Материалы Управления внешних связей ФАПСИ к конференции "Интеллектуальные карты России - 2000”(21-22 ноября 2000 года)За время, прошедшее после прошлогодней конференции, завершена практическая отработка технологии выпуска российских интеллектуальных карт на базе отечественного защищенного кристалла микроконтроллера, созданы и опробованы в пилотных проектах необходимые инструментальные программно-аппаратные средства для разработчиков систем. На производственных участках ГУП "Научно-технический центр "Атлас"" готова к выпуску больших серий карт автоматизированная линия. Созданное производство удовлетворяет всем международным и отечественным требования по безопасности и качеству, имеет испытательную и измерительную лабораторию, оснащенные современным оборудованием. Весной этого года согласно Постановлению Правительства Российской Федерации №368 от 21 апреля 2000 г. была создана Межведомственная комиссия по интеллектуальным картам. Это координационный орган, который должен обеспечить согласованность действий федеральных органов исполнительной власти, а также организаций по вопросам использования автоматизированных систем с интеллектуальными картами. В состав комиссии вошли руководители ряда ведомств федерального значения, в частности ФАПСИ, Минсвязи, Банка России, РАСУ, Минфина, Минэкономразвития, ФСБ и других. Одной из основных задач комиссии является разработка и реализация государственной политики в области применения на территории Российской Федерации систем с интеллектуальными картами. Для выполнения возложенных на нее задач комиссия осуществляет взаимодействие с международными организациями по вопросам создания систем с интеллектуальными картами, в том числе с организациями государств - участников СНГ; организует разработку нормативных правовых актов в области использования систем с интеллектуальными картами. На заседаниях комиссии заслушиваются представители федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, заинтересованных организаций по вопросам, входящим в компетенцию Комиссии. Для организации успешной работы при Комиссии созданы четыре рабочие группы:рабочая группа по унифицированной автоматизированной расчетной системе с использованием интеллектуальных карт (руководитель от Банка России); рабочая группа по вопросам защиты информации в автоматизированных системах с интеллектуальными картами (руководитель этой рабочей группы назначается от ФАПСИ). Основные задачи рабочей группы - выработка единой стратегии обеспечения информационной безопасности при использовании систем с интеллектуальными картами; разработка руководящих документов и мер в области защиты информации в системах с интеллектуальными картами; рабочая группа по вопросам использования интеллектуальных карт в межведомственных, межотраслевых и межрегиональных автоматизированных системах (руководитель от Минсвязи России). рабочая группа по разработке и внедрению комплексных решений для автоматизированных систем с интеллектуальными картами (руководитель от Российского агентства по системам управления РАСУ). Основные задачи рабочей группы - организация разработки, производства и внедрения отечественных компонентов для систем с интеллектуальными картами; решение вопросов стандартизации; разработка комплекса мер по развитию Отечественных производителей интеллектуальных карт и терминального оборудования. Кроме того, в настоящий момент формируются еще две рабочие группы: по транспортным картам и вопросам использования интеллектуальных карт в социальных проектах. Принятая Российским государством в июне 2000 года Доктрина информационной безопасности требует развития отечественной индустрии средств информатизации, коммуникации и связи, обеспечения входа российской продукции на мировой рынок. Не последнее значение при решении этих вопросов играет развитие систем с использованием современных информационных технологий на основе микропроцессорных пластиковых карт. Необходимость развития таких систем сегодня ни у кого не вызывает сомнений. На повестке дня стоит актуальный вопрос по развитию инфраструктуры и технических средств для российских систем с использованием интеллектуальных карт различного применения, предусматривающих достижение высокой совместимости с системами и средствами крупнейших мировых производителей. Следует отметить, что функциональные характеристики самой российской карты обуславливают широкий спектр областей ее возможного использования. Это банковские и телефонные карты, документы, удостоверяющие личность, медицинские и страховые карты, платежные средства на транспорте, средства разграничения доступа к информации и защиты от НСД и многое другое. На конференции присутствуют представители банковских структур и это вполне естественно, поскольку существенным сектором потенциального применения РИК являются платежные системы. Учитывая размеры Российской Федерации и существующую инфраструктуру, интеллектуальные карты являются наиболее перспективным средством безналичных платежей. Появление полностью российской карты означает возможность строить сегодня системы национального масштаба. Важным фактором, подчеркивающим значение нашего форума и обсуждаемых на нем вопросов является участие представителей Ассоциации банков, участников платежной системы Euro Pay и их интерес к российским разработкам. Не секрет, что предлагаемы решения, созданные при участии ФАПСИ, позволяют избежать проблем, возникших в недавнем прошлом с карточками с магнитной полосой. Роль Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) при решении задачи обеспечения информационной безопасности российских систем на базе интеллектуальных карт определена действующим законодательством и Указами Президента Российской Федерации (№334 от 03.04.94 и №662 от 03.07.95). А частности, ФАПСИ выполняет функции головной организации в области комплексной криптографической защиты информации в финансовых телекоммуникационных системах государства. В настоящее время развитие компьютерных сетей и телекоммуникаций значительно расширило возможности применения современных информационных технологий и сделало возможным и необходимым создание систем юридически значимого электронного документооборота и электронной коммерции. Широкое распространение в ближайшее время получат и уже получили системы электронной торговли, включая оплату услуг, заказы продукции и тому подобное, а также системы обмена электронными юридически значимыми документами (предоставление финансовой отчетности, налоговые декларации, заключение договоров и т.