16 июля, понедельник 17:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Вчера общался с отделом ключевых систем госпожой Зотовой (забыл имя) , на тему новых ключей и т.п.
    Резюмируя
    1. КБР со старыми ключами будут работать до июля (если не кончатся раньше)
    2. Продлить старые ключи нельзя
    3. КБР с новыми ключами может работать при соблюдении следующих условий ключь на контролёра+КА+шифр (понятия ключ ЗК в заявке на новые ключи отсутствует)
    4. Ключи новые по любому получать надо , а это 4 ключа разных видов * 2 экземпляра = 8 ключей регистрации (см. приложение 1 , приложения 6 МЦИ)
    5. собственно имея ключи у нас около полугода на приведение ИС ПС ЦБ РФ к требуемому виду.
    ПС
    Виды ключей согласно прил. 6
    Оператор контура обработки (оператор) - подпись;
    Оператор контура контроля (контролёр) - подпись и шифрование (если АРМ КБР-Н не используется);
    Оператор контура контроля (контролёр) - подпись (если АРМ КБР-Н используется);
    АРМ КБР-Н - шифрование (если АРМ КБР-Н используется).
    :)

    Комментарий


    • #92
      Сообщение от Jony Посмотреть сообщение
      ........КБР с новыми ключами может работать при соблюдении следующих условий ключь на контролёра+КА+шифр........
      Вот интересно, сколько времени этот вариант будет оставаться работоспособным и, просьба уточнить, правильно ли я понимаю, что можно будет использовать АРМ КБР с одним ключом, которым можно будет проставлять КА на конверт и шифровать?
      Т.е. подразумевается следующая схема:
      1. Где-то проставляем ЗК (ключ "оператор") на каждое сообщение, и передаем их на п.2;
      2. На АРМ КБР проставляем КА на конверт, шифруем (обе операции с ключом "контролер+шифрование") и передаем дальше на отправку.
      Последний раз редактировалось saches; 15.09.2017, 11:28.

      Комментарий


      • #93
        Сообщение от Jony Посмотреть сообщение
        Вчера общался с отделом ключевых систем госпожой Зотовой
        Вам повезло. Вы даже "общаетесь". Наверное с местным ТУ ЦБ ?
        "Наше" ТУ как "мыши под сеном".
        Изредка пописывают письмами вообще и до сих пор нет ясности с ключами в неМосковском регионе.
        Одно "радует" - судя по степени неготовности самого ЦБ и озвученному "индивидуальному подходу" при переходе на новые условия
        какое-то время у нас вроде бы есть...

        Комментарий


        • #94
          idelta
          По Самарской области пришло письмо с вопросами о дате внедрения АРМ КБР-Н, переходе на 3 вариант защиты, внедрение подписание в АБС. В нём же о заявке на получение тестовых ключей, с указанием варианта защиты. Но ни слова про возможность использования АРМ КБР

          Комментарий


          • #95
            Добрый день.

            Есть ли в КБР-Н возможность настроить хранилище данных в СУБД MS SQL как это было в КБР. Что-то настроек по хранилищу не нашел, хотя каталог stg вроде там есть

            Комментарий


            • #96
              Сообщение от ФУ_Новокузнецк Посмотреть сообщение
              Добрый день.

              Есть ли в КБР-Н возможность настроить хранилище данных в СУБД MS SQL как это было в КБР. Что-то настроек по хранилищу не нашел, хотя каталог stg вроде там есть
              АРМ КБР-Н. Руководство по установке и настройке.docx Пункт 2.2.1
              При приёме ЭС от АС клиента на обработку и при передаче обработанных ЭС в АС клиента используется схема обмена, позволяющая взаимодействовать с АС клиента, как через каталоги обмена, так и через очереди IBM WebSphere MQ.

              АРМ КБР-Н. Руководство программиста.docx а тут про каталог stg - Хранилище списка персонала
              Т.е. хранилище сообщений они убрали.

