Банковскую информзащиту проверят на родине
У российского центра тестирования появилась концепция
До конца следующего года в России должен появиться центр тестирования технических средств и программного обеспечения криптографической защиты информации. С 2024 года все значимые платежные системы должны использовать отечественные защитные модули. Однако российских разработок пока единицы, и они помимо соответствия требованиям ЦБ должны быть совместимы с существующими средствами международных платежных систем. На предмет совместимости и будет проверять оборудование и ПО новый центр.
Фото: Олег Харсеев, Коммерсантъ
“Ъ” ознакомился с презентацией Минкомсвязи, посвященной концепции центра тестирования (ЦТ) технических средств и программного обеспечения криптографической защиты информации (СКЗИ) значимых платежных систем. Целью создания центра, как следует из концепции, является минимизация затрат российских вендоров. В частности, в нем можно будет пройти как удаленное (предварительное) тестирование, так и комплексное. В Банке России поддерживают идею создания такого сервиса. «Вопрос касается обеспечения национального суверенитета и бесперебойного функционирования Национальной платежной системы,— пояснили в ЦБ.— Центр тестирования будет заниматься проверкой на соответствие функционально-техническим требованиям для того, чтобы для банков была обеспечена возможность приобретать и использовать оборудование, соответствующее требованиям 382-П и совместимое с существующими средствами международных платежных систем».
Применение отечественных HSM (устройства, обеспечивающие защиту от несанкционированного доступа к криптографическим ключам) записано в нормативных актах ЦБ. Установлен срок перехода всех значимых платежных систем на эти модули, первый этап начинается с 1 января 2024 года. «С одной стороны, реализация программы импортозамещения, с другой же — явно, что ЦТ создается для тестирования безопасности решений в рамках реализуемой ЦБ стратегии стандартизации мер по защите информации»,— считает директор департамента информбезопасности МКБ Вячеслав Касимов. В Минкомсвязи отказались от комментариев.
Требования к системно значимой платежной системе устанавливаются ЦБ. Платежную систему можно считать системно значимой, если она осуществляет в течение трех календарных месяцев подряд переводы денежных средств на сумму не менее значений, установленных ЦБ; осуществляет переводы денежных средств по сделкам, совершенным на организованных торгах, а также переводы денежных средств при рефинансировании кредитных организаций и операциях на открытом рынке. Из 51 платежной системы в реестре ЦБ 31 является системно значимой.
Тестирование модулей необходимо, но необязательно силами ЦТ СКЗИ, указывают участники рынка. «Разработанные в России криптографические модули обязаны быть протестированы на выполнение требований платежных систем, в том числе и международных — Visa, MasterCard и т. п.,— поясняет эксперт по информационной безопасности Cisco Алексей Лукацкий.— Для этого каждый производитель должен либо создавать собственный стенд для испытаний, что очень дорого, либо использовать ресурсы внешнего центра».
В концепции указано, что размещение ЦТ СКЗИ планируется на площадке ФГБУ НИИ «Восход» (подведомственное предприятие Минкомсвязи, создает ИТ-решения для органов власти). Окончание работ по созданию центра намечено на октябрь 2021-го, а на декабрь того же года запланированы проведение предварительных и приемочных испытаний и опытная эксплуатация центра. «Изначально, насколько мне известно, тестирование планировалось передать в НСПК»,— отмечает Вячеслав Касимов. «Создание такого центра на базе НСПК может привести к конфликту интересов, так как в РФ существуют и другие значимые платежные системы, которые используют собственную платежную инфраструктуру»,— указывает Алексей Лукацкий. В НИИ «Восход» подтвердили участие в разработке ЦТ. В НСПК не ответили на запрос “Ъ”.
Стоимость услуг центра тестирования в концепции не определена, потому оценить экономический эффект эксперты затрудняются. «Пока вряд ли это скажется на банках,— считает господин Касимов.— В будущем возможно, но опосредованно, например путем перевыставления затрат производителями исследуемого ПО и оборудования». Поскольку в данном случае речь идет о создании очередного регулирующего центра, возрастут издержки и финансовых компаний, уверен начальник отдела инвестидей «БКС Брокера» Нарек Авакян.