Управление программно-технического обеспечения

Актуальные вопросы обеспечения и развития Актуальные вопросы обеспечения и развития технологий обмена электронными документами в технологий обмена электронными документами в

СЭД НДЦ, криптографической защиты СЭД НДЦ, криптографической защиты информацииинформации

Управление программно-технического обеспеченияУправление программно-технического обеспеченияОтдел развития и обеспечения электронного документооборотаОтдел развития и обеспечения электронного документооборота

Некоммерческое партнерство«Национальный депозитарный центр»

22

Вопросы занятия:Вопросы занятия:

1.1. Требования современного рынка ценных бумаг к Требования современного рынка ценных бумаг к обеспечению депозитарной деятельности на базе обеспечению депозитарной деятельности на базе технологий обмена электронными документами.технологий обмена электронными документами.

2.2. Развитие электронного документооборота – основа для Развитие электронного документооборота – основа для решения стратегических задач НДЦ.решения стратегических задач НДЦ.

3.3. Обеспечение и развитие процедур криптографической Обеспечение и развитие процедур криптографической защиты информации в СЭД НДЦ. Организация защиты информации в СЭД НДЦ. Организация выполнения требований регулирующих органов в выполнения требований регулирующих органов в вопросах безопасной эксплуатации СКЗИвопросах безопасной эксплуатации СКЗИ

33

Требования современного рынка Требования современного рынка ценных бумаг к обеспечению ценных бумаг к обеспечению депозитарной деятельности на депозитарной деятельности на

базе технологий обмена базе технологий обмена электронными документами.электронными документами.

44

Для повышения надежности, оперативности и Для повышения надежности, оперативности и прозрачности инфраструктуры российского рынка прозрачности инфраструктуры российского рынка

ценных бумаг и, как следствие, повышения ценных бумаг и, как следствие, повышения инвестиционной привлекательности российской инвестиционной привлекательности российской

экономики необходимо:экономики необходимо:

создание Центрального расчетного депозитария: создание Центрального расчетного депозитария: 2 2 стороны (легальная, юридическая и технологическая);стороны (легальная, юридическая и технологическая);

разработка соответствующих законодательных актов о разработка соответствующих законодательных актов о ЦД;ЦД;

модернизация технологическоймодернизация технологической платформы НДЦ с платформы НДЦ с возможностью расширения спектра технологических возможностью расширения спектра технологических операций до функционала, свойственного ЦД;операций до функционала, свойственного ЦД;

совершенствование и развитие ЭДО;совершенствование и развитие ЭДО; организация денежных расчетоворганизация денежных расчетов

55

Функциональная модель, которая будет внедрена Функциональная модель, которая будет внедрена в рамках новой технологической платформы, в рамках новой технологической платформы, позволит предоставлять следующие услуги:позволит предоставлять следующие услуги:

расчеты в реальном времени;расчеты в реальном времени; проведение корпоративных действий;проведение корпоративных действий; компенсацию купонного дохода;компенсацию купонного дохода; усовершенствованную отчетность; усовершенствованную отчетность; предоставление публичной информации по рынку предоставление публичной информации по рынку

и ценным бумагами ценным бумагам

66

Развитие электронного Развитие электронного документооборота – основа для документооборота – основа для решения стратегических задач решения стратегических задач

НДЦНДЦ

77

На основе анализа технологий учета и расчетов применяемых на На основе анализа технологий учета и расчетов применяемых на российском и зарубежных рынках в НДЦ разработана бизнес-модель российском и зарубежных рынках в НДЦ разработана бизнес-модель расчетного депозитария, как технологии нового поколения работы расчетного депозитария, как технологии нового поколения работы

НДЦНДЦ

1. учет специфики работы российского учет специфики работы российского рынка ценных бумаг для того, чтобы рынка ценных бумаг для того, чтобы российские инвесторы и проф. российские инвесторы и проф. участники чувствовали себя в участники чувствовали себя в привычном мире привычном мире 2. учет стандартов деятельности в этой 2. учет стандартов деятельности в этой области международных участников области международных участников рынка и инвесторов для обеспечения рынка и инвесторов для обеспечения прозрачности инфраструктуры прозрачности инфраструктуры

