озадачены подключением именно к этому времени, даже если их сроки по их категории обозначены 2026 и 2027 годами.
Сейчас мы наблюдаем бурный рост интереса и активности банков по подключению к Платформе Цифрового рубля, у организаций возникает много вопросов и по срокам проекта, и по стоимости, и по техническим деталям.
Подключение к Платформе Цифрового рубля
Из чего состоит процедура подключения банков-посредников к платформе ЦР? Есть три блока задач, которые необходимо реализовать банку, планирующему внедрить ЦР.
Первый – связан с добавлением функционала ЦР в ДБО и интерфейсы клиентов банка как физических, так и юридических лиц.
Второй блок задач связан с необходимостью определиться, будут ли банки самостоятельно разрабатывать шлюз ЦР или выберут готовое решение от стороннего вендора. Речь идёт о прикладном программном обеспечении, реализующем обработку транзакций Цифрового рубля внутри банка, и интегрируемого с системами банка – ДБО, АБС и другими.
Третий блок задач, чем непосредственно занимается SDK Systems, – это построение защищённой инфраструктуры и выполнение требований по информационной безопасности. Сюда входит подбор и внедрение средств (криптографической) защиты информации, включая создание внутри банков двух Удостоверяющих центров для выпуска сертификатов электронной подписи и сертификатов безопасности клиентам банков – пользователям Цифрового рубля.
Нормативные документы в области ИБ для ЦР
На текущий момент имеется ряд документов, определяющих требования по информационной безопасности для Цифрового рубля. Некоторые документы находятся в открытом доступе, как, например, Положение Банка России от 7 декабря 2023 г. № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля». Некоторые – предоставляются Банком России по запросу банка-участника.
Однако, необходимо учитывать общие требования, относящиеся не только к Цифровому рублю, но и к деятельности банков в целом.
Один из таких НПА, который уже стал привычным для банков, – это ГОСТ 57580.х. Инфраструктура, построенная для ЦР, как и другие технологические сегменты в банке, должна будет регулярно проходить оценку соответствия по ГОСТ 57580.х. Это означает, что при подключении к Платформе Цифрового рубля банкам нужно будет не только внедрить те средства (криптографической) защиты информации, которые явно прописаны в НПА по ЦР, и внедрить прикладное программное обеспечение для функционального взаимодействия с Платформой ЦР, но и подумать о том, что в соответствии с требованиями ГОСТа нужно реализовать ряд дополнительных мер. Без этого не получится обеспечить тот уровень защищённости, который требуется для работы Цифрового рубля.
Проект Цифрового рубля стал рекордным по количеству различных средств криптографической защиты информации в банках. СКЗИ применяются для формирования и проверки электронной подписи, для шифрования канала передачи данных и для работы двух Удостоверяющих банков. Это сертифицированные ФСБ России средства, и их внедрение и эксплуатация должна осуществляться в точном соответствии с их эксплуатационной документацией. Об этом говорится в ещё одном важном для Цифрового рубля документе – Приказе ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
Согласно данному документу, при встраивании СКЗИ в прикладное программное обеспечение, необходимо пройти особую процедуру, называемую «Оценка влияния среды функционирования на СКЗИ».
Общая схема взаимодействия
Как в целом выглядит схема взаимодействия компонентов Цифрового рубля? Есть три главных составляющих этой схемы: пользователи, банки-участники и Банк России.
Пользователи – физические и юридические лица, будут взаимодействовать с Платформой Цифрового рубля через мобильное приложения и web-портал банка. Поэтому важно реализовать функционал Цифрового рубля в системах Дистанционного Банковского Обслуживания (ДБО).
В центре схемы находится банк-участник платформы ЦР, внутри которого строится основная инфраструктура. Она состоит из двух функциональных контуров (Контур Обработки и Контур Контроля), в которых размещается прикладное программное обеспечение – Шлюз Цифрового рубля, обрабатывающее транзакции и реализующее форматы, определённые Платформой ЦР Банка России.
