Перенос подписания ЭС из АРМ КБР в АСК и всё, что с этим связано

Анекдот

На Сигнатуру скоро заканчивается Сертификат соответствия.
Позвонил в информационную безопасность территориального ГУ ЦБ.
Там спросили, что такое Сертификат соответствия? Как жить?

В соответствии с планом мероприятий (“дорожной карте”) по реализации мер, направленных на предотвращение хищений денежных средств на финансовом рынке Российской Федерации, утверждённым 6 мая 2016 года Председателем Банка России Набиуллиной Э.С., на протяжении второй половины 2016г. и первой половины 2017г. проводились работы по реализации комплекса мер, направленных на повышение уровня безопасности автоматизированных систем клиентов Банка России (далее – АСК).

31.10.2016 Банк России провёл встречу с поставщиками АСК и организациями, имеющими лицензию на деятельность по разработке, производству и распространению криптографических средств, на которой довёл до сведения участников, что основным содержанием этих работ для клиентов Банка России (КБР) и их поставщиков АСК является перенос подписания электронных сообщений (ЭС) из Автоматизированного рабочего места клиента Банка России (АРМ КБР) в АСК. Это решение было мотивировано заявлениями о масштабных хищениях средств через АРМ КБР со схожими сценариями атаки (подкладывание во входной каталог АРМ КБР файла с фальшивым исходящим платежом, который принимался штатной функциональностью АРМ КБР и далее обрабатывался как легальный).

19.12.2016 вступило в силу Положение ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платёжной системе (далее – ПС) Банка России (далее - Положение № 552-П)”. Краткий обзор здесь.

Хронология событий, связанных с переносом подписания ЭС из АРМ КБР в АСК.

- информационное сообщение БР от 19.01.2017 №3 (ИС-3) “О предложениях по доработке ПК АРМ”;

- письмо БР от 20.01.2017 (где-то от 13.01.2017) “О передаче СКАД "Сигнатура" с Приложением ЭД-170 от Департамента информационных технологий БР (ДИТ БР):

- письмо БР от 23.01.2017 “О доработке АС клиента" с Приложением ЭД-447 от ДИТ БР;

- информационное сообщение БР от 24.01.2017 №17 (ИС-17) “О предложениях по доработке ПК АРМ”;

- информационное сообщение от 05.06.2017 №58 (ИС-58) ”О планируемых изменениях программного обеспечения, предоставляемого Банком России участникам обмена электронными сообщениями”, в котором 2 приложения:

-Приложение 1 “Общие требования к ПК АРМ КБР-Н”;

-Приложение 2 “Общие требования по переносу подписания ЭС в АС клиента Банка России”.

- письмо БР от 19.06.2017 “Тестирование ПК АРМ КБР-Н";

- информационное сообщение БР от 23.06.2017 (ИС-63) “О размещении ПК АРМ КБР-Н и эксплуатационной документации";

       -Приложение 1 “Описание проверок целостности ПК АРМ КБР-Н”;

- письмо БР от 30.06.2017 “О направлении регламента работы стенда совмещенного тестирования”.

Все письма БР имеют директивный характер и в каждом обозначены те или иные задачи и сроки их выполнения для клиентов БР.

Приведу основные моменты из указанных писем БР.

В ЭД-170 сообщается, что рамках проведения планируемых БР работ, функции формирования кодов аутентификации (КА) и защитных кодов (ЗК) будут исключены из ПС КБР и должны быть перенесены в автоматизированную систему клиента (АСК) платёжной системы Банка России (БР).

Все клиенты ПС Банка России (кредитные организации и другие клиенты Банка России, взаимодействующие с АС Банка России), должны провести работы по “встраиванию” средств криптографической защиты информации (СКЗИ) в собственные АСК для формирования КА и снабжения ими ЭС (пакетов ЭС), а также для формирования ЗК и включения их в состав реквизитов ЭС в соответствии с действующим альбомом УФЭБС. Подробнее содержимое письма ЭД-170 рассматривается здесь.

