«Міжбанківський акредитований

центр сертифікації ключів»

Актуальність теми:

1. Потреба скорочення витрат банків при вирішенні судових питань.

2. Необхідність обміну електронними документами між банками та державними структурами

3. Скорочення витрат на банківський документообіг.

4. Підвищення рівня безпеки інформаційних систем та скорочення часу надання банківських послуг.

“Про захист інформації в автоматизованих системах” від 05.07.1999 р.

“Про електронні документи та електронний документообіг” № 851/IV від 22.05.2003 р.

“Про інформацію” № 2657/XII від 02.10.1992 р.

“Про електронний цифровий підпис” № 852/IV від 22.05.2003 р.

Закони України

Укази Президента України

“Про Положення про порядок здійснення КЗІ в Україні” № 505 від 22.05.1998 р.

“Питання ДСТСЗІ СБ України” № 1120/2000 від 06.10.2000 р.

Постанови Кабінету Міністрів України

“Про затвердження Порядку засвід-чення наявності електронного доку-мента (електронних даних) на певний момент часу ” № 680 от 26.05.2004 р.

“Про затвердження Положення про центральний засвідчувальний орган”

№ 1451 від 28.10.2004 р.

“Про затвердження Порядку застосування електронногоцифрового підпису органами державної влади, органамимісцевого самоврядування, підприємствами, установамита організаціями державної форми власності ” № 1452 від 28.10.2004 р.

“Про затвердження Типового порядку здійснення електронного документообігу в органах виконавчої влади” № 1453 від 28.10.2004 р.

“Про затвердження Порядку обов'язкової передачі документованої інформації” № 1454 від 28.10.2004 р.

Постанова КМУ № 790 від 22.08.2012“Про внесення змін до Положення

про ЦЗО”

“Про затвердження Інструкції про порядок забезпечення режиму безпеки, що повинен бути створений на підприємствах, установах та організаціях, які здійснюють підприємницьку діяльність у галузі криптографічного захисту інформації, що є власністю держави” № 45 від 22.10.1999 р.

“Про затвердження Тимчасової інструкції про порядок забезпечення та використання ключів у засобах КЗІ”

№ 708/156 від 28.11.1997 р.

“Про затвердженння Положення про державну експертизу у сфері КЗІ”

№62 від 25.12.2000 р.

Накази СБУ та ДССЗЗІ України

“Про затвердження Правил посиленої сертифікації”

№ 3 від 13.01.2005 р. (в редакції Наказу ДСТСЗІ СБУ № 50 від 10.05.2006 р.)

Законодавче забезпечення

“Про затвердження Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису”

№ 143 від 24.07.2007 р.

“Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису” № 141 від 20.07.2007 р.

“Про затвердження Інструкції про порядок забезпечення та викорисиання ключів до засобів криптографічного захисту інформації” № 114 від 12.06.2007 р.

ДСТУ ISO/IEС 15946-2006. (1 та 3 частини) Інформаційні технології. Методи захисту. Криптографічні методи, котрі основуются на еліптичних кривих.

ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического превращения

ГОСТ 34.311-95. Информационная технология. Криптографическая защита информации. Функция хеширования.

ДСТУ 4145-2002. Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, котрий основуєтся на еліптичних кривих. Формування та перевірка.

ОСНОВНІ СТАНДАРТИ у СФЕРІ ЕЦП

Ц З О – Мінюст України

Підписувачі та Користувачі ЕЦП (юридичні та фізичні особи)

ЗЦ НБУ

АЦСК АКБ Укрсоцбанк

АЦСК

Приватбанк

ЦСК “еSign” ТОВ "Алтерсайн"

ЦСК, що проектуються

Ко

нтр

ол

юю

чи

й о

рга

н -

ДС

СЗ

ЗІ У

кра

їни

ЦСК НБУ

та інших банків

ЦСК ДПС ЦСК МОУ

ЦСК банків, що проектуються

Акредитовані ЦСК

ЦСК УЧН ЦСК ДКУ

НАЦІОНАЛЬНА СИСТЕМА ЕЦП

Зареєстровані ЦСК

А Ц С К- 1

А Ц С К-2А Ц С К-21

ЗЦ НБУ

ЦСК ВАТ “МФС”

Основні проблеми та ризики

• Технологічна несумісність АЦСК• Низький рівень захисту особистих

ключів• Складність інтеграції засобів ЕЦП в

автоматизовані банківські системи (АБС) та системи електронного документообігу (СЕДО)

Міжбанківський АЦСК на базі комплексу центрів “ІВК-Криптомаш” – це:

• апаратний метод генерації та захисту особистих (секретних) ключів;

