“Условия передачи программного обеспечения Клиенту Банка России” (утв. Банком России)

Основные термины

В 90-x годах прошлого века в ГОСТах и нормативных документах

(тогда еще Гостехкомиссии при Президенте РФ) часто употреблялся термин —

автоматизированная система

дает следующее определение данного термина:

автоматизированная система; AC: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.


Спустя некоторое время, в обиход вошел новый термин —

информационная система

. В

данный термин определяется следующим образом:

информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

В рамках данного исследования оба термина будут использоваться как синонимы.

Справедливость подобного подхода можно доказать тем, что в Приказе ФСТЭК России от 11.02.2022 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» для защиты информационных систем госрегулятор предписывает руководствоваться ГОСТами по автоматизированным системам.

Помимо информационных систем в IT-инфраструктуре банка можно выделить еще один тип элементов — информационные сервисы, или, как их часто называют, роботы.

Дать определение понятию информационный сервис довольно сложно, поэтому просто перечислим его основные отличия от информационной системы:

  1. Информационный сервис гораздо проще информационной системы, но в тоже время его нельзя назвать компонентом последней, поскольку результатами его работы могут пользоваться одновременно несколько информационных систем.
  2. Информационные сервисы предназначены для автоматизации простых, рутинных задач.
  3. Информационные сервисы не содержат в своем составе базы данных.
  4. Информационные сервисы работают в автоматическом режиме без участия (или с минимальным участием) человека.

“условия передачи программного обеспечения клиенту банка россии”
(утв. банком россии)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УСЛОВИЯ

ПЕРЕДАЧИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ КЛИЕНТУ БАНКА РОССИИ

Настоящие Условия передачи программного обеспечения Клиенту Банка России (далее – Условия) определяют порядок передачи Клиенту прав использования программного обеспечения, а также организационные процедуры передачи и возникающие в связи с этим права и обязанности Банка и Клиента.

1. Термины и определения

1.1. Термины, используемые в настоящих Условиях, понимаются в значениях, определенных Федеральным законом от 27.06.2022 N 161-ФЗ “О национальной платежной системе”, установленных правилами платежной системы Банка России, комплексным договором банковского обслуживания и/или договором об оказании услуг по передаче финансовых сообщений, а также условиями, являющимися неотъемлемой частью данных договоров.

1.2. В настоящих Условиях также используются следующие термины и определения:

автоматизированная система Клиента или косвенного участника платежной системы Банка России, являющегося клиентом Клиента (далее – АС Клиента/косвенного участника Клиента) – программно-технический комплекс, эксплуатируемый Клиентом или косвенным участником Клиента, обеспечивающий формирование и обработку электронных сообщений (далее – ЭС), содержащих распоряжения о переводе денежных средств, и иных ЭС, включенных в Альбом унифицированных форматов электронных банковских сообщений (далее – Альбом УФЭБС), в порядке, установленном Альбомом УФЭБС;

транспортная система Банка России – автоматизированная система Банка России, обеспечивающая процесс обмена электронными сообщениями между участниками обмена и Банком России.

2. Основные положения

2.1. В соответствии с настоящими Условиями Банк безвозмездно предоставляет Клиенту на условиях простой (неисключительной) лицензии право использования следующего программного обеспечения (далее при совместном упоминании всех или части программных продуктов – ПО) на период действия комплексного договора банковского обслуживания и/или договора об оказании услуг по передаче финансовых сообщений:

программных комплексов “Автоматизированное рабочее место клиента Банка России Новое” (АРМ КБР-Н), “Автоматизированное рабочее место клиента Банка России для передачи финансовых сообщений” (АРМ КБР-СПФС) (далее при совместном упоминании – ПК АРМ), “Автоматизированное рабочее место клиента Банка России” (АРМ КБР) <1> с комплектом эксплуатационной документации, предназначенных для организации автоматизированного рабочего места Клиента по подготовке, передаче и приему ЭС и пакетов ЭС в унифицированных форматах электронных банковских сообщений с использованием транспортной системы Банка России;

——————————–

<1> Только для Клиентов, счета которых обслуживаются в полевом учреждении Банка России, не являющихся кредитными организациями и территориальными органами Федерального казначейства.

