Аппаратные модули шифтования данных HSM (шифраторы) играют решающую роль в обеспечении безопасности и защите SWIFT сообщений. Использование шифраторов HSM (в серверном исполнении или в виде USB токенов) является обязательным при передаче сообщений через FIN, InterAct и FileAct. Клиенты могут выбрать тип HSM оборудования в соответствии с требованиями к объему трафика, к защите от сбоевсистемы и восстановлению, а также в соответствии с технологическими требованиями.
• С мая 2014 года SWIFT начнет замену всех существующих шифраторов HSM box на новые модели. Это является необходимым, поскольку срок эксплуатации существующих шифраторов HSM box подходит к концу.
• Кампания по обновлению шифраторов HSM box будет проходить во всех странах с 2013 по 2015 год. SWIFT сообщит о датах и этапах программы во втором квартале 2013 года. В ноябре 2014 года SWIFT начнет поставку новых шифраторов в Россию в рамках Кампании по обновлению, а сама программа будет продолжаться до третьего квартала 2015 года. Поддержка устройств прошлого поколения закончится в конце сентября 2015 года.
• Для новых шифраторов HSM box SWIFT предусмотрел ряд усовершенствований, включая возможность упрощенной инсталляции и наличие двойных блоков питания, допускающих замену в процессе эксплуатации (т.н. «горячая замена»). Шифраторы нового поколения прошли строгую независимую экспертизу подтверждения надежности серверного оборудования.
• SWIFT упростит процесс обновления шифраторов HSM box несколькими способами, включая частичное или полное субсидирование затрат на замену шифраторов HSM box и обеспечение их ускоренного ввода в эксплуатацию при инсталляции.
• SWIFT также предложит клиентам альтернативные более бюджетные варианты технологических решений.
Так, Alliance Remote Gateway является новым облачным сервисом, который позволяет клиентам подключать Alliance Access или Alliance Entry к сети SWIFT напрямую, без использования собственного Alliance Gateway, SWIFTNet Link или аппаратных модулей шифрования данных HSM. Такое решение безусловно сократит затраты на обучение сотрудников в области использования SWIFT технологий, позволяя клиентам сконцентрироваться на бизнесе.
Вопросы и ответы:
1. Что необходимо знать существующим клиентам, использующим в работе шифраторы HSM box?
Все клиенты, использующие в настоящее время шифраторы HSM box, обязаны заменить их на новые или перейти на альтернативные решения.
Кампания по обновлению устройств будет проходить с ноября 2014 года по январь 2015 года включительно. Клиенты будут разделены на группы; в рамках указанного периода для каждой группы будут установлены конкретные сроки для обновления оборудования. Ожидается, что поставка основной части новых устройств будет произведена в 2014 году.
Поддержка шифраторов HSM box прошлого поколения будет прекращена 30 сентября 2015 года.
2. Обязательно ли заменять недавно купленные шифраторы HSM box? Почему?
Обязательно. Поскольку перестанет поддерживаться сама модель IS5 устройств HSM, независимо от времени приобретения устройства.
3. Как организовано информирование клиентов? Как можно получить больше информации о Кампании по обновлению?
SWIFT информировал клиентов о предстоящей Кампании по обновлению шифраторов HSM box лично в 2013 году и будет использовать в дальнейшем стандартные средства оповещения. Связь с клиентами будет поддерживаться через персональных сервис-менеджеров или непосредственно сотрудниками, ответственными за Кампанию по обновлению. Также, по согласованию с Московским офисом SWIFT, клиент может получать обновленную информацию от представителей авторизованного поставщика оборудования.
На сайте SWIFT (www.swift.com > Products & Services > A to Z > Hardware Security Module > Refresh campaign) вы найдете подробную информацию о Программе по обновлению шифраторов HSM box. Дополнительная информация будет предоставляться на форумах SWIFT, на встречах по обсуждению сервисного пакета Premium Plus, в новостных рассылках, через представителей авторизованного поставщика и другими способами.
В начале второго квартала 2013 года SWIFT начал информирование сообщества по основным вопросам, охватывающим большинство аспектов, благодаря которым клиенты могут планировать процесс обновления оборудования, в частности определить количество шифраторов на замену, бюджет, срок поставки, подобрать альтернативные решения, обсудить процес заказа и прочее.
4. Когда шифраторы HSM box нового поколения станут доступны для заказа?
Клиенты могут направить заказы на новую модель IS6 устройств HSM с середины ноября 2013 года; поставка устройств начнется с декабря 2013 года. А с января 2014 года будет прекращена возможность заказа шифраторов HSM box старого поколения модели IS5. Обратите внимание, что, оформляя шифратор HSM box нового поколения модели IS6 как новый заказ, предполагается приобретение дополнительного шифратора к уже имеющимся, а не замену по правилам Кампании по обновлению.
