Современная система «Банк-Клиент» представляет собой трёхступенчатую систему, состоящую из сервера приложения, системы управления ключевой информации и клиентских рабочих мест. Сервер приложения и система управления ключевой информации располагаются в Банке и часто называются серверной частью системы «Банк-Клиент», рабочие места операционных сотрудников Банка и клиентов системы могут быть выполнены в виде тонких и толстых клиентов3.
Согласно ФЗ об электронной подписи1 в сертификате электронной подписи должны содержаться данные, отнесенные в соответствии с ФЗ о персональных данных4 к персональным данным. Согласно п.7.7 Стандарта Банка России2 при построении содержащих персональные данные систем электронного документооборота, защищенных с использованием шифровальных (криптографических) средств, необходимо применять средства криптографической защиты информации (далее СКЗИ) не ниже класса КС2.
На рабочем месте Клиента при использовании широко распространенных СКЗИ необходимо использовать средства защиты, перечисленные в Таблице 1.
Использование перечисленных в Таблице 1 средств защиты создает большие неудобства для клиентов, особенно руководителей клиентов – юридических лиц, которые в большинстве используют мобильные компьютеры.
Альтернативой использования АПМДЗ является использование токенов второго поколения без возможности извлечения закрытого (секретного) ключа и формирование электронной подписи и сеансовых ключей шифрования непосредственно на самом устройстве. Сравнительные характеристики токенов, отвечающих требованиям Стандарта Банка России2 приведены в Таблице 2.
Все приведенные в Таблице 2 токены являются в понимании ПП9575 средствами криптографической защиты информации, и их передача Клиентам Банком должна проводится на основании лицензии на распространение СКЗИ по адресам, указанной в данной лицензии. Это требование необходимо учитывать при формировании внутренней нормативно-правовой базы эксплуатации систем «Банк-Клиент».
Реализация средства электронной подписи на клиентском месте в понимании ФЗ об электронной подписи1 и формирования защищенного канала взаимодействия с серверной частью системы требует применения единого комплекса программных и программно-аппаратных средств, состоящих из прикладного программного обеспечения, позволяющего создать и отобразить перед подписанием документ, программного СКЗИ для формирования защищенного канала связи и хэш-функции подписываемого документа и собственно токена.
Согласно требованиям ФЗ об электронной подписи средства электронной подписи1 должны пройти оценку соответствия в системе сертификации ФСБ России в виде контроля встраивания по процедуре, предусмотренной ПКЗ-20056 и эксплуатационной документации на используемые СКЗИ на основании согласованного с ФСБ России Технического задания на построение информационной системы «Банк-Клиент», защищенного с использованием шифровальных (криптографических) средств.
Для выполнения требований, предъявляемых к системе управления ключевой информации для квалифицированной усиленной подписи, необходимо использовать сертифицированные ФСБ России Удостоверяющие центры.
Класс Удостоверяющего центра не должен быть ниже требования к СКЗИ, т.е. не ниже КС2. Перечень сертифицированных Удостоверяющих центров класса не ниже КС2 приведен в Таблице 3.
Для проверки электронной подписи и формирования защищенного канала взаимодействия сервера приложения системы «Банк-Клиент» должны использоваться сертифицированные СКЗИ в исполнении не ниже КС2. Для выполнения указанных требований на Сервер приложений устанавливается АПМДЗ, а также используются межсетевой экран, средства защиты от несанкционированного доступа и антивирусное средство защиты согласно требованиям эксплуатационной документации на используемое СКЗИ.
Построение системы «Банк-Клиент» с квалифицированной электронной подписью является хорошо структурированным процессом с жестким алгоритмом выполнения требования и этапов. Качественное выполнение всех этапов позволяет получить эффективную и безопасную информационную систему, соответствующую требованиям действующего законодательства РФ.
ПЕРЕЧЕНЬ ЛИТЕРАТУРЫ
1. Федеральный закон «Об электронной подписи» № 63-ФЗ от 06 апреля 2011 года.
2. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения «СТОБР ИББС-1.0-2010» (принят и введен в действие Распоряжением Банка России № Р-705 от 21 июня 2010 года).
3. Д.Левиев. Информационная система современного банка сегодня. Журнал Connect! Мир Связи № 11 2008 г.
4. Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 г.
5. Постановление Правительства РФ «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» № 957 от 29 декабря 2007 года, вместе с:
- «Положением о лицензировании предоставления услуг в области шифрования информации»;
- «Положением о лицензировании деятельности по распространению шифровальных (криптографических) средств»;
- «Положением о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств»;
- «Положением о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем».
6. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005). Утверждено приказом ФСБ России № 66 от 9 февраля 2005 года, зарегистрировано в Минюсте РФ под № 6382 03 марта 2005 года.
(1).png)