              Комментарий


              • #97
                Сообщение от Jony Посмотреть сообщение
                Вчера общался с отделом ключевых систем госпожой Зотовой (забыл имя) , на тему новых ключей и т.п.
                Резюмируя
                1. КБР со старыми ключами будут работать до июля (если не кончатся раньше)
                2. Продлить старые ключи нельзя
                3. КБР с новыми ключами может работать при соблюдении следующих условий ключь на контролёра+КА+шифр (понятия ключ ЗК в заявке на новые ключи отсутствует)
                4. Ключи новые по любому получать надо , а это 4 ключа разных видов * 2 экземпляра = 8 ключей регистрации (см. приложение 1 , приложения 6 МЦИ)
                5. собственно имея ключи у нас около полугода на приведение ИС ПС ЦБ РФ к требуемому виду.
                ПС
                Виды ключей согласно прил. 6
                Оператор контура обработки (оператор) - подпись;
                Оператор контура контроля (контролёр) - подпись и шифрование (если АРМ КБР-Н не используется);
                Оператор контура контроля (контролёр) - подпись (если АРМ КБР-Н используется);
                АРМ КБР-Н - шифрование (если АРМ КБР-Н используется).
                Здравствуйте.

                Уточните "(см. приложение 1 , приложения 6 МЦИ)", о приложениях к какому документу идет речь?

                Комментарий


                • #98
                  Убил в диспетчере задач процесс КБР-Н работающего под оператором. Все, после этого под оператором КБР-Н не запускается. Ошибка - нарушение целостности программы. Запускаю под Администратором или Администратором ИБ и не нахожу механизма как вылечить ошибку. Кто-нибудь сталкивался? Переустановить КБР-Н? При неккореткном завершении ОС, такая же ситуация происходит?

                  Комментарий


                  • #99
                    В АИБ можно увидеть что логи повреждены, для Банка выложено письмо
                    Я переустанавливал КБР-К(астрированый) и восстанавливал сохранённые перед установкой конфиги


                    Логи могут порушиться если при открытой программе (еще не успела закрыться) запускается новый экземпляр (под другой учеткой)

                    Комментарий


                    • В КБР-Н есть ошибки(а), связанные с логом.
                      Готовлю весь предыдущий день и разом подкладываю.
                      Потом "изучаю" лог и вижу, что некорректно реализована запись в 1 лог из нескольких нитей...
                      То есть изредка, но "теряются" строки лога, которые "должны быть точно".
                      Но пока я не сталкивался с разрушением лога и специально для этого ничего не делал...

                      Комментарий


                      • Добрый день!

                        Кто встречался с такой ошибкой при установки АРМ КБР-Н ? Как можно это исправить? Спасибо!

                        Error: Инициализация - Ошибка инициализации протокола System.ApplicationException: Файл описания ПВО имеет нулевую длину.
                        в uarm.Log.LogHash.IncrementCount(String yyyyMMdd)
                        в uarm.Log.LogHash.CreateLogFile(String name)
                        в uarm.Log.uarmLog.Init(String name)
                        27.09.2017 14:54:43 - Error: uarmLog:Void Init(System.String) - Ошибка инициализации протокола
                        Файл описания ПВО имеет нулевую длину.
                        в uarm.Log.LogHash.IncrementCount(String yyyyMMdd)
                        в uarm.Log.LogHash.CreateLogFile(String name)
                        в uarm.Log.uarmLog.Init(String name)
                        в uarm.Log.uarmLog.Init(String name)
                        в uarm.uarmCore.Init(String arg)

                        Комментарий


                        • Товарищи, здравствуйте! У меня вопрос к Вам, даже несколько! Много прочитал, но есть путаница.

                          1.До следующего лета, пока можно работать на старом АРМ КБР?
                          2.С 02.10.2017 можно с АРМ КБР-Н отправлять платежки? С 02.10.2017 также можно тестировать АРМ КБР-Н?
                          3.Везде все пишут про 3 модель работы с АРМ КБР-Н. Я так понимаю, что по сути на этой моlели и все будут работать?
                          4.Раньше - КА / ЗК проставлялись на самом АРМ КБР, теперь насколько я понимаю будет следующая схема :

                          [Платежка из АБС] -> [ЗК -> КА/Шифрование] -> [АРМ КБР-Н].