• технологічна сумісність з ЦЗО та основними АЦСК (ДПС, ДМСУ, УЗ, Мінюсту);

• наявність розгалуженої мережі пунктів реєстрації абонентів;

• технологічна можливість розгортання пунктів реєстрації безпосередньо в банку та його філіях

• надання мітки часу, що вводить поняття «електронного нотаріату»

GPS-приймач

Типова структура ПТК АЦСК

Криптомодуль “Гряда-61”

Генератор ключів “Гряда-4”

Модуль підпису “Гряда-41П”

Смарт-карта “Карта-1”

Мережевий криптомодуль “Гряда-301”

ЗАСТОСУВАННЯ модулів КЗІ в ПТК АЦСК

Електронний ключ “Кристалл-1”

Апаратна реалізація робить неможливим доступ до особистих ключів зі сторони зовнішнього середовища

“Кристал-1”

Інтерфейс: USB

Швидкість формування ЕЦП: 100 мс/ЕЦП

Швидкість формувань спільного секрету:

800 мс/формування

Електронний ключ

Інтерфейси: Ethernet 100/1000 Мбіт

Швидкість: 1200 ЕЦП/с,

600 формувань спільного секрету/c

Апаратно реалізує криптографічні перетворення у складі центральних серверів ЦСК

Мережевий криптомодуль “Гряда-301“

Повне зняття криптографічнуго

навантаження з серверів

Технологія надання послуг ЕЦП

Звернутись до

одного з пунктів

реєстрації заявників

АЦСК

Заявник-Підписувач Підписувач

1 2 3

Користувач

Електроннийдокумент

Зашифрованийелектронний

документ

Документи дляреєстрації

Оформити відповідні документи

Згенерувати особистий ключ

та запит на сертифікат

Отримати сертифікат відкритого

ключа

Захищені станції генерації Ключів

Засіб ЕЦП користувача

Комплекс захисту TCP-з’єднань

Забезпечує:

автентифікацію клієнтів та встановлення захищеного з’єднання;

шифрування даних з’єднання.

Шлюз захисту

Шлюз захисту “Бар’єр-301”

Інтерфейси: 2 x Ethernet 1000 Мбіт (RJ-45)

Швидкість: до 250 Мбіт/с

Забезпечує до 100 автентифікацій/с

Забезпечує:

автентифікацію клієнтів та встановлення захищеного з’єднання;

шифрування даних з’єднання;

приймання та передачу технологічної (управляючої) інформації;

прийом та введення в дію ключових даних.

Застосування технологій ЕЦП та НШ в АБС

• Юридична значущість електронних документів (наприклад, ЕД в СЕДО);

• Перевірка цілісності та достовірності електронних даних;

• Е-автентифікація суб’єктів та об’єктів;

• Конфіденційність ЕД та електронних даних;

• Захист персональних даних.

Основні переваги міжбанківського АЦСК

• Економія банками коштів, необхідних для обслуговування посилених сертифікатів ЕЦП для власних потреб (на 1-2 порядки);

• Зменшення витрат банків при запровадженні електронного документообігу з державними структурами (ДСА, ДВС, ДПА, ПФУ, ПВБКІ, ДМСУ, Мінюст, МВС, МТСБУ тощо);

• Прискорене впровадження надійних засобів ЕЦП в АБС та правил посиленої сертифікації в діяльність банку

Взаємодія з НБУ на прикладі ПАО «УкрСиббанк», «УкрСоцбанк»

1. Для забезпечення взаємодії з національним банком, банк-ініціатор направляє запит про можливість використання у своїх внутрішніх процесах ключів та засобі акредитованого ЦСК ПрАТ «ІВК».

2. Для отримання дозволу на зберігання інформації тільки в електронному вигляді та переходу на електронний документообіг банк-ініціатор надає до НБУ опис процесів з зазначенням що посилена ЕЦП накладається відповідно до вимог чинного законодавства та нормативних документів НБУ

Впровадження ЕЦП в операційний День банку

• Гарантує дотримання вимог законодавства України;• Дозволить повністю скоротити витрати Банку на друк банківської частини

документів дня (економія в розмірі витрат на папір, обслуговування оргтехніки, електроенергії, зберігання паперових документів, їх пошуку та доступу до них на різних відділеннях);

• Скоротити витрати на обслуговування клієнтів (скорочення часу на пошук справи клієнта та його ідентифікацію, підпис документів з боку працівника Банку та пов'язаних з цим матеріальних витрат);

• Гарантує незмінність документів в електронному вигляді;• Унеможливить відмову особи що склала та підтвердила документ від своїх дій в

системі;• Забезпечити шифрування даних при їх обробці у електронних системах.