В качестве поставщика функций ЭП и шифрования в соответствии с письмом ДИТ ЭД-170 и письмом ИС-3 необходимо использовать СКАД "Сигнатура" от разработчика ООО "Валидата". Это требование соответствует и типовому документу Договор об обмене ЭС. В письме ДИТ ЭД-170 указано, что помимо СКАД "Сигнатура" в АСК могут использоваться и иные СКЗИ.

ДИТ БР в ЭД-170 определил порядок передачи СКАД "Сигнатура" от заказчика разработчику АСК для выполнения требуемых доработок.

В ЭД-447 сообщается, что все входящие ЭС (пакеты ЭС) в ПС Банка России должны быть снабжены одним кодом аутентификации (КА) участника перевода или адресуемой внешней системы (далее – КА участника) для всего пакета, а также одним защитным кодом (ЗК) участника перевода или адресуемой внешней системы (далее – ЗК участника) для каждого распоряжения в пакете. Расположение ЗК участника и КА участника для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии с третьим вариантом защиты ЭС, описанным в документе «Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)».

Все исходящие ЭС (пакеты ЭС) из ПС Банка России должны быть снабжены двумя электронными подписями - ЗК контура обработки и КА контура контроля. Расположение ЗК и КА для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии со вторым вариантом защиты ЭС, описанным в документе «Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)».

В письме ДИТ ЭД-170 указано, что помимо СКАД "Сигнатура" в АСК могут использоваться и иные СКЗИ, однако в уже в письме ЭД-447 эта возможность отложена без указания срока.

В качестве срока внедрения указанной технологии планируется выпуск ПО 4/2017 (комплексное тестирование с 28.08.2017, внедрение в постоянную эксплуатацию 02.10.2017).

До 17.02.2017г. кредитным организациям необходимо направить информацию о сроках доработки АСК.

В ИС-17 сообщается:

Все входящие ЭС (пакеты ЭС) в платёжную систему Банка России должны быть снабжены одним кодом аутентификации (КА) участника перевода (далее – КА участника) для всего ЭС (пакета), а также одним защитным кодом (ЗК) участника перевода (далее – ЗК участника) для каждого ЭС/распоряжения в пакете. Порядок использования ЗК участника и КА участника для ЭС (пакетов ЭС) формата УФЭБС определяется в соответствии с третьим вариантом защиты ЭС, описанным в документе «Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)».

Для исходящих ЭС (пакетов ЭС) из платежной системы Банка России схема защиты сообщений не изменяется (второй вариант защиты ЭС, описанный в документе «Унифицированные форматы электронных банковских сообщений. Защита электронных сообщений (Пакетов ЭС)»).

Тестирование указанной технологии на стенде совмещенного тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) будет организовано начиная с 28.08.2017. Внедрение в постоянную эксплуатацию указанной технологии (дополнительно к существующей) со 02.10.2017.

В ИС-58 (повторение положений, которые впервые были обнародованы на Уральском форуме (февраль 2017г.) в проекте “Методических рекомендаций по переносу подписания ЭС из АРМ КБР в АС клиента ПС БР”, которым так и не был присвоен статус официального документа) сообщается о разработке программного обеспечения программного комплекса «Автоматизированное рабочее место клиента Банка России новое» (далее – ПК АРМ КБР-Н) и начале его тиражирования с 16.07.2017 для использования участниками обмена (далее - УО) ЭС при переводе денежных средств в рамках ПС Банка России.

МЦОИ обращает внимание УО, что тестирование ПК АРМ КБР-Н на стенде совмещенного тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва) - с 28.08.2017.

Возможность использования ПК АРМ КБР-Н в промышленной эксплуатации будет реализована с 02.10.2017.

Далее привожу общее описание ПК АРМ КБР-Н из презентации для разработчиков АС “Перенос подписания электронных сообщений в АС финансовой организации”.