программного комплекса “Сигнатура-клиент” (включая ПК “Средство КЗИ СКАД “Сигнатура” и комплект разработчика прикладного ПО) с комплектом эксплуатационной документации (далее – ПК “Сигнатура-клиент”), предназначенного для криптографической защиты (создания и проверки электронной подписи, а также шифрования и расшифрования) электронных сообщений;

системы криптографической защиты информации автоматизированных систем Банка России “Янтарь” с комплектом эксплуатационной документации (далее – СКЗИ “Янтарь”), предназначенной для криптографической защиты электронных сообщений в условиях организации на стороне Клиента выделенного сервиса криптографической обработки данных;

прикладного программного интерфейса СКЗИ “Янтарь” и (или) прикладного программного интерфейса СКАД “Сигнатура” (далее – ППИ СКЗИ), предназначенных для встраивания СКЗИ “Янтарь”/СКАД “Сигнатура” в прикладное программное обеспечение Клиента, реализованное в среде Microsoft .Net Framework (СКАД “Сигнатура”) или Java (СКАД “Сигнатура” и СКЗИ “Янтарь”);

системы криптографической авторизации электронных документов “Сигнатура-L” (далее – СКАД “Сигнатура-L”), предназначенной для криптографической защиты электронных сообщений в среде операционных систем Linux, с комплектом разработчика прикладного ПО и эксплуатационной документацией.

2.2. Банк предоставляет Клиенту право использования ПО, указанного в пункте 2.1 настоящих Условий на территории Российской Федерации следующими способами:

применять ПО в соответствии с эксплуатационной документацией;

производить копирование и установку (воспроизведение) ПО на средствах вычислительной техники Клиента исключительно в целях исполнения комплексного договора банковского обслуживания и/или договора об оказании услуг по передаче финансовых сообщений;

передавать ПО третьим лицам для его интеграции в автоматизированную систему Клиента, с соблюдением требований пункта 4.3 настоящих Условий;

передавать ПО косвенным участникам Клиента для использования в соответствии с настоящими Условиями, с соблюдением требований пункта 4.4 настоящих Условий.

2.3. Перечисленное в пункте 2.1 настоящих Условий ПО передается Клиенту для подготовки и криптографической защиты электронных сообщений, применяемых при переводе денежных средств в рамках платежной системы Банка России (далее – ПС БР), для обеспечения взаимодействия с операционным центром, платежным клиринговым центром платежной системы, не являющейся платежной системой Банка России, предоставляющим операционные услуги, услуги платежного клиринга при осуществлении в платежной системе Банка России перевода денежных средств с использованием сервиса быстрых платежей, а также при передаче финансовых сообщений.

3. Порядок передачи и получения ПО

3.1. Установочные файлы ПК АРМ, ППИ СКЗИ, соответствующая техническая и эксплуатационная документация к перечисленному в данном пункте ПО (в том числе новые версии, изменения/модификации) размещаются Банком на официальном сайте Банка России в информационно-телекоммуникационной сети “Интернет” (далее – официальный сайт Банка России) по адресу www.vhod-v-lichnyj-kabinet.ru/development/mcirabis/ для самостоятельной загрузки Клиентом <2>.

——————————–

<2> Передача Клиенту АРМ КБР осуществляется полевым учреждением Банка России, в котором обслуживаются счета Клиента.

3.2. При первичном получении Клиентом ПК АРМ контрольные значения хэш-функции для проверки целостности ПК АРМ передаются ему на бумажном носителе.

3.3. Об изменении версий ПО, перечисленного в п. 2.1 настоящих Условий, и условиях применения новых версий Банк уведомляет Клиента размещением соответствующей информации на официальном сайте Банка России по адресу www.vhod-v-lichnyj-kabinet.ru/development/mcirabis/ и направлением ему информационного сообщения с использованием транспортной системы Банка России <3>. Информационное сообщение содержит контрольные значения хэш-функции, используемые для контроля целостности загруженного ПО. Контрольные значения хэш-функций не публикуются на официальном сайте Банка России.

——————————–

<3> Клиенты, использующие АРМ КБР, счета которых обслуживаются в полевом учреждении Банка России, информируются непосредственно полевым учреждением Банка России.

3.4. Передача Банком Клиенту дистрибутивов ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” осуществляется в следующем порядке.

Банк на основании доверенности, составленной по форме приложения 2 к настоящим Условиям, передает представителю Клиента дистрибутив ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” на отчуждаемом(ых) машинном(ых) носителе(ях) информации (далее – ОМНИ), лицензию на использование программного продукта ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L”, содержащую регистрационные номера ПК “Сигнатура-клиент”/СКАД “Сигнатура-L”/СКЗИ “Янтарь”, и контрольные значения хэш-функции для проверки их целостности на бумажном носителе.

Дистрибутив ПК “Сигнатура-клиент” передается Банком Клиенту в связи с заключением комплексного договора банковского обслуживания и/или договора об оказании услуг по передаче финансовых сообщений. Дистрибутивы СКЗИ “Янтарь” и СКАД “Сигнатура-L” передаются по письменному запросу Клиента, направляемому в Банк в произвольной форме.

Похожее:  Как попасть в личный кабинет на сайте Госуслуги в Пушкино в 2021 году: инструкция регистрация возможности для индивидуальных предпринимателей и организаций

Факт передачи Банком Клиенту дистрибутива ПК “Сигнатура-клиент”/СКАД “Сигнатура-L”/СКЗИ “Янтарь” подтверждается Актом приема-передачи программного обеспечения, составленным по форме приложения 1 к настоящим Условиям.