Підводячи підсумки банк отримує:

1. Суттєве підвищення рівня безпеки системи;2. Скорочення затрат на зберігання паперових документі на 70-90%.3. Підвищення рівня якості обслуговування та одночасне скорочення часу

обслуговування клієнтів (скорочення часу обслуговування клієнта може досягати 50% часу).

4. Мітку часу що прирівнює документ к нотаріально-засвідченному.

Відображення та зчитування ЕЦП

Для економії часу при обробці документів на паперових носіях може бути використано QR-кодування інформації для її друку та зчитування з паперового носія.

В 1-му квадраті QR-коду може розміщуватись як платіжний документ так і всі необхідні підписи до нього.

Таким чином розміщуючи на роздрукованому документі QR-код, Ви можете як роздрукувати ЕЦП, так і зчитати його за допомогою сканера разом із платіжним документом!

Впровадження посиленої ЕЦП в систему віддаленого управління рахунком

Забезпечить суттєве підвищення рівня безпеки системи клієнт-банк (при зберіганні ключа на захищеному носії – його неможливо не санкціоновано скопіювати, основна частина хакерського ПО створююється в Россії та орієнтована на російські продукти).

1.Переваги для клієнта:•здійснювати всі операції не приходячи в Банк:проводити платіжні операції (економія часу на обслуговуванні клієнтів та витрат на зберігання платіжних документів);•укладати договори на додаткові послуги (економія часу та витрат на підпис, друк, зберігання, та пошук документів, відсутність випадків втрати документів);•отримувати від Банку всі документи лише в електронному вигляді (скорочення витрат на папір, час обслуговування, зберігання документів і т.д.);відсилати звітність в державні органи (податкова, пенсійний фонд, митниця і т.д.).

2. Переваги для Банка:•Скоротити витрати Банку та одержувати додатковий дохід на:- скорочення часу на обслуговування;- скорочення витрат на документообіг.•Отримання доходу від продажу ключів клієнтам банку.

3. Додатково банк отримує:Зниження ризиків Банку при роботі з системами інтернет-банкінга за рахунок:•зменшити випадків шахрайства з використанням ключів клієнтів;•не можливість відмови клієнтів від проведених операцій.

Впровадження посиленої ЕЦП у поштові системи та системи документообігу

Скоротити часові витрати на:• узгодження документів (з декількох діб чи тижнів, до декількох годин – 20%);• підписання документів (з декількох діб до декількох хвилин – 80%);• контроль виконання (можливий постійний моніторинг – 90%);• пошук документів (на пошук документа необхідний час за який система

обробляє запит – 95%);• зберігання документі (для зберігання досить натиснути кнопку «Підписати»

документ – 95%).Дозволить:

• Забезпечити конфіденційність листування (у тому числі і з клієнтами банку);• Вести переписку з державними органами та оформлювати договори у

електронному вигляді (листування, надання звітності, подання скарг та запитів, і т.і.) – у тому числі і для клієнтів Банку;

• Дистанційно повідомляти клієнта та оформлювати з клієнтом додаткові угоди та надавати клієнту необхідну інформацію чи отримувати запити/скарги/повідомлення (скорочення часу обслуговування, витрат на оформлення та друк документів – клієнту достатньо 1 раз на рік прийти у відділення для переоформлення ключів);

• Забезпечити виконання вимог законодавства про захист персональних даних.

- Економія на друку справ клієнтів, які мають рахунки на декількох відділеннях:- Витрати на друк (більш ніж 3 млн грн);- Витрати на зберігання (більш ніж 750 тис. грн.);- Витрати на пошук документів (від 15% до 20% часу робітників

банку) приблизна вартість 2,3 млн. грн.- Витрати на підтримку роботоздатносі копіювальної техніки –

приблизно – 230 тис грн. (в обліку враховано як витрати на заміну витратних матеріалів, так і витрати на персонал та обслуговування обладнання зовнішніми організаціями);

Загальна економія впровадження ЕЦП приблизно 6 280 000 грн.

Економічний ефект від впровадження ЕЦП в сховище клієнских справ

(приклад УкрСибанку з серпня 2011 по квітень 2012)

Витрати Банка на облаштування пункту ЦСК• Встановлення окремого робочого місця адміністратора реєстрації в приміщені з

обмеженим доступом (робоча станція обладнана DVD-RW з доступом до сайту «ІВК», МФУ, CD-R для запису ключів, бумага для друку документів необхідних для отримання ключів);

• Забезпечення навчання працівників банку в «ІВК» (на базі навчального центру у приміщені ХІРЕ – м. Харків) та стажування в «ІВК» безкоштовне , банк оплачує проживання співробітника, якщо необхідне виїзне навчання).

