Нормативное обеспечение применения ЭЦП в банковской сфере

«Надо разобраться как применяется ЭЦП и обеспечивается защита информации в информационной системе…»

Информатизаторы:
«Выберем готовую систему и внедрим!»

Юристы:
«А мы не в теме…»

систему исходя из собственного понимания, как надо применять ЭЦП, средства ЭЦП и шифрования в этой системе

Банк внедряет систему «из коробки»

Банк получает не оцененные и неуправляемые риски, связанные с применением ЭЦП

применение ЭЦП, но не в соответствии с 1-ФЗ «Об ЭЦП»
Цитата из примера договора:
Клиент при подписании электронного документа (ЭД) ЭЦП применяет свои секретные ключи подписи, а Банк при проверке ЭЦП ЭД — открытые ключи подписи Клиента, являющиеся действующими на момент подписания и передачи документа на обработку соответственно.
Ключи электронной цифровой подписи (секретный и соответствующий ему открытый ключ) подписывающей Стороны становятся действующими только после завершения процедур регистрации открытых ключей и ввода в действие секретных ключей.

Риски банков применения псевдо ЭЦП не оценены. Ущерб от реализации данных рисков не минимизирован.

проверка на отозванность сертификата ключа подписи при проверке ЭЦП;
Отсутствуют проверки на отозванность сертификата ключа подписи при создании ЭЦП

Появляются риски банков и пользователей, связанных с исполнением документов, удостоверенных ЭЦП с отозванными (аннулированными) сертификатами

на смарт-картах, предназначенных для создания СКЗИ;
Передача средств ЭЦП по незащищенным каналам связи или по протоколам SSL с алгоритмами RSA, DES и т.д.

Появляются риски банков и пользователей, связанных с отказом от ЭЦП ввиду подтверждения экспертной организации о несертифицированном условии использования средства ЭЦП

они по определению дешевле защищенных;
Цитата из договора, описывающая ВСЕ меры защиты ключей:
КЛИЕНТ обязан самостоятельно обеспечить сохранность своих секретных ключей и несет за это полную ответственность. КЛИЕНТ по возможности обязан содержать свои секретные ключи на съемном электронном носителе информации, а данный носитель хранить в сейфовом шкафу или другом надежном месте с ограниченным доступом.
Отсутствуют понятные и выполнимые меры по обращению с ключами в конкретной системе
Отсутствуют требования к среде функционирования средства ЭЦП в конкретной системе (особенно в части защиты от вирусов) и меры по контролю этой среды

Не говорим об уровне криптографической защиты системы!
Появляются риски банков и пользователей, связанных с действием третьих лиц

систему исходя из требований

Банк внедряет систему «из коробки»

Банк получает оцененные и управляемые риски, связанные с применением ЭЦП

Требования

Банк получает независимую оценку соответствия системы требованиям

Экспертная организация

нормы при взаимоотношениях лиц по исполнению или принятию к сведению документов, оформленных в виде электронного документа с ЭЦП:
условия действительности ЭД, удостоверенного ЭЦП (детализированные условия равнозначности ЭЦП, условия действительности СКП участника системы, СКП уполномоченного лица)
условия действительности ключей подписи
общий порядок разрешения споров/конфликтов, связанных с применением ЭЦП.
Позволил бы защитить интересы как банков, так и клиентов банка в части исполнения электронных документов, удостоверенных ЭЦП.

Варианты оформления:
Постановление Правительства РФ
Приказ уполномоченного федерального органа власти с регистрацией в Минюсте
Стандарт СРО

процедурные правила применения ЭЦП в части:
применения средств ЭЦП (требований к ним и условий применения)
распространения средств ЭЦП и обращения с ними
формирования и проверки ЭЦП
форматов ЭЦП
определение статуса сертификата ключа подписи
обращения с ключами ЭЦП
описания реакции системы на состояния с ЭЦП и сертификатами
содержания документации системы и особенно в пользовательской части.
Позволил бы обеспечить разработчиков банковских систем необходимыми нормативными документами для создания соответствующих комплексов, существенно снижающих риски применения ЭЦП и шифрования.

Варианты оформления:
Приказ уполномоченного федерального органа власти с регистрацией в Минюсте
ГОСТ
Стандарт СРО