Банковскую информзащиту проверят на родине
До конца следующего года в России должен появиться центр тестирования технических средств и программного обеспечения криптографической защиты информации. С 2024 года все значимые платежные системы должны использовать отечественные защитные модули. Однако российских разработок пока единицы, и они помимо соответствия требованиям ЦБ должны быть совместимы с существующими средствами международных платежных систем. На предмет совместимости и будет проверять оборудование и ПО новый центр.
"Ъ" ознакомился с презентацией Минкомсвязи, посвященной концепции центра тестирования (ЦТ) технических средств и программного обеспечения криптографической защиты информации (СКЗИ) значимых платежных систем.
ВЭП-комментарий:
К программному обеспечению, к техническим средствам должны предъявляться определенные и жесткие требования, если эти ПО или ТС обслуживают значимые для общества или государства области.
Что может быть хорошего и правильного в том, что выходит из строя, например, программное обеспечение крупного банка? А ведь это регулярно происходит. Происходит потому, что программы не тестируются должным образом после их разработки, доработки или внесении изменений, вернее тестируются прямо на клиентах банков. Про такие программы правильней говорить, что они "пишутся на коленке". И когда от работы таких программ страдают клиенты банков - им никто и ничего не возмещает за эти страдания.
Но как заставить, например, банки сначала тестировать ПО, и только потом внедрять? Это вопрос не простой. Но необходимость ответа на него, вообще размышления по этой проблематике навязывает время. |
Целью создания центра, как следует из концепции, является минимизация затрат российских вендоров. В частности, в нем можно будет пройти как удаленное (предварительное) тестирование, так и комплексное. В Банке России поддерживают идею создания такого сервиса. "Вопрос касается обеспечения национального суверенитета и бесперебойного функционирования Национальной платежной системы,- пояснили в ЦБ.- Центр тестирования будет заниматься проверкой на соответствие функционально-техническим требованиям для того, чтобы для банков была обеспечена возможность приобретать и использовать оборудование, соответствующее требованиям 382-П и совместимое с существующими средствами международных платежных систем".
Применение отечественных HSM (устройства, обеспечивающие защиту от несанкционированного доступа к криптографическим ключам) записано в нормативных актах ЦБ. Установлен срок перехода всех значимых платежных систем на эти модули, первый этап начинается с 1 января 2024 года. "С одной стороны, реализация программы импортозамещения, с другой же - явно, что ЦТ создается для тестирования безопасности решений в рамках реализуемой ЦБ стратегии стандартизации мер по защите информации",- считает директор департамента информбезопасности МКБ Вячеслав Касимов. В Минкомсвязи отказались от комментариев.
Требования к системно значимой платежной системе устанавливаются ЦБ. Платежную систему можно считать системно значимой, если она осуществляет в течение трех календарных месяцев подряд переводы денежных средств на сумму не менее значений, установленных ЦБ; осуществляет переводы денежных средств по сделкам, совершенным на организованных торгах, а также переводы денежных средств при рефинансировании кредитных организаций и операциях на открытом рынке. Из 51 платежной системы в реестре ЦБ 31 является системно значимой.
Тестирование модулей необходимо, но необязательно силами ЦТ СКЗИ, указывают участники рынка. "Разработанные в России криптографические модули обязаны быть протестированы на выполнение требований платежных систем, в том числе и международных - Visa, MasterCard и т. п.,- поясняет эксперт по информационной безопасности Cisco Алексей Лукацкий.- Для этого каждый производитель должен либо создавать собственный стенд для испытаний, что очень дорого, либо использовать ресурсы внешнего центра".
В концепции указано, что размещение ЦТ СКЗИ планируется на площадке ФГБУ НИИ "Восход" (подведомственное предприятие Минкомсвязи, создает ИТ-решения для органов власти). Окончание работ по созданию центра намечено на октябрь 2021-го, а на декабрь того же года запланированы проведение предварительных и приемочных испытаний и опытная эксплуатация центра. "Изначально, насколько мне известно, тестирование планировалось передать в НСПК",- отмечает Вячеслав Касимов. "Создание такого центра на базе НСПК может привести к конфликту интересов, так как в РФ существуют и другие значимые платежные системы, которые используют собственную платежную инфраструктуру",- указывает Алексей Лукацкий. В НИИ "Восход" подтвердили участие в разработке ЦТ. В НСПК не ответили на запрос "Ъ".
Стоимость услуг центра тестирования в концепции не определена, потому оценить экономический эффект эксперты затрудняются. "Пока вряд ли это скажется на банках,- считает господин Касимов.- В будущем возможно, но опосредованно, например путем перевыставления затрат производителями исследуемого ПО и оборудования". Поскольку в данном случае речь идет о создании очередного регулирующего центра, возрастут издержки и финансовых компаний, уверен начальник отдела инвестидей "БКС Брокера" Нарек Авакян.
Источник: Коммерсантъ: https://www.kommersant.ru/doc/4242210
04.02.2020