Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Будущие российской карточки

(Нет голосов)

19.02.1998 Количество просмотров 1012 просмотров

По материалам докладов С. В. Алексашенко (Центральный Банк России), К.Я. Мытника (UnionCard), А.Е. Павлова (ФАПСИ), В. Б. Скоробогатова (НТЦ «Атлас»), В.Д. Аносова (ФСБ), В.В. Симонова (Федеральный фонд развития электронной техники) на Форуме, а также по результатам неформального общения с сотрудниками этих и других компаний и организаций.

врезка Из выступления заместителя Генерального директора ФАПСИ В.Г. Матюхина, посвященного результатам работы специалистов ФАПСИ по выполнению решений Второй Международной специализированной конференции «Интеллектуальные карты России-96».

За 2 года, прошедшие с момента проведения Второго форума «Интеллектуальные Карты России-96», сделано очень многое:

- возросла координация совместных усилий в продвижении передовых технологий, завершены работы по созданию концепции информационной безопасности платежной системы на основе пластиковых карточек;

- разработана и принята комплексная программ ЭЛПЛАСТ по развитию инфраструктуры и технических средств;

- разработан первый отечественный кристалл для интеллектуальных карточек. Ведутся работы по организации в России производства таких карточек;

- развернуты работы по созданию отечественных модулей безопасности для терминальных устройств и процессинговых центров;

- ведутся работы по достижению высокой совместимости российской интеллектуальной карточки с международными карточками.

Организуя проведение форума, мы ставили своей целью ознакомление участников с передовыми достижениями российских и зарубежных фирм в области изготовления и использования пластиковых карточек, а также обсуждение на форуме следующих тем:

- совершенствование российской законодательной базы, определяющей права и обязанности участников системы безналичных расчетов на основе пластиковых карточек;

- разработка комплексной технологической платформы платежной системы национального масштаба;

- разработка отечественных стандартов на карточки, предназначенные для использования в качестве телефонных, медицинских, удостоверений личности, средств ограничения доступа, транспортных карточек и т. д.;

- разработка безопасных протоколов обмена информацией с целью повышения защищенности систем на базе интеллектуальных карточек;

- разработка и организация производства серии отечественных кристаллов для интеллектуальных карточек различного назначения;

- организация российских разработок в области процессинга карточек, более широкое привлечение отечественной науки и промышленности для создания систем на основе интеллектуальных карточек.

 

Проведение работ по созданию российской интеллектуальной карточки было организовано компаниями ОАО «Ангстрем», UnionCard и ФАПСИ. Целью участников проекта было создание интеллектуальной карточки, учитывающей российские особенности (начиная от неоднородности рынка пластиковых карточек и заканчивая климатическими условиями), удовлетворяющей стандартам российской криптографии и вместе с тем EMV-совместимой.(В скобках добавим, что не менее важной, чем создание и запуск в промышленное производство российской интеллектуальной карточки, проблемой является создание соответствующих условий для ее использования, и в том числе - формирование общественного мнения. Эта проблема, к сожалению, далека от разрешения).

Часть первая. Кристалл

Сначала был микропроцессор...

Еще два года назад, на Втором Всероссийском форуме «Интеллектуальные Карты России - 96», перед предприятиями-флагманами российской электронной промышленности была поставлена специальная задача создания отечественного кристалла для карточек с интегральной микросхемой. Надо сказать, что определенные основания для постановки такой задачи были.

ОАО «Ангстрем», несмотря на общее снижение уровня российской электроники, продолжал оставаться «на  плаву». Более того, на предприятии еще в 1992 г. было освоено производство микрокалькуляторных кристаллов (в основном для стран Юго-Восточной Азии), а впоследствии доля этого рынка, принадлежащая «Ангстрему», составила около 80% мирового объема производства. Это дало возможность заводу не только выжить, но и из собственных средств организовать проведение работ по созданию российского микропроцессора.

В 1997 г. появился первый отечественный 8-разрядный микропроцессор на базе RISC-архитектуры (семейство «Тесей»). Этот процессор не только не уступал зарубежным аналогам по быстродействию, но в чем-то и превосходил их. Первоначальной областью его применения стали, однако, не карточки, а традиционные области применения 8-разрядных микроконтроллеров.

