Анализ положений Требований к СКЗИ в платёжных системах, опубликованных на сайте Банка России.
Регулирование в области информационной безопасности в банковском секторе за последние годы не раз подвергалось изменениям. Требования к информационной безопасности, закреплённые в положениях Банка России, не раз обсуждались в научном сообществе. Актуальность данной статьи обусловлена выходом в январе 2020 года «Требований к средствам криптографической защиты информации в платёжных устройствах с терминальным ядром, аппаратных модулях безопасности информационной инфраструктуры платёжных систем (HSM-модулях), платёжных картах и иных технических средствах информационной инфраструктуры платёжной системы, используемых при осуществлении переводов денежных средств, указанных в пункте 2.20 Положения Банка России от 9 июня 2012 года № 382-П» (далее - Требования).
Данные требования опубликованы на сайте Банка России и размещены в правовых справочных системах КонсультантПлюс и ГАРАНТ.
Документ определяет требования по информационной безопасности к техническим средствам и программному обеспечению, реализующим криптографические механизмы:
Эти требования разработаны и утверждены в рамках мероприятий федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации»: 05.02.002.017.004 – «Разработка и опубликование требований к СКЗИ, указанных в пункте 2.20 положения Банка России от 9 июня 2012 г. № 382-П».
Требования относятся к реализации пункта 2.20 Положения № 382-П, внесённого Указанием Банка России от 7 мая 2018 г. № 4793-У.
ПОЭТАПНЫЙ ПЕРЕХОД
Данным пунктом, вступающим в силу с 1 января 2024 года, вносятся изменения в требования к обеспечению защиты информации при переводах денежных средств. Так, оператору значимой платёжной системы необходимо обеспечить использование в аппаратных модулях безопасности средств криптографической защиты информации (далее – СКЗИ), реализующих также иностранные криптоалгоритмы, прошедших оценку соответствия требованиям ФСБ России.
В соответствии с этим же пунктом с 1 января 2031 года вступают в силу изменения об использовании в аппаратных модулях безопасности СКЗИ, реализующих отечественные криптоалгоритмы, имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований.
Таким образом, во-первых, определён переход на отечественные шифровальные средства, а во-вторых, заложена поэтапность такого перехода.
НЕИЗБЕЖНОСТЬ ПЕРЕХОДА
При этом в законодательстве закреплена неизбежность перехода на отечественные шифровальные средства, что необходимо принимать во внимание участникам финансового сектора. Так как уже сейчас необходимо либо закладывать в будущий бюджет расходы на переоснащение в рамках данных нововведений, либо в настоящее время начинать переход на отечественные шифровальные средства, до того как данное требование станет обязательным.
ЕДИНЫЙ ПОДХОД
Рассматриваемые Требования во многом перекликаются с рекомендациями по стандартизации Р 1323565.1.012-2017. Информационная технология. Криптографическая защита информации. «Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации» (далее – Принципы).
Применение мер защиты основывается на тех же подходах, которые указаны в Принципах, однако добавлено положение относительно необходимости использования криптографических механизмов, отвечающих международным стандартам (ISO) с целью обеспечения совместимости с действующими криптографическими решениями.
УТОЧНЕНИЯ
Относительно применения датчиков случайных чисел Требованиями уточняется, что при выработке инициализирующей последовательности для ПДСЧ необходимо использовать либо ФДСЧ, реализованный в СКЗИ, либо последовательность, полученную с СКЗИ, прошедшего оценку соответствия требованиям по информационной безопасности по классу КВ в соответствии с действующими требованиями к СКЗИ. Отмечается, что в HSM для выработки первичной ключевой информации должен использоваться ФДСЧ.
Относительно выработки ключевой информации уточняется, что она должна производиться с использованием датчика случайных чисел, при этом в протоколах выработки общего ключа в криптографических протоколах должны использоваться датчики случайных чисел, удовлетворяющие положениям, описанным выше.
Требованиями зафиксировано, что используемая СКЗИ ключевая информация в незашифрованном виде может храниться только непосредственно в СКЗИ на протяжении установленного срока действия.
ПРО АУТЕНТИФИКАЦИЮ
В части аутентификации субъектов доступа уточняется, что использование паролей для аутентификации субъектов доступа (пользователей), являющихся физическими лицами и осуществляющих доступ к техническим средствам информационной инфраструктуры платёжной системы, допускается только для локальной аутентификации СКЗИ. При этом для проведения локальной аутентификации с целью изменения настроек безопасности, а также загрузки/смены/уничтожения ключей (администрирования) требуется использовать:
Кроме того, в HSM критические функции управления ключами также должны выполняться под двойным контролем (т. е. при условии обязательной аутентификации не менее двух привилегированных пользователей). К критическим функциям управления ключами в обязательном порядке должны относиться функции формирования (загрузки) и резервирования локальных мастер-ключей HSM, предназначенных для защищённого хранения ключей держателей карт.
