С 1 августа 2023 году в силу вступил закон «О цифровом рубле». Теперь у национальной валюты три формы: наличная, безналичная и цифровая. Новый вид денежной единицы хранится в цифровых кошельках на платформе Банка России. В рамках этой же платформы осуществляются переводы цифровых рублей.
Цифровая валюта, созданная Банком России, привела к установлению новых стандартов безопасности для кредитных организаций, желающих присоединиться к платформе цифрового рубля. Эти стандарты регламентированы и подробно описаны в Положении № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля». Документ вступил в силу с 1 января 2024 года, при этом требования к классу защиты КС 2 средств электронной подписи и СКЗИ (второй и четвертый абзацы подпункта 14.1, второй и четвертый абзацы подпункта 14.2 пункта 14) действуют до 31 декабря 2024 года. В свою очередь, требования к классу защиты КС 3 средств электронной подписи и СКЗИ (третий и пятый абзацы подпункта 14.1, третий и пятый абзацы подпункта 14.2 пункта 14) вступают в силу с 1 января 2025 года.
Цифровая валюта, созданная Банком России, привела к установлению новых стандартов безопасности для кредитных организаций, желающих присоединиться к платформе цифрового рубля. Эти стандарты регламентированы и подробно описаны в Положении № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля». Документ вступил в силу с 1 января 2024 года, при этом требования к классу защиты КС 2 средств электронной подписи и СКЗИ (второй и четвертый абзацы подпункта 14.1, второй и четвертый абзацы подпункта 14.2 пункта 14) действуют до 31 декабря 2024 года. В свою очередь, требования к классу защиты КС 3 средств электронной подписи и СКЗИ (третий и пятый абзацы подпункта 14.1, третий и пятый абзацы подпункта 14.2 пункта 14) вступают в силу с 1 января 2025 года.
Средства электронной подписи – это средства криптографической защиты информации (СКЗИ), используемые для реализации как минимум одной из следующих функций: создание электронной подписи (ЭП), проверка ЭП, создание ключа ЭП и ключа проверки ЭП. В зависимости от способности противостоять атакам с использованием аппаратных и/или программных средств для получения доступа к защищаемой средствами ЭП информации или данным они подразделяются на различные классы, которые и определяют уровни криптографической защиты информации – КС 1, КС 2, КС 3.
Применение старых требований Банка России к участникам платформы цифрового рубля
В контексте «старых» требований имеется в виду, что аналогичные нормы уже содержатся в других документах по информационной безопасности Банка России, но не касаются цифрового рубля. Так, участники цифровой платформы должны выполнять меры, указанные в ГОСТ Р 57580.1-2017 и распространяемые на объекты информационной инфраструктуры, обеспечивающие выполнение операций с цифровым рублем и выделенные в отдельный сегмент. Системно значимые организации реализуют усиленный уровень, остальные – стандартный.
Требование по оценке соответствия и проведению пентеста также распространяется и на участников платформы цифрового рубля, как и в ранее опубликованных Положениях Банка России. Оценка соответствия должна проводиться не реже одного раза в два года с привлечением сторонних организаций, имеющих соответствующие лицензии. Участники платформы должны обеспечивать соответствие ГОСТ Р 57580.1-2017 не ниже четвертого уровня. Пентест требуется проводить ежегодно.
В документах необходимо регламентировать состав и порядок применения организационных мер защиты информации и технических средств, а также порядок подготовки, обработки, передачи и хранения электронных сообщений, включая технологические меры защиты информации по контролю целостности, подтверждению подлинности и обеспечению конфиденциальности электронных сообщений. Участники платформы должны определить порядок применения СКЗИ и управления ключевой информацией СКЗИ, применять СКЗИ определенного класса и контролировать доступ к ним через определение уполномоченных лиц, допущенных к работе с СКЗИ и ответственных за безопасность и функционирование, а также за управление криптографическими ключами.
Электронные сообщения участника платформы должны формироваться и подписываться в автоматизированной системе участника платформы, для пользователей такой функционал должен быть доступен в приложении клиента. Хранить электронные сообщения, подписанные электронной подписью, необходимо в течение пяти лет.
Требование по оценке соответствия и проведению пентеста также распространяется и на участников платформы цифрового рубля, как и в ранее опубликованных Положениях Банка России. Оценка соответствия должна проводиться не реже одного раза в два года с привлечением сторонних организаций, имеющих соответствующие лицензии. Участники платформы должны обеспечивать соответствие ГОСТ Р 57580.1-2017 не ниже четвертого уровня. Пентест требуется проводить ежегодно.
В документах необходимо регламентировать состав и порядок применения организационных мер защиты информации и технических средств, а также порядок подготовки, обработки, передачи и хранения электронных сообщений, включая технологические меры защиты информации по контролю целостности, подтверждению подлинности и обеспечению конфиденциальности электронных сообщений. Участники платформы должны определить порядок применения СКЗИ и управления ключевой информацией СКЗИ, применять СКЗИ определенного класса и контролировать доступ к ним через определение уполномоченных лиц, допущенных к работе с СКЗИ и ответственных за безопасность и функционирование, а также за управление криптографическими ключами.