В 1996 г. ОАО «Ангстрем» посетили представители компании UnionCard, предложившие предприятию на базе этого микропроцессора  разработать микроконтроллер для использования в пластиковых карточках. В 1997 г. такой микроконтроллер был создан. Более того, к внедрению в производство были  подготовлены и подготавливаются другие изделия: интегральная схема An5001 для изготовления таксофонных карточек памяти со встроенными средствами аутентификации,  интегральная схема An55001 для бесконтактных карточек и ряд других микросхем. Однако нас в первую очередь интересует именно микроконтроллер An15М04, предназначенный для использования в банковских карточках, мобильной связи, платном телевидении и т. д.

Этот микроконтроллер имеет многоуровневую систему защиты и полностью соответствует ISO7816. Его особенности:

- 8-разрядный высокопроизводительный микроконтроллер с RISС-архитектурой;

- базовая система команд: 52 команды;

- 16 Кбайт масочного ПЗУ для операционной системы карточки;

- 256 байт ОЗУ;

- 16Кбит ЭСППЗУ, организованное по секторам размером в 16 байт (хранение информации возможно в течение 10 лет, цикл перепрограммирования - 5 мсек, циклов стирания-перезаписи - 100 000);

- 16-разрядный таймер с 8-разрядным делителем счетной частоты;

- тактовая частота процессора - до 15МГц;

- время выполнения любой команды при частоте 10МГц - 130 нсек;

- время шифрования данных по алгоритму ГОСТ28147-89 - 0,66 мсек (память команд, использованная для реализации алгоритма шифрования - 300 команд);

- время шифрования данных по алгоритму Triple-DES - 8 мсек (память команд, использованная для реализации алгоритма шифрования - 500 команд);

- расположение контактов совестимое со стандартом ISO 7816-2.

Часть вторая. Операционная система российской карточки в исполнении UnionCard

Мы строили, строили, и, наконец, построили...

(Популярный мультфильм советского времени)

Параллельно с созданием кристалла проводились работы по созданию операционной системы карточки. В первой версии микроконтроллера в ПЗУ введена операционная система платежной системы UnionCard с рабочим названием UniCOS.

При разработке как самого кристалла, так и операционной системы карточки значительное внимание уделялось вопросам обеспечения безопасности и, в первую очередь, аппаратной защите, требования к которой формулировало ФАПСИ. В частности, в микроконтроллере интеллектуальной карточки An15M04 предусмотрены следующие меры защиты от доступа извне к ключам шифрования:

- каждая микросхема имеет сектор с индивидуальными данными с однократным программированием;

- никаким внешним воздействием нельзя вернуть микросхему в исходное состояние («до персонализации»);

- имеются датчики, отслеживающие уход питающего напряжения за диапазон работоспособности микросхемы;

- манипуляции уровнями и длительностями входных сигналов не приводят к непредсказуемым отказам в работе микросхемы;

- технология блоков ПЗУ и ЭСППЗУ команд использует плавающие затворы; имеется покрытие слоем металлизации, затрудняющее доступ к содержимому этих блоков.

Дополнительно средствами операционной системы реализованы следующие защитные меры:

- контроль целостности аппаратных и программных компонентов на всех этапах жизненного цикла карточки. Карточка не может быть персонализована без выполнения самотестирования. Все проверки производятся на уровне процессора карточки, без использования дополнительных контактов. Кроме того, при каждом включении питания на этапе эксплуатации карточки выполняется рабочее самотестирование;

- расчет контрольных сумм ЭСППЗУ;

- аппаратная коррекция ошибок ЭСППЗУ;

- контроль целостности транзакций;

- развитая система разграничения доступа.

В карточке реализованы алгоритмы шифрования DES, Triple DES, ГОСТ. Кроме того, в карточке аппаратно «зашита» генерация случайных чисел, которая используется при расчете сессионных ключей и диверсификации ключей. Таким образом, карточка может быть использована и как модуль SAM (например, в таксофонных аппаратах, терминалах).

Операционная система UNICOS является мультиоперационной. Это означает, что на одной карточке может быть расположено несколько разнородных приложений, которые могут использовать выделенные ресурсы памяти изолированно друг от друга или разделять их между собой.

В карточке реализован базовый набор команд, общий для всех приложений. Однако с приложениями могут быть связаны дополнительные наборы команд, которые могут расширять или модифицировать базовый набор. Если кодировка команды в дополнительном наборе совпадает с кодировкой в базовом наборе, команда из дополнительного набора получает более высокий приоритет. Такой подход позволяет достаточно просто реализовать на карточке заказные «маски».