Поставка шифраторов HSM box нового поколения в рамках Кампании по обновлению (замена старых моделей IS5 на новые модели IS6) начнется с ноября 2014 года по январь 2015 года включительно в соответствии со срокоми, оговоренными с клиентами.
5. Как клиенты могут подтвердить свое право на получение субсидий от SWIFT в рамках Кампании по обновлению?
Только на основании действующих контрактов SWIFT может дать клиенту информацию о его праве на получение субсидий в индивидуальном порядке. Клиент должен проконтролировать, что полученная от SWIFT информация соответствует их ситуации.
Советы для сверки:
• Проверьте инвойсы, поступавшие от SWIFT, и выделите платежи на поддержку шифраторов HSM box, которые должны были выставляться в январе с.г.
• Проверьте количество установленных шифраторов на всех площадках (активных, тестовых, строящихся, резервных), а также все шифраторы находящиеся на складах (в т.н. «холодном» резерве).
• Список действующих контрактов на HSM оборудование доступен в разделе Прекращения Поддержки Шифраторов HSM box на сайте SWIFT (www.swift.com > Terminate HSM Box Maintenance).
• Обратите внимание на изменения инфраструктуры (перемещение или объединение шифраторов), которые могут повлиять на количество шифраторов HSM.
• Не используйте список серийных номеров для расчета объема субсидирования. Такой подход может дать неверную итоговую цифру, так как есть вероятность взять в расчет весь список поставленных шифраторов, а не их реальное количество в инфраструктуре клиента на сегодняшний день.
6. Что представляет собой шифратор HSM box нового поколения модели IS6? Какие улучшения были внесены в новую модель по сравнению с предыдущим поколением шифраторов?
Новое поколение шифраторов HSM box, модель IS6, производится той же компанией, что и предыдущие шифраторы – SafeNet.
Новые шифраторы содержат все современные компоненты, соответствующие требованиям серверного оборудования корпоративного класса, и они полностью совместимы с используемыми в настоящее время шифраторами HSM box модели IS5. Наличие встроенных в корпус заменяемых критических (базовых) компонентов делает новые шифраторы более надежными, в сравнении с шифраторами предыдущего поколения.
В состав шифраторов нового поколения входит:
• Новейшие компоненты аппаратного обеспечения, соответствующие требованиям серверного оборудования корпоративного класса;
• Запасные компоненты критического (базового) характера:
o Содержат два блока питания, допускающих замену в условиях эксплуатации (т.н. «горячая замена»);
o Вентиляторы охлаждения системы, допускающие замену в условиях эксплуатации (т.н. «горячая замена»).
• Новое PED-устройство (Персональное устройство для ввода PIN кода) может быть использовано как локально, так и дистанционно;
• Новая кнопка «Отправка на списание» на обратной стороне устройства, используемая в основном при возврате устройства поставщику, для последующей утилизации;
• Serial-to-USB адаптер идет в комплекте с шифратором;
• Светодиодные индикаторы на задней панели шифратора HSM box в сочетании со звуковым сигналом, обеспечивают надежный контроль состояния блоков питания;
• Новые шифраторы обратно совместимы. Они могут работать совместно со старыми моделями шифраторов; таким образом, не потребуется обновление программного обеспечения или перезапись ранее установленных сертификатов.
7. Какой срок службы шифраторов нового поколения IS6 HSM?
Продолжительность срока службы составляет около 6-7 лет. За 24 месяца до этого SWIFT будет направлять уведомления о прекращении поддержки.
8. Какие инфраструктурные изменения необходимы для использования шифраторов HSM box нового поколения?
В этом вопросе новый шифратор HSM box сопоставим предыдущей моделью. Незначительные изменения представлены ниже.
Источники питания:
• Новый шифратор содержит два запасных блока питания, допускающих замену в условиях эксплуатации; каждый из них способен самостоятельно поддерживать шифратор в рабочем состоянии:
o Клиенты должны обеспечить шифратор дополнительной розеткой, предпочтительно от другого источника питания, для наиболее эффективного использования запасных элементов;
o Каждый блок питания рассчитан на 450W (в устройствах прошлого поколения блок питания рассчитан на 250W).
• Длина силового кабеля электропитания не изменилась;
• Потребление энергии шифратором HSM box нового поколения (при обычных условиях эксплуатации):
| Режим работы | Показатели |
|---|---|
|
В режиме ожидания (шифратор подключен к электросети, но не включен) |
36W |
|
Импульс напряжения при включении |
15A |
|
В рабочем состоянии |
105W |
Габариты и вес:
• Новые модели немного длиннее (10 мм в длину), чем модели прошлого поколения;
• 1U корпус для монтажа в стойке; 482,6 x 533,4 x 43,8 мм; 12.7 кг.
