?

Log in

Previous Entry | Next Entry

Каждая кредитная организация (банк), отправляет отчетность в центральный банк. Так же отправляются различные данные по счетам клиентов, подозрительным платежам и прочей информацией. Так данные передаются в федеральные службы, например Федеральную налоговою службу, службу валютного контроля. Данный обмен часто происходит по каналам центрального банке.

Что бы защитить передаваемые данные от перехвата и искажения между кредитной организацией и центральным банком, используются средства криптографической защиты информации. В данной статье я опишу как происходит генерация ключей шифрования и взаимодействие с центром управления ключевыми системами Центрального банка Российской Федерации. Данная статья будет полезна всем кто работает и занимается криптографией в коммерческих банках.

Сразу хочу заметить, что обмен данными кредитной организации и центрального банка в разных городах нашей страны, может отличаться, так как в каждом регионе есть свой территориальный орган центрального банка, порой даже использующий отличающееся программное обеспечение. Данная статья описывает процесс получения и генерации ключей, только в Москве и работе с ЦУКС МГТУ БР.

Данная статья НЕ содержит какой либо секретной информации, так как вся информация по сути весит на сайте центрального банка и FTP сервере центрального банка. Так же много всего есть на форумах. Вся информация в данной статье носит только публичный характер.

Что бы защитить обмен данными между кредитной организацией и ЦБ используется средства криптографической защиты информации Верба-OW. При обмене данными используют код аутентификации (КА) (это аналог электронной подписи) и ключ шифрования (КШ) (приватный ключ). У обеих сторон имеются справочники с кодами аутентификации и открытыми ключами, и стороны используют эти справочники что бы зашифровать друг на друга сообщения.

Ниже я опишу алгоритм взаимодействия с ЦУКС ЦБ:

При получении и оформлении ключей взаимодействуют два подразделения — от кредитной организации это информационная безопасность - администратор СКЗИ, а от Банка России это Центр управления ключевыми системами Центрального банка Российской Федерации.
Ежегодно происходит плановая смена ключей два раза. Каждый раз Банк России присылает в кредитную организацию письмо уведомление.

Первый раз смена происходит весной, меняются КШ и КА, для обмена с федеральными службами (ФС), при этом кредитная организация ничего не генерирует, а только получает дискеты с ключами в Банке России. Как правило это дискеты с ключами шифрования в двух экземплярах, а так же дискета со справочником открытых ключей — КА.
Ответственный администратор средств криптографической защиты информации кредитной организации, получив дискеты вырабатывает иммитовставки на справочниках КА, устанавливает все это хозяйство пользователям, согласно инструкции полученной в ЦУКС ЦБ и ведет учет СКЗИ в журналах СКЗИ.

Второй раз смена ключей происходит осенью для обмена с Банком России, при которой каждая кредитная организация генерирует свой собственный КА и КШ. Так же осенью кредитная организация генерирует КА для федеральных служб. Всего по сути осенью генерируются ключи на двух носителях, один для федеральных служб -КА, другой для Банка России — КШ и КА. При генерации обязательно делаются копии ключевых носителей, на всякий случай.

Генерация ключей происходит с использованием СКЗИ Верба-OW и с использованием лицензионной дискеты и номером и серией ключа, о которых сообщает ЦУКС ЦБ. Ежегодно данная серия меняется.
Как правило номера имеют примерно такое значение:
2025-941044 — открытый КШ для Банка России(на первом носителе)
2025-941044-01 — КА для Банка России (на первом носителе)
2025-941044-02 — КА для федеральных служб (на втором носителе)

Ниже снимки экрана при генерации ключей в Вербе:
verba1
Генерация КШ и КА для ЦБ
verba2
Генерация КА для ФС

Затем делается транспортная дискета в двух экземплярах, на которую помещаются открытый КШ, и два КА для ЦБ и ФС. Как правило это файлы с расширениями .lfx и .pub и названия у них соответствует номеру ключа. Данные файлы лежат в директории HD1, дискеты на которую СКЗИ Верба записывала ключ. Так же печатаются карточки КШ и КА, это такие одно страничные листки с байтами ключа и полями для подписи и печати.

На данной карточке проставляют свои подписи руководители кредитной организации, а так же проставляется печать кредитной организации. Руководители кредитной организации которые проставляют свою подпись, а также сама печать, должны обязательно присутствовать в списке первых и вторых лиц кредитной организации, которые указаны на карте подписей и оттиска печати этой кредитной организации. Данную карточку можно запросить обычно в бухгалтерии, так же копия этой карты хранится в ЦУКС ЦБ, и её при смене руководителей следует актуализировать и направлять в ЦУКС ЦБ.

После этого доверенное лицо приходит в ЦУКС ЦБ, передает туда транспортную дискету с открытыми ключами, карточки регистрации ключей и получает от ЦУКС ЦБ, их справочники открытых ключей и один экземпляр карточки регистрации ключей с их печатью и подписью. Затем Администратор СКЗИ кредитной организации выдает ключи пользователям и ведет учет.
verba_card
Карта регистрации ключей

Дельные советы для администраторов СКЗИ кредитных организаций:

Что бы соблюсти все законы и требования по средствам криптографической защиты информации необходимо все ключевые носители ставить на поэкземплярный учет в том числе и дискеты. Открытые ключи следует хранить не менее пяти лет.

Все журналы выдачи, ключи и пароли следует хранить в сейфе.
Так же сейф нужен тем сотрудникам которые используют СКЗИ, для хранения своих ключевых носителей.

Если у вас выдается ключ каждому сотруднику, который шлет информацию, а так и должно по идее быть, то рекомендую использовать не дискеты в качестве ключевых носителей, а токены, они безопаснее и долговечнее, а так же их легче учитывать, единственное нужно будет копировать ключи с дискеты на токены, но это сделать можно с помощью  Вербы-OW.

Генерацию и работу с ключами следует делать на отдельной автономной станции, не подключенной к сети. Данная станция должна находится в защищенном помещении, иметь систему аппаратной защиты от несанкционированного доступа (НСД). В качестве защиты от НСД, могу порекомендовать СЗИ НСД Аккорд-АМДЗ – это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа - http://www.accord.ru/amdz.html.

Советую создать регламент и инструкцию, с пошаговыми действиями и снимками экрана, так как ключи меняются редко, через год процедуру забываешь, а потом можно накосячить, а косячить тут нельзя, так как Банк России в случае нарушений, может оштрафовать кредитную организацию, причем на кругленькую сумму, плюс к тому инициировать проверку.