Для работы Цифрового рубля необходимо развернуть два Удостоверяющих центра. Один УЦ переназначен для выпуска сертификатов ключей электронной подписи для клиентов, с помощью которой они смогут подписывать распоряжения на операции с ЦР. Второй УЦ предназначен для выпуска сертификатов безопасности. С их помощью пользователи ЦР будут подключаться к TLS-шлюзу, расположенному в защищённом периметре банка. Эти Удостоверяющие центры не могут использоваться для других задач, только для Цифрового рубля.
Шлюз Цифрового рубля в Контуре Обработки и Контуре Контроля использует СКЗИ, с помощью которых осуществляется работа с ЭП. Маршрут распоряжения от клиента до Платформы Цифрового рубля в Банке России выглядит следующим образом (в сильно упрощённом виде): клиент подписывает распоряжение своей электронной подписью в мобильном приложении, и распоряжение по защищённому каналу сначала поступает в банк (ДБО), потом попадает в Контур Обработки, где ЭП клиента проверяется, затем подписывается ЭП банка. Далее распоряжение поступает в Контур Контроля, где снова происходит проверка ЭП, и только после этого распоряжение отправляется в Платформу Цифрового рубля в Банке России.
Где еще, кроме Контура Обработки и Контура Контроля, применяются средства (криптографической) защиты информации и с какой целью?
В первую очередь, должен быть внедрён ПАК (программно-аппаратный комплекс) Удостоверяющий центр, включающий программные и аппаратные средства. К аппаратным средствам относится криптографический модуль HSM для хранения ключей Удостоверяющего центра.
Во-вторых, необходимо защитить каналы связи между клиентами и контуром банка, и между банком и Платформой ЦР в Банке России. Если у организации есть выделенные ЦОДы, то каналы связи между ними также подлежат защите с помощью СКЗИ.
В-третьих, нужно внедрить средства межсетевого экранирования и обнаружения вторжений.
Наряду со всем перечисленным, банк должен иметь в своём арсенале полный «джентельменский набор», к которому банки привыкли, выполняя меры ГОСТ 57580.х – средства защиты от несанкционированного доступа, антивирусная защита, решения по контролю за привилегированными пользователями и средства двухфакторной аутентификации. Без внедрения всего комплекса средств выстроить полноценную защиту не получится.
При построении нового сегмента инфраструктуры банка для Цифрового рубля необходимо помнить и про импортозамещение. Экспертам компании SDK Systems удалось подобрать для Цифрового рубля полностью импортонезависимый технологический стек, включая российскую ОС AstraLinux SE (Смоленск), которая прошла необходимые сертификационные испытания, и именно с её применением можно реализовать высокий класс защиты СКЗИ как для применения в рамках Шлюза Цифрового рубля, так и для развёртывания Удостоверяющих центров.
Сервис автоматизации выпуска сертификата
Для обеспечения удобного и безопасного использования Цифрового рубля клиентами важно автоматизировать процедуру первичного подключения, в том числе – порядок идентификации физических лиц при выпуске сертификатов в Удостоверяющих центрах. Речь идёт о необходимости реализовать Сервис автоматизации выпуска сертификатов с идентификацией клиентов через ЕСИА.
Сейчас идентификация клиента допустима только при личной явке в банк, где уполномоченный сотрудник Удостоверяющего центра мог бы проверить документы, и только после этого можно выпустить сертификат ЭП.
Сервис автоматизации позволит клиентам подключаться к Цифровому рублю удалённо, с прохождением онлайн-идентификации через ЕСИА. Клиенту на мобильном устройстве (или в web-браузере) потребуется ввести свой логин и пароль (как при входе в Единый Портал ГосУслуг). Если пользователь успешно идентифицировался в своём профиле ЕСИА, то оттуда в банк поступит пакет персональных данных клиента и кредитная организация сможет выпустить для клиента сертификаты ЭП и TLS.