3.5. При переходе на новые версии/сборки ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L”, а также при выпуске их изменений и модификаций Банк уведомляет Клиента об условиях перехода и сроках их передачи путем размещения соответствующей информации на официальном сайте Банка России по адресу www.vhod-v-lichnyj-kabinet.ru/development/mcirabis/ и направлением ему информационного сообщения с использованием транспортной системы Банка России.

3.6. Передача новых версий/сборок ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L”, а также их изменений и модификаций производится Банком в порядке, аналогичном предусмотренному пунктом 3.4 настоящих Условий.

3.7. Установка, настройка и проверка работоспособности ПО на выполнение заявленных в эксплуатационной документации функций (операций) осуществляется Клиентом. Банк России предоставляет консультационную поддержку в соответствии с подпунктом 4.1.3.

3.8. Для обеспечения функционирования ПО Клиент обязан выполнять условия и требования, предъявляемые к средствам вычислительной техники, операционной системе, дополнительному оборудованию и программному обеспечению в соответствии с документацией на передаваемое ПО.

3.9. Перед установкой ПО/изменений/модификаций Клиент обязан провести проверку целостности установочных файлов с использованием утилиты hashfile.exe (входит в комплект поставки ПК “Сигнатура-клиент”). Проверка целостности ПК АРМ проводится в соответствии с документацией на утилиту и инструкциями, содержащимися в информационных сообщениях или документах на бумажном носителе, которыми Клиенту были доведены контрольные значения хэш-функции. Проверка целостности установочных файлов ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” выполняется путем сравнения значений хэш-функции, переданных на бумажном носителе, с фактическими значениями хэш-функции контролируемых файлов, вычисленных с помощью утилиты hashfile.exe. При отсутствии расхождений дистрибутив может быть использован в дальнейшей работе. В случае отрицательного результата проверки целостности установка ПО/изменений/модификаций не производится. Клиент обязан сообщить об этом в Банк по телефону 7 495 957-80-01 или по электронной почте по адресу helpdeskmci@vhod-v-lichnyj-kabinet.ru.

4. Права и обязанности сторон

4.1. Банк обязан:

4.1.1. извещать Клиента <4> публикацией соответствующей информации на официальном сайте Банка России по адресу www.vhod-v-lichnyj-kabinet.ru/development/mcirabis/ и через информационные сообщения, рассылаемые с использованием транспортной системы Банка России, о выпуске новых версий ПО и условиях их применения;

——————————–

<4> Извещение Клиентов, использующих АРМ КБР, счета которых обслуживаются в полевом учреждении Банка России, осуществляется непосредственно полевым учреждением Банка России доступным способом.

4.1.2. размещать на официальном сайте Банка России и передавать на ОМНИ <5> ПО в рабочем состоянии, в отношении которого Банком проведена проверка на отсутствие вредоносного кода;

——————————–

<5> Осуществляется полевым учреждением Банка России для Клиентов, использующих АРМ КБР, счета которых обслуживаются в полевом учреждении Банка России, не являющихся кредитными организациями и территориальными органами Федерального казначейства.

4.1.3. консультировать Клиента по вопросам эксплуатации переданного ПО (за исключением консультирования Клиента по вопросам использования инструментария разработчика ПК “Сигнатура-клиент”/ППИ СКЗИ для встраивания ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” в АС Клиента/косвенного участника Клиента, а также по вопросам корректности установки, настройки и функционирования ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” в АС Клиента/косвенного участника Клиента) при обращении Клиента в Единую службу поддержки пользователей по телефону 7 495 957-80-01 или по электронной почте по адресу helpdeskmci@vhod-v-lichnyj-kabinet.ru.

4.2. Клиент обязан:

4.2.1. выполнять условия и требования, предъявляемые к средствам вычислительной техники, операционной системе, дополнительному оборудованию и программному обеспечению, указанные в эксплуатационной документации, передаваемой вместе с ПО;

4.2.2. проверять целостность ПО и изменений/модификаций к нему в соответствии с пунктом 3.9 настоящих Условий;

4.2.3. самостоятельно устанавливать и настраивать ПО, проводить его обновления в соответствии с полученными от Банка уведомлениями и извещениями о новых версиях, изменениях и модификациях, а также проверять его работоспособность;

4.2.4. обеспечивать сохранность, целостность и работоспособность ПО в течение срока эксплуатации;

4.2.5. вести поэкземплярный учет ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” и эксплуатировать ПО в соответствии с эксплуатационной документацией;

4.2.6. информировать Банк о замечаниях и неисправностях при работе ПО по телефону 7 495 957-80-01 или по электронной почте по адресу helpdeskmci@vhod-v-lichnyj-kabinet.ru;

4.2.7. использовать ПО исключительно в целях, установленных настоящими Условиями; в случае прекращения договора/договоров, в связи с которыми Клиентом было получено ПО, а также при выводе ПО из эксплуатации в связи с получением новой версии или получением уведомления от Банка о прекращении дальнейшей поддержки ПО, удалить без возможности восстановления все копии ПО со всех средств вычислительной техники, а также уничтожить носители информации ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L”.