Набор функций, планируемый к реализации в ПК АРМ КБР-Н

• получение ЭС формата УФЭБС из АС клиента;

• структурный контроль полученных ЭС;

• шифрование/упаковка содержимого ЭС;

• формирование ЭС в формате служебного конверта;

• передача на отправку;

• приём ЭС (с выхода УТА);

• разбор служебного конверта, расшифрование/распаковка ЭС;

• проверка КА/ЗК;

• передача проверенных ЭС в АС клиента;

• выгрузка ЭС из хранилища на внешний носитель;

• выгрузка ЭС в формате АРМ РКС.

Набор функций, которые не будут реализованы в ПК АРМ КБР-Н

• формирование ЭС типа ED501 из сообщений свободного формата, полученных из АС клиента;

• формирование ЭС типа ED503 из сообщений формата SWIFT, полученных из АС клиента;

• формирование ЗК;

• формирование КА;

• возврат на сверку в АБС клиента подписанных ЭС и приём сверенных;

• извлечение сообщений свободного формата из ЭС типа ED501, передача в АС клиента;

• извлечение сообщений формата SWIFT из ЭС типа ED503, передача в АС клиента;

• первичный ввод реквизитов документа оператором с опциональной проверкой согласно «Справочнику БИК РФ», логический контроль реквизитов;

• контрольный ввод цифровых реквизитов ЭПС контролером либо визуальный контроль ЭСИС.

Набор функций, необходимость реализации которых  в будущем ПК обеспечения электронного обмена обсуждается

• логический контроль полученных ЭС;

• помещение переданных ЭС в хранилище для хранения в течение операционного дня;

• помещение принятых ЭС в хранилище для хранения в течение операционного дня;

• квитовка - связывание отправленных ЭС и ЭС-ответов и изменение состояния отправленных ЭС в соответствии с полученными ЭС;

• передача контролером ЭС на обработку;

• поиск отправленных и полученных ЭС, их отображение и печать (с предварительной проверкой ЭП);

• визуальный мониторинг процессов обработки ЭС.

Способы формирования и простановки КА/ЗК

1. “Встраивание” СКЗИ в ПО АС клиента;

2. Разработка промежуточного ПО между АС клиента и ПК обеспечения электронного обмена вместо ПС КБР;

3. Использование Криптографического сервера разработки ООО “Валидата”.

Варианты защиты ЭС

В УФЭБС в соответствии с документом "Защита ЭС" предусмотрены три возможные варианта защиты ЭС:

·первый – применяется только КА, ЗК не применяется. То есть подписывается ЭП только содержимое конверта, а ЭС и пакеты ЭС в конверте передаются без подписи;

·второй – применяется КА в конверте и ЗК для пакета ЭС или ЭС, передаваемого отдельно. ЭС в составе пакета ЭС не подписываются;

·третий – применяется КА в конверте и ЗК для пакета ЭС, передаваемого отдельно ЭС, и ЭС в составе пакета ЭС.

Применяемый вариант защиты в конкретном банке в направлении от банка к ЦБ определяется индивидуально установкой для этого клиента специального признака в АРМ КБР. В направлении от ЦБ к банку применяется второй вариант защиты.

В соответствии с документами ЭД-447 и ИС-17 в течение 2017 года будут выполняться работы по подготовке по переводу клиентов на технологию АС перспективной ПС, в которой в направлении от банка к ЦБ будет предусмотрен третий вариант защиты. Срок внедрения технологии в постоянную эксплуатацию – 02.10.2017.

Рекомендации БР

1. Передача разработчикам программного обеспечения СКАД «Сигнатура» осуществляется клиентами Банка России.

2. Передавать программное обеспечения СКАД «Сигнатура» привлекаемой организации (разработчикам АС клиента Банка России) необходимо на безвозмездной основе на основании акта приема-передачи, составленного в произвольной форме и предусматривающего использование указанного программного обеспечения исключительно для целей встраивания СКАД «Сигнатура» в АС клиента Банка России.