При аутентификации субъектов доступа, являющихся процессами и осуществляющих взаимодействие с СКЗИ, должен быть реализован криптографический механизм взаимной аутентификации.
ПРО ПЛАТЁЖНЫЕ УСТРОЙСТВА
СКЗИ для использования в платёжных устройствах с терминальным ядром (терминалы и банкоматы), аппаратных модулях безопасности информационной инфраструктуры платёжных систем (HSM-модулях), платёжных картах и иных технических средствах информационной инфраструктуры платёжной системы, должны разрабатываться в соответствии с Положением ПКЗ-2005, утверждённым Приказом ФСБ России от 9 февраля 2005 года № 66.
В дополнение к мерам, предусмотренным Принципами, к СКЗИ в платёжных системах должны предъявляться следующие требования:
Два последних положения отражают ситуацию, при которой базовая модель нарушителя, приведённая в рекомендациях по стандартизации, расширяется за счёт специфики информации и мер её защиты в платёжных системах. Кроме этого, эти положения уже определяют сами меры защиты, а не возможные атаки, приводящие к таким мерам защиты, тем более что модель нарушителя в Требованиях описывается именно на основе перечня возможных атак нарушителя.
ТРЕБОВАНИЯ В СРАВНЕНИИ С ДРУГИМИ НОРМАТИВНЫМИ АКТАМИ
В Указании Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» содержится подробный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Так, в рамках рассматриваемых Требований наиболее сопоставимыми являются: угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных; угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных; угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных; угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.
Рассматриваемые Требования соответствуют Указанию Банка России от 10 декабря 2015 г. № 3889-У в части перечисленных угроз.
С точки зрения общих принципов построения модели угроз и нарушителя наиболее информативным является Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации Общие положения» (СТО БР ИББС-1.0-2014).
Основными источниками угроз информационной безопасности определены: работники организации банковской системы Российской Федерации, реализующие угрозы информационной безопасности с использованием легально предоставленных им прав и полномочий (внутренние нарушители информационной безопасности); работники организации банковской системы Российской Федерации, реализующие угрозы информационной безопасности вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками организации банковской системы Российской Федерации, но осуществляющие попытки несанкционированного доступа и нерегламентированные действия в рамках предоставленных полномочий (внешние нарушители информационной безопасности).
Указанный Стандарт распространяется на организации банковской системы Российской Федерации и устанавливает положения по обеспечению информационной безопасности в организациях банковской системы Российской Федерации. Соответственно, и требования к разрабатываемой модели угроз и нарушителя являются наиболее общими.
Требования, в свою очередь, конкретизируют данные положения и содержат описание модели нарушителя для СКЗИ, используемых при осуществлении переводов денежных средств. Так, согласно Требованиям, СКЗИ должны противостоять атакам, при создании которых используются сведения об СКЗИ, об аппаратных средствах среды функционирования (АС СФ), о программном обеспечении среды функционирования (ПО СФ), а также сведения о платёжной информационной системе. СКЗИ должны противостоять как атакам, которые могут осуществляться из-за пределов контролируемой зоны посредством целенаправленного пассивного и/или активного воздействия на каналы связи технических средств информационной инфраструктуры платёжной системы, так и атакам, которые могут осуществляться нарушителем, имеющим непосредственный доступ к техническим средствам информационной инфраструктуры платёжной системы посредством попыток несанкционированного доступа, в том числе с использованием методов инженерного проникновения, с целью компрометации ключа или искажения ПО СФ СКЗИ, АС СФ СКЗИ, ПО СКЗИ, АС СКЗИ и протоколов взаимодействия, а также атакам, реализуемым посредством использования штатных средств СКЗИ, специально разработанных AC и ПО, средств перехвата и проведения исследований информативных сигналов, средств, эксплуатирующих для несанкционированного доступа недекларированные (недокументированные) возможности и уязвимости ПО.
Также стоит отметить, что для обеспечения защиты информации с помощью СКЗИ в соответствии с Положением Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», а также Положением Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» необходимо в случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, проводить такую оценку. Указанная оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.
ВЫВОДЫ
Подводя итог проведённого анализа (и проведя сопоставления с классами защищённости, описанными в Принципах), можно сказать, что Требования фактически постулируют следующие уровни обеспечения криптографической защиты информации для используемых платёжных устройств:
СКЗИ таких классов в настоящее время уже используется в различных областях банковской индустрии Российской Федерации. В связи с этим многие специалисты по информационной безопасности уже имеют опыт внедрения и использования подобных средств.
Это означает, что в случае появления на рынке обсуждаемых платёжных устройств, отвечающих необходимым международным стандартам и прошедших оценку соответствия данным Требованиям, их внедрение в платёжные системы может происходить в штатном режиме без проведения дополнительного обучения специалистов по информационной безопасности.