понедельник, 7 сентября 2015 г.

Использование средств криптографической защиты информации при обмене сообщениями между Банком России и Федеральной нотариальной палатой


Порядок использования средств криптографической защиты информации (СКЗИ)  при обмене электронными сообщениями между Банком России и Федеральной нотариальной палатой (ФНП) утвержден Указанием Банка России от 29 июня 2015 года № 3701-У.

Обмен осуществляется с применением СКЗИ, принятых к использованию в Банке России (п.1), которые используются для формирования кодов аутентификации и шифрования электронных сообщений.
Для справки: В Банке России при обмене электронными сообщениями используется код аутентификации. Де факто это усиленная электронная подпись юридического лица или структурного подразделения Банка России. При этом владелец ключа назначает конкретное должностное лицо своей организации его пользователем. Именно это лицо и подписывает электронные сообщения.

Код аутентификации (КА) - данные, используемые для подтверждения подлинности и контроля целостности электронного сообщения (ЭС) (п.2.2).

Владелец ключа КА или ключа шифрования - ФНП или ЦККИ, ключ КА или ключ шифрования которой (которого) зарегистрирован в регистрационном центре, функционирующем в Банке России (п.2.6).

Пользователь ключа КА или ключа шифрования - лицо, назначенное владельцем ключа КА или ключа шифрования и уполномоченное им использовать их от имени владельца (п.2.10).
Банк России и ФНП обеспечивают сохранность своих секретных ключей (п.3). Ответственность за содержание данных, включаемых в электронное сообщение, несет владелец ключа кода аутентификации, которым снабжено сообщение.

Ключи подлежат регистрации в регистрационном центре (п.4). Для регистрации в двух экземплярах изготавливается регистрационная карточка. Один экземпляр остается в регистрационном центре, другой передается владельцу ключа.

Форма регистрационной карточки разрабатывается регистрационным центром в зависимости от функциональных возможностей конкретных СКЗИ.

Регистрационная карточка может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна в обязательном порядке содержать подпись руководителя владельца ключа, заверенную печатью. При смене ключей оформляется новая регистрационная карточка (п.10).

После ввода в действие новых ключей прежде действовавшие уничтожаются, а открытые ключи хранятся Банком России и ФНП в течение всего срока хранения электронных сообщений, для подтверждения подлинности и контроля целостности которого они могут быть использованы (п.11).

Мой комментарий: Формулировка достаточно распространенная, но стоит задуматься вот над чем: если с применением  КА подписан хотя бы один документ постоянного срока хранения, то открытый ключ тоже придется хранить постоянно! И как среди тысяч открытых ключей выявлять те, которые нужно сохранить?

Уничтожение открытых ключей КА после истечения срока их хранения осуществляется Банком России и ФНП самостоятельно (п.12).

Мой комментарий: Очень правильное положение. Я бы еще добавила фразу типа «с составление акта о физическом уничтожении ключа».

Программные средства, предназначенные для создания и проверки КА и документация на эти средства хранятся Банком России и ФНП в течение всего срока хранения электронного сообщения, для подписания и подтверждения подлинности и контроля целостности которого использовались (могут использоваться) указанные средства (п.13).

Мой комментарий: Та же самая ловушка, что и в п.11. При подписании документа постоянного или длительного срока хранения программные средств нужно будет не только долго хранить, но и иметь возможность использовать. К сожалению, через 5-10 лет использовать такое ПО, скорее всего, будет очень сложно.

Сведения о ключах не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством Российской Федерации (п.14).

Мой комментарий: Специалисты даже такого продвинутого в информационных технологиях ведомства, как Банк России, еще не до конца поняли, какие проблемы мы сами себе создали, начав повсеместное использование усиленных электронных подписей,  не решив прежде вопрос долговременного хранения электронных документов, подписанных ЭЦП/УЭП. Учитывая, что документы нотариусов достаточно часто имеют длительные сроки хранения, можно сказать, что мина замедленного действия уже заложена и отсчет времени пошел…

Этим же указанием Банка России был утвержден «Порядок обеспечения информационной безопасности при использовании средств криптографической защиты информации для целей передачи-приема ЭС», в котором также есть несколько интересных, с моей точки зрения положений:
  • Руководство владельца ключей определяет список лиц, имеющих доступ к секретным ключам (с указанием конкретной информации для каждого лица). Доступ неуполномоченных лиц к носителям ключевой информации исключается (п.4).

  • Для хранения носителей ключевой информации с секретными ключами используются надежные металлические хранилища. Хранение носителей ключевой информации допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа (п.5).

  • В течение рабочего дня вне времени составления и передачи-приема электронных сообщений, а также по окончании рабочего дня носители ключевой информации с секретными ключами помещаются в хранилище (п.6).

  • В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей работника Банка России или ФНП, имевшего доступ к секретным ключам, должна быть проведена смена ключей, к которым указанный работник имел доступ (п.10).
В документе установлено, чего нельзя делать с носителями ключевой информации и самой ключевой информацией. Не допускается (п.7):
  • Снимать несанкционированные копии с носителей;

  • Знакомить с содержанием носителей лиц, к ним не допущенных, или передавать им носители;

  • Выводить секретные ключи на дисплей (монитор) электронно-вычислительной машины (ЭВМ) или принтер;

  • Устанавливать носитель секретных ключей в считывающее устройство (дисковод) ЭВМ, на которой программные средства передачи-приема ЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ЭВМ;

  • Записывать на носители постороннюю информацию.
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=183779 

Комментариев нет:

Отправить комментарий