SlideShare a Scribd company logo

Создание национальной системы платежных карт с использованием отечественных HSM

S
SelectedPresentations

Документ представляет дорожную карту по созданию национальной системы платежных карт (НСПК) с использованием отечественных технологий и HSM, направленных на обеспечение технологической независимости. Основные задачи включают выявление угроз использования импортных HSM и определение этапов создания НСПК с использованием российских решений. В результате планируется создать безопасную и функционально независимую платежную систему, способную взаимодействовать как в автономном режиме, так и с международными системами.

1 of 17
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Дорожная карта
Цель Создание национальной системы платежных карт (НСПК) с использованием отечественных НSМ, обеспечивающих технологическую независимость и устойчивое функционирование НСПК как в автономном режиме, так и во взаимодействии с МПС 2
Основные задачи дорожной карты Выявление угроз, связанных с применением импортных HSM Определение принципов построения НСПК с использованием отечественных HSM, исключающих выявленные угрозы Определение этапов создания НСПК с использованием отечественных HSM 3
Угрозы ИБ, связанные с применением импортных HSM 4 Угрозы Последствия Управление ключевой информацией по зарубежным технологиям и стандартам, в том числе , из-за пределов РФ Возможность несанкционированного управления ключами, отзыв сертификатов, работа на договорных ключах Риск введения санкций против российской платежной системы, например, прекращение поставок оборудования Нарушение функционирования российской платежной системы даже внутри РФ Наличие скрытых функциональных возможностей (программные и/или аппаратные закладки) в импортном оборудовании Несанкционированный доступ к информационным активам НПС (ПД, PIN-кодам, информации о состоянии денежных счетов и т.д.), отказ в предоставлении услуг Технологическая зависимость от импортного оборудования Развитие НПС и применяемого оборудования по планам, навязанным иностранными технологиями и темпами развития Скрытые функциональные возможности и известные уязвимости зарубежной криптографии Несанкционированный доступ к информационным активам НПС, нарушение работоспособности системы Замкнутость системы, невозможность парирования угроз, актуальных для НПС Несанкционированный доступ к информационным активам НПС, нарушение работоспособности системы Несоответствие требованиям надзорных и регулирующих органов, действующему законодательству РФ в области ИБ Возникновение юридических препятствий для применения импортного оборудования, невозможность проведения сертификации на соответствие требованиям и нормам ИБ РФ
Принципы построения НСПК с использованием отечественных HSM  Создание отечественного оборудования с учетом угроз, актуальных для НПС  Управление ключевой информацией с помощью центров управления ключами (и сертификатами), расположенных на территории РФ  Реализация криптографических алгоритмов и механизмов управления ключами, используемых в импортном оборудовании, для поддержки выполнения платежных операций в МПС  Использование отечественной криптографии для защиты платежных операций в рамках НПС  Сертификация всех разрабатываемых устройств в отечественной (для применения в НПС) и зарубежной (для применения в МПС) системах сертификации  Поэтапная замена импортного оборудования на отечественные аналоги в соответствии с этапами развития НСПК 5
Этапы создания НСПК с использованием отечественного оборудования 1 этап • Реализация отечественного HSM, повторяющего функционал импортных аналогов с использованием отечественных криптоалгоритмов только в автономных режимах 2 этап • Реализация в отечественном HSM набора дополнительных команд с использованием отечественных криптоалгоритмов. • Реализация с использованием отечественного HSM трёхуровневой PKI инфраструктуры с использованием импортных и отечественных криптографических алгоритмов. Реализация корневого УЦ НПС (аналога УЦ МПС Visa или MasterCard) 3 этап •Разработка отечественной чиповой карты •Разработка спецификаций и приложений с поддержкой отечественных криптоалгоритмов для всех устройств, участвующих в поддержке платежных транзакций. • Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами 6
1 этап Реализация отечественного HSM Повторяющего КА и процедуры импортного аналога, необходимые для обеспечения безопасности платёжных транзакций Поддерживающего отечественные КА и процедуры при обеспечении хранения ключей и персональных данных, а также удалённого управления устройством Обеспечивающего перешифрование хранимых информационных активов с импортных КА и ключей на отечественные 7 ЦЕЛИ Создание оборудования, способного заменить импортный аналог и обеспечивающего встречную работу с ним Плавный переход на отечественный HSM без потери зашифрованных хранимых информационных активов