1. обеспечение универсальности в обеспечение универсальности в работе бизнес-модели, что работе бизнес-модели, что позволит реализовать любую позволит реализовать любую схему или модель в зависимости схему или модель в зависимости от того, что будет прописано в от того, что будет прописано в Законе о ЦД Законе о ЦД

2. способность взаимодействовать с 2. способность взаимодействовать с различными торговыми различными торговыми системами системами

Две стороны:Две стороны:Специфика УниверсальностьСпецифика Универсальность

88

Основой новой технологической платформы НДЦ Основой новой технологической платформы НДЦ должны стать в том числе и новые технологии в должны стать в том числе и новые технологии в

организации и обеспечении функционирования ЭДО, организации и обеспечении функционирования ЭДО,

обеспечении безопасности и защиты СЭД:обеспечении безопасности и защиты СЭД: превращение электронной сегментированной в данное время превращение электронной сегментированной в данное время

инфраструктуры фин. рынка в единую гибкую систему инфраструктуры фин. рынка в единую гибкую систему информационного взаимодействия со своим правилами, форматами, информационного взаимодействия со своим правилами, форматами, взаимно-интегрированными программными средствами обработки и взаимно-интегрированными программными средствами обработки и защиты информации ;защиты информации ;

необходимость стандартизации форматов ЭД в интересах, прежде необходимость стандартизации форматов ЭД в интересах, прежде всего, обеспечения сквозной обработки ЭД ( всего, обеспечения сквозной обработки ЭД ( straight through straight through proceccingproceccing – –STPSTP););

законодательное закрепление возможности использования ЭДО законодательное закрепление возможности использования ЭДО между участниками рынка и легальности ЭД;между участниками рынка и легальности ЭД;

осуществление на первом эосуществление на первом этапе тапе кросссертификации ключей ЭЦП, кросссертификации ключей ЭЦП, сертифицированных различными удостоверяющими центрами и сертифицированных различными удостоверяющими центрами и создание или использование на втором этапе единого для всех создание или использование на втором этапе единого для всех участников фин. рынка удостоверяющего центра. участников фин. рынка удостоверяющего центра.

ОбщаяОбщая схема ЭДО НДЦ схема ЭДО НДЦ

ПО « ЛУЧ »ПО « ЛУЧ »

Internet Explorer

ПО « ЛУЧ »

терминал S.W.I.F.T.

терминал S.W.I.F.T.

СГД(СПО)

ПО « Почтовый диспетчер »

PIE

Участники СЭД НДЦ НДЦСистема

электронногодокументооборота

SWIFT

InternetE-mail

InternetE-mail

Участники СЭД НДЦ

Пользователи СЭД НДЦ

Система «Корвет»

Proxy (клиент)

Proxy (сервер

НДЦ)

WEB – серверНДЦ

Internet(HTTP)

1010

Структурная схема СЭД НДЦСтруктурная схема СЭД НДЦ

S.W.I.F.T.

Центр сертификации

Эталонный справочник сертификатов и СОС

Сетевой справочник сертификатов и СОС

Репликацияданных

Участник СЭД

ЦУС ММВБ КриптографическийСервер

Электронныйдокумент

СКЗИ

Центр регистрации

Подписанный изашифрованный

документ

Почтовый диспетчер НДЦ


Система Головного Депозитария (СГД)

Сертификаты открытых ключей ЭЦП и шифрования

Сертификаты открытых ключей ЭЦП и шифрования

НДЦ(Организатор

подсистемы СЭД)

PIE НДЦ

Региональные филиалы и

представительства НДЦ

Рабочее место СГД

Рабочее место СГД

Секретные ключиЭЦП и шифрования



Ключи НДЦ, РП ММВБ

УРМД «Луч»

СКЗИ, УРМД «Луч»

E-mail, Open mail

1111

Обеспечение и развитие Обеспечение и развитие процедур криптографической процедур криптографической защиты информации в СЭД защиты информации в СЭД

