Использование кредитными организациями систем дистанционного банковского обслуживания (ДБО) сегодня, де-факто, является стандартом при оказании услуг своим клиентам. Действительно, согласно исследованию, проведенному компанией CNews Analytics, среди первых 100 банков по величине активов системы ДБО используют для обслуживания юридических лиц 95% банков, а для обслуживания физических лиц — 87% банков.
В рамках повышения своих конкурентных преимуществ, большинство банков используют в системах ДБО ряд дополнительных сервисов, таких как электронный документооборот с использованием электронной подписи, доступ к государственным и муниципальным услугам, сдача отчетности в государственные органы и другие. Все эти факторы делают системы ДБО одной из главных целей киберпреступников, а методам и средствам борьбы с возникающими угрозами информационной безопасности в них посвящено множество статей, исследований и практических разработок. Сейчас с уверенностью можно сказать, что наибольшее распространение в системах ДБО, для защиты от внешних угроз, получили средства криптографической защиты информации (СКЗИ).
Использование СКЗИ регламентировано рядом законов, постановлений, распоряжений, инструкций. Вот только некоторые из них:
- Федеральный закон от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
- Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСБ России, ФСТЭК России от 31.08.2010 г. N 416/189 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования».
Использовать ли в системах ДБО сертифицированные средства криптографической защиты информации (отечественные разработки, реализующие алгоритмы ГОСТ) или нет, каждый банк решает самостоятельно. И хотя использование сертифицированных СКЗИ дает свои преимущества, тем не мене банки, выбравшие такой путь, обязаны соблюдать ряд требований регуляторов, предъявляемых в вышеперечисленных и иных законодательных актах. В частности, к таковым требованиям относятся:
- Поэкземплярный учет лицензий на средства криптографической защиты информации;
- Поэкземплярный учет дистрибутивов средств криптографической защиты информации, если распространением этих средств среди клиентов является владелец системы ДБО;
- Поэкземплярный и персонифицированный учет ключевых носителей информации;
- Ведение журналов учета ключевых носителей информации, учета лицензий на средства криптографической защиты информации, учета дистрибутивов средств криптографической защиты информации;
- Печать схемы криптографической защиты информации.
Помимо требований регуляторов в процессе эксплуатации системы ДБО возникает и ряд других вопросов организационно-технологического плана. Например, как передавать пришедшие запросы в системе ДБО в Удостоверяющий Центр? Или как и где производить учет выпущенных сертификатов для клиентов? Как оперативно отслеживать окончание сроков действия сертификатов «нерадивых» клиентов? Как отзывать сертификаты с одновременным блокированием ключа в системе ДБО? Вопросов масса. И становится ясно, что без использования дополнительного программного обеспечения эффективно их не решить.
Давайте взглянем на возможный вариант решения данных вопросов при использовании специализированного программного обеспечения. На российском рынке представлено несколько решений, в разной степени отвечающих за те или иные аспекты автоматизации управления PKI-инфраструктурой, это Avanpost PKI, Indeed CM, Safenet SAM и вновь появившийся Aladdin JMS. Некоторые из перечисленных систем позволяют, используя механизмы коннекторов, настроить автоматизированное взаимодействие в части управления сертификатами и ключевыми носителями со следующими информационными системами организации:
- Управления взаимоотношений с клиентами (CRM системы);
- Удостоверяющие Центры;
- Системы кадрового учета банка;
- Системы ДБО.
При этом достигается серьезный уровень автоматизации многих аспектов управления PKI-инфраструктурой. В общем случае схема взаимодействия подобных решений с остальными системами будет выглядеть так:
- В автоматизированном режиме, система управления PKI-инфраструктурой получает информацию о новом клиенте и его реквизитах из CRM системы.
- На основании этих данных формируются запросы на сертификаты ключей электронной подписи. При этом подготавливаются ключевые носители, вырабатываются и печатаются в ПИН-конверты необходимые ПИН-коды, носители закрепляются и учитываются за клиентом.
- Сформированные запросы попадают в Удостоверяющий Центр. Оператор Удостоверяющего Центра, получив уведомление на электронную почту, одобряет их и выпущенные сертификаты доставляются до места откуда пришел запрос и учитываются за клиентом.
- Далее, выпущенные сертификаты, опять же в автоматическом режиме передаются в систему ДБО.
- Все действия, которые требуют ручных подтверждений, фиксируются, информация о них (кто их проводил, когда) сохраняется в журналах. Сами события могут быть подписаны электронной подписью лица, осуществлявшего эти действия.
- При приближении окончания срока действия сертификатов ключей электронной подписи ответственные лица будут получать уведомления от системы управления PKI-инфраструктурой по электронной почте о необходимости перевыпустить сертификаты клиента.
Касательно требований регуляторов, в частности ФСБ России, в ряде рассматриваемых решений имеются развитые средства управления лицензиями и дистрибутивами СКЗИ, начиная от первичного учета и распределения лицензий между филиалами банка до печати бланков лицензий и их передачи клиентам. Внутренние механизмы отчетности помогут построить схему криптографической защиты информации, получить в режиме реального времени журнал поэкземплярного учета ключевых носителей и лицензий СКЗИ, журнал выдачи дистрибутивов СКЗИ и многие другие документы и журналы.
Подобные программные решения так же помогают снять проблему отзыва сертификатов. В некоторых системах ДБО, для ускорения их работы, отключается взаимодействие со списком отзыва сертификатов. В этом случае для блокирования ключа клиента приходится вручную переводить его в заблокированное состояние. Стоит ли говорить, что люди, отвечающие за функционирование ДБО и отзыв сертификата в Удостоверяющем Центре, как правило, действуют разрозненно. И вполне могут происходить ситуации, когда при отзыве сертификата в Удостоверяющем Центре соответствующий ключ в ДБО может остаться в рабочем состоянии. Использование же специализированных средств полностью решает эту проблему и сертификаты отзываются и в системе ДБО и в Удостоверяющем Центре одновременно.
Как видите, решения для автоматизации процессов управления инфраструктурой PKI, могут снять огромное количество вопросов и существенно повысить эффективность работы системы ДБО. Вам остается лишь выбрать то решение, которое подойдет именно вам.
Александр Санин, коммерческий директор компании Аванпост