2 этап Реализация в отечественном HSM Развёртывание трёхуровневой PKI инфраструктуры с использованием импортных и отечественных КА. Реализация корневого УЦ на территории РФ (аналога УЦ Visa/MCard) Команд удаленного управления сменой ключевой информации в терминальных устройствах Набора дополнительных хост и консольных команд для выполнения режимов, связанных с управлением и поддержкой платежных транзакций с использованием отечественных КА Команд пред- персонализации Агента сбора информации о событиях информационной безопасности и статистики обработки хост и консольных команд 8 ЦЕЛИ Замкнуть управление ключами, участвующими в поддержке платежных транзакций в НПС, а также при эмиссии карт в российском сегменте, на территории РФ Подготовка отечественного HSM к взаимодействию со всеми элементами НПС с использованием отечественных КА
3 этап Реализация в элементах системы Разработка отечественной чиповой карты с поддержкой на аппаратном уровне импортных и отечественных КА Разработка отечественного платёжного приложения Встраивание отечественной криптографии в стандарт EMV Создание системы мониторинга, анализа и контроля ИБ НСПК в части HSM Доработка процессинговых систем для выбора соответствующей системы команд НПС или МПС Разработка приложений для терминальных устройств. Реализация поддержки отечественных КА в POS, ATM и мобильных терминалах 9 ЦЕЛИ Создание чиповой платежной карты, обеспечивающей применение как в НПС, так и в МПС Поддержка всеми устройствами платежных транзакций с использованием отечественных КА
3 этап Промежуточный итог. Что дальше? 10 Реализация во всех элементах платёжной системы двух систем криптографии с выбором соответствующей в зависимости от платёжного приложения Национальное платёжное приложение – система команд с отечественной криптографией, международное платёжное приложение (VSDC или MChip) – система команд с импортной криптографией Создание гибкой платежной системы, устойчиво функционирующей как в виде российского сегмента международной платежной системы, так и в виде автономной (изолированной) национальной платежной системы на территории РФ Сертификация элементов системы Разработка организационно - распорядительной документации Разработка программы поэтапного перевода всех устройств на работу с двумя КА с учетом переходного периода
Схема взаимодействия НСПК и МПС через HSM СРЕДСТВА УПРАВЛЕНИЯ КЛЮЧЕВОЙ и ПАРОЛЬНОЙ ИНФОРМАЦИЕЙ УЦ НСПК (аналог УЦ МПС) СРЕДСТВА ПРЕДПЕРСОНАЛИЗАЦИИ и ПЕРСОНАЛИЗАЦИИ Сеть доступа Банк Эквайер Банк Эквайер Банк Эквайер Банковская сеть Банк Эммитент Банк Эммитент Банк Эммитент VSDC Или MChip НПП Сеть НСПК VSDC Или MChip НПП Национальное Платёжное Приложение Международное Платёжное Приложение МПС НСПК Банк Эквайер Банк эквайер Банк Эквайер Банк Эмитент Банк Эмитент Банк Эмитент Импортный HSM Отечественный HSM УЦ МПС Система мониторинга, анализа и контроля ИБ НСПК в части HSM 11
Криптография  Схема замены импортных криптографических алгоритмов отечественными 12 Криптографическая операция Импортный алгоритм Отечественный алгоритм Симметричное шифрование DES, TripleDES, AES ГОСТ 28147-89 Ассиметричное шифрование RSA Возможно использование VKO GOST R 34.10-2012 для обмена ключами для симметричного шифрования Имитозащита (MAC) Х9.19 ГОСТ 28147-89 Хэширование SHA-1 ГОСТ Р 34.11-2012 Электронная цифровая подпись RSA ГОСТ Р 34.10-2012 Обмен ключами Диффи-Хеллман VKO GOST R 34.10-2012
Примеры команд HSM Импортный HSM Отечественный HSM Код Описание Код Описание А0 (А1) Генерация ключа (DES/TripleDES) T0 (T1) Генерация ключа (ГОСТ 28147-89) A2 (A3) Генерация и печать компонент ключа в PIN-конверты (DES/TripleDES) T2 (T3) Генерация и печать компонент ключа в PIN- конверты (ГОСТ 28147-89) A4 (A5) Генерация ключа из зашифрованных компонент (DES/TripleDES) T4 (T5) Генерация ключа из зашифрованных компонент (ГОСТ 28147-89) МА (MB) Вычисление MAC-кода сообщения (Х9.19) TC (TD) Вычисление имитовставки на сообщение (ГОСТ 28147-89) JQ (JR) Проверка сертификата открытого ключа эмитента (RSA, Mchip) TQ (TR) Проверка сертификата открытого ключа УЦ (ГОСТ Р 34.10-2012) 13
Сертификация Все разрабатываемое оборудование и ПО должно пройти сертификацию в двух системах сертификации:  для применения в НПС – в соответствии с требованиями ЦБ и ФСБ в части СКЗИ  для применения в МПС – в соответствии с требованиями PCI DSS, PCI PA-DSS(в части платёжных приложений), требованиям FIPS 140-2 Level 3, PCI HSM v1.0 в части HSM 14
Стратегия развития НСПК 1 этап до 30.06.2015 • Разработка концепции обеспечения защиты информации при проведении транзакций в НСПК 2 этап до 15.09.2015 • Разработка регламентов функционирования НСПК в обеспечение защищенных транзакций. 3 этап до 01.01.2016 • Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами 15
Выводы Использование отечественных технологий, включая криптографические алгоритмы, в разрабатываемых платежных приложениях и оборудовании, позволит создать надежную и безопасную национальную систему платежных карт 16
17