3. Для консультаций по вопросам встраивания и эксплуатации СКАД «Сигнатура» может быть привлечена ООО «Валидата».

4. Получение разработчиками программного обеспечения тестовых ключей обеспечивается на основе договорных отношений с разработчиком СКАД «Сигнатура» или клиентом Банка России.

5. Для проведения работ по встраиванию СКАД «Сигнатура» в АС клиентов Банка России направлять в МЦОИ Банка России запрос для получения компонентов СКАД «Сигнатура».

6. Детальные планы перехода клиентов на использование АС с функцией подписания электронных сообщений будут составлены отдельно в каждом ТУ Банка России.

7. Кредитным организациям необходимо руководствоваться положениями, изложенными в документации на АПК «Сигнатура-клиент» версия 5 и, в частности, в документах ВАМБ.00106‑01 33 01 «СКАД «Сигнатура» версия 5. «Сигнатура-клиент» версия 5. Руководство программиста» и ВАМБ.00107‑01 33 01 «СКАД «Сигнатура» версия 5. «Сигнатура-клиент» версия 5. Средство криптографической защиты информации СКАД «Сигнатура» версия 5. Руководство программиста». 

Согласно срокам, указанным в “дорожной карте” БР, работы по внедрению ПК АРМ КБР-Н должны быть завершены до 30.12.2017.  Доработку и поддержку действующих ПС КБР планируется прекратить в 2018 году. Все сроки работ сведены далее в отдельной таблице.

Планируемые сроки работ 

№ п/п	Перечень работ	Срок реализации	Наименование документа БР
1.	Направить информацию в ДИТ БР о сроках доработки АСК; Комплексное тестирование; Внедрение в постоянную эксплуатацию	до 17.02.2017г. с 28.08.2017 с 02.10.2017	ЭД-447
2.	Работы, связанные с разработкой типового ПК АРМ КБР	до 01.06.2017
3.	Выполнение кредитными организациями требований Положения № 552-П к защите информации на участке ПС БР	до 30.06.2017	Положение № 552-П
4.	Начало тиражирования ПК АРМ КБР‑Н	с 16.07.2017	ИС-58
5.	Тестирование указанной технологии на стенде совмещённого тестирования подсистем РАБИС-НП уровня КЦОИ-МР (Москва)	с 28.08.2017	-ИС-17; -Письмо БР от 19.06.2017 “Тестирование АРМ КБР-Н"
6.	Внедрение ПК АРМ КБР-Н	до 30.12.2017	ИС-58
7.	Встраивание СКЗИ в АС и внедрение в промышленную эксплуатацию доработанной АС	до 30.12.2017	ИС-58
8.	Доработку и поддержку действующих ПС КБР (ПК АРМ КБР, ПК АРМ ПУР, ПК КБР-С, ПК АРМ ФКВ) планируется прекратить	в 2018 году

Дополнено 01.07.2018:

Переход клиентов БР на новые АРМ – отказ от АРМ КБР:

Планируемый срок окончания миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019.

Мероприятия проводятся в целях повышения ИБ в ПС БР.

ПК АРМ КБР-Н (миграция с 02.10.2017 по 28.06.2019):

-Шифрование ЭС (пакетов ЭС);

-Направление ЭС (пакетов ЭС) в ПС БР;

-Проверка кодов аутентификации и (или) защитных кодов с учетом схем защиты информации, определенных в УФЭБС.

ПК АРМ КБР-СВИФТ (миграция с 02.07.2018 по 28.06.2019):

-Передача ЭС в формате SWIFT и в собственных форматах пользователя;

-Функция ручного ввода и формирования ЭС, предусмотренных УФЭБС.

Со 02.07.2018 по 28.06.2019 (включительно) – возможность одновременного использования одним клиентом Банка России ПК АРМ КБР-Н при переводе денежных средств в рамках платежной системы Банка России как участником обмена и АРМ КБР при обмене через СПФС как пользователем СПФС (если им не осуществлен переход на использование ПК АРМ КБР-СПФС).