Электронные сообщения участника платформы должны формироваться и подписываться в автоматизированной системе участника платформы, для пользователей такой функционал должен быть доступен в приложении клиента. Хранить электронные сообщения, подписанные электронной подписью, необходимо в течение пяти лет.
Новые требования Банка России к участникам платформы цифрового рубля
Для обеспечения безопасности операций с цифровым рублем, устройство, с которого пользователь работает, должно пройти процедуру идентификации. Цифровой отпечаток, формируемый из параметров устройства, передается оператору для подтверждения принадлежности устройства клиенту. Пользователь также проходит идентификацию для подтверждения своей принадлежности.
Безопасный обмен электронными сообщениями между участником платформы и пользователем осуществляется в соответствии с нормативными требованиями, установленными законодательством и приказами ФСБ, а именно частью 6 статьи 30 Федерального закона № 161, статьей 13 Федерального закона № 63-ФЗ, пунктом 11 Приказа ФСБ России № 796 и пунктом «ш» части первой статьи 13 Федерального закона № 40-ФЗ. Данные нормативные требования регулируют работу удостоверяющего центра, подписание сообщений электронной подписью и применение средств криптографической защиты. На их основании Банк России указал в Положении № 833-П порядок взаимодействия между удостоверяющим центром Банка России, удостоверяющим центром участника платформы цифрового рубля и пользователями платформы цифрового рубля.
Следует добавить, что на этом требования по обмену криптографическими ключами не заканчиваются. Банк России утвердил «Регламент взаимодействия Финансового посредника и Банка России при управлении криптографическими ключами Платформы Цифрового рубля», в котором описан порядок работы с криптографическими ключами.
Обмен электронными сообщениями между участниками платформы и оператором платформы должен осуществляться с использованием СКЗИ и УНЭП (усиленной неквалифицированной электронной подписи, являющейся цифровым аналогом собственноручной подписи), реализуемой средствами электронной подписи класса не ниже КС 2. Особенностью данного требования является то, что оно действует до 31 декабря 2024 года, а с 1 января 2025 года необходимо будет использовать СКЗИ и средства электронной подписи класса не ниже КС 3.
В случае реализации обмена электронными сообщениями между пользователями платформы цифрового рубля и участником платформы, СКЗИ и средства электронной подписи на стороне участника платформы должны быть реализованы как написано выше, а на стороне пользователя необходимо соответствие классу не ниже КС 1.
Безопасный обмен электронными сообщениями между участником платформы и пользователем осуществляется в соответствии с нормативными требованиями, установленными законодательством и приказами ФСБ, а именно частью 6 статьи 30 Федерального закона № 161, статьей 13 Федерального закона № 63-ФЗ, пунктом 11 Приказа ФСБ России № 796 и пунктом «ш» части первой статьи 13 Федерального закона № 40-ФЗ. Данные нормативные требования регулируют работу удостоверяющего центра, подписание сообщений электронной подписью и применение средств криптографической защиты. На их основании Банк России указал в Положении № 833-П порядок взаимодействия между удостоверяющим центром Банка России, удостоверяющим центром участника платформы цифрового рубля и пользователями платформы цифрового рубля.
Следует добавить, что на этом требования по обмену криптографическими ключами не заканчиваются. Банк России утвердил «Регламент взаимодействия Финансового посредника и Банка России при управлении криптографическими ключами Платформы Цифрового рубля», в котором описан порядок работы с криптографическими ключами.
Обмен электронными сообщениями между участниками платформы и оператором платформы должен осуществляться с использованием СКЗИ и УНЭП (усиленной неквалифицированной электронной подписи, являющейся цифровым аналогом собственноручной подписи), реализуемой средствами электронной подписи класса не ниже КС 2. Особенностью данного требования является то, что оно действует до 31 декабря 2024 года, а с 1 января 2025 года необходимо будет использовать СКЗИ и средства электронной подписи класса не ниже КС 3.
В случае реализации обмена электронными сообщениями между пользователями платформы цифрового рубля и участником платформы, СКЗИ и средства электронной подписи на стороне участника платформы должны быть реализованы как написано выше, а на стороне пользователя необходимо соответствие классу не ниже КС 1.
Подводя итоги
Цифровой рубль – совершенно новая валюта, которая требует особого подхода в защите информации. Для успешного функционирования цифрового рубля необходимо комбинировать передовые технологии защиты данных с проверенными методами безопасности финансовых операций. Это обеспечит надежность и безопасность операций с цифровым рублем, защитит его от угроз и создаст у пользователей доверие к новой цифровой валюте.
Автор: Ирина Шашурина, эксперт отдела аудита Infosecurity a Softline company