4.3. Клиент имеет право привлекать третьих лиц, обладающих лицензией на проведение соответствующих видов работ (оказания услуг), к адаптации ПК “Сигнатура-клиент”, СКЗИ “Янтарь”, СКАД “Сигнатура-L”, ППИ СКЗИ с целью выполнения их интеграции в автоматизированную систему Клиента при условии отсутствия у Клиента возможности самостоятельного выполнения таких работ.

4.4. Клиент имеет право передавать косвенному участнику Клиента ПК “Сигнатура-клиент”, СКЗИ “Янтарь”, СКАД “Сигнатура-L”, ППИ СКЗИ, ПК АРМ для организации электронного обмена косвенного участника Клиента с платежной системой Банка России. Ответственность перед Банком за исполнение косвенным участником Клиента настоящих Условий несет Клиент.

5. Прочие условия

5.1. Банк гарантирует, что он обладает в необходимом объеме правами в отношении переданного ПО.

5.2. Банк не несет ответственности за невозможность использования Клиентом переданного ПО, вызванную неисправностями используемых им программно-аппаратных средств, предоставленных третьими лицами, несанкционированного вмешательства в систему обработки и передачи информации Клиента.

5.3. Банк не несет ответственности за корректность установки, настройки и функционирования СКЗИ в программно-аппаратных средствах, полученных Клиентом от третьих лиц.

5.4. Банк не несет ответственности за любые прямые и (или) косвенные убытки Клиента, вследствие использования/невозможности использования ПО.

5.5. Контактные данные Банка, которые Клиент должен использовать для реализации п.п. 3.2 и 3.4 настоящих Условий, передаются ему Банком на бумажном носителе по форме приложения 3 к настоящим Условиям при заключении комплексного договора банковского обслуживания и/или договора об оказании услуг по передаче финансовых сообщений. В случае изменения контактных данных Банка, Банк доводит изменения до Клиента по форме приложения 3 к настоящим Условиям направлением ему информационного сообщения с использованием транспортной системы Банка России.

5.6. К настоящим Условиям прилагаются и являются их неотъемлемой частью следующие приложения:

форма акта приема-передачи программного обеспечения ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” (приложение 1);

форма доверенности на получение ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” (приложение 2);

контактные данные Банка для взаимодействия с Клиентом в рамках Условий передачи ПО (приложение 3).

Приложение 1

к Условиям передачи

программного обеспечения

Клиенту Банка России

Форма акта

                                    АКТ
                                               ПК "Сигнатура-клиент"
      приема-передачи программного обеспечения ---------------------
                                            версии x.x.xxx.xx/
            версии x.x.xxx.xx/СКЗИ "Янтарь" ------------------
                   СКАД "Сигнатура-L" версии x.x.xxx.xx

    Мы,   нижеподписавшиеся,   представитель  Банка,  с  одной  стороны,  и
представитель  Клиента  (полное  и сокращенное (при наличии) наименование и
БИК  Клиента),  с  другой  стороны,  составили  настоящий  акт  в  том, что
представитель  Банка  передал,  а  представитель Клиента по доверенности от
"__" _____________ 20__ г. N ________ принял следующие материалы:
1.    ОМНИ,    содержащий    дистрибутив   ПК   "Сигнатура-клиент"   версии
x.x.xxx.xx/дистрибутив  СКЗИ  "Янтарь"  версии  x.x.xxx.xx/дистрибутив СКАД
"Сигнатура-L" версии x.x.xxx.xx.
2. Бланк с лицензией ПК "Сигнатура-клиент" версии x.x.xxx.xx"/СКЗИ "Янтарь"
версии  x.x.xxx.xx/СКАД  "Сигнатура-L" версии x.x.xxx.xx в количестве _____
штук.
3. Ведомость ОМНИ на _____ листах.
    Настоящий  Акт  составлен  в двух экземплярах, по одному экземпляру для
каждой из Сторон. Оба экземпляра имеют одинаковую юридическую силу.

Приложение 2

к Условиям передачи

программного обеспечения

Клиенту Банка России

Форма доверенности

Приложение 3

к Условиям передачи

программного обеспечения

Клиенту Банка России

“__” _____________ 20__ г.