д.). При этом по мере развития систем электронного обмена все более актуальными становятся вопросы обеспечения информационной безопасности при использовании для этих целей открытых каналов передачи данных, в частности сети Интернет. Общеизвестно и общепризнанно, что полноценная защита информации может быть обеспечена только средствами криптографической защиты информации. Средством обеспечения достоверности передаваемой информации является использование электронной цифровой подписи (ЭЦП). Одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутотентичности документов, хранимых, обрабатываемых и передаваемых с помощью автоматизированных информационных и телекоммуникационных систем является подтверждение принадлежности открытого ключа ЭЦП конкретному физическому и юридическому лицу посредством выдачи сертификата ключа подписи. Наиболее эффективным решением для электронного носителя такого сертификата как раз и является использование интеллектуальной карты. С участием ряда ведомств в настоящее время обсуждается вопрос создания головного Центра генерации и выдачи сертификатов "открытых" ключей пользователям систем электронного документооборота и коммерции в российском сегменте сети Интернет, как для клиентов, корпоративных клиентов, так и для поставщиков товаров и услуг в сети. Государственное унитарное предприятие НТЦ "Атлас" может выступить разработчиком программного обеспечения всех уровней для организации системы генерации и распределения ключей, выпуска с использованием российских микропроцессорных карт сертификатов открытых ключей для систем электронного документооборота и т.п. Разработка и применение в подобное системе отечественной карты с криптопроцессором для выполнения операций ЭЦП в соответствии с российским стандартом ГОСТ Р 34.10-94 позволит в перспективе значительно упростить соответствующие протоколы и программное обеспечение с одновременным повышением надежности защиты финансовых транзакций. Система информационной безопасности операционной системы РИК.В целом, система безопасности РИК полностью согласуется с разработанной в 1998 году "Концепцией обеспечения информационной безопасности платежной системы на основе интеллектуальных карт". Основные ее положения были изложены в докладе и обсуждались на предыдущем форуме. Развитие отечественного производства РИК: проблемы и перспективыВполне понятно, что для нормального развития отечественных технологий в рассматриваемой сфере необходима организация серийного производства российских интеллектуальных карт различного применения. Выше упомянуто создание в настоящее время на базе Научно-технического центра "Атлас" производства отечественных интеллектуальных пластиковых карт, использующих разработанный в России микропроцессор. Под организацию первой очереди производства РИК в НТЦ "Атлас" задействовано свыше 600 квадратных метров производственных площадей. Возможности линии простираются от процесса спекания до 12 слоев пластика (ПВХ или поликарбоната) до имплантации микромодулей различных типоразмеров и персонализации готовых карт, включая программирование чипа и запись на магнитную полосу, нанесение изображений и текста методом лазерной гравировки и термотрансферной печатью, голографические метки и фотографии. В качестве первоочередных направлений совершенствования производственной базы принято развитие собственной полиграфической базы для многотиражной офсетной печати на пластике, идет наладка оборудования. В рамках тематической выставки на стенде Федерального агентства и его лицензиатов достаточно полно представлены экспонаты, показывающие процесс производства РИК, специально разработанные приложения для отечественных смарт-карт, возможности их применения. Желающие могут получить необходимые пояснения специалистов. Области применения РИК в системах и средствах защиты информации.Технические характеристики российской карты обуславливают весьма широкий спектр областей ее возможного использования. Использование РИК в российских платежных системах. В сочетании с необходимыми системными мерами информационной безопасности программно-аппаратные средства РИК обеспечивают защиту как от масштабных атак на платежную систему с целью ее дезорганизации и наводнения системы фальшивыми платежными карточками, так и от угроз конкретным субъектам платежной системы: банкам, клиентам, пунктам предоставления услуг, обслуживания населения и др. Использование РИК в системах разграничения доступа. Интеграция РИК в качестве носителя идентификационной информации в средства разграничения доступа к ресурсам информационных систем в дополнение или вместо пароля, вводимого с клавиатуры ресурсов, так как в отличие от пароля хранящаяся в РИК информация надежно защищена от несанкционированного доступа при случайных или злоумышленных действиях персоны, использующей РИК. Разработанные российские интеллектуальные карты с реализованным российским стандартом криптографической защиты