                          ЗК/КА проставляем своими средствами или средствами АБС.

                          5.Два комплекта ключей: для ЗК, для КА / Шифрования?
                          Последний раз редактировалось puz27; 28.09.2017, 16:23.

                          Комментарий


                          • puz27
                            Уберите слово "шифрование" и тогда всё так.

                            Комментарий


                            • Сообщение от ФУ_Новокузнецк Посмотреть сообщение

                              Здравствуйте.

                              Уточните "(см. приложение 1 , приложения 6 МЦИ)", о приложениях к какому документу идет речь?

                              Речь идет про приложения к типовому Договору обмена ЭС, см. ссылку ниже:
                              http://www.cbr.ru/mcirabis/Involve_EM/es/project_es.rar

                              Комментарий


                              • Сообщение от puz27 Посмотреть сообщение
                                5.Два комплекта ключей: для ЗК, для КА / Шифрования?
                                Три. ЗК, КА, шифрования. Если ПУР, то еще ЗК и КА.

                                Комментарий


                                • Требуется сделать плановую смену ключей до перехода на АРМ КБР-Н.

                                  Коллеги, правильно я понимаю, что нужно сделать заявку на ключи двух типов (КО не является ПУР):
                                  Оператор контура обработки (оператор) - подпись;
                                  Оператор контура контроля (контролёр) - подпись и шифрование (если АРМ КБР-Н не используется);

                                  Когда АРМ КБР-Н будет планироваться к внедрению, то надо заказать ключи типов:
                                  Оператор контура контроля (контролёр) - подпись (если АРМ КБР-Н используется);
                                  АРМ КБР-Н - шифрование (если АРМ КБР-Н используется).

                                  Комментарий


                                  • Если я правильно понял схему
                                    [Платежка из АБС] -> [ЗК -> КА] -> [АРМ КБР-Н]/Шифрование.

                                    То при переходе на АРМ КБР-Н
                                    Надо заказать ключи типов:
                                    Оператор контура контроля (контролёр) - ЗК
                                    Оператор контура обработки (оператор) - КА;
                                    АРМ КБР-Н - шифрование

                                    Ключа будет три, идёт разделение полномочий, для размазывания ответственности.

                                    Комментарий


                                    • Сообщение от Кольченко_Сергей Посмотреть сообщение
                                      ........
                                      Оператор контура контроля (контролёр) - ЗК
                                      Оператор контура обработки (оператор) - КА;...........
                                      Если быть точным, то наоборот -- Оператор контура обработки (оператор) - ЗК; Оператор контура контроля (контролёр) - КА.
                                      Читаем - http://www.cbr.ru/mcirabis/acyoc/Inf_Mci_82(2017).pdf

                                      При переходе на 3 вариант защиты ЭС с использованием ПК АРМ КБР-Н УО должен иметь следующий комплект ключей:
                                      CN=PROCESSING
                                      OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.15
                                      Область применения ключа: Электронная подпись.

                                      CN=CONTROL
                                      OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.16
                                      Область применения ключа: Электронная подпись.

                                      CN=ARMKBRN
                                      OID расширенная область применения ключа -1.3.6.1.4.1.3670.5.10.120
                                      Область применения ключа: Шифрование ключа, Шифрование данных.

                                      Рекомендации по настройкам ПК АРМ КБР - Н при направлении ЭС в платежную систему Банка России
                                      OID сертификатов клиента:
                                      ЗК 1.3.6.1.4.1.3670.5.10.15
                                      КА 1.3.6.1.4.1.3670.5.10.16


                                      Описано несколько кривовато, т.к. функционала формирования ЗК/КА в АРМ КБР-Н, вроде бы как, не ожидается. Но, тем не менее, общий подход именно такой.

                                      Сообщение от Кольченко_Сергей Посмотреть сообщение
                                      .......Ключа будет три, идёт разделение полномочий, для размазывания ответственности.
                                      И это не размазывание, а круговая порука разделение ответственности, ну и попытка повысить контроль за отправляемыми банком ЭС.
                                      Последний раз редактировалось saches; 02.10.2017, 17:01.