Температура:
• Температура в режиме эксплуатации = 35°C;
• Хранение шифраторов HSM box – при температуре ниже 35°C.
9. Как будет происходить миграция с существующих шифраторов HSM box на модели нового поколения?
Новые шифраторы HSM box совместимы с шифраторами предыдущего поколения. Это означает, что новые модели могут функционировать вместе с моделями прошлого поколения в едином HSM кластере. Эта особенность не только облегчит процесс перехода на новые устройства, но и сократит операционные риски, поскольку процесс очень похож на действующую процедуру замены HSM оборудования.
Замену оборудования можно производить поочередно для каждой единицы HSM кластера, что соответственно не потребует отключения всей системы с последовательным резервированием данных. Тем не менее, рекомендуется завершить обновление кластеров в максимально короткие сроки.
Общие этапы для кластеров из двух устройств:
- Замените вспомогательный шифратор в кластере на шифратор HSM box нового поколения. Выполните проверку.
- Переведите новый шифратор в режим основного. Выполните проверку.
- Замените оставшуюся старую модель шифратора в вспомогательном режиме на новую модель шифратора.
Обзор замены устройств и описание основных этапов вы найдете по ссылке на сайте swift.com.
10. Что необходимо знать клиентам, использующим дистанционные PED-устройства?
Дистанционные PED-устройства предыдущего поколения не будут работать совместно с шифраторами HSM box нового поколения. Таким образом, клиенты должны обновить дистанционные PED-устройства на новые модели до установки шифратора HSM box нового поколения в кластер HSM. PED-устройства нового поколения совместимы как с шифраторами HSM box прошлого поколения, так и нового.
Дистанционные PED-устройства нового поколения предназначены для локальной или дистанционной работы; таким образом, есть лишь один программирования PED-устройства.
PED-устройство поставляется в комплекте с шифратором HSM box, а так также может быть приобретен отдельно для дистанционного использования.
11. Будет ли Windows 7 поддерживать PED-устройства?
Да, Windows 7 будет поддерживать дистанционные PED-устройства модели IS6.
Фактически, Windows 7 поддерживает и PED-устройства старого поколения модели IS5, начиная с версии SNL R7.0.
12. Будут ли изменены какие-либо команды для устройств HSM на SWIFTNet Link?
Изменений в действующих командах не ожидается. Однако, патч SWIFTNetLink 7.0.25 добавляет новые команды, которые доступны для загрузки в SWIFT Download Centre с июля 2013 года. Обратите внимание, что этот патч не является обязательным для шифраторов HSM box нового поколения.
Патч SWIFTNet Link 7.0.25 предусматривает:
• Новую команду для отображения статуса состояния аппаратных компонентов, таких как блоки питания и вентиляторы;
• Новые сообщения, возникающие при отключении блока питания или вентилятора.
13. Каким образом клиенты смогут получать информацию о штатных ситуациях с блоками питания и вентиляторами?
Блок питания и вентиляторы являются запасными, поэтому не требуется никакой предварительной проверки. В тех редких случаях, когда возникают проблемы с указанными комплектующими, используйте документацию устройства HSM для получения советов по устранению неисправностей.
Каждый блок питания имеет светодиод, который ведет себя по-разному в зависимости от ситуации и состояния блока питания. Присутствует также звуковое оповещение.
Новая версия SNL 7.0.25 предусматривает контроль за блоками питания и вентиляторами. При обнаружении проблемы она генерирует сообщение и создает команду, чтобы показать текущее состояние. Данная версия SNL не является обязательной для шифраторов HSM box нового поколения.
14. Есть ли какие-либо изменения по рекомендуемому количеству шифраторов HSM box для пользователей системы SWIFT?
Существующие рекомендации, закрепленные в Руководстве SN Resilience, которе осталось без изменений.
Для клиентов, использующих не самую оптимальную конфигурацию оборудования, Кампания по обновлению шифраторов HSM box является хорошей возможностью для пересмотра и внедрения оптимальных установок, которая может подтолкнуть к приобретению дополнительных шифраторов или же к оптимизации и сокращению их количества.
Обобщение данных рекомендаций:
• Основные и резервные площадки должны иметь не меньше двух шифраторов на кластер. Тестовые площадки могут использовать один шифратор;
• Клиентам, с более жесткими требованиями к защите инфраструктуры от сбоев и работающих в режиме большого трафика сообщений, настоятельно рекомендуется иметь 3 или 4 шифратора на кластер для поддержания должного уровня бесперебойности системы, даже в случае выхода из строя одного из шифраторов.