More Related Content

PPTX
Mac токены и agses-карты. Р. Мустафаев.
Expolink
 
PDF
Cryptographic Data Protection in Ukraine: legal issues
Axon.Partners
 
PDF
Законодательство РФ в области Национальной платежной системы
КРОК
 
PDF
Аудит СКЗИ и криптоключей на примере Банка
imbasoft ru
 
PDF
проблемы недоверенной среды и противодействия современным атакам на клиентов дбо
Expolink
 
PDF
Atm vulnerabilities-2018
malvvv
 
PDF
10 трендов современной киберпреступности
Инфобанк бай
 
PDF
Cryptogramm
finnopolis
 
Mac токены и agses-карты. Р. Мустафаев.
Expolink
 
Cryptographic Data Protection in Ukraine: legal issues
Axon.Partners
 
Законодательство РФ в области Национальной платежной системы
КРОК
 
Аудит СКЗИ и криптоключей на примере Банка
imbasoft ru
 
проблемы недоверенной среды и противодействия современным атакам на клиентов дбо
Expolink
 
Atm vulnerabilities-2018
malvvv
 
10 трендов современной киберпреступности
Инфобанк бай
 
Cryptogramm
finnopolis
 

What's hot (13)

PDF
MSSP - услуги безопасности. Есть ли место VPN услугам?
LETA IT-company
 
PDF
Нормативное регулирование ДБО
Евгений Царев
 
PPT
Нормативное регулирование дбо
Евгений Царев
 
PDF
Практический опыт реализации системы антифрода промышленного производства – о...
SelectedPresentations
 
PDF
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...
Expolink
 
PDF
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Expolink
 
PPTX
Анти-фрод системы: правовые и технические аспекты, перспективы применения и ...
Ivan Piskunov
 