Нередко возникает необходимость выпуска небольшого числа карточек для специальных целей, когда производство новой «маски» будет нерентабельным. Для этого случая в операционной системе карточки реализован механизм исполняемых пользовательских программ, загружаемых в энергонезависимую память (то есть встроена своего рода виртуальная машина P-кодов). При этом программы, исполняемые на виртуальной машине, не получают полного контроля над всеми ресурсами карточки, и, таким образом,  не создается угроза другим приложениям.

Написание программ на P-коде - скриптов - на порядок проще, чем написание программ в собственных кодах процессора, и они получаются гораздо компактнее. Каждый скрипт имеет собственную область хранения данных в энергонезависимой памяти.

Аппарат скриптов был использован в тестовом варианте операционной системы для реализации EMV-приложений[1]. Специалисты Union Сard реализовали на карточке три типа приложений: «электронный кошелек», «электронные деньги» и «модуль безопасности».

Операционная система состоит из ядра, включающего драйверы устройств и криптографическое протоколы. Далее раcполагаются файловая система и система разграничения доступа к виртуальной машине. На следующем уровне реализована базовая система команд, в том числе система команд в стандарте ISO. Далее располагается расширенный набор команд, необходимый для реализации конкретных приложений (рис. 1)

врезка

Этапы реализации проекта

Февраль 1996 г.

Начало реализации проекта

Декабрь 1996 г.

Проект операционной системы на аппаратном эмуляторе

Июнь 1997 г.

Тестовая операционная система, содержащая только ядро

Октябрь 1997 г.

Первая реальная операционная система UNICOSv 001

Декабрь 1997 г.

ОС UNICOS v 010 (оптимизированная)

Январь 1998 г.

Получение от ОАО «Ангстрем» кристаллов с операционной системой UNICOSv 001

Апрель 1998 г. (план)

Утверждение спецификаций ОС UNICOSv 050 (бета-релиз)* и передача их ОАО «Ангстрем»

Июль 1998 г. (план)

Получение кристаллов с ОС UNICOSv 050, создание средств разработки приложений, компилятора и отладчика для виртуальной машины

Октябрь 1998 г. (план)

пилотный проект

*Специалисты компаний «Золотая Корона», АйТи и «Скантек» высказали свои пожелания к операционной системе, которые будут учтены в бета-релизе.

Часть третья. Программа ЭЛПЛАСТ

«Кооперация при конкуренции»

(Девиз программы

Отдельный доклад по программе ЭЛПЛАСТ был подготовлен Федеральным фондом развития электронной техники России[2]. Этот доклад был посвящен разработке единой стратегии развития инфраструктуры и технических средств для российских систем на интеллектуальных карточках.

Первая версия программы была разработана в 1994 г. После длительных консультаций, рассмотрений на межведомственных комиссиях по информационной безопасности, в ФАПСИ, учета рекомендаций российских банков - Сбербанка, Инкомбанка, Автобанка, Промстройбанка, Газпромбанка и т. д., а также мнений ведущих процессинговых компаний России, министерств и ведомств программа была полностью переработана и утверждена Попечительским Советом Федерального фонда электронной техники.

Цель программы ЭЛПЛАСТ - организация разработки и производства всех компонентов национальной платежной системы, и прежде всего - микропроцессоров с криптографической системой защиты, схем памяти, а также элементов терминальных устройств, картридеров, таксофонов, удовлетворяющих отечественным стандартам и сопрягаемых с ведущими зарубежными платежными системами. Девиз программы - кооперация в развитии инфраструктуры, технологий производств, концентрации усилий и капиталов при наличии конкуренции между банками, процессинговыми компаниями, операторами связи на уровне услуг, оказываемых клиентам.

Программа включает четыре основных раздела:

1.Состояние, проблемы и сфера применения интеллектуальных карточек.

2. Анализ рынка и прогноз потребности до 2000 г.

3. Организация производства и кооперация изготовителей электронных платежных средств.

4. Финансовое обеспечение программы.

Аппаратурно-ориентированные программы, подобные ЭЛПЛАСТ, в России очень редки. Поэтому было принято решение в 1997-1998 гг. уделить таким программам особое внимание.

Программа создания российской интеллектуальной карточки является составной частью ЭЛПЛАСТ. В согласовании и поддержке программы принимали и принимают участие ФСБ, ФАПСИ, Государственная Налоговая инспекция и другие силовые ведомства.