Контактные данные Банка для взаимодействия

с Клиентом в рамках Условий передачи программного

обеспечения Клиенту Банка России

Передача Клиенту бумажного носителя, содержащего контрольные значения хэш-функции для проверки целостности ПК АРМ при его первичном получении, передача дистрибутивов, лицензий и регистрационных номеров ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” и соответствующих ведомостей ОМНИ, а также прием письменных запросов для получения дистрибутивов СКЗИ “Янтарь” и СКАД “Сигнатура-L” и письменных запросов для передачи разработчику ПК “Сигнатура-клиент”/СКЗИ “Янтарь”/СКАД “Сигнатура-L” производится Банком по адресу:

Автоматизированная банковская система

Ядром информационной инфраструктуры любого банка является

Похожее:  Как изменить или восстановить логин и пароль на РЖД

автоматизированная банковская система

или сокращенно

АБС

Стандарт Банка России СТО БР ИББС-1.0-2022 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» определяет АБС следующим образом:

автоматизированная система, реализующая банковский технологический процесс.

Данное определение позволяет подвести под него практически любую IT-систему в банке. В то же время обычные банковские служащие называют

АБС

ту систему, которая занимается учетом банковских счетов, проводок между ними (движением денежных средств) и остатков. Второе определение не противоречит первому и более четко его детализирует, им и будем пользоваться дальше.

В современных Российских банках наиболее распространенными являются следующие АБС :


Некоторые, особо большие банки используют не тиражные, а специально разработанные под них

АБС

. Но подобные случаи единичны, собственно как и особо большие банки.

Иногда в банках параллельно используют несколько АБС различных производителей. Зачастую это происходит, когда банк пытается перейти с одной АБС на другую, но возможны и менее тривиальные причины.

Альтернативные схемы обработки

Мы рассмотрели «классическую» схему работы системы. В реальности существует множество ее разновидностей. Рассмотрим некоторые из них.

Разновидность 1. Разделение контуров отправки и приема сообщенийРеализуется схема с двумя АРМ КБР. Первый работает с участием человека и выполняет только отправку сообщений, второй работает в автоматическом режиме и выполняет только прием сообщений.

Разновидность 2. Полный автоматАРМ КБР настраивается на работу полностью в автоматическом режиме без участия человека

Разновидность 3. Изолированный АРМ КБРАРМ КБР функционирует как выделенный компьютер, не подключенный к сети банка. Электронные сообщения передаются на него человеком-оператором с помощью ОМНИ.

Арм кбр

АРМ КБР

– это ПО, с помощью которого уполномоченные работники банка осуществляют шифрование и электронную подпись исходящих платежных документов, а также расшифровку и проверку электронной подписи платежных документов, поступающих из Банка России. Но, если быть более точным, то

АРМ КБР

в своей работе оперирует не платежными документами, а электронными сообщениями (ЭС), которые бывают двух типов:

  • электронные платежные сообщения (ЭПС), например, ED101 «Платежное поручение»;
  • электронные служебно-информационные сообщения (ЭСИС), например, ED201 «Извещение о результатах контроля ЭС».


Перечень и форматы электронных сообщений устанавливает Банк России, путем выпуска

Для того чтобы АРМ КБР мог обработать платеж, он должен быть преобразован в файл, содержащий электронное платежное сообщение формата УФЭБС. За подобное преобразование отвечает модуль интеграции АБС с платежной системой Банка России. С технической точки зрения подобные преобразования довольно просты, поскольку формат УФЭБС основан на XML.

Файлы электронных сообщений покидают модуль интеграции АБС в открытом виде и помещаются в специальную папку файловой системы (обычно это сетевая папка), которая настроена в АРМ КБР для электронных сообщений, имеющих статус «Введенные». На ранее представленной схеме (Рис. 2.) эта папка обозначена как «Папка 1».

Затем в процессе обработки электронные сообщения меняют свои статусы на «Контролируемые», «Отправленные» и т. д., что технически реализуется путем перемещения файла с электронным сообщением в соответствующие папки, которые настроены в АРМ КБР. На схеме (Рис. 2.) эти папки обозначены как «Папка 2».

В определенный момент технологической обработки (установленный внутренними регламентами банка) исходящих электронных сообщений они шифруются и подписываются электронной подписью с помощью СКАД Сигнатура и закрытых криптографических ключей ответственных работников.

Глава 2. инфраструктура безналичных расчетов

Если посмотреть на эту схему (

) с точки зрения осуществления безналичных расчетов, то можно увидеть, что банк реализует их при помощи:

Технически прямые корреспондентские отношения с банками-партнерами могут быть организованы с помощью:


Подключение к платежным системам, обслуживающим пластиковые карты, осуществляется через стандартные модули, входящие в состав процессинговых систем.

Для успешного функционирования банк обязан обеспечивать у себя информационную безопасность всех перечисленных способов осуществления платежей. Рассмотреть их в рамках одного, даже крупного исследования весьма проблематично, и поэтому мы сконцентрируемся только на одном наиболее критичном, с точки зрения возможных потерь, направлении — платежном взаимодействии банка с Банком России.

Информационные сервисы

В банках используется гигантское количество различных

информационных сервисов

, выполняющих простые, рутинные функции, например, загрузка справочников

, публикация курсов валют на официальном сайте и т.д.