PDF
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 
PPTX
Контролируемый сегмент BTC на базе публичной сети BTC (ver.2.1)
Alexander Chegodaev
 
PPT
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
PPT
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
 
PPT
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
 
PDF
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
LETA IT-company
 
Нормативное регулирование ДБО
Евгений Царев
 
Нормативное регулирование дбо
Евгений Царев
 
Практический опыт реализации системы антифрода промышленного производства – о...
SelectedPresentations
 
дбо для розницы есть ли будущее закон о национальной платежной системе и новы...
Expolink
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Expolink
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и ...
Ivan Piskunov
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 
Контролируемый сегмент BTC на базе публичной сети BTC (ver.2.1)
Alexander Chegodaev
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
 
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
 
Ad

Similar to Создание национальной системы платежных карт с использованием отечественных HSM (20)

PPT
дипломная презентация по национальной платежной системе рф
Ivan Simanov
 
PPT
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Инна Черкасова
 
PPTX
Мобильные платежи подходы и методы исполнения, Gemalto
Aleksandrs Baranovs
 
PDF
Программа курса "Защита информации в НПС"
Aleksey Lukatskiy
 
PDF
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
PPT
платежные системы от платежей на сотовый телефон к электронн
Samson Bezmyatezhny
 
PDF
28407p
ivanov156w2w221q
 
PDF
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
PDF
Эквайринг на ходу.
Sergey Skabelkin
 
PDF
Каналы межбанковского взаимодействия как способ обеспечения бесперебойности о...
Valery Lopatin
 
PDF
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
PPTX
Защита информации в национальной платежной системе
LETA IT-company
 
PPTX
Международные платежные системы
Veronica Narozhnaya
 
PDF
Презентация Сбербанка - Предоставление государственных муниципальных и коммер...
Victor Gridnev
 
PDF
Strategy psys
Bankir_Ru
 
PPT
анатомия интернет банка Publish
rit2010
 
PPT
анатомия интернет банка Publish
rit2010
 
PPTX
Презентация системы "Деньги 2.0"
Payment Systems
 
PDF
Презентация платежной системы "123" Презентация платежной системы пример. Пре...
Агентство Презентаций "Romanoff"
 
PPT
СПИК 2009: Развитие передовых платежных технологий: чего ждать от рынка, как ...
E-Money News
 
дипломная презентация по национальной платежной системе рф
Ivan Simanov
 
Генкин Артём - Трансграничные электронные платежи и расчеты: вопросы взаимоде...
Инна Черкасова
 
Мобильные платежи подходы и методы исполнения, Gemalto
Aleksandrs Baranovs
 
Программа курса "Защита информации в НПС"
Aleksey Lukatskiy
 
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
платежные системы от платежей на сотовый телефон к электронн
Samson Bezmyatezhny
 
28407p
ivanov156w2w221q
 
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Эквайринг на ходу.
Sergey Skabelkin
 
Каналы межбанковского взаимодействия как способ обеспечения бесперебойности о...
Valery Lopatin
 
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Защита информации в национальной платежной системе
LETA IT-company
 
Международные платежные системы
Veronica Narozhnaya
 
Презентация Сбербанка - Предоставление государственных муниципальных и коммер...
Victor Gridnev
 
Strategy psys
Bankir_Ru
 
анатомия интернет банка Publish
rit2010
 
анатомия интернет банка Publish
rit2010
 
Презентация системы "Деньги 2.0"
Payment Systems
 
Презентация платежной системы "123" Презентация платежной системы пример. Пре...
Агентство Презентаций "Romanoff"
 
СПИК 2009: Развитие передовых платежных технологий: чего ждать от рынка, как ...
E-Money News
 
Ad

More from SelectedPresentations (20)

PDF
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
SelectedPresentations
 
PDF
Трансграничное пространство доверия. Доверенная третья сторона.
SelectedPresentations
 