В то же время, создатели программы не претендуют на монополизацию российского рынка и концентрируют усилия прежде всего на создании российского интеллектуального продукта, отвечающего национальным стандартам безопасности и полностью совместимого с международными системами. В настоящее время проводятся переговоры и заключаются соглашения об организации совместных предприятий в области разработки операционных систем, производства карточек, терминального оборудования, таксофонов с ведущими французскими, немецкими и австрийскими компаниями.

Финансирование программы осуществляется из различных источников. Прежде всего, это средства из государственного бюджета. К сожалению, процент финансирования программы извне отвечает проценту изготовления продукции такого рода в России. В 1997 г. на всю федеральную целевую программу Государственная Дума выделила 300 млн. деноминированных рублей, что является сравнительно небольшой суммой по сравнению с предусмотренными в программе размерами финансирования.

Предварительные итоги программы ЭЛПЛАСТ можно сформулировать следующим образом:

1. Разработаны и проходят экспертизу отечественные кристаллы для интеллектуальных карточек.

2. Разработаны и готовятся к применению схемы памяти таксофонных карточек.

3. Разработан ряд импортзамещающих компонентов и материалов для производства интеллектуальных карточек.

4. Решены вопросы объединения финансовых и технических усилий отечественных производителей интеллектуальных карточек.

5. Внесены предложения по разработке комплексной программы создания всех необходимых компонентов платежной системы.

6. Удалось привлечь кредиты и инвестиции на организацию производства пилотных линий карточек с интегральной микросхемой, и в 1998 г. планируется выйти на объемы производства до 5 млн. таксофонных кристаллов и до 1 млн.  микропроцессорных кристаллов в России.

7. Готовится к вводу в эксплуатацию линия монтажа кристаллов на ленту проектной мощностью до 18 млн. кристаллов в год, что обеспечит необходимую замену по импорту и ценовое преимущество для отечественных производителей пластиковых карточек - НТЦ «Атлас» (ФАПСИ), фабрики Гознак (Пермь), компании «Розан-Финанс», «ОРГА Зеленоград».

В 1998 г. начинается долгожданная реализация инвестиционного проекта ОАО «Ангстрем» с участием зарубежных партнеров, рассчитанная на 2 года. Ориентировочно проект оценивается в 290 млн. долларов. Планируется привлечение иностранных кредитов в размере 210 млн. долларов США, и в этом же году начнется поставка оборудования и переход на технологию производства пластин толщиной 0,35-0,5 микрон для изготовления кристаллов.

Очень важным, если не главным, фактором успеха на рынке является фактор цены при сопоставимом качестве. Поэтому был осуществлен ряд мер - организационных, финансовых, политических - для значительного снижения цены российской продукции.

По решению Московского Правительства, в конце 1997 г. в Зеленограде была создана так называемая территориально-производственная зона (ТПЗ) «Зеленоград» (по существу, свободная экономическая зона), где не взимаются муниципальные налоги, составляющие примерно 2/3 всех налогов. Благодаря этому стоимость продукции ОАО «Ангстрем» будет минимум в 2 раза ниже стоимости зарубежных аналогов. Для организации работ по сборке терминального оборудования аналогичную зону планируется открыть в Черноголовке.

В этих ТПЗ будут размещены (а в Зеленограде уже размещены) свободные таможенные склады, что позволит снизить себестоимость металлоемкой продукции, каковой является оборудование для производства карточек, банкоматов и т. д.

Часть четвертая. Организация производства российской интеллектуальной карточки в НТЦ «Атлас»

Основой реализации проекта производства на базе НТЦ «Атлас» является кредитная линия правительства Германии (Гермес-95-2). Место размещения производства - научно-технический центр «Атлас». В качестве поставщика основного технологического оборудования была выбрана фирма Muhlbauer - мировой лидер в производстве оборудования для изготовления карточек с интегральной микросхемой с производительностью от 2 до 15 млн. карточек в год. Для поставки технологического «ноу-хау» привлечена швейцарская фирма Cardag. Разработка проекта инфраструктуры производства выполняется компанией SiemensNixdorf совместно с НТЦ «Атлас».

Структура производства интеллектуальных карточек в НТЦ «Атлас» на первом этапе включает в себя следующие основные технологические участки:

- производство заготовок карточек;

- сборка карточек;

- персонализация карточек.

