Вход
Стандарт информационной безопасности. Актуальные вопросы использования средств криптографической защиты информации в банковской деятельности (В. Рыбалов, А. Семенов, А. Тиньков, "БДМ. Банки и деловой мир", N 9, сентябрь 2011 г.)
Стандарт информационной безопасности. Актуальные вопросы использования средств криптографической защиты информации в банковской деятельности
Использование современных информационных технологии в банковской сфере вызвало рост числа задач, требующих повышения уровня защиты информации. Основой для оценки состояния информационной безопасности в кредитных организациях является Стандарт Банка России, положения которого определены законодательством Российской Федерации и нормативными правовыми актами Банка России.
Одной из составных частей деятельности кредитных организаций является представление отчетности в Банк России и передача сведений в федеральные службы в виде электронных сообщений (далее - ЭС), представляющих собой совокупность данных, соответствующую установленному Банком России электронному формату и пригодную для однозначного восприятия содержания ЭС.
Передача ЭС потребовала повышения уровня информационной безопасности, вызвала необходимость обеспечения ее целостности, достоверности и конфиденциальности при передаче по каналам связи.
В настоящее время для решения указанных задач Банком России применяется система криптографической защиты информации (СКЗИ). Основными областями применения СКЗИ в кредитных организациях является обмен информационными и платежными электронными документами по сетям Банка России и собственным системам дистанционного банковского обслуживания. При этом использование ключей кодов аутентификации СКЗИ обеспечивает целостность и достоверность ЭС, а использование ключей шифрования - их конфиденциальность.
Порядок представления в Банк России отчетности в виде ЭС, снабженных кодом аутентификации, определяется Указанием Банка России N 1546-У от 24 января 2005 года. Порядок представления сведений в федеральные службы установлен следующими Положениями Банка России:
- N 308-П от 20 июля 2007 года "О порядке передачи уполномоченными банками информации о нарушениях лицами, осуществляющими валютные операции, актов валютного законодательства Российской Федерации и актов органов валютного регулирования" - в Федеральную службу финансово-бюджетного надзора;
- N 311-П от 7 сентября 2007 года "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета" - в Федеральную налоговую службу;
- N 321-П от 29 августа 2008 года "О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" - в Федеральную службу по финансовому мониторингу;
- N 322-П от 9 октября 2008 года "О порядке направления в банк решения налогового органа о приостановлении операций по счетам налогоплательщика-организации в банке или решения об отмене приостановления операций по счетам налогоплательщика-организации в банке в электронном виде через Банк России" - в Федеральную налоговую службу;
- N 361-П от 15 ноября 2010 года "О порядке сообщения банком в электронном виде органу контроля за уплатой страховых взносов об открытии или о закрытии счета, об изменении реквизитов счета" - в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации и Федеральную налоговую службу.
С мая этого года вступило в действие Положение Банка России N 364-П от 29 декабря 2010 года "О порядке передачи уполномоченными банками и территориальными учреждениями Банка России в таможенные органы для выполнения ими функций агентов валютного контроля информации по паспортам сделок по внешнеторговым договорам (контрактам) в электронном виде". Таким образом, область решения задач, требующих использования СКЗИ, постоянно расширяется.
По данным на начало 2011 года, в московском регионе передавали отчетность в виде ЭС 525 кредитных организаций и 197 филиалов, из которых 80 филиалов банков московского региона и 117 - филиалов региональных банков (рис. 1).
"Рис. 1. Кредитные организации и их филиалы, передающие отчетность в московском регионе"
"Рис. 2. Нарушения, допущенные кредитными организациями московского региона в 2010 году"
При передаче электронных сообщений в московском регионе используется СКЗИ "Верба-OW". Порядок ее эксплуатации определен Договором между кредитной организацией и Банком России о приеме-передаче отчетности в виде электронных сообщений (далее - Договор), в соответствии с которым управление ключевой системой в московском регионе возложено на Центр управления ключевыми системами (ЦУКС) Московского ГТУ Банка России.
Основные задачи ЦУКС:
- распределение ключевого пространства;
- регистрация ключей КО;
- исключение ключей КО из сети;
- организация плановых и внеплановых смен ключей КО.