НДЦ. Организация выполнения НДЦ. Организация выполнения требований регулирующих требований регулирующих

органов в вопросах безопасной органов в вопросах безопасной эксплуатации СКЗИэксплуатации СКЗИ

1212

отказ отправителя электронного документа, признать факт его отказ отправителя электронного документа, признать факт его отправкиотправки

изготовление получателем фиктивного документа, реально не изготовление получателем фиктивного документа, реально не посланного ему отправителем, с попыткой выдать его за посланного ему отправителем, с попыткой выдать его за подлинныйподлинный

изменение электронного документа получателем с изменение электронного документа получателем с уведомлением отправителя, что он в таком виде его получил на уведомлением отправителя, что он в таком виде его получил на самом делесамом деле

перехват третьей стороной посланных электронных перехват третьей стороной посланных электронных документов, их прочтение, изменение и последующее документов, их прочтение, изменение и последующее использованиеиспользование

отправка электронного документа от чужого имени и за чужой отправка электронного документа от чужого имени и за чужой подписьюподписью

повторная отправка третьей стороной электронного документа, повторная отправка третьей стороной электронного документа, уже однажды посланного одним участником ЭДО другомууже однажды посланного одним участником ЭДО другому

отказ отправителя электронного документа, признать факт его отказ отправителя электронного документа, признать факт его отправкиотправки

изготовление получателем фиктивного документа, реально не изготовление получателем фиктивного документа, реально не посланного ему отправителем, с попыткой выдать его за посланного ему отправителем, с попыткой выдать его за подлинныйподлинный

изменение электронного документа получателем с изменение электронного документа получателем с уведомлением отправителя, что он в таком виде его получил на уведомлением отправителя, что он в таком виде его получил на самом делесамом деле

перехват третьей стороной посланных электронных перехват третьей стороной посланных электронных документов, их прочтение, изменение и последующее документов, их прочтение, изменение и последующее использованиеиспользование

отправка электронного документа от чужого имени и за чужой отправка электронного документа от чужого имени и за чужой подписьюподписью

повторная отправка третьей стороной электронного документа, повторная отправка третьей стороной электронного документа, уже однажды посланного одним участником ЭДО другомууже однажды посланного одним участником ЭДО другому

ОСНОВНЫЕ РИСКИ ОСНОВНЫЕ РИСКИ ЭДОЭДО

1313

СОКРАЩЕНИЕ РИСКОВ СОКРАЩЕНИЕ РИСКОВ ЭДОЭДО

1. Строгим, точным и последовательным соблюдением Российского законодательства, требований ФСФР и ФСБ.

2. Лицензированием деятельности в области защиты информации.

3. Использованием сертифицированных средств защиты информации.

4. Комплексным применением программно-технических СКЗИ, организационных и правовых мер.

Достигается:Достигается:

1414

ИСПОЛЬЗОВАНИЕ СКЗИ ИСПОЛЬЗОВАНИЕ СКЗИ В СЭД НДЦВ СЭД НДЦ

Обеспечивает:Обеспечивает:конфиденциальность электронных документов

проверку авторства и целостности электронных документов

минимизацию рисков от несанкционированного доступа к информации в системе ЭДО

цивилизованное правовое рассмотрение конфликтных ситуаций, которые могут возникнуть в процессе ЭДО

1515

Изменены процедуры работы с СКЗИ на базе Изменены процедуры работы с СКЗИ на базе инфраструктуры открытых ключей (инфраструктуры открытых ключей (PKIPKI) ) ::

1.1. имеется возможность проводить криптообработку документов с имеется возможность проводить криптообработку документов с ЭЦП как внутри файла, так и с подписью в отдельном файле; ЭЦП как внутри файла, так и с подписью в отдельном файле;

2.2. появилась возможность пересылки эл. документов между появилась возможность пересылки эл. документов между Участниками ЭДО транзитом через НДЦ как в «открытом», так и Участниками ЭДО транзитом через НДЦ как в «открытом», так и в «закрытом» конвертах, т.е. конфиденциально, не допуская в «закрытом» конвертах, т.е. конфиденциально, не допуская возможности прочтения документов в НДЦ;возможности прочтения документов в НДЦ;

3.3. создана автоматизированная система плановой (оперативной) создана автоматизированная система плановой (оперативной) замены криптографических ключей криптосессии НДЦ, в том замены криптографических ключей криптосессии НДЦ, в том числе и при компрометации криптографических ключей числе и при компрометации криптографических ключей криптосессии.криптосессии.

