КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Нормативное обеспечение применения ЭЦП в банковской сфере Маслов Юрий Геннадьевич.

Презентация:



Advertisements
Похожие презентации
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Правоприменительная практика ЭЦП в органах государственной власти ООО «КРИПТО-ПРО»
Advertisements

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Использование средств ЭЦП и ключевых носителей в системах электронного документооборота.
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Вопросы использования ключей в системах юридически значимого электронного документооборота.
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Проблемы длительного архивного хранения электронных документов с ЭЦП Эффективный.
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Реализация длительного архивного хранения электронных документов с использованием.
Предоставление федеральным заказчикам (ФЗ) ( федеральным органам государственной власти, федеральным государственным органам, федеральным казенным учреждениям.
Министерство связи и массовых коммуникаций Российской Федерации Методические рекомендации по организации работ по подключению и заполнению Регионального.
Удостоверяющий центр ООО «ПНК» Лукашина Елена Юрьевна Заместитель генерального директора по проектам в сфере информационной безопасности ООО "ПНК"
СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ ИНРАСТРУКТУРЫ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В РЕСПУБЛИКЕ УЗБЕКИСТАН, А ТАКЖЕ РЕШЕНИЯ ПО ЕЕ ПРИМЕНЕНИЮ Докладчик: Валиев.
Оценка соответствия. Аттестация информационных систем персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Предоставление уполномоченным организациям доступа к компонентам системы «Электронный бюджет» Малюченков Сергей Александрович начальник Отдела режима секретности.
РАЗВИТИЯ ИНРАСТРУКТУРЫ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В РЕСПУБЛИКЕ УЗБЕКИСТАН Валиев А. Р. Начальник Центра регистрации ключей ЭЦП ЦНТМИ.
« » « Практика взаимодействия специализированного оператора связи с налоговым органом при передаче сообщений банка налоговым органам в электронном виде.
«Электронная подпись в облаках и на земле» Фураков Александр Заместитель коммерческого директора ООО «КРИПТО-ПРО»
Предоставление финансовым органам (ФО) доступа к компонентам системы «Электронный бюджет» Ерёмин Алексей Павлович начальник Отдела режима секретности и.
«Об инфраструктуре удостоверяющих центров в системе электронного документооборота» ДОКЛАД Докладчик: Логачев Александр Станиславович.
РАЗВИТИЕ ИНФРАСТРУКТУРЫ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В РЕСПУБЛИКЕ УЗБЕКИСТАН Валиев А. Р. Начальник Центра регистрации ключей ЭЦП ГУП «UNICON.UZ»
Удостоверяющий центр ФНС России Удостоверяющий центр (далее - УЦ) - это комплекс аппаратно-программных средств и организационных мероприятий, предназначенных.
ООО "Центр экспертиз сертификации качества" Система добровольной сертификации на соответствие стандартам качества банковской деятельности АРБ.
Государственная интегрированная информационная система управления общественными финансами «Электронный бюджет» « Порядок подключения пользователей к ГИИС.
Транксрипт:

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Нормативное обеспечение применения ЭЦП в банковской сфере Маслов Юрий Геннадьевич Коммерческий директор ООО «КРИПТО-ПРО» Эксперт НП «РОСЭУ» III Межбанковская конференция ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Картина маслом Бизнес: «В кратчайшие сроки и с меньшими затратами внедрим информационную систему!» Безопасность: «Надо разобраться как применяется ЭЦП и обеспечивается защита информации в информационной системе…» Информатизаторы: «Выберем готовую систему и внедрим!» Юристы: «А мы не в теме…»

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Общая схема реалии бытия: Банк получает от разработчика систему «в коробке» Разработчик разрабатывает систему исходя из собственного понимания, как надо применять ЭЦП, средства ЭЦП и шифрования в этой системе Банк внедряет систему «из коробки» Банк получает не оцененные и неуправляемые риски, связанные с применением ЭЦП

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Реалии бытия: Псевдо ЭЦП Разработаны и достаточно широко используются банковские системы, в которых декларируется применение ЭЦП, но не в соответствии с 1-ФЗ «Об ЭЦП» Цитата из примера договора: Клиент при подписании электронного документа (ЭД) ЭЦП применяет свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД открытые ключи подписи Клиента, являющиеся действующими на момент подписания и передачи документа на обработку соответственно. Ключи электронной цифровой подписи (секретный и соответствующий ему открытый ключ) подписывающей Стороны становятся действующими только после завершения процедур регистрации открытых ключей и ввода в действие секретных ключей. Риски банков применения псевдо ЭЦП не оценены. Ущерб от реализации данных рисков не минимизирован.

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Реалии бытия: Некорректные процедуры работы с ЭЦП Во многих банковских системах: По умолчанию отключена проверка на отозванность сертификата ключа подписи при проверке ЭЦП; Отсутствуют проверки на отозванность сертификата ключа подписи при создании ЭЦП Появляются риски банков и пользователей, связанных с исполнением документов, удостоверенных ЭЦП с отозванными (аннулированными) сертификатами

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Реалии бытия: Декларирование применения сертифицированных средств ЭЦП (СКЗИ) Применение сертифицированных библиотек или модулей на смарт-картах, предназначенных для создания СКЗИ; Передача средств ЭЦП по незащищенным каналам связи или по протоколам SSL с алгоритмами RSA, DES и т.д. Появляются риски банков и пользователей, связанных с отказом от ЭЦП ввиду подтверждения экспертной организации о несертифицированном условии использования средства ЭЦП

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Реалии бытия: Реальный уровень защиты ключей Применяются незащищённые ключевые носители (дискеты, флэшки), т.к. они по определению дешевле защищенных; Цитата из договора, описывающая ВСЕ меры защиты ключей: КЛИЕНТ обязан самостоятельно обеспечить сохранность своих секретных ключей и несет за это полную ответственность. КЛИЕНТ по возможности обязан содержать свои секретные ключи на съемном электронном носителе информации, а данный носитель хранить в сейфовом шкафу или другом надежном месте с ограниченным доступом. Отсутствуют понятные и выполнимые меры по обращению с ключами в конкретной системе Отсутствуют требования к среде функционирования средства ЭЦП в конкретной системе (особенно в части защиты от вирусов) и меры по контролю этой среды Не говорим об уровне криптографической защиты системы! Появляются риски банков и пользователей, связанных с действием третьих лиц

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Взгляд на идеальное бытиё: Банк получает от разработчика систему «в коробке» Разработчик разрабатывает систему исходя из требований Банк внедряет систему «из коробки» Банк получает оцененные и управляемые риски, связанные с применением ЭЦП Требования Банк получает независимую оценку соответствия системы требованиям Экспертная организация

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Требования: о чём и в каком виде Общие положения о применении ЭЦП Устанавливает единые нормы при взаимоотношениях лиц по исполнению или принятию к сведению документов, оформленных в виде электронного документа с ЭЦП: - условия действительности ЭД, удостоверенного ЭЦП (детализированные условия равнозначности ЭЦП, условия действительности СКП участника системы, СКП уполномоченного лица) - условия действительности ключей подписи - общий порядок разрешения споров/конфликтов, связанных с применением ЭЦП. Позволил бы защитить интересы как банков, так и клиентов банка в части исполнения электронных документов, удостоверенных ЭЦП. Варианты оформления: Постановление Правительства РФ Приказ уполномоченного федерального органа власти с регистрацией в Минюсте Стандарт СРО

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Требования: о чём и в каком виде Технический регламент по применению ЭЦП Устанавливает единые процедурные правила применения ЭЦП в части: - применения средств ЭЦП (требований к ним и условий применения) - распространения средств ЭЦП и обращения с ними - формирования и проверки ЭЦП - форматов ЭЦП - определение статуса сертификата ключа подписи - обращения с ключами ЭЦП - описания реакции системы на состояния с ЭЦП и сертификатами - содержания документации системы и особенно в пользовательской части. Позволил бы обеспечить разработчиков банковских систем необходимыми нормативными документами для создания соответствующих комплексов, существенно снижающих риски применения ЭЦП и шифрования. Варианты оформления: Приказ уполномоченного федерального органа власти с регистрацией в Минюсте ГОСТ Стандарт СРО

КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Маслов Юрий ВОПРОСЫ?