Такой подход позволит серьёзно упростить процедуру идентификации пользователи при выпуске сертификатов, так как все действия можно выполнить удалённо, без личного присутствия в банке. Но для этого придётся построить соответствующую инфраструктуру.
Сейчас данное решение находится в разработке, за которой последует сертификация в ФСБ России. Если данная схема и её реализация будет одобрена Регулятором в рамках Цифрового рубля, то это может серьёзно повлиять на индустрию PKI в целом.
Пользовательские интерфейсы ЦР
Важным моментом для банков в проекте ЦР являются пользовательские интерфейсы. О чём идёт речь? Сейчас каждый банк, который будет в интерфейсе мобильного приложения поддерживать функционал работы с ЦР, должен встроить Программный Модуль Банка России (ПМ БР). ПМБР включает в себя СКЗИ. То же самое нужно будет сделать на web-версии: необходимо использовать браузер с поддержкой ГОСТ TLS. Также на компьютер клиента необходимо установить криптопровайдер и браузерный плагин.
Согласно ПКЗ-2005, при встраивании СКЗИ необходимо пройти процедуру оценки влияния среды функционирования СКЗИ, то есть проверяется корректность взаимодействия программного кода информационной системы с СКЗИ.
Это означает, что банк или вендор, который разрабатывает мобильное приложение и встраивает в него СКЗИ (в данном случае это ПМ БР), должен заключить договор с лабораторией, аккредитованной ФСБ и уполномоченной такие проверки проводить. Сначала происходит согласование с ФСБ технического задания на встраивание ПМ БР, а далее сама процедура проверки. Вся информация, включая исходные коды, предоставляется лаборатории, она проводит исследование и направляет отчёт в ФСБ России.
Описанная процедура довольно сложная и небыстрая, она содержит много нюансов.
«Особый» порядок оценки влияния
Банк России, понимая, что у банков есть определённые циклы выпуска релизов мобильных приложений, и они не совпадают со сроками, за которые возможно целиком пройти процедуру оценки влияния, согласовал с ФСБ России «особый» порядок проведения оценки влияния, который позволяет банкам сократить путь прохождения этой процедуры.
Речь идёт о том, что в первый раз, когда в мобильное приложение встраивается ПМ БР, нужно будет пройти полноценную процедуру – долгую и дорогую. Но затем есть возможность процедуру ускорить при условии, что в очередном релизе мобильного приложения не было изменений исходного кода, связанного с вызовами СКЗИ.
Впрочем, пока что все банки находятся только на этапе первичной оценки влияния. Идея «особого» порядка хороша, и есть надежда, что она покажет свою жизнеспособность.
Таймлайн проекта
Согласно опыту взаимодействия SDK Systems с банками в проектах подключения к Цифровому рублю, таймлайн проекта подключения к Цифровому рублю занимает от 10 месяцев и более, вне зависимости от размера банка.
Сначала нужно спроектировать контуры защищённой инфраструктуры, подобрать все средства защиты. Следует понимать, что несмотря на то, что у нас уже появилась типовая спецификация средств защиты информации, ландшафт в каждом банке уникальный. Проектирование ИБ-составляющей и ИТ-инфраструктуры нужно начинать с самого начала проекта и параллельно с этим проводить работы по внедрению функционала ЦР в ДБО, потому что чаще всего именно эти работы требуют больше всего времени. Только после того, как функционал ЦР реализован в ДБО и внедрён Шлюз ЦР и можно выстроить всю технологическую цепочку, банк приступает к прохождению тестовых испытаний, которые проверяют функциональную готовность банка к подключению к Платформе ЦР.
Фактически, банк должен построить не один, а два контура защиты. Один – «боевой», выстроенный в соответствии со всеми требованиями ИБ, именно на нём будет работать вся инфраструктура. Второй – тестовый, на котором кредитная организация будет проходить тестовые испытания (ТИВ). При этом эти оба контура будут жить и дальше.
Компания SDK Systems помогает банкам спроектировать и построить оба контура. Причём имеются наработки, как можно оптимизировать расходы банка.