4.4. создана процедура автоматического добавления (обновления) создана процедура автоматического добавления (обновления) сертификатов ключей подписи любого Депонента (контрагента) сертификатов ключей подписи любого Депонента (контрагента) НДЦ в локальный справочник сертификатов ПК «Справочник НДЦ в локальный справочник сертификатов ПК «Справочник сертификатов» с использованием функций ПО УРМД «Луч»сертификатов» с использованием функций ПО УРМД «Луч»

1616

Система «Корвет-ММВБ» предназначена для защиты Система «Корвет-ММВБ» предназначена для защиты данных (HTTP протокол), передаваемых между Интернет данных (HTTP протокол), передаваемых между Интернет

обозревателем (Browser) и Web сервером, от обозревателем (Browser) и Web сервером, от несанкционированного прочтения и модификации при несанкционированного прочтения и модификации при передаче их через локальные и глобальные сети, в том передаче их через локальные и глобальные сети, в том

числе и Internet.числе и Internet.

защита включает в себя шифрование и защита включает в себя шифрование и электронную подпись;электронную подпись;

использует ПКЗИ СЭД ММВБ; использует ПКЗИ СЭД ММВБ; состоит из клиентской части и серверной части.состоит из клиентской части и серверной части.

1717

Клиентская часть представляет собой клиентский Клиентская часть представляет собой клиентский модуль защиты (или локальный Proxy HTTP модуль защиты (или локальный Proxy HTTP

протокола), устанавливаемый (обычно) на один протокола), устанавливаемый (обычно) на один компьютер с Интернет обозревателем (Browser).компьютер с Интернет обозревателем (Browser).

Серверная часть представляет собой серверный Серверная часть представляет собой серверный модуль защиты (или серверный Proxy HTTP модуль защиты (или серверный Proxy HTTP протокола), который может быть установлен протокола), который может быть установлен

как на один компьютер с Web сервером, так и как на один компьютер с Web сервером, так и на выделенном компьютере, размещенном на выделенном компьютере, размещенном

рядом с Web серверомрядом с Web сервером..

1818

Особенности ПО «Корвет-ММВБ»:Особенности ПО «Корвет-ММВБ»:

1. Помимо шифрования НТТР-трафика между Browser и Web сервером система 1. Помимо шифрования НТТР-трафика между Browser и Web сервером система «Корвет-ММВБ» позволяет выполнять ЭЦП данных, передаваемых от клиента «Корвет-ММВБ» позволяет выполнять ЭЦП данных, передаваемых от клиента (Browser) на Web сервер. Данные подписываются на клиентском модуле (Browser) на Web сервер. Данные подписываются на клиентском модуле защиты до зашифрования, а серверный модуль защиты после расшифрования защиты до зашифрования, а серверный модуль защиты после расшифрования проверяет эту подпись;проверяет эту подпись;

2. Реализована процедура передачи информации о каждом аутентифицированном 2. Реализована процедура передачи информации о каждом аутентифицированном клиенте на Web сервер. Для этого в каждый HTTP-запрос, передаваемый на клиенте на Web сервер. Для этого в каждый HTTP-запрос, передаваемый на Web сервер, серверный модуль защиты добавляет специальную переменную Web сервер, серверный модуль защиты добавляет специальную переменную заголовка, в которую дописывает имя клиента («заголовка, в которую дописывает имя клиента («Subject nameSubject name» из личного » из личного сертификата пользователя). Web мастер может использовать при создании сертификата пользователя). Web мастер может использовать при создании Web сервера, защищенного системой «Корвет-ММВБ», это имя для Web сервера, защищенного системой «Корвет-ММВБ», это имя для разграничения доступа клиентов к ресурсам Web сервера;разграничения доступа клиентов к ресурсам Web сервера;

