Иностранные чипы для карт «Мир» будут подвергать обязательной сертификации

CNews 1
Иностранные чипы для карт «Мир» будут подвергать обязательной сертификации

Отечественным чипам спешат на помощь

Проект плана мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» описывает ряд мероприятий по созданию системы стимулиров для использования хозяйствующими субъектами Национальной системы платежных карт (НСПК) и использованию в ней российских чипов. Соответствующий документ подготовлен Центром компетенций, созданным на базе Сбербанка.

В первую очередь, следует разработать законодательную базу для поэтапного введения обязательной процедуры сертификации (оценки соответствия) изделий микроэлектроники, используемых для переводов денежных средств в национальной платежной системы, с указанием критериев для отправки изделий на сертификацию.

На сегодня наиболее актуальными продуктами являются банковские платежные карты, говорится в документе, но в будущем система оценки соответствия может распространяться и на изделия микроэлектроники, применяемые в других областях «цифровой экономики».

Защита от возможных санкций

Необходимость введения отечественной сертификации связана с тем, что в случае международных санкций EMVCo (международный стандарт Europay, Mastercard и Visa для стандартизации операций по банковским картам) может приостановить на неопределенный срок выдачу сертификатов безопасности на отечественные микросхемы. Без сертификатов же платежные системы не могут допускать к использованию, поэтому и следует создать альтернативу зарубежной системе сертификации, говорят авторы документа.

Программа «Цифровая экономика» предполагает введение обязательной сертификации зарубежных чипов для платежных карт «Мир»

Кроме того, необходим контроль безопасность не только отечественных микросхем, но и зарубежных. В то же время для обеспечения непрерывности функционирования НСПК введение системы сертификации следует осуществлять поэтапно, указано в проекте плана мероприятий. Также следует разработать требования для проведения сертификации, в том числе с участием ФСТЭК и ФСБ.

К марту 2018 г. на территории России должна появиться сертификационная лаборатория, осуществляющую проведение сертификацию по требованиям PCI HSM (набор спецификаций для аппаратных устройств безопасности платежей), PCI PTS (набор спецификаций для безопасного проведения платежей по картам) и по требованиям российской системы сертификации изделий микроэлектроники.

Также будущая лаборатория должна будет осуществлять сертификацию всего комплекса средств ИТ и информационной безопасности, который подпадают под международные стандарты PCI/EMV: HSM (hardware security module, устройство для безопасного ввода данных), терминалы оплаты, модули безопасности (SAM) для разных платежных устройств: банкоматов, инфоматов и пр.

По плану, лаборатория должна начать проводить тестирование продукции для НСПК до начала 2019 г. К этому же моменту должны быть введены нормативные требованию по использованию в национальной платежной системы микроэлектроники, сертифицированной по отечественным требованиям.

Сейчас отечественные платежные системы не имеют таких требований и часто руководствуются требованиями зарубежных ассоциаций, что приводит к «засилью зарубежных производителей и выдавливанию продукции отечественных производителей», говорят авторы документы.

Продвижение отечественной криптографии в банковском секторе

Еще одно направление проекта плана мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» - это стандартизация в Росстандарте рекомендаций по отечественной криптографии в механизмах EMV, используемых в системах платежных карт.

В том числе должен быть разработан универсальный API для встраивания HSM в банковское ПО, POS (устройство для приема платежей по картам) и ATM (банкоматы) и требования по проверкам корректности встраивания. Также следует разработать и стандартизировать рекомендации по дистанционной загрузке и смене ключевых последовательностей в устройствах самообслуживания (POS, ATM, мобильные терминалы) и разработать и стандартизировать криптографических протоколов по электронной торговле. Ожидается стандартизация 8 соответствующих рекомендаций.

Кроме того, предлагается создать постоянно действующий стенд для отработки и испытаний решений отечественных производителей оборудования и ПО, применяемых в национальной платежной системе. Также следует разработать и внедрить план поэтапного внедрения отечественных СКЗИ (средства криптографической защиты информации) в банковской индустрии с использованием платежных карт, поддерживающих отечественные СКЗИ.

Кто уже выпускает карты «Мир» с отечественными чипами

НСПК занимается процессингом в России национально-значимых платежных систем и выпуском собственных карт «Мир» - именно о чипах для них и идет речь в проекте плана мероприятий. В России производством микросхем для карт «Мир» занимается зеленоградский завод «Микрон».

Ранее завод получил от Минпромторга сертификат о том, что соответствующая микросхема К5016ИГ1 (MIK51SC72D) относится к интегральным схемам первого уровня, то есть она разработана и производиться на территории России.

Минпромторг также субсидирует выпуск чипов для карт «Мир» - 50 руб. на один чип (в этом году совокупный объем субсидий должен составить 250 млн руб.).

В пресс-службе НПСК заявили, что организация рекомендует банкам в приоритетном порядке сотрудничать с российскими производителями, но окончательный выбор остается за банками, осуществляющими эмиссию карт. Карты «Мир» с российскими чипами уже выпускают, к примеру, «Почта Банк», РКНБ, «МТС Банк» и «КС Банк». Недавно «Почта Банк» пообещал выпустить 2 млн карт «Мир» на базе чипов «Микрона».

«В картах «Мир» должны использоваться лучшие российские и международные технологии, обеспечивая держателям карт полную безопасность, - добавили в пресс-службе НСПК. - Именно поэтому НСПК определила единые для всех спецификации и требования к элементам платежной карты».

Директор по продуктам «Микрона» Денис Вараксин отмечает, что в настоящее время в картах «Мир» используются преимущественно иностранные чипы. «Разумеется, вопрос о национальной системе сертификации микросхем для платежных карт – актуальный, поскольку если строится национальная платежная система, то было бы разумно иметь и национальный орган для их сертификации – как с точки зрения функциональности, так и безопасности, - заявил Вараксин. - Мы полагаем, что для допуска зарубежных чипов на работу в России и в российской национальной платежной системе национальная сертификационная лаборатория необходима».

Цена вопроса

Проект плана мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» предполагает незначительные затраты на продвижение российских чипов для национальной платежной систем – только 100 млн. В то же время рабочая группа по данному направлению, которой руководит Наталья Касперская, говорит о необходимости увеличить соответствующие затраты до 800 млн руб. В том числе 400 млн руб. потребуются на открытие сертификационной лаборатории и еще 300 млн руб. на продвижение отечественных СКЗИ в банковском секторе.