Три компании консорциума iCAM участвуют в проекте ЦР
SDK Systems организационно входит в консорциум iCAM Group. Три компании консорциума участвуют в проекте ЦР. SDK Systems решает вопросы информационной безопасности. Компания iDSystems разрабатывает типовое решение для взаимодействия с ЕСИА в составе Сервиса автоматизации выпуска сертификатов. Компания iSimpleLab – разработчик платформы ДБО iSimpleBank 2.0 – отвечает в проектах за клиентские интерфейсы.Если в банке есть две системы ДБО от разных вендоров (отдельно для физических и юридических лиц) и есть сложности реализации поддержки Цифрового рубля в одной из них, то iSimpleLab предлагает внедрить платформу ДБО с поддержкой ограниченного функционала Daily Banking и полноценной поддержки работы с ЦР для быстрого старта.
Эксперты SDK Systems накопили большой опыт работы с банками в проектах Цифрового рубля. Компании SDK Systems доверили построение своей защищённой инфраструктуры ЦР уже более 10 банков. При тесной связи с поставщиками СКЗИ и партнёрами-разработчиками Шлюза ЦР, компания SDK Systems обладает отличным запасом прочности, профессиональных компетенций и опыта, которые будут полезны кредитным организациям при работе с Цифровым рублём.
Текст: Оксана Дяченко. Фото: Станислав Кравченко
Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2024)
Планируемые сроки внедрения цифрового рубля
В сентябре Банк России опубликовал информацию, где предложил установить сроки введения ЦР в оборот в зависимости от объёмов бизнеса кредитных организаций и размера годовой выручки компаний.
Так, крупнейшие (системообразующие) банки должны будут обеспечить клиентам возможность проводить операции с ЦР (открывать и пополнять счета ЦР, делать переводы, а также принимать ЦР в своей инфраструктуре) к 1 июля 2025 года, остальным банкам с универсальной лицензией предоставят время до 1 июля 2026 года, а прочим кредитным организациям – до 1 июля 2027 года.
В аналогичные сроки планируется введение ЦР в торговых и сервисных предприятиях (ТСП). Организации с выручкой более 30 млн рублей в год должны будут начать приём оплаты в ЦР с 1 июля 2025 года. Для компаний с выручкой более 20 млн рублей крайним сроком планируют назначить 1 июля 2026 года, все остальные компании должны будут обеспечить клиентам возможность платить ЦР до 1 июля 2027 года.
При этом следует иметь в виду, что если у банка есть клиенты – предприятия из первой группы, которые должны подключиться к ЦР с 1 июля 2025 года, то они тоже озадачены подключением именно к этому времени, даже если их сроки по их категории обозначены 2026 и 2027 годами.
Сейчас мы наблюдаем бурный рост интереса и активности банков по подключению к Платформе Цифрового рубля, у организаций возникает много вопросов и по срокам проекта, и по стоимости, и по техническим деталям.
Подключение к Платформе Цифрового рубля
Из чего состоит процедура подключения банков-посредников к платформе ЦР? Есть три блока задач, которые необходимо реализовать банку, планирующему внедрить ЦР.
Первый – связан с добавлением функционала ЦР в ДБО и интерфейсы клиентов банка как физических, так и юридических лиц.
Второй блок задач связан с необходимостью определиться, будут ли банки самостоятельно разрабатывать шлюз ЦР или выберут готовое решение от стороннего вендора. Речь идёт о прикладном программном обеспечении, реализующем обработку транзакций Цифрового рубля внутри банка, и интегрируемого с системами банка – ДБО, АБС и другими.
Третий блок задач, чем непосредственно занимается SDK Systems, – это построение защищённой инфраструктуры и выполнение требований по информационной безопасности. Сюда входит подбор и внедрение средств (криптографической) защиты информации, включая создание внутри банков двух Удостоверяющих центров для выпуска сертификатов электронной подписи и сертификатов безопасности клиентам банков – пользователям Цифрового рубля.