данных ГОСТ 28147-89 могут быть использованы для организации контроля за доступом к услугам сети Интернет с рабочих станций общего пользования. Наличие у абонента персонифицированной РИК позволяет проводить взаимную аутентификацию (опознавание) карты и терминала, а персональный идентификационный код (или ПИН-код) гарантирует подлинность владельца карты. При этом "интеллектуальность" РИК позволяет надежно защитить карту от подделки. Более того система с использованием РИК позволяет организовать непрерывное наблюдение за правомерностью предоставления услуг за счет динамического контроля за наличием "правильной" карты владельца в считывающем устройстве (или карт-ридере) в течение всего сеанса работы, а также реализовать многие другие функции, помогающие администратору безопасности всей системы в целом. Использование РИК в качестве носителей парольной, ключевой и другой конфиденциальной информации. Электронные документы на основе РИК. Использование новых документов-пропусков, созданных на основе пластиковых карт со встроенным микроконтроллером, позволяет применить современные информационные, криптографические технологии, обеспечивающие высокий уровень защиты от подделки таких пропусков и дополнительные охранные функции. Перспективные области применения РИК (электронные паспорта предприятий, мобильные защищенные терминалы, персональные шифровальные средства и др.). Одним из перспективных решений в области электронных документов являются электронные паспорта предприятий - специальные смарт-карты, позволяющие идентифицировать организацию по присвоенному ей цифровому коду. Это существенно упростит взаимодействие официальных представителей предприятия или организации с административными, финансовыми и налоговыми органами, таможней и т.п. В электронный паспорт предприятия заносится адрес, наименование, имена руководителей, банковские реквизиты и другая необходимая информация. Использование РИК может сократить ненужное дублирование фискальной информации в различных органах и ограничить доступ к ней лиц, не имеющих право на получение данных сведений. Использование РИК в качестве персональных шифровальных средств предоставляет возможность создать относительно дешевое и мобильное средство автономного шифрования информации, снабженное необходимым набором ключей шифровки. Перспективы совершенствования РИК.Перспективы развития РИК в первую очередь связаны с ходом процессов совершенствования технологии микроэлектронного производства на предприятии "Ангстрем" и перехода на субмикронные технологии. Особое место занимают работы по введению в микроконтроллер РИК программно-аппаратных средств, позволяющих эффективно реализовать асимметричные криптографические алгоритмы, в частности стандарт электронной цифровой подписи ГОСТ Р-34.10. Использование таких микроконтроллеров может быть одним из технических решений проблемы создания персональных носителей для системы цифровых сертификатов на базе отечественной криптографии, позволит повысить уровень безопасности информационного обмена по сети Интернет и предложить надежные решения в области электронной коммерции. Выводы и Основные задачи на 2001 год.Имеющаяся в настоящее время в Федеральном агентстве нормативная база является достаточной для проведения сертификации по требованиям информационной безопасности любых средств, систем и комплексов, использующих РИК. Ближайшая задача - полностью завершить комплексные сертификационные исследования всех созданных вариантов российских интеллектуальных (процессорных) карт. Задача промышленности (в первую очередь предприятий системы Российского агентства по системам управления при поддержке подведомственных ФАПСИ предприятий) - развернуть серийное производство различных типов российских интеллектуальных карт и устройств для работы с ними в объемах, достаточных для обеспечения всех автоматизированных систем федерального значения, начиная с января 2001 года. Коллективам отечественных разработчиков необходимо создать для массового применения возможно более полный набор средств криптографической защиты конфиденциальной информации с носителями парольной и ключевой информации на основе российских карт. Разработанные и интегрированные в РИК меры защиты, а также специальные свойства РИК позволят обеспечить надежную защиту от НСД для таких ключевых носителей. В дополнение к этому перспективной сферой применения РИК является ее использование в качестве персональных средств шифрования информации (по сути, карманный шифратор). ФАПСИ готово к проведению работ по экспертному сопровождению разработки и сертификационных исследований средств криптографической защиты на основе РИК в целях их использования в экономически значимых для России платежных системах. Соответствующие направления подкреплены проводимыми научно-исследовательскими работами по разработке модулей безопасности для терминального оборудования. В целях внедрения РИК в качестве электронных документов, например, электронных удостоверений личности, медицинских карт, необходимо продолжить работы по созданию на базе РИК открытой унифицированной системы идентификации. В связи с бурным развитием средств и систем электронного документооборота и электронной торговли в открытых сетях особую актуальность в перспективе развития РИК на 2001 год приобретают работы по завершению разработки микроконтроллера с сопроцессором, позволяющим эффективно реализовать асимметричные криптографические алгоритмы и проверку электронной цифровой подписи в соответствии с российским стандартом. Ни для кого не секрет, что внедрение криптографического сопроцессора позволит предложить надежные доверенные решения для поддержки юридически значимых электронных транзакций в Интернет-сетях. |
НОВОСТИ
|