Инфраструктура обеспечения платежного взаимодействия с банком россии

"Условия передачи программного обеспечения Клиенту Банка России"
(утв. Банком России)
Рис. 2.
IT-инфраструктуру платежного взаимодействия банка с Банком России будем рассматривать на примере исполнения платежа, отправляемого в адрес клиента другого банка.

Как мы помним из первой части, вначале клиент должен передать в банк платежное поручение. Сделать это он может двумя способами:

  1. Явиться лично в отделение банка и передать заверенное платежное распоряжение на бумажном носителе.
  2. Направить платежное распоряжение через систему ДБО ИКБ.

Тут важно отметить, что системы

ДБО ИКБ

— это лишь системы, обеспечивающие юридически значимый электронный документооборот между клиентом и банком, самостоятельно они платежи не проводят. Именно поэтому, когда клиент открывает расчетный счет в банке, он обычно заключает два договора. Первый – договор обслуживания банковского счета, второй – договор на осуществление электронного документооборота с помощью системы

ДБО ИКБ

. Если второй договор заключен не будет, то клиент все равно сможет пользоваться своим счетом, но только при личном визите в отделение банка.

Если клиент передал платежное поручение на бумажном носителе, то работник банка на его основании делает электронное платежное поручение в АБС. Если распоряжение было подано через ДБО ИКБ, то через модуль интеграции оно попадает в АБС автоматически.

Обычно для заверения электронных документов клиентов — юридических лиц в ДБО ИКБ применяют криптографическую электронную подпись, а для документов клиентов — физических лиц коды SMS-подтверждений. С юридической точки зрения для заверения электронных документов в обоих случаях банки обычно применяют правовой режим аналога собственноручной подписи (АСП).

Попав в АБС, платежное поручение в соответствии с внутренними регламентами банка проходит контроль и передается для исполнения в платежную систему Банка России.

Инфраструктурные информационные системы


Помимо

АБС прикладных информационных систем

, автоматизирующих основные бизнес-процессы, в банках также присутствует приличное количество вспомогательных

инфраструктурных информационных систем

. Примерами подобных систем могу быть:

  • служба каталогов Active Directory,
  • служба доменных имен (DNS),
  • корпоративная электронная почта,
  • службы предоставления доступа работников в Интернет;
  • системы контроля и управления доступом (СКУД) в помещения;
  • IP-видеонаблюдение;
  • IP-телефония;
  • и многое другое.

Клиентские части сторонних информационных систем


Отдельного упоминания стоят клиентские части внешних по отношению к банку

информационных систем

. В качестве примеров приведу:

Модули интеграции

Под модулем интеграции будем понимать виртуальный элемент IT-инфраструктуры, реализующий интеграцию других элементов IT-инфраструктуры.

Данный элемент мы назвали виртуальным, потому что его функционал может быть реализован, как в виде отдельного специализированного элемента ИТ-инфраструктуры (например, информационного сервиса), так и в виде компонентов интегрируемых информационных систем.

О криптографических ключах

Криптографические ключи, используемые для взаимодействия с платежной системой Банка России, бывают двух видов:

  • «Только шифрование» – позволяют зашифровывать / расшифровывать электронные сообщения.
  • «Шифрование и подпись» – делают то же самое, что и в первом случае, а также позволяют подписывать электронные сообщения.

Обновления для скад сигнатура | банк россии

Отсутствует путь к pkcs11 библиотеке: скзи сигнатура

"Условия передачи программного обеспечения Клиенту Банка России"
(утв. Банком России)

Помогла ли замена библиотеки libtranscrypt.dll решить мне проблему, связанную с ошибкой CKR_FUNCTION_FAILED? В заметке поделюсь личным опытом на данную тему.

Недавно столкнулся с ситуацией, когда УТМ блокирует продажу маркированной продукции (в момент считывания акцизных марок). На экране РМК появляется информационное окно с сообщением вида «УТМ заблокирован — Подпись предыдущего чека не завершена». Если открыть домашнюю страницу универсального транспортного модуля, то можно увидеть на ней ошибку CKR_FUNCTION_FAILED.

Быстрый выход из этой ситуации — перезагрузка ПК, на котором работают УТМ и Единый Клиент JaCarta. Но, конечно, это не выход из положения, ведь перезагрузки с периодичностью раз в день, в час и т. д. — плохая затея.

На сайте ЦентрИнформ ошибку CKR_FUNCTION_FAILED предлагают решить путем использования библиотеки libtranscrypt.dll, тем самым восстановить работоспособность ключа криптозащиты  (https://egais.center-inform.ru/tehpod/faq/Ошибка: CKR_FUNCTION_FAILED/).