Нормативные документы в области ИБ для ЦР
На текущий момент имеется ряд документов, определяющих требования по информационной безопасности для Цифрового рубля. Некоторые документы находятся в открытом доступе, как, например, Положение Банка России от 7 декабря 2023 г. № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля». Некоторые – предоставляются Банком России по запросу банка-участника.
Однако, необходимо учитывать общие требования, относящиеся не только к Цифровому рублю, но и к деятельности банков в целом.
Один из таких НПА, который уже стал привычным для банков, – это ГОСТ 57580.х. Инфраструктура, построенная для ЦР, как и другие технологические сегменты в банке, должна будет регулярно проходить оценку соответствия по ГОСТ 57580.х. Это означает, что при подключении к Платформе Цифрового рубля банкам нужно будет не только внедрить те средства (криптографической) защиты информации, которые явно прописаны в НПА по ЦР, и внедрить прикладное программное обеспечение для функционального взаимодействия с Платформой ЦР, но и подумать о том, что в соответствии с требованиями ГОСТа нужно реализовать ряд дополнительных мер. Без этого не получится обеспечить тот уровень защищённости, который требуется для работы Цифрового рубля.
Проект Цифрового рубля стал рекордным по количеству различных средств криптографической защиты информации в банках. СКЗИ применяются для формирования и проверки электронной подписи, для шифрования канала передачи данных и для работы двух Удостоверяющих банков. Это сертифицированные ФСБ России средства, и их внедрение и эксплуатация должна осуществляться в точном соответствии с их эксплуатационной документацией. Об этом говорится в ещё одном важном для Цифрового рубля документе – Приказе ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
Согласно данному документу, при встраивании СКЗИ в прикладное программное обеспечение, необходимо пройти особую процедуру, называемую «Оценка влияния среды функционирования на СКЗИ».
Общая схема взаимодействия
Как в целом выглядит схема взаимодействия компонентов Цифрового рубля? Есть три главных составляющих этой схемы: пользователи, банки-участники и Банк России.
Пользователи – физические и юридические лица, будут взаимодействовать с Платформой Цифрового рубля через мобильное приложения и web-портал банка. Поэтому важно реализовать функционал Цифрового рубля в системах Дистанционного Банковского Обслуживания (ДБО).
В центре схемы находится банк-участник платформы ЦР, внутри которого строится основная инфраструктура. Она состоит из двух функциональных контуров (Контур Обработки и Контур Контроля), в которых размещается прикладное программное обеспечение – Шлюз Цифрового рубля, обрабатывающее транзакции и реализующее форматы, определённые Платформой ЦР Банка России.
Для работы Цифрового рубля необходимо развернуть два Удостоверяющих центра. Один УЦ переназначен для выпуска сертификатов ключей электронной подписи для клиентов, с помощью которой они смогут подписывать распоряжения на операции с ЦР. Второй УЦ предназначен для выпуска сертификатов безопасности. С их помощью пользователи ЦР будут подключаться к TLS-шлюзу, расположенному в защищённом периметре банка. Эти Удостоверяющие центры не могут использоваться для других задач, только для Цифрового рубля.
Шлюз Цифрового рубля в Контуре Обработки и Контуре Контроля использует СКЗИ, с помощью которых осуществляется работа с ЭП. Маршрут распоряжения от клиента до Платформы Цифрового рубля в Банке России выглядит следующим образом (в сильно упрощённом виде): клиент подписывает распоряжение своей электронной подписью в мобильном приложении, и распоряжение по защищённому каналу сначала поступает в банк (ДБО), потом попадает в Контур Обработки, где ЭП клиента проверяется, затем подписывается ЭП банка. Далее распоряжение поступает в Контур Контроля, где снова происходит проверка ЭП, и только после этого распоряжение отправляется в Платформу Цифрового рубля в Банке России.
Где еще, кроме Контура Обработки и Контура Контроля, применяются средства (криптографической) защиты информации и с какой целью?