Этапы передачи программного обеспечения (ПО) СКЗИ "Верба-OW", разрешения на использование СКЗИ, лицензионных ключевых документов, а также изготовления и регистрации ключей кодов аутентификации и шифрования для передачи отчетности в Московское ГТУ Банка России представлены на схеме.
Ключи шифрования для взаимодействия с федеральными службами кредитные организации установленным порядком также получают в ЦУКС. Порядок подготовки ЭС и применения ключевой информации при передаче отчетности в Московское ГТУ Банка России регламентирован Указанием Банка России N 1546-У от 24 января 2005 года, а при передаче сведений в федеральные службы - соответствующими Положениями Банка России.
Практика показывает, что большинство банков, использующих СКЗИ, выполняют требования нормативных документов Банка России. Вместе с тем выявлен ряд типовых нарушений, на которые хотелось бы обратить внимание руководителей кредитных организаций.
Так, в соответствии с Договором смена администратора безопасности СКЗИ относится к фактам безусловной компрометации ключевых документов. О смене (увольнении) администратора руководство кредитной организации обязано своевременно проинформировать ЦУКС Московского ГТУ Банка России и провести внеплановую смену ключевых документов. Однако в 2010 году восемь кредитных организаций сменили администраторов СКЗИ с нарушением порядка, установленного требованиями Договора.
Нередко также возникает ситуация, когда прежний администратор уволен, а новый еще не назначен. Такое "патовое" положение исключает возможность передачи дел надлежащим образом и значительно усложняет процесс создания и использования новых ключевых документов.
Несоблюдение требований Договора в части смены ключевой информации при увольнении администраторов СКЗИ создает угрозы, связанные с несанкционированными действиями со стороны утративших полномочия администраторов, а также возможности формирования фиктивной отчетности и блокирования работы кредитной организации по передаче электронных сообщений.
"Рис. 3."
Сообщения о проведении плановых замен ключевых документов и программного обеспечения доводятся до кредитных организаций информационными письмами Московского ГТУ Банка России. Направляются они в электронном виде по Автоматизированной системе электронного взаимодействия, а также на бумажном носителе. Но до администраторов СКЗИ эта информация подчас не доводится. В результате возникают задержки в проведении плановой смены ключевой информации и передаче электронных сообщений в адрес Банка России. В прошлом году такие нарушения допустила 31 кредитная организация.
Устойчивая работа СКЗИ во многом зависит от уровня подготовки ее администратора: в его обязанности входит генерация ключевой информации, организация рабочих мест пользователей и т.д. Но в некоторых кредитных организациях эти обязанности возложены на сотрудников, не имеющих технического образования и соответствующей квалификации. В результате к эксплуатации СКЗИ необоснованно привлекаются лица, не имеющие допуска к указанной работе. Это создает риски компрометации ключевой информации и приостановки приема отчетности.
И еще об одном типичном нарушении. В соответствии с требованиями к эксплуатации СКЗИ вырабатываемая ключевая информация должна записываться на маркированные учтенные носители, а после плановой смены вся информация с закрытыми ключами должна быть уничтожена. К сожалению, в ряде кредитных организаций это требование игнорируется, а в итоге при передаче отчетности используется устаревшая или не предназначенная для этих целей ключевая информация.
Практика показывает, что обеспечение информационной безопасности - работа системная, и прежде всего она связана с реализацией требований стандартов и безусловным соблюдением правил применения СКЗИ. Только в этом случае можно предупредить возможные угрозы и уязвимости информационной безопасности.
В. Рыбалов,
заместитель начальника Управления безопасности
и защиты информации Московского ГТУ Банка России
А. Семенов,
начальник отдела ключевых систем
А. Тиньков,
заместитель начальника отдела ключевых систем
"БДМ. Банки и деловой мир", N 9, сентябрь 2011 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "БДМ. Банки и деловой мир"
Журнал зарегистрирован в Комитете Российской Федерации по печати. Регистрационное свидетельство N ПИ N ФС 77-26288 от 17 ноября 2006 г.
Учредитель: издательство "Русский салон периодики"
Издается при поддержке Ассоциации региональных банков России, Международного конгресса промышленников и предпринимателей и Гильдии финансовых менеджеров России
С 1995 до конца 2006 года журнал выходил под названием "Банковское дело в Москве"