PDF
Варианты реализации атак через мобильные устройства
SelectedPresentations
 
PDF
Новые технологические возможности и безопасность мобильных решений
SelectedPresentations
 
PDF
Управление безопасностью мобильных устройств
SelectedPresentations
 
PDF
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
SelectedPresentations
 
PDF
Кадровое агентство отрасли информационной безопасности
SelectedPresentations
 
PDF
Основное содержание профессионального стандарта «Специалист по безопасности и...
SelectedPresentations
 
PDF
Основное содержание профессионального стандарта «Специалист по безопасности а...
SelectedPresentations
 
PDF
Основное содержание профессионального стандарта «Специалист по технической за...
SelectedPresentations
 
PDF
Основное содержание профессионального стандарта «Специалист по безопасности т...
SelectedPresentations
 
PDF
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
SelectedPresentations
 
PDF
Запись активности пользователей с интеллектуальным анализом данных
SelectedPresentations
 
PDF
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
SelectedPresentations
 
PDF
Обеспечение защиты информации на стадиях жизненного цикла ИС
SelectedPresentations
 
PDF
Документ, как средство защиты: ОРД как основа обеспечения ИБ
SelectedPresentations
 
PDF
Чего не хватает в современных ids для защиты банковских приложений
SelectedPresentations
 
PDF
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
SelectedPresentations
 
PDF
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
SelectedPresentations
 
PDF
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
SelectedPresentations
 
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
SelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
SelectedPresentations
 
Варианты реализации атак через мобильные устройства
SelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
SelectedPresentations
 
Управление безопасностью мобильных устройств
SelectedPresentations
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
SelectedPresentations
 
Кадровое агентство отрасли информационной безопасности
SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по технической за...
SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
SelectedPresentations
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
SelectedPresentations
 
Запись активности пользователей с интеллектуальным анализом данных
SelectedPresentations
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
SelectedPresentations
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
SelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
SelectedPresentations
 
Чего не хватает в современных ids для защиты банковских приложений
SelectedPresentations
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
SelectedPresentations
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
SelectedPresentations
 