Первый участок включает следующее оборудование: устройство резки листов ПВХ-пластика, группу устройств подборки и фиксации листов в многослойную конструкцию, пресс фирмы Bercley для ламинации пакета листов в монолитный лист, а также штамп для вырубки карточек из листов и укладки их в контейнеры.

На втором участке в составе оборудования имеются: устройство входного контроля и тестирования микромодулей на ленте, устройство фрезерования посадочных лент под микромодули, устройство плазменной очистки и активации, устройство клеевой ламинации и устройство имплантации микромодулей.

На третьем участке размещены устройства персонализации, устройства обработки изображений, станция подготовки данных. Оборудование участка позволяет производить запись технологической и персональной информации, тестировать микромодули карточек, обрабатывать и хранить в банке данных информацию о клиентах, включая цветные фотографии.

В составе производства организуется лаборатория контроля качества продукции. Комплект автоматизированного оборудования также закуплен.

Создаваемая в НТЦ «Атлас» производственно-техническая база ориентирована на производство карточек с различными микромодулями (как отечественными, так и зарубежными), с магнитной полосой, а также на изготовление SIM-модулей в стандарте GSM. В комбинации с микромодулем на карточку могут быть также нанесены полоса для подписи и защитно-декоративная голограмма. Фотография клиента может быть напечатана на любой стороне карточки посредством термо-трансферной печати или лазерной гравировки. Буквенно-цифровая информация наносится посредством термо-трансферной печати, лазерной гравировки или эмбоссируется. Планируемый объем производства карточек - около 3 млн. в год.

Концепция развития производства карточек в НТЦ «Атлас» в ближайшие годы предусматривает:

- на втором этапе - создание полиграфического производства для оформления листов-заготовок карточек, создание участка упаковки готовых карточек, а также расширение возможностей и производительности производства первого этапа;

- на третьем этапе - организацию производства бесконтактных, гибридных и других перспективных видов карточек на базе оборудования первого этапа производства, а также создание производства по сборке картридеров, POS-терминалов, банкоматов и встраиванию в них российских модулей безопасности, разрабатываемых в настоящее время;

- разработку и создание системы безопасности производства карточек, соответствующей требованиям платежной системы VisaInternational.

На первом этапе производства предполагается выпускать карточки на импортной пластиковой основе,  оформленные компанией Cardag, с использованием микромодулей зарубежных фирм. Концепция развития производства предусматривает разработку технологической базы для перехода на использование в первую очередь отечественных микромодулей, собственной полиграфии, отечественных материалов основы карточек.

Согласно плану, в феврале 1998 г. предполагается завершить основные строительные работы, а в марте этого года - работы по монтажу и пуско-наладке оборудования. Во 2 половине 1998 г. планируется выйти на производительность 3 млн. карточек в год.

Часть пятая, заключительная. Подготовка почвы

Слова ФАПСИ, музыка народная

Действующие лица: Федеральный фонд развития электронной техники (и стоящие за ним предприятия), Центральный банк России, Сбербанк России, коммерческие банки, компании-системные интеграторы, ФСБ, ФАПСИ.

Этот раздел назван так не случайно. По нашему мнению, большинство выступлений имело ярко выраженную идеологическую направленность, представляя собой своего рода агитки «за революцию», хотя полного единства взглядов среди участников не наблюдалось, и в некоторых выступлениях так или иначе проявлялась личная позиция докладчиков. Мы приводим в этом разделе ряд цитат из наиболее, на наш взгляд, интересных выступлений, публикаций и информационных материалов. Все выделения подчеркиванием принадлежат редакции.

В.В.Симонов (Федеральный фонд развития электронной техники) : «Эта [национальная платежная] система, о которой говорится уже не один год, становится необходимой. Даже в бывших республиках - Казахстане, Белоруссии - вводятся подобные национальные платежные системы.

...Пока нельзя ориентироваться на общемировую систему. Нам еще далеко и до встраивания и соответствия мировой системе. Да может быть, это и не надо делать.... не следует слишком торопиться».

«Колоссальные средства сейчас тратятся многими нашими банками, и в том числе Центральным банком, некоординированно. Мы призываем как можно больше банков и платежных систем присоединиться к этому меморандуму {«О создании единой унифицированной платежной системы»}, именно на основе интересов защиты отечественной кредитно-финансовой системы, на единой платформе обеспечения информационной безопасности[3]».