                                      Комментарий


                                      • Добрый день.

                                        Подскажите, пожалуйста (или направьте на документ, в котором это описано), как правильно загружать сертификаты в Сигнатуру и сопоставлять их с пользователями АРМ КБР-Н.
                                        А именно:
                                        - сколько должно быть пользователей в АРМ (Администратор, АИБ, Оператор - это понятно. Но в письмах говорится ещё о пользователе с ролью "Контролёр". Верно ли, что нужно содавать ещё одного "оператора" для этого?);
                                        - для пользователей ПК, соответствующих каким ролям АРМ, нужно закачивать сертификаты в сигнатуру?
                                        - если операторов действительно несколько, то нужно будет переключаться между ними при импорте?

                                        -----------------------------------
                                        Удалить сообщение, похоже, уже нельзя.
                                        Стоило после нескольких дней попыток задать вопросы на форуме - и верное решение, кажется, найдено.
                                        На случай если кто-то ещё впервые устанавливает и настраивает АРМ КБР(Н), ответы:
                                        Для оператора нужен в сигнатуре профиль с личным ключом ARMKBRN, его же оид указать в настройках АРМ в качетсве сертификата для загрузки.
                                        Из профилей с ключами КА и ЗК выполнить экспорт сертификатов в формате .cer (основных). Затем импортировать их в профиль оператора АРМа.
                                        В итоге при закачке файл КА и ЗК проверяются, формируется служебный конверт, видимо, с использованием шифрования.
                                        Рассуждения ниже оставлю для истории. Разрешаю модератору удалить всю эти лишние буквы ​​​​​​​
                                        ------------------------------------

                                        Пока имею следующее:
                                        1. В целях тестирования для единственного пользователя "оператор" был указан один ("старый") сертификат для КА и ЗК. При импорте происходила проверка КА, и сразу за ней ЗК. Затем сообщение о том, что они сформированы на одном ключе.
                                        2. Для "новых" сертификатов в сигнатуре созданы два профиля для пользователя, являющегося "оператором". В одном профиле- сертификат контроля, в другом - обработки.
                                        При запуске АРМ выходит окно выбора профиля. Если выбрать профиль с ЗК - при проверке КА пишет, что не найден сертификат. Если профиль с КА- ошибка входа "Список oid загруженного сертификата не содержит значений, разрешенного в конфигурации ПК". В настройках арма в качетве оид для загрузки был указан сертификат уровня обработки - вероятно, причина в этом.
                                        3. Добавлен профиль для ARMKBRN, т.к. в рекомендациях указано, что в качестве сертификаты для загрузки нужно указывать его оид. Соответственно ошибка при попытке зайти двумя другими профилями. При проверке КА по-прежнему пишет, что сертификат не найден (при этом oid из настроек АРМ даже не указывается).


                                        В связи с этим возникают сомнения:
                                        а) а действительно ли нужно создавать несколько профилей (или - для каких пользователей их нужно создавать). В "ридми" к сертификатам: "добавить в локальный справочник необходимые сертификаты (оператора, контролера, сертификаты МЦОИ)." - такое чувство, будто это об одном профиле. Но через "обновить объекты" другие личные сертфикаты вкачать не удаётся.
                                        б) кто такой "контролёр", упоминающийся в рекомендациях по настройке (или он используется только в старом АРМ КБР?)

                                        UPD: 4. Если в качестве сертификата для загрузки указать тот же, что для КА, и зайти под этим профилем, то проверка КА проходит, но ошибка "сертификат не найден" теперь на проверке ЗК. Получается, оба сертификата должны быть как-то указаны для одного профиля?
                                        (хотя оид указывается сертификата, а не профиля...)

                                        UPD2:
                                        Насколько я понимаю, по профилю в сигнатуре, созданному, например, для control100, в нём, видимо, содержится информация о других сертификатов. Например, о том же processing100. При попытке сделать рабочим, просит носитель с ключом, но ключ с таким номером не прилагался ...
                                        Также была попытка сделать экспорт сертификата обработки и импорт в профиль с КА в формате .cer. АРМ