В первую очередь, должен быть внедрён ПАК (программно-аппаратный комплекс) Удостоверяющий центр, включающий программные и аппаратные средства. К аппаратным средствам относится криптографический модуль HSM для хранения ключей Удостоверяющего центра.
Во-вторых, необходимо защитить каналы связи между клиентами и контуром банка, и между банком и Платформой ЦР в Банке России. Если у организации есть выделенные ЦОДы, то каналы связи между ними также подлежат защите с помощью СКЗИ.
В-третьих, нужно внедрить средства межсетевого экранирования и обнаружения вторжений.
Наряду со всем перечисленным, банк должен иметь в своём арсенале полный «джентельменский набор», к которому банки привыкли, выполняя меры ГОСТ 57580.х – средства защиты от несанкционированного доступа, антивирусная защита, решения по контролю за привилегированными пользователями и средства двухфакторной аутентификации. Без внедрения всего комплекса средств выстроить полноценную защиту не получится.
При построении нового сегмента инфраструктуры банка для Цифрового рубля необходимо помнить и про импортозамещение. Экспертам компании SDK Systems удалось подобрать для Цифрового рубля полностью импортонезависимый технологический стек, включая российскую ОС AstraLinux SE (Смоленск), которая прошла необходимые сертификационные испытания, и именно с её применением можно реализовать высокий класс защиты СКЗИ как для применения в рамках Шлюза Цифрового рубля, так и для развёртывания Удостоверяющих центров.
Сервис автоматизации выпуска сертификата
Для обеспечения удобного и безопасного использования Цифрового рубля клиентами важно автоматизировать процедуру первичного подключения, в том числе – порядок идентификации физических лиц при выпуске сертификатов в Удостоверяющих центрах. Речь идёт о необходимости реализовать Сервис автоматизации выпуска сертификатов с идентификацией клиентов через ЕСИА.
Сейчас идентификация клиента допустима только при личной явке в банк, где уполномоченный сотрудник Удостоверяющего центра мог бы проверить документы, и только после этого можно выпустить сертификат ЭП.
Сервис автоматизации позволит клиентам подключаться к Цифровому рублю удалённо, с прохождением онлайн-идентификации через ЕСИА. Клиенту на мобильном устройстве (или в web-браузере) потребуется ввести свой логин и пароль (как при входе в Единый Портал ГосУслуг). Если пользователь успешно идентифицировался в своём профиле ЕСИА, то оттуда в банк поступит пакет персональных данных клиента и кредитная организация сможет выпустить для клиента сертификаты ЭП и TLS.
Такой подход позволит серьёзно упростить процедуру идентификации пользователи при выпуске сертификатов, так как все действия можно выполнить удалённо, без личного присутствия в банке. Но для этого придётся построить соответствующую инфраструктуру.
Сейчас данное решение находится в разработке, за которой последует сертификация в ФСБ России. Если данная схема и её реализация будет одобрена Регулятором в рамках Цифрового рубля, то это может серьёзно повлиять на индустрию PKI в целом.
Пользовательские интерфейсы ЦР
Важным моментом для банков в проекте ЦР являются пользовательские интерфейсы. О чём идёт речь? Сейчас каждый банк, который будет в интерфейсе мобильного приложения поддерживать функционал работы с ЦР, должен встроить Программный Модуль Банка России (ПМ БР). ПМБР включает в себя СКЗИ. То же самое нужно будет сделать на web-версии: необходимо использовать браузер с поддержкой ГОСТ TLS. Также на компьютер клиента необходимо установить криптопровайдер и браузерный плагин.
Согласно ПКЗ-2005, при встраивании СКЗИ необходимо пройти процедуру оценки влияния среды функционирования СКЗИ, то есть проверяется корректность взаимодействия программного кода информационной системы с СКЗИ.
Это означает, что банк или вендор, который разрабатывает мобильное приложение и встраивает в него СКЗИ (в данном случае это ПМ БР), должен заключить договор с лабораторией, аккредитованной ФСБ и уполномоченной такие проверки проводить. Сначала происходит согласование с ФСБ технического задания на встраивание ПМ БР, а далее сама процедура проверки. Вся информация, включая исходные коды, предоставляется лаборатории, она проводит исследование и направляет отчёт в ФСБ России.
