7.2. Стандарт Банка России "ЦВЦБ. Стандарт. Порядок подключения Финансового посредника к Платформе Цифрового Рубля. Версия 1.2" (вместе с "Порядком действий КО при подключении к тестовому и промышленному контурам ПлЦР")

7.2.1. После перехода на защищенные по ГОСТ каналы связи подключение ФП к КС ТШ КБР должно выполняться с использованием программных и/или технических средств криптографической защиты информации, обеспечивающих защиту каналов связи на основе криптографических алгоритмов, определенных национальными стандартами Российской Федерации.

7.2.2. Дата вступления указанного требования в силу - не ранее 30.06.2023 и будет сообщена дополнительно; до указанной даты возможно применение описанной в разделе 7.1. схемы подключения с использованием Cisco AnyConnect.

7.2.3. Банк России предоставляет ФП возможность выбора варианта реализации указанного требования:

- программный: при помощи установки и настройки СКЗИ "DiSec-W"; лицензии на СКЗИ "DiSec-W" предоставляются Банком России ФП на безвозмездной основе в рамках заключенного КДБО с учетом изменений, связанных с организацией взаимодействия КО с ПлЦР;

- программно-аппаратный: при помощи развертывания и настройки ПАК Dionis (далее - ПАК); в этом случае ФП должен самостоятельно и за свой счет приобрести указанный ПАК у поставщика решения. Банк России предоставляет данные, необходимые для осуществления настроек ПАК, но не оказывает какой-либо технической поддержки по настройке и эксплуатации ПАК.

7.2.4. Используемое в программном варианте реализации СКЗИ "DiSec-W" предназначено только для защиты рабочих станций (построение криптографического туннеля от рабочей станции ФП до узлов ТШ КБР по технологии Remote Access), функционирующих под управлением ОС семейства Windows. СКЗИ "DiSec-W" должно быть установлено на каждой рабочей станции ФП, подключающейся к КС ТШ КБР, и снабжено индивидуальным набором ключевой информации. Порядок получения ключевой информации для контура ТШ КБР ПлЦР определяется каждым ТУ/ДИТ самостоятельно.

Инструкция "Порядок подключения участников обмена к автоматизированной системе "Транспортный шлюз Банка России для обмена платежными и финансовыми сообщениями с клиентами Банка России (ТШ КБР)" с использованием средств криптографической защиты каналов DiSec-W" размещена на официальном сайте Банка России по адресу:

http://www.cbr.ru/development/mcirabis/Involve_EM/

7.2.5. Для генерации ключевой информации, используемой СКЗИ "DiSec-W", должно использоваться дополнительное программное обеспечение средство криптографической защиты информации "Модуль генерации ключей - 3" (СКЗИ "МГК-3"), также распространяемое Банком России <2> на безвозмездной основе в рамках заключенного КДБО, с учетом изменений, связанных с организацией взаимодействия КО с ПлЦР.

--------------------------------

<2> Правила эксплуатации данного ПО, включающие описание требований к отдельным техническим средствам, на которых оно должно функционировать, входят в состав дистрибутивного комплекта.

Документ "Инструкция по изготовлению ключевой информации с использованием средства криптографической защиты информации "Модуль генерации ключей - 3" размещен на официальном сайте Банка России по адресу:

http://www.cbr.ru/development/mcirabis/Involve_EM/

В случае использования ПАК, ключевая информация может быть сгенерирована самим ПАК (см. документацию ПАК).

7.2.6. Для получения СКЗИ "DiSec-W" и СКЗИ "МГК-3" ФП подписывает акт передачи на предоставление СКЗИ согласно разделу 4.2, с указанием количества запрашиваемых экземпляров СКЗИ "DiSec-W". Количество экземпляров должно соответствовать количеству рабочих станций ФП, подключаемых к КС ТШ КБР, как в тестовом, так и в промышленном контурах.

Внимание! Использование СКЗИ "DiSec-W" на ПЭВМ или серверах, выполняющих роль маршрутизаторов внутренних подсетей до ТШ КБР, не допускается.

Схема подключения с использованием СКЗИ "DiSec-W" приведена на рисунке 1, где:

- АРМ генерации ключевой информации - АРМ с установленным СКЗИ "МГК-3";

- АРМ УППИ - программное средство КБР, используемое для обмена платежной информацией;

- АРМ УПТИ - программное средство КБР, используемое для обмена тестовой информацией;

- АРМ КПКИ УППИ - АРМ КПКИ, функционирующее в промышленном контуре;

- АРМ КПКИ УПТИ - АРМ КПКИ, функционирующее в тестовом контуре.

Рисунок 1 - Схема подключения с использованием СКЗИ
"DiSec-W" (не приводится)

7.2.7. Перечень адресов УПТИ ТШ КБР (тестовый контур), разрешенных портов и протоколов взаимодействия приведен в Таблице 1.

Таблица 1. Перечень адресов УПТИ ТШ КБР, портов и протоколов взаимодействия (тестовый контур).

Перечень адресов УППИ ТШ КБР (промышленный контур), разрешенных портов и протоколов взаимодействия приведен в Таблице 2.

Таблица 2. Перечень адресов УППИ ТШ КБР, портов и протоколов взаимодействия (промышленный контур).

7.2.8. Номера ТСР-портов сервисов ТШ КБР, предоставляемых после построения криптографического туннеля, приведены в Таблице 3.

Таблица 3. Номера ТСР-портов сервисов ТШ КБР.