Создание национальной системы платежных карт с использованием отечественных HSM

  • 2. Цель Создание национальной системы платежных карт (НСПК) с использованием отечественных НSМ, обеспечивающих технологическую независимость и устойчивое функционирование НСПК как в автономном режиме, так и во взаимодействии с МПС 2
  • 3. Основные задачи дорожной карты Выявление угроз, связанных с применением импортных HSM Определение принципов построения НСПК с использованием отечественных HSM, исключающих выявленные угрозы Определение этапов создания НСПК с использованием отечественных HSM 3
  • 4. Угрозы ИБ, связанные с применением импортных HSM 4 Угрозы Последствия Управление ключевой информацией по зарубежным технологиям и стандартам, в том числе , из-за пределов РФ Возможность несанкционированного управления ключами, отзыв сертификатов, работа на договорных ключах Риск введения санкций против российской платежной системы, например, прекращение поставок оборудования Нарушение функционирования российской платежной системы даже внутри РФ Наличие скрытых функциональных возможностей (программные и/или аппаратные закладки) в импортном оборудовании Несанкционированный доступ к информационным активам НПС (ПД, PIN-кодам, информации о состоянии денежных счетов и т.д.), отказ в предоставлении услуг Технологическая зависимость от импортного оборудования Развитие НПС и применяемого оборудования по планам, навязанным иностранными технологиями и темпами развития Скрытые функциональные возможности и известные уязвимости зарубежной криптографии Несанкционированный доступ к информационным активам НПС, нарушение работоспособности системы Замкнутость системы, невозможность парирования угроз, актуальных для НПС Несанкционированный доступ к информационным активам НПС, нарушение работоспособности системы Несоответствие требованиям надзорных и регулирующих органов, действующему законодательству РФ в области ИБ Возникновение юридических препятствий для применения импортного оборудования, невозможность проведения сертификации на соответствие требованиям и нормам ИБ РФ
  • 5. Принципы построения НСПК с использованием отечественных HSM  Создание отечественного оборудования с учетом угроз, актуальных для НПС  Управление ключевой информацией с помощью центров управления ключами (и сертификатами), расположенных на территории РФ  Реализация криптографических алгоритмов и механизмов управления ключами, используемых в импортном оборудовании, для поддержки выполнения платежных операций в МПС  Использование отечественной криптографии для защиты платежных операций в рамках НПС  Сертификация всех разрабатываемых устройств в отечественной (для применения в НПС) и зарубежной (для применения в МПС) системах сертификации  Поэтапная замена импортного оборудования на отечественные аналоги в соответствии с этапами развития НСПК 5
  • 6. Этапы создания НСПК с использованием отечественного оборудования 1 этап • Реализация отечественного HSM, повторяющего функционал импортных аналогов с использованием отечественных криптоалгоритмов только в автономных режимах 2 этап • Реализация в отечественном HSM набора дополнительных команд с использованием отечественных криптоалгоритмов. • Реализация с использованием отечественного HSM трёхуровневой PKI инфраструктуры с использованием импортных и отечественных криптографических алгоритмов. Реализация корневого УЦ НПС (аналога УЦ МПС Visa или MasterCard) 3 этап •Разработка отечественной чиповой карты •Разработка спецификаций и приложений с поддержкой отечественных криптоалгоритмов для всех устройств, участвующих в поддержке платежных транзакций. • Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами 6
  • 7. 1 этап Реализация отечественного HSM Повторяющего КА и процедуры импортного аналога, необходимые для обеспечения безопасности платёжных транзакций Поддерживающего отечественные КА и процедуры при обеспечении хранения ключей и персональных данных, а также удалённого управления устройством Обеспечивающего перешифрование хранимых информационных активов с импортных КА и ключей на отечественные 7 ЦЕЛИ Создание оборудования, способного заменить импортный аналог и обеспечивающего встречную работу с ним Плавный переход на отечественный HSM без потери зашифрованных хранимых информационных активов