Описанная процедура довольно сложная и небыстрая, она содержит много нюансов.
«Особый» порядок оценки влияния
Банк России, понимая, что у банков есть определённые циклы выпуска релизов мобильных приложений, и они не совпадают со сроками, за которые возможно целиком пройти процедуру оценки влияния, согласовал с ФСБ России «особый» порядок проведения оценки влияния, который позволяет банкам сократить путь прохождения этой процедуры.
Речь идёт о том, что в первый раз, когда в мобильное приложение встраивается ПМ БР, нужно будет пройти полноценную процедуру – долгую и дорогую. Но затем есть возможность процедуру ускорить при условии, что в очередном релизе мобильного приложения не было изменений исходного кода, связанного с вызовами СКЗИ.
Впрочем, пока что все банки находятся только на этапе первичной оценки влияния. Идея «особого» порядка хороша, и есть надежда, что она покажет свою жизнеспособность.
Таймлайн проекта
Согласно опыту взаимодействия SDK Systems с банками в проектах подключения к Цифровому рублю, таймлайн проекта подключения к Цифровому рублю занимает от 10 месяцев и более, вне зависимости от размера банка.
Сначала нужно спроектировать контуры защищённой инфраструктуры, подобрать все средства защиты. Следует понимать, что несмотря на то, что у нас уже появилась типовая спецификация средств защиты информации, ландшафт в каждом банке уникальный. Проектирование ИБ-составляющей и ИТ-инфраструктуры нужно начинать с самого начала проекта и параллельно с этим проводить работы по внедрению функционала ЦР в ДБО, потому что чаще всего именно эти работы требуют больше всего времени. Только после того, как функционал ЦР реализован в ДБО и внедрён Шлюз ЦР и можно выстроить всю технологическую цепочку, банк приступает к прохождению тестовых испытаний, которые проверяют функциональную готовность банка к подключению к Платформе ЦР.
Фактически, банк должен построить не один, а два контура защиты. Один – «боевой», выстроенный в соответствии со всеми требованиями ИБ, именно на нём будет работать вся инфраструктура. Второй – тестовый, на котором кредитная организация будет проходить тестовые испытания (ТИВ). При этом эти оба контура будут жить и дальше.
Компания SDK Systems помогает банкам спроектировать и построить оба контура. Причём имеются наработки, как можно оптимизировать расходы банка.
Три компании консорциума iCAM участвуют в проекте ЦР
SDK Systems организационно входит в консорциум iCAM Group. Три компании консорциума участвуют в проекте ЦР. SDK Systems решает вопросы информационной безопасности. Компания iDSystems разрабатывает типовое решение для взаимодействия с ЕСИА в составе Сервиса автоматизации выпуска сертификатов. Компания iSimpleLab – разработчик платформы ДБО iSimpleBank 2.0 – отвечает в проектах за клиентские интерфейсы.Если в банке есть две системы ДБО от разных вендоров (отдельно для физических и юридических лиц) и есть сложности реализации поддержки Цифрового рубля в одной из них, то iSimpleLab предлагает внедрить платформу ДБО с поддержкой ограниченного функционала Daily Banking и полноценной поддержки работы с ЦР для быстрого старта.
Эксперты SDK Systems накопили большой опыт работы с банками в проектах Цифрового рубля. Компании SDK Systems доверили построение своей защищённой инфраструктуры ЦР уже более 10 банков. При тесной связи с поставщиками СКЗИ и партнёрами-разработчиками Шлюза ЦР, компания SDK Systems обладает отличным запасом прочности, профессиональных компетенций и опыта, которые будут полезны кредитным организациям при работе с Цифровым рублём.
Текст: Оксана Дяченко. Фото: Станислав Кравченко
Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2024)
22 января 2025
22 января 2025
22 января 2025
21 января 2025