С.В. Алексашенко (Центральный банк России): «Как это ни парадоксально, использование пластиковых карточек не относится к числу банковских операций, поэтому регулирующая роль ЦБ в этом вопросе ограничивается Федеральным законом «О банках и банковской деятельности», который определяет правила игры, ограничения и возможные методы воздействия, которые имеются в распоряжении ЦБ согласно Закону «О валютном регулировании и валютном контроле».

«Центральный банк ... будет расширять требования к участию кредитных организаций в расчетах по пластиковым карточкам».

«Мы не должны конкурировать между собой в технических решениях. Нелепо создавать в России систему пластиковых расчетов, которая будет отвергать международные электронные системы».

«Я...являюсь консерватором и не разделяю эйфории, связанной с введением смарт-карт...Смарт-карты, несовместимые с международными стандартами, будут хотя и безопасными, но жутко неэкономичными... и введут российские банки в огромные расходы».

«Банковский пластиковый бизнес - это общее дело. Если мы будем решать его в одиночку - мы потеряем время и деньги».

А.А. Соболев (Сбербанк России): «Платежная система Сберегательного банка де-факто является основой для национальной платежной системы и не должна быть оторвана от внешнего мира. Она должна строиться в полном соответствии с российской спецификой».

«...Система [U.E.P.S] показала целый ряд достоинств, но в то же время и недостатки, бороться с которыми можно...»

«Мы с огромным интересом следим за развитием смарт-карт, работ по организации производства карт в России».

Компании-системные интеграторы:

Ведущие системные интеграторы - компании «Золотая Корона», АйТи, BGS и «Скантек» - в своих выступлениях были весьма лояльны к российским стандартам шифрования, а также к применению российских карточек в своих проектах. В то же время, несмотря на участие специалистов этих компаний в работе над РИК, в 1997 г. все они так же дружно начали переходить на использование в своих технологиях карточек MPCOS-EMV производства компании Gemplus.

В. Вайнштейн (АйТи): «На Форуме состоится презентация РИК, которая стоит на уровне западных аналогов.... Компания АйТи работает в тесном сотрудничестве с ФАПСИ и НАПК. К концу 1998 г. АйТи планирует реализацию проектов на РИК с российским алгоритмом шифрования» .

По словам Президента компании АйТи Т. Яппарова, создание первой российской интеллектуальной карточки на базе отечественных средств криптографической защиты информации, принятие общенациональных стандартов в области микропроцессорных карточек, формирование российской законодательной базы, определяющей права и обязанности участников систем безналичных расчетов, являются основными факторами, определяющими дальнейшее распространение микропроцессорных технологий в России. Т. Яппаров также отметил, что деятельность компании АйТи всегда была ориентирована именно на отечественный рынок, поэтому реализация программы поддержки российских стандартов для интеллектуальных карточек одинаково важна и для АйТи как разработчика технологии SmartCity®, и для клиентов компании.

Ю. Демидович (BGSSmartcardSystemsAG)[4]: «...одним из важных направлений деятельности компании в ближайшие годы является приведение системы в соответствие с российскими требованиями к защите информации. В частности, предполагается:

- организовать перенос карточного ПО на микропроцессорные карточки с российской сертифицированной криптографической платформой;

- внедрить сертифицированные решения по защите системы от несанкционированного доступа и защите каналов передачи информации;

- интегрировать в систему сертифицированные аппаратно-программные решения для генерации и хранения ключевой безопасности (модули безопасности);

- интегрировать в систему терминальное оборудование российского производства;

- пройти комплексную сертификацию системы».

В №1 журнала «Банки и технологии» за 1998 г. был опубликован проект Федерального закона «Об использовании платежных карт в российской Федерации», подготовленный при участии АРБ и НАПК. Этот закон устанавливает порядок эмиссии, обслуживания и проведения расчетов по операциям с использованием платежных карточек на территории Российской Федерации.

Принятие этого Закона чрезвычайно важно для дальнейшего развития системы безналичных расчетов на базе пластиковых карточек в составе платежной системы России. Поэтому очень важно приложить максимум усилий  к тому, чтобы он оказался работоспособным.

Между тем,  в проекте Закона обращают на себя внимание некоторые несообразности. Например, статья 15 «Эмиссия платежных карт» гласит:

«Эмиссия платежных карт на территории Россисйкой Федерации осуществляется в порядке, установленном настоящим Федеральным Законом... в соответствии с правилами и стандартами, установленными соответствующей платежной системой... с использованием сертифицированных ею программно-технических средств». То сеть правила, стандарты и программно-технические средства для эмиссии карточек определяются ни кем иным, как платежной системой. Однако в Статье 37 «Стандартизация технологий эмиссии и расчетов с использованием платежных карт» мы читаем: «Стандартизация технологий эмиссии... осуществляется органами стандартизации.. по согласованию с банком России и платежными системами». Так кто же все-таки определяет и стандартизирует технологию эмиссии?