  • 8. 2 этап Реализация в отечественном HSM Развёртывание трёхуровневой PKI инфраструктуры с использованием импортных и отечественных КА. Реализация корневого УЦ на территории РФ (аналога УЦ Visa/MCard) Команд удаленного управления сменой ключевой информации в терминальных устройствах Набора дополнительных хост и консольных команд для выполнения режимов, связанных с управлением и поддержкой платежных транзакций с использованием отечественных КА Команд пред- персонализации Агента сбора информации о событиях информационной безопасности и статистики обработки хост и консольных команд 8 ЦЕЛИ Замкнуть управление ключами, участвующими в поддержке платежных транзакций в НПС, а также при эмиссии карт в российском сегменте, на территории РФ Подготовка отечественного HSM к взаимодействию со всеми элементами НПС с использованием отечественных КА
  • 9. 3 этап Реализация в элементах системы Разработка отечественной чиповой карты с поддержкой на аппаратном уровне импортных и отечественных КА Разработка отечественного платёжного приложения Встраивание отечественной криптографии в стандарт EMV Создание системы мониторинга, анализа и контроля ИБ НСПК в части HSM Доработка процессинговых систем для выбора соответствующей системы команд НПС или МПС Разработка приложений для терминальных устройств. Реализация поддержки отечественных КА в POS, ATM и мобильных терминалах 9 ЦЕЛИ Создание чиповой платежной карты, обеспечивающей применение как в НПС, так и в МПС Поддержка всеми устройствами платежных транзакций с использованием отечественных КА
  • 10. 3 этап Промежуточный итог. Что дальше? 10 Реализация во всех элементах платёжной системы двух систем криптографии с выбором соответствующей в зависимости от платёжного приложения Национальное платёжное приложение – система команд с отечественной криптографией, международное платёжное приложение (VSDC или MChip) – система команд с импортной криптографией Создание гибкой платежной системы, устойчиво функционирующей как в виде российского сегмента международной платежной системы, так и в виде автономной (изолированной) национальной платежной системы на территории РФ Сертификация элементов системы Разработка организационно - распорядительной документации Разработка программы поэтапного перевода всех устройств на работу с двумя КА с учетом переходного периода
  • 11. Схема взаимодействия НСПК и МПС через HSM СРЕДСТВА УПРАВЛЕНИЯ КЛЮЧЕВОЙ и ПАРОЛЬНОЙ ИНФОРМАЦИЕЙ УЦ НСПК (аналог УЦ МПС) СРЕДСТВА ПРЕДПЕРСОНАЛИЗАЦИИ и ПЕРСОНАЛИЗАЦИИ Сеть доступа Банк Эквайер Банк Эквайер Банк Эквайер Банковская сеть Банк Эммитент Банк Эммитент Банк Эммитент VSDC Или MChip НПП Сеть НСПК VSDC Или MChip НПП Национальное Платёжное Приложение Международное Платёжное Приложение МПС НСПК Банк Эквайер Банк эквайер Банк Эквайер Банк Эмитент Банк Эмитент Банк Эмитент Импортный HSM Отечественный HSM УЦ МПС Система мониторинга, анализа и контроля ИБ НСПК в части HSM 11
  • 12. Криптография  Схема замены импортных криптографических алгоритмов отечественными 12 Криптографическая операция Импортный алгоритм Отечественный алгоритм Симметричное шифрование DES, TripleDES, AES ГОСТ 28147-89 Ассиметричное шифрование RSA Возможно использование VKO GOST R 34.10-2012 для обмена ключами для симметричного шифрования Имитозащита (MAC) Х9.19 ГОСТ 28147-89 Хэширование SHA-1 ГОСТ Р 34.11-2012 Электронная цифровая подпись RSA ГОСТ Р 34.10-2012 Обмен ключами Диффи-Хеллман VKO GOST R 34.10-2012
  • 13. Примеры команд HSM Импортный HSM Отечественный HSM Код Описание Код Описание А0 (А1) Генерация ключа (DES/TripleDES) T0 (T1) Генерация ключа (ГОСТ 28147-89) A2 (A3) Генерация и печать компонент ключа в PIN-конверты (DES/TripleDES) T2 (T3) Генерация и печать компонент ключа в PIN- конверты (ГОСТ 28147-89) A4 (A5) Генерация ключа из зашифрованных компонент (DES/TripleDES) T4 (T5) Генерация ключа из зашифрованных компонент (ГОСТ 28147-89) МА (MB) Вычисление MAC-кода сообщения (Х9.19) TC (TD) Вычисление имитовставки на сообщение (ГОСТ 28147-89) JQ (JR) Проверка сертификата открытого ключа эмитента (RSA, Mchip) TQ (TR) Проверка сертификата открытого ключа УЦ (ГОСТ Р 34.10-2012) 13
  • 14. Сертификация Все разрабатываемое оборудование и ПО должно пройти сертификацию в двух системах сертификации:  для применения в НПС – в соответствии с требованиями ЦБ и ФСБ в части СКЗИ  для применения в МПС – в соответствии с требованиями PCI DSS, PCI PA-DSS(в части платёжных приложений), требованиям FIPS 140-2 Level 3, PCI HSM v1.0 в части HSM 14
  • 15. Стратегия развития НСПК 1 этап до 30.06.2015 • Разработка концепции обеспечения защиты информации при проведении транзакций в НСПК 2 этап до 15.09.2015 • Разработка регламентов функционирования НСПК в обеспечение защищенных транзакций. 3 этап до 01.01.2016 • Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами 15
  • 16. Выводы Использование отечественных технологий, включая криптографические алгоритмы, в разрабатываемых платежных приложениях и оборудовании, позволит создать надежную и безопасную национальную систему платежных карт 16
  • 17. 17