3. Ведет журнал событий в удобном для просмотра формате; 3. Ведет журнал событий в удобном для просмотра формате;

4. На серверном модуле защиты возможна архивация (в файл) подписанных 4. На серверном модуле защиты возможна архивация (в файл) подписанных данных совместно с их ЭЦП.данных совместно с их ЭЦП.

Общая схема интерактивного Общая схема интерактивного доступадоступа

Система «Корвет»

Открытый НТТР протокол

Клиентский модуль защиты (Proxy)

Шифрованный НТТР протокол

Серверный модуль защиты (Proxy)

Открытый НТТР протокол

Browser (Microsoft Internet Explorer)

WEB - сервер НДЦ

ПользовательДепонента

Транспорт

(сеть

Internet)

НДЦ

Доступ1

Доступ 2

Доступ 1

Доступ 2

2020

СтруктурнаяСтруктурная схема системы «Корвет-ММВБ»схема системы «Корвет-ММВБ»





Участник (Пользователь) СЭД




ШифрованныйHTTP протокол

eClearSettle (eCS)

Между Browser и Клиентским модулем защиты

открытый HTTP протокол

ОткрытыйHTTP протокол

НДЦ(Организатор подсистемы СЭД)

Прокси сервер «Корвет-ММВБ»



E-mail, Open mail

- Интернет обозреватель (Browser) - ПО «Справочник сертификатов- СКЗИ «Верба-OW» v.6.0 и выше- ПО «Корвет-ММВБ» (клиенская часть)

двухсторонняя криптографическая аутентификация (обмен сертификатами открытых ключей ЭЦП) и установление шифрованного HTTP соединения с клиентским модулем










eClearSettle (eCS)



Открытый

HTTP протокол со специальной переменной заголовка, в которую дописывает имя клиента (Subject name) из сертификата.





E-mail, Open mail



Прокси клиент «Корвет-ММВБ»










eClearSettle (eCS)



Открытый






E-mail, Open mail













Web сервер системы ИАД



Открытый






E-Mail. Open Mail




Клиентская часть системы “Корвет-ММВБ”

всегда добавляет сертификаты аутентифицированных

серверных частей “Корвет-ММВБ” в свой «Локальный справочник сертификатов».

2121

Требования регулирующих органов по обеспечению Требования регулирующих органов по обеспечению безопасной эксплуатации СКЗИ:безопасной эксплуатации СКЗИ:

1.1. Федеральный закон №1-ФЗ «Об Электронной цифровой подписи» Федеральный закон №1-ФЗ «Об Электронной цифровой подписи» от 10.01.2002 года;от 10.01.2002 года;

2.2. Организационно-технические требования по обеспечению Организационно-технические требования по обеспечению безопасности информации при ее защите по уровню КC1 безопасности информации при ее защите по уровню КC1 (Требования ФСБ определяются условиями лицензирования, а (Требования ФСБ определяются условиями лицензирования, а также правилами эксплуатации СКЗИ);также правилами эксплуатации СКЗИ);

3.3. «Инструкция об организации и обеспечении безопасности «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Приказ ФАПСИ от составляющих государственную тайну» (Приказ ФАПСИ от 13.06.2001 №152). 13.06.2001 №152).

2222

Результаты плановых Результаты плановых проверок в 2008 году проверок в 2008 году

В лучшую сторону:В лучшую сторону: 1. среди филиалов1. среди филиалов – Сибирский филиал – Сибирский филиал НДЦ (директор Колбин С.Е.; отв. за НДЦ (директор Колбин С.Е.; отв. за эксплуатацию СКЗИ – Бутаков А.В.);эксплуатацию СКЗИ – Бутаков А.В.);2. Среди региональных представительств2. Среди региональных представительств – РП на «ММВБ-Юг» (ген. Директор – РП на «ММВБ-Юг» (ген. Директор Тютюнник М.Н.; отв. за эксплуатацию Тютюнник М.Н.; отв. за эксплуатацию СКЗИ – Хатющенко Г.В.)СКЗИ – Хатющенко Г.В.)

В худшую сторону:В худшую сторону: РП при СВМБ (отв. РП при СВМБ (отв. исполнитель Брус Е.Д.)исполнитель Брус Е.Д.)

2323

Основные недостатки, выявленные в ходе проверок:Основные недостатки, выявленные в ходе проверок:

1.1. По документации (отсутствуют или сделаны с По документации (отсутствуют или сделаны с ошибками):ошибками):

- приказ о назначении ответственного за эксплуатацию СКЗИ;приказ о назначении ответственного за эксплуатацию СКЗИ;

- приказ о назначении комиссии по уничтожению СКЗИ;приказ о назначении комиссии по уничтожению СКЗИ;

- инструкция ответственному за эксплуатацию СКЗИ; инструкция ответственному за эксплуатацию СКЗИ;

- инструкции пользователю СКЗИ;инструкции пользователю СКЗИ;

- инструкции по уничтожению СКЗИ.инструкции по уничтожению СКЗИ.

2424


2. 2. Учет криптоключей и СКЗИ осуществляется с Учет криптоключей и СКЗИ осуществляется с нарушением требований руководящих нарушением требований руководящих

документов:документов: - журнал поэкземплярного учета СКЗИ не ведется (или - журнал поэкземплярного учета СКЗИ не ведется (или

ведется с ведется с большим количеством ошибок);большим количеством ошибок);

- криптобиблиотеки «Верба-- криптобиблиотеки «Верба-OWOW», ключи регистрации », ключи регистрации пользователей в пользователей в

журнале не учитываются; журнале не учитываются; - ключи регистрации и рабочие криптоключи ответственного - ключи регистрации и рабочие криптоключи ответственного

за за эксплуатацию СКЗИ и отв. исполнителей хранятся на столе в эксплуатацию СКЗИ и отв. исполнителей хранятся на столе в

открытом открытом виде, но не в сейфе;виде, но не в сейфе;

- при уходе в отпуск ответственного за эксплуатацию СКЗИ - при уходе в отпуск ответственного за эксплуатацию СКЗИ криптобиблиотеки, журналы учета под роспись в журнале криптобиблиотеки, журналы учета под роспись в журнале

или по акту или по акту не передаются;не передаются;

- - акты на уничтоженные СКЗИ и криптоключей часто не акты на уничтоженные СКЗИ и криптоключей часто не оформляются;оформляются;

- ключи, срок действия которых истек, планово в - ключи, срок действия которых истек, планово в установленные сроки установленные сроки

не уничтожаются.не уничтожаются.

2525


3. Эксплуатация СКЗИ:3. Эксплуатация СКЗИ: - системные блоки компьютеров с установленными СКЗИ не системные блоки компьютеров с установленными СКЗИ не

учитываются установленным порядком и ответственным за учитываются установленным порядком и ответственным за эксплуатацию СКЗИ не опечатываются;эксплуатацию СКЗИ не опечатываются;

- файлы верификации СКЗИ на ПК не устанавливаются;- файлы верификации СКЗИ на ПК не устанавливаются;

- на ПК с СКЗИ устанавливаются посторонние программы - на ПК с СКЗИ устанавливаются посторонние программы (игры);(игры);

- на дискеты с криптоключами записывается посторонняя - на дискеты с криптоключами записывается посторонняя информация.информация.

2626

Спасибо за Спасибо за внимание!внимание!

Отдел развития и обеспечения электронного Отдел развития и обеспечения электронного документооборотадокументооборота

Контактный телефон :Контактный телефон :+7 (495) 956-09-34+7 (495) 956-09-34

E-mailE-mail:: [email protected]@ndc.ru

Управление программно-технического обеспечения

Documents

Transcript of Управление программно-технического обеспечения