Другая, на наш взгляд, очень важная статья - Статья 38. «Защита информации, используемой при расчетах с использованием платежных карт». В ней говорится:

«Эмитенты, эквайреры, процессинговые организации, продавцы товаров (работ, услуг), держатели платежных карт обязаны соблюдать правила по защите информации и используемых при этом программно-технических средств.

Правила по защите информации, а также по защите платежных карточек и используемых при этом программно-технических средств устанавливаются Правительством Российской Федерации по согласованию с Банком России и платежными системами».

Вот и почва для Концепции информационной безопасности ФАПСИ, которое «является головной организацией в области комплексной криптографической информации в финансовых телекоммуникационных системах Российской Федерации»!

Так что, уважаемые эмитенты, эквайреры, процессоры Российской Федерации, можете, конечно, сертифицировать свои программно-технические средства самостоятельно или использовать то, что сертифицировано платежными системами, однако ПРАВИЛАМ ПО ЗАЩИТЕ информации (Читай: концепции информационной безопасности ФАПСИ) следовать все равно придется, ибо, как следует из статьи 6 Закона, «...за нарушение прядка эмиссии, обслуживания и проведения расчетов... участники платежных систем несут в установленном законом порядке гражданско-правовую, административную или уголовную ответственность».

Что же это за правила?

В.Д. Аносов (ФСБ): «За два года, прошедшие с момента проведения конференции «ИКР-96», произошли серьезные изменения на правовом поле. Во-первых, была разработана и утверждена указом Президента №1300 от 17 декабря 1997 г. Концепция национальной безопасности Российской Федерации - фундаментальный документ, в котором систематизированы все виды внешних и внутренних угроз безопасности страны. Все органы государственной власти при разработке стратегических направлений развития своей деятельности должны руководствоваться положениями этого документа.

Концепция обеспечивает возможность дальнейшего развития национальной безопасности на долговременной основе по отдельным стратегическим направлениям.

В качестве одного из таких направлений разработан проект Доктрины информационной безопасности Российской Федерации. Цель этого документа - определение ключевых угроз в информационной сфере и консолидация усилий организаций с различными формами собственности в рамках единой политики.

Обеспечение информационной безопасности России требует постановки ряда крупных целей, на которых должны быть сосредоточены усилия всех ведомств и организаций.

Группы целей, которые имеют отношение к тематике Форума:

1. Необходимость развития отечественной индустрии средств информатизации, телекоммуникации и связи и обеспечение выхода отечественных производителей на рынок.

2. Обеспечение безопасности информационных и коммуникационных систем, создаваемых и используемых на территории России.»

С Доктриной информационной безопасности тесно сопряжена Концепция обеспечения информационной безопасности платежной системы, разработанная специалистами ФАПСИ. В основу Концепции положены результаты анализа угроз безопасности различных звеньев платежной системы.

С учетом этих угроз ФАПСИ, в частности, выработало ряд конкретных требований к таким элементам системы, как пластиковые карточки и терминальное оборудование. Правда, с учетом реального состояния дел банкам сделано некоторое послабление: разрешено поэтапно наращивать меры информационной безопасности, используемые в российской интеллектуальной карточке и терминальном оборудовании.

А.Е. Павлов (ФАПСИ): «На первом этапе в операционной системе карточки должен быть реализован алгоритм шифрования ГОСТ 28147-89, который следует использовать в качестве основы для протокола аутентификации карточки, протокола защиты транзакции, процедуры диверсификации ключей и т. д. Реализация электронно-цифровой подписи вследствие ограниченных возможностей карточек и терминального оборудования на этом этапе не требуется, но платежные системы, использующие такие меры безопасности, должны носить ограниченный характер.

На втором этапе в терминальном оборудовании дополнительно к мерам информационной защиты первого уровня должна быть реализована электронно-цифровая подпись по ГОСТ Р3410, Р3411. Реализация ЭЦП в карточках не является обязательной. Платежные системы, использующие защитные меры второго этапа, могут быть развернуты в широких масштабах.