• Створення у відділеннях робочого місця оператора реєстрації ключів (робоча станція обладнана DVD-RW з доступом до сайту «ІВК», МФУ, CD-R для запису ключів, бумага для друку документів необхідних для отримання ключів).

• Витрати на 1 сертифікат на рік складають 45 грн (30 грн. – обслуговування сертифікату, 15 – надання крипто бібліотеки для любої системи та її підтримка), в залежності від кількості сертифікатів – можлива знижка (максимально до 35 грн)

Безпека• Безпека комплексу забезпечується за допомогою встановлення гарантованих каналів

шифрування інформації між Банком та «ІВК» на ключах «ІВК».• Доступ до ресурсів ІВК можливий тільки за наявності спеціалізованого ПЗ ключів

адміністраторів реєстрації та оператора реєстрації.• Доступ до робочих станції обмежено згідно затверджених ДССЗЗІ регламентів. • На робочі станції встановлюється персональний мережевий екран та антивірусне

забезпечення.• Завантаження робочої станції без ключів ІВК не можливе.

Досвід впровадження криптозасобів (не повний список)

ДП „Донецька залізниця”ДТГО „Львівська залізниця”СТГО „Південна залізниця”

ДП ГІОЦ УкрзалізниціДП „Одеська залізниця”

ДП „Придніпровська залізниця”Департамент ДАІ МВС України

Управління Державтоінспекції ГУМВС України в Донецькій областіДП „Державний центр інформаційних ресурсів України”

ПВБКІБКІ Дата Майнінг Груп

ТОВ „Сігнум ІТ”ПАТ „Укрсоцбанк”

Дніпропетровська облдержадміністраціяПАТ “УкрСиббанк”

СБУДержавна митна служба УкраїниМіністерство оборони України

ІОЦ Одеської облдержадміністраціїТОВ „Криптомаш”

ПАТ „КП ОТІ”НАК „Нафтогаз України”

Державний центр персоналізації документів

Банки в яких працюють засоби криптозахисту

ПАТ УкрСиббанк» (аккредитований ЦСК)ПАТ «УкрСоцБанк» (ЦСК під аккредитацію)

ПАТ "Хоум Кредит Банк"ПАТ "СЕБ Банк"

ПАТ КБ "Хрещатик"ПАТ АБ "Радабанк"ПАТ "Банк Кипра"

ТОВ КБ "Евробанк"ПАТ "Финансы и кредит"

ПАТ КБ "Платинум (Platinum) Банк"ВАТ КБ "Південкомбанк"

ПАТ "Банк инвестиций и сбережений"ПАТ "Всеукраинський банк развития"

АКБ «Золотые ворота"ПАТ "Ерде Банк"

Для переходу на нові посилений сертифікат ІІТ вже створив необхідне програмне забезпечення.

Головні партнери

МНС

ДКФМ Украины

Переваги впровадження посиленного підпису на прикладі ПАО «УкрСиббанк»

Економія тільки на впровадженні системі зберігання справ клієнтів в електронному вигляді дала економію в 4,5 млн. грн. за 6 місяців 2011 р., а саме:• Економія коштів на друку особистих справ клієнтів на кожному відділенні за рік перевищила 3

млн. грн. (до розрахунку прийнята вартість паперу, витратних матеріалів для принтерів, електропостачання та т.і.);

• Економія на витратах пов’язаних з зберіганням паперових документів, забезпеченням їх цілісності, пошуком та доставкою перевищило 1,5 млн. грн.;

Додаткові отримані переваги:• Впровадження системи доставки шифрованих файлів по відкритих каналах зв’язку (Інтернет)

дозволило зберегти співвідношення з великими корпоративними клієнтами (доставка зарплатних відомостей великого формату, обмін документацією та т.і.);

• Впровадження засобів шифрування на каналах зв’язку дозволило виконати вимоги нормативних документів НБУ (постанова 254) та СУІБ НБУ (шифрування та перевірка ЕЦП в «промислових» обсягах в Україні на цей час можлива тільки за допомогою апаратних засобів від ІІТ;

На цей час ведуться роботи з:• впровадженню необхідної кількості підписів в АБС, очікувана економія 3-4 млн. грн. за рік;• впровадження посиленої ЕЦП в систему клієнт-банк (очікуваний дохід з урахуванням економії 4-

5 млн. грн. на рік).

Національний провайдер електронного цифрового підпису

ПрАТ «Інфраструктура відкритих ключів»

Директор: Сіраков Олексій Михайлович

тел: (044) 599-26-67 моб: (093) 283-07-80

mail: ivk2011@ukr.net