Похожее:  Перевод денег с карты на телефон, онлайн перевод денег с карты на телефон

Манипуляции по указанной инструкции обеспечили мне три дня спокойной работы торговой точки, после чего проблема с подписью предыдущего чека снова стала проявляться, правда на этот раз ошибка CKR_FUNCTION_FAILED в УТМ, действительно, отсутствовала.

Я не стал долго испытывать судьбу и, чтобы исключить проблемы, связанные с ПО, решил все перенастроить заново (переустановил операционную систему, Единый Клиент, УТМ и все компоненты, необходимые для работы этого модуля). И вот оно чудо! Проблема ушла. Но, как известно, беда не приходит одна.

УТМ сначала с периодичностью раз в неделю, потом чаще, стал выводить информационное сообщение «Проблемы с RSA PKCS11 — УТМ не может установить соединение с сервером ЕГАИС из-за проблем с хранилищем RSA ключей», свидетельствующее о недоступности сертификата ГОСТ на токене:

"Условия передачи программного обеспечения Клиенту Банка России"
(утв. Банком России)

Иными словами что-то происходило с JaCarta, УТМ терял сертификат и переставал нормально работать:

"Условия передачи программного обеспечения Клиенту Банка России"
(утв. Банком России)

Анализ лог-файлов УТМ указал на ошибку CKR_OBJECT_HANDLE_INVALID. Цитата с сайта ЦентрИнформ: «Ошибка связана с некорректной работой аппаратного крипто-ключа. Рекомендуем по работоспособности вашего аппаратного крипто-ключа обратится в тот удостоверяющий центр, в котором вы его приобрели» (пункт 9, https://egais.center-inform.ru/tehpod/faq/Ошибки УТМ/). Я так и сделал. В УЦ провели удаленную диагностику JaCarta и признали неполадки с токеном. Правда диагностика показала, что проблемы не с контейнером ГОСТ, а с PKI. Коллеги провели инициализацию компонента PKI с последующей перезаписью ключа в личном кабинете ЕГАИС и вновь провели диагностику.

Ошибки никуда не делись, поэтому usb-токен пришлось заменить на новый, только теперь уже на Rutoken 2.0 ЭЦП, о работе которого расскажу в следующих статьях.

Вот такой трехнедельный личный опыт, друзья, с «танцами и бубном» около ошибки CKR_FUNCTION_FAILED и библиотеки libtranscrypt.dll, который в итоге закончился заменой той самой «зелененькой» JaCarta, про которую так много уже сказано в интернете.

Сталкивались ли с чем-то аналогичным Вы и как с этим справлялись, предлагаю обсудить ниже в комментариях к заметке.

Запись опубликована автором archisp в рубрике Без рубрики с метками CKR_FUNCTION_FAILED, JaCarta, libtranscrypt.dll, PKCS11, Rutoken, ошибка, УТМ. Добавьте в закладки постоянную ссылку.

Перенос электронной подписи из арм кбр в абс

Банк России планирует перейти на новую технологическую схему обработки платежей, при которой электронные сообщения будут подписываться не в

АРМ КБР

, как было ранее, а в

АБС

(точнее в модуле интеграции

АБС — АРМ КБР

Для реализации данного подхода выпущена новая версия АРМ КБР, которая стала называться АРМ КБР-Н (новая). Все основные изменения можно увидеть, если сравнить схемы информационных потоков, проходящих через АРМ КБР старой и новой версии.

Рассмотрим схему информационных потоков в классическом АРМ КБР. Источник схемы – официальная документация на АРМ КБР «АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ. Руководство программиста. ЦБРФ.61209-04 33 01».

"Условия передачи программного обеспечения Клиенту Банка России"
(утв. Банком России)
Рис. 3.
Примечания.

  • Условное обозначение «АС КБР» (автоматизированная система клиента Банка России) соответствует условному обозначению АБС на предыдущих схемах.
  • Условное обозначение «СПО СВК» соответствует условному обозначению УТА на предыдущих схемах.
  • КА – код аутентификации (электронная подпись) электронного сообщения.
  • ЗК – защитный код еще один вид электронной подписи, но в отличии от КА, который формируется исходным сообщением без изменений, ЗК формируется только под значащими данными без учета разметки. Более подробно о технических нюансах КА и ЗК можно почитать в документации УФЭБС «Защита электронных сообщений (Пакетов ЭС)». С юридической точки зрения ЗК – технологическая мера защиты информации, в то время как КА, согласно договорам и правилам платежной системы Банка России, признается электронной подписью.

Теперь взглянем на аналогичную схему для нового АРМ КБР-Н. Источник «АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ НОВОЕ. Руководство программиста. ЦБРФ.61289-01 33 01»

"Условия передачи программного обеспечения Клиенту Банка России"
(утв. Банком России)
Рис. 4.

С точки зрения криптографии АРМ КБР-Н отвечает за шифрование / расшифрование электронных сообщений, а также за проверку электронных подписей на них. Формирование электронных подписей перенесено в модуль интеграции АБС.

