О выполнении требований регуляторов по импортозамещению зарубежных платёжных криптографических HSM-модулей рассказал директор по развитию бизнеса и работе с партнёрами компании «КриптоПро» Павел Луцик на сессии «КИИ — теория и практика исполнения законодательства», которая прошла в рамках Второй межотраслевой конференции по регуляторике в сфере ИБ. Организатором мероприятия выступила Ассоциация пользователей стандартов по информационной безопасности АБИСС.

Платёжная инфраструктура нашей страны относится к КИИ. Докладчик отметил, что по данным Банка России, с 2018 года доля безналичных платежей за товары и услуги в розничном обороте растёт на 5% в год. В 2022 году она составляет 78,1% против 21,9% наличных платежей.

Уход в 2022 году иностранных платёжных систем не повлиял на устойчивость отечественной банковской системы и обработку карт VISA и MasterCard, поскольку с 2014 года все внутрироссийские транзакции идут через Национальную систему платёжных карт. При этом риски для финансовой системы сохраняются и связаны они с импортозамещением, в частности с уходом западных компаний, например, французской компании Thales — поставщика аппаратных модулей безопасности (Hardware Security Modules, HSM). Они участвуют во всех карточных операциях и транзакциях. Все участники платёжных систем используют соответствующие HSM.

Компания Thales занимает до 80% мирового рынка HSM, её уход из России поставил под угрозу работу банков и процессинговых центров, поскольку обслуживание и ремонт HSM-модулей остались без поддержки производителя. По словам докладчика, в России работают 242 банка, которые выпускают карточные продукты, и порядка десяти процессинговых центров. В общей сложности порядка 250 потребителей HSM-модулей.

Согласно требованиям российского законодательства и регуляторов, в частности Положения Банка России от 4 июня 2020 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», оператор (НСПК) значимой платёжной системы («Мир») в соответствии с правилами платежной системы с 1 января 2024 года должен обеспечить использование сертифицированных ФСБ платёжных криптографических модулей, реализующих иностранные криптографические алгоритмы, а с 1 января 2031 года — реализующих иностранные и отечественные криптоалгоритмы.

Как показали события 2022 года, требования сертификации HSM-модулей по стандартам PCI в настоящее время избыточны, что и было признано регуляторами. Выполнение требований Банка России и ФСБ России являются достаточным условием для возможности эксплуатации модулей в национально значимых платёжных системах, в том числе в НСПК. Это условие было прописано в бюллетене НСПК от 31 мая 2023 года «О HSM, допустимых к использованию в платёжной системе "Мир"». В документе также указывается, что с целью исполнения Указа № 250 и положения Банка России № 719 допустимо использование HSM, сертифицированных ФСБ России по классу не ниже КВ.

В настоящее время в России прошли сертификацию два HSM-модуля отечественного производства — «КриптоПро» HSM 2.0 R3 и СПБ HSM PS. Для гарантированной совместимости оборудования и банковского ПО в рамках импортозамещения НСПК разработана программа и методика испытаний российских платежных криптографических моделей с существующим банковским ПО ведущих отечественных разработчиков.

Департамент информационной безопасности Банка России также рекомендует финансовым организациям для обеспечения операционной надёжности провести тестирование модулей, соответствующих требованиям регуляторов и НСПК — в качестве замены иностранным решениям.

Как отметил Павел Луцик, в настоящее время продолжается планомерная работа по тестированию отечественных HSM-модулей, функционирует рабочая группа, объединяющая представителей Банка России, ФСБ, НСПК, разработчиков криптографических модулей и банковского ПО. Ведётся активная работа по разрешению возникших вопросов и ускорению процесса импортозамещения.

Для небольшого банка переход на отечественные HSM-модули может занять несколько месяцев, подчеркнул докладчик. Компания «КриптоПро» предлагает клиентам протестировать систему на виртуальном эмуляторе в течение месяца и, в случае успеха, переход на новый программно-аппаратный криптографический модель займёт порядка трёх месяцев.