(При выборе между 3 или 4 шифраторами на кластер клиент должен исходить из внутренних потребностей к уровню защищенности от сбоев и организации структуры размещения своих площадок и кластеров)
• Резерв:
o Клиенты, имеющие в запасе шифраторы, должны планировать их замену в рамках Кампании по обновлению, чтобы повысить уровень защищенности от сбоев или отказаться от них, в принципе;
o Если клиенты намерены поддерживать в работоспособном состоянии резервные шифраторы, то их необходимо периодически подключать к источнику питания и включать до наступления даты истечения срока эксплуатации, указанной на упаковке (“Used by”). Это необходимо для поддержания оборудования в надлежащем состоянии на протяжении предполагаемого срока эксплуатации.
15. Какие существуют рекомендации по количеству (новых) PED-устройств, необходимого для одного клиента?
Новое PED-устройство может использоваться как локально, так и дистанционно; таким образом, текущие рекомендации помогут клиенту определить и заказать оптимальное количество требуемых PED-устройств, что может сократить количество ненужного оборудования и сопутствующих затрат на инвентаризацию и распоряжение активами.
Рекомендация: Клиент должен иметь минимум 2 комплекта PED-устройств на площадку (локально или дистанционно).
Образец комплекта клиента: Одна тестовая площадка с кластером из двух шифраторов; Две активные площадки по три шифратора в каждом кластере; Одна резервная площадка с двумя шифраторами в кластере; Три запасных шифратора для двух действующих кластеров и резервного; Одна площадка дистанционного администрирования.
Итого:
- количество шифраторов HSM box = 13;
- количество PED-устройств = 2 для тестовой площадки + 2х2 для актвных площадок + 2 для резервной площадки + 2 для площадки дистанционного администрирования = 10 PED-устройств.
Процесс заказа: В рамках оформления заказа по ходу проведения Кампании по обновленного шифраторов HSM box, у клиентов появится возможность оптимизировать количество приобретаемых PED-устройств, заполнив соответствующие графе в форме заказа. Для дистанционной установки PED-устройств, соответствующее оборудование может быть доставлено в другое месторасположение, отличное от адреса основной поставки, по согласованию с клиентом.
Внесение изменений в Руководство SN Resilience Guide не планируется.
16. Необходимо ли периодически перезагружать новые устройства?
Да, клиенты должны перезагружать шифраторы каждые 12 месяцев.
17. Когда начнется поддержка новых шифраторов?
Поддержка новых шифраторов начнется с момента их получения клиентом. Срок прекращения поддержки для новых шифраторов пока не определен.
18. Когда прекратится поддержка шифраторов предыдущего поколения?
Поддержка шифраторов предыдущего поколения закончится 30 сентября 2015 года. По истечении этой даты поддержка старых шифраторов осуществляться больше не будет.
Замена шифраторов предыдущего поколения для клиента закончится через шесть месяцев после поставки ему всех обновленных шифраторов (особенно для клиентов, которым поставка осуществляется разными партиями).
19. Что произойдет, если старый шифратор выйдет из строя в ходе Кампании по обновлению?
По общему правилу SWIFT продолжает поддерживать и ремонтировать шифраторы предыдущего поколения до сентября 2015 года. В зависимости от статуса обновления шифраторов к клиенту могут применяться иные правила.
Существует 3 ситуации::
1) Если шифратор предыдущего выходит из строя до поставки шифратора нового поколения, SWIFT заменит его на модель предыдущего поколения. Если клиент хочет заменить его на новую модель, то он должен обратиться в SWIFT с просьбой ускорить поставку шифратора нового поколения. Запрос будет обработан вручную, исходя из доступных мощностей.
2) После поставки шифраторов нового поколения SWIFT рекомендует использовать новые модели, поступившие клиенту для замены вышедшего из строя оборудования. Тем не менее, клиент может попросить предоставить ему шифратор предыдущего поколения.
3) Через 6 месяцев после поставки всех устройств клиенту SWIFT прекратит замену шифраторов прошлого поколения. Данное правило связано с ожиданиями, что клиент установит шифраторы нового поколения и демонтирует старые шифраторы в течение 6 месяцев. Для клиентов, которым поставка оборудования осуществлялась частями, 6 месяцев будут отсчитываться со дня последней поставки.
20. Что нужно делать со старыми шифраторами после их отключения от кластера?
Старые шифраторы проходят процедуру утилизации (чистка и уничтожение). SWIFT предоставит соответствующее руководство.
21. Будет ли SWIFT оказывать содействие при обновлении шифраторов?
SWIFT заинтересован в предоставлении помощи клиентам. Для решения текущих вопросов Кампании по обновлении свяжитесь, пожалуйста, с менеджером по работе с клиентами SWIFT.
© Росфинком 2024, Использование материалов сайта
с разрешения Росфинком и с указанием ссылки на сайт www.rosswift.ru.
+7 (499) 272-02-32 