Логично предположить, что данный модуль также должен будет проверять подписи под сообщениями, полученными из АРМ КБР-Н. С технической точки зрения это не является обязательным, но с точки зрения обеспечения безопасности имеет критическое значение, поскольку обеспечивает целостность сообщений, передаваемых между АБС и АРМ КБР-Н.

Помимо файлового интерфейса взаимодействия между АБС, АРМ КБР-Н и УТА добавлен интерфейс IBM WebSphere MQ, что позволяет строить сервис-ориентированную ИТ-инфраструктуру банка и решить проблему старой схемы с организацией одновременной работы нескольких операторов, ответственных за отправку платежей.

Прикладные информационные системы

Несмотря на то что

АБС

автоматизирует довольно большое количество задач, она не покрывает все нужды банка. Есть задачи, которые

АБС

не делает вообще или делает не так, как хочет того банк. Поэтому к

АБС

подключаются (интегрируются) другие информационные системы, автоматизирующие отдельные бизнес-процессы. В дальнейшем подобные информационные системы будем называть —

прикладными информационными системами

Примерами прикладных информационных систем могут быть:

  • системы дистанционного банковского обслуживания Интернет Клиент-Банк (ДБО ИКБ, например, iBank2, BS-Client, InterBank),
  • процессинг платежных карт (например, TranzWare, SmartVista, Way4),
  • системы автоматизации контакт-центров (например, Avaya Call Center, Cisco Unified Contact Center),
  • системы автоматического скоринга заемщиков (например, FICO),
  • и др.

В зависимости от размеров банка и оказываемых им услуг количество

прикладных информационных систем

может измеряться количеством от единиц до сотен.

Пример ит-инфраструктуры банка

можно увидеть фрагмент типовой информационной инфраструктуры банка, содержащий рассмотренные выше типы элементов.

Скад сигнатура

СКАД Сигнатура

, это СКЗИ, разработанное компанией

по заказу Банка России и предназначенное для защиты информации в платежной системе Банка России. Данного СКЗИ нет в открытом доступе (кроме

, размещенной на сайте ЦБ РФ), и оно распространяется Банком России только среди участников его платежной системы. К отличительным особенностям данного СКЗИ можно отнести:

  1. Данное СКЗИ, в отличии от других распространенных в деловых кругах России СКЗИ (например, как Крипто-ПРО CSP, VIPNET CSP и др.), реализует собственную, изолированную от операционной системы инфраструктуру открытых ключей (PKI). Это проявляется в том, что справочник открытых ключей, содержащий сертификаты, список доверенных сертификатов, список отозванных сертификатов, и т. д. криптографически защищен на закрытом ключе пользователя, что не позволяет злоумышленнику внести в него изменения, например, установить доверенный сертификат без ведома пользователя.
    Примечание. СКЗИ Верба-OW реализует схожую ключевую модель.
  2. Следующая особенность вытекает из предыдущей. В СКЗИ для того, чтобы сделать рабочие ключи, необходимо сначала создать справочник сертификатов с помощью специальных ключей регистрации. По истечении срока действия рабочих ключей генерируются новые, но для того, чтобы их сгенерировать, нужно обладать действующими предыдущими рабочими ключами. Ключи создаются по децентрализованной схеме с участием Банка России в качестве Центра Сертификации.
  3. СКЗИ поддерживает работу с функционально-ключевыми носителями (vdToken), выполняющими функции электронной подписи и шифрования у себя на борту, без передачи закрытых ключей в память ЭВМ.
  4. Криптографические ключи, используемые для взаимодействия с платежной системой Банка России, бывают двух видов:
    • «Только шифрование» – позволяют зашифровывать / расшифровывать электронные сообщения.
    • «Шифрование и подпись» – делают то же самое, что и в первом случае, а также позволяют подписывать электронные сообщения.

Технические средства взаимодействия с платежной системой банка россии


Технические средства (программное обеспечение), используемые для взаимодействия с платежной системой Банка России могут варьироваться в зависимости от территориального учреждения Банка России, обслуживающего корр. счет банка.

Для банков, обслуживаемых в Московском регионе, применяется следующее ПО:

Типовые способы интеграции информационных систем

Для интеграции

информационных систем

обычно применяются следующие механизмы:

  1. Интеграция через API (например, Web-сервисы).
  2. Интеграция через СУБД:
    • путем предоставления доступа только к хранимым процедурам;
    • путем предоставления доступа к хранимым процедурам и таблицам баз данных.
  3. Файловый обмен:
    • через компьютерную сеть;
    • через отчуждаемые машинные носители информации (ОМНИ, например – флешки).
  4. Реализация сервис ориентированной архитектуры (SoA).

Заключение


Мы рассмотрели внутреннее устройство платежной ИТ-инфраструктуры банка. В следующих частях рассмотрим угрозы информационной безопасности, которые здесь возникают.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector