У российского центра тестирования СКЗИ появилась концепция

“КоммерсантЪ” ознакомился с презентацией Минкомсвязи, посвященной концепции центра тестирования (ЦТ) технических средств и программного обеспечения криптографической защиты информации (СКЗИ) значимых платежных систем. Целью создания центра, как следует из концепции, является минимизация затрат российских вендоров. В частности, в нем можно будет пройти как удаленное (предварительное) тестирование, так и комплексное. В Банке России поддерживают идею создания такого сервиса. «Вопрос касается обеспечения национального суверенитета и бесперебойного функционирования Национальной платежной системы,— пояснили в ЦБ.— Центр тестирования будет заниматься проверкой на соответствие функционально-техническим требованиям для того, чтобы для банков была обеспечена возможность приобретать и использовать оборудование, соответствующее требованиям 382-П и совместимое с существующими средствами международных платежных систем».

Применение отечественных HSM (устройства, обеспечивающие защиту от несанкционированного доступа к криптографическим ключам) записано в нормативных актах ЦБ. Установлен срок перехода всех значимых платежных систем на эти модули, первый этап начинается с 1 января 2024 года. «С одной стороны, реализация программы импортозамещения, с другой же — явно, что ЦТ создается для тестирования безопасности решений в рамках реализуемой ЦБ стратегии стандартизации мер по защите информации»,— считает директор департамента информбезопасности МКБ Вячеслав Касимов. В Минкомсвязи отказались от комментариев.

Требования к системно значимой платежной системе устанавливаются ЦБ. Платежную систему можно считать системно значимой, если она осуществляет в течение трех календарных месяцев подряд переводы денежных средств на сумму не менее значений, установленных ЦБ; осуществляет переводы денежных средств по сделкам, совершенным на организованных торгах, а также переводы денежных средств при рефинансировании кредитных организаций и операциях на открытом рынке. Из 51 платежной системы в реестре ЦБ 31 является системно значимой.

Тестирование модулей необходимо, но необязательно силами ЦТ СКЗИ, указывают участники рынка. «Разработанные в России криптографические модули обязаны быть протестированы на выполнение требований платежных систем, в том числе и международных — Visa, MasterCard и т. п.,— поясняет эксперт по информационной безопасности Cisco Алексей Лукацкий.— Для этого каждый производитель должен либо создавать собственный стенд для испытаний, что очень дорого, либо использовать ресурсы внешнего центра».

В концепции указано, что размещение ЦТ СКЗИ планируется на площадке ФГБУ НИИ «Восход». Окончание работ по созданию центра намечено на октябрь 2021-го, а на декабрь того же года запланированы проведение предварительных и приемочных испытаний и опытная эксплуатация центра. «Изначально, насколько мне известно, тестирование планировалось передать в НСПК»,— отмечает Вячеслав Касимов. «Создание такого центра на базе НСПК может привести к конфликту интересов, так как в РФ существуют и другие значимые платежные системы, которые используют собственную платежную инфраструктуру»,— указывает Алексей Лукацкий. В НИИ «Восход» подтвердили участие в разработке ЦТ. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!