На третьем этапе ЭЦП должна быть реализована и в терминальном оборудовании, и в карточках. Система на базе таких карточек, как следует из Концепции, достаточно защищена от угроз информационной безопасности, чтобы быть развернутой в национальном масштабе».

По мнению разработчиков Концепции, на втором и третьем этапах целесообразно проводить эмиссию карточек в 2 этапа - пре-персонализация и персонализация. Первый этап должен проходить в едином российском центре. Данный центр должен контролироваться со стороны государства. Это будет надежной гарантией от попадания в платежную систему некачественных РИК или РИК, специально внедряемых в систему с целью нанесения ей ущерба. РИК, прошедшие пре-персонализацию, будут передаваться в банки-эмитенты, которые, имея соответствующие лицензии, смогут самостоятельно их эмитировать, выполняя в процессе эмиссии операцию персонализации».

Некоторое послабление сделано лишь для эмитентов, эквайреров и процессоров международных карточек. Как следует из статьи 3, «В случае противоречия норм законодательства Российской Федерации общепризнанным правилам международных платежных организаций в отношениях с участием организаций-нерезидентов применяются общепризнанные правила международных платежных организаций».

Соответствующая оговорка есть и в Концепции информационной безопасности ФАПСИ: «Основные архитектурные решения платежной системы связаны с использованием ИК, в том числе ИК иностранной разработки и производства, с использованием операционных средств общего применения, в том числе и содержащих механизмы защиты, с использованием прикладного программного обеспечения и интерфейсных модулей также иностранного производства.» Видимо, поэтому «использование криптографических алгоритмов и средств их реализации, применяемых в зарубежных платежных системах, допустимо для целей сопряжения отечественных и зарубежных платежных систем». Вероятно, в целях такого «сопряжения» в МО ПНИЭИ проводятся работы по реализации российского криптоалгоритма ГОСТ 28147-89... на карточке MCOS производства зарубежной компании Gemplus. Как говорится, «лучше соломки подстелить...»

Международные платежные системы, безусловно, имеют в отношении России далеко идущие планы. Например, платежная система VisaInternational прогнозирует на 1998 г. «триумфальное шествие» в России своего продукта  - СОРАС. Но если использовать для, в общем-то, конкурирующих программ - российской карточки и СОРАС - различные карточки, терминалы, банкоматы,  это окажется для банков слишком дорогим удовольствием, и они волей-неволей должны будут делать выбор, в котором из проектов участвовать. Остается надеяться, что и карточки, и оборудование российского производства будут пригодны к использованию как в российских, так и в международных платежных системах, как это, кстати, и декларируется его производителями или потенциальными производителями.

Однако...

Международные платежные системы давно и успешно придерживаются практики сертификации. Чтобы попасть в списки сертифицированныхизготовителей банкоматов, терминального оборудования, карточек, необходимо подтвердить соответствие производства Минимальным стандартам безопасности платежных систем. Как нам кажется, нет никаких оснований рассчитывать на сертификацию международными платежными ассоциациями российского производства карточек с криптоалгоритмами DES и TripleDES, реализация которых выполнена силами российских разработчиков, в то время как мы отказываемся признавать «дееспособность» карточек с такими алгоритмами, изготовленных сертифицированными зарубежными производителями. За одним исключением: если российские криптоалгоритмы не будут реализованы на испытанных временем, надежных микроконтроллерах зарубежного производства в дополнение к уже присутствующим там алгоритмам DES, TripleDES, RSA (или что там еще предложат международные платежные системы).  Есть над чем задуматься...n



[1]Для этого было несколько причин. Дело в том, что спецификации EMV не регламентируют, каким именно образом должны выполняться ключевые команды GETPROCESSINGOPTIONSи GENERATERECEIVE. Каждая платежная система выпускает собственные спецификации дополнительно к EMV, уточняющие и конкретизирующие параметры этих команд.

[2]Федеральный фонд развития электронной техники объединяет более 300 предприятий бывшего Министерства электронной промышленности России, которые участвуют в организации производства как компонентов электронной техники, так и материалов, оборудования и аппаратурных средств. Исполнителями программы ЭЛПЛАСТ являются более 20 предприятий, организаций и научных коллективов.

 

[3]Выделение - наше

[4]на пресс-конференции компании 10 февраля 1998 г.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первым в мире банкоматом с использованием технологии cash-ресайклинга был выпущенный на японский рынок в 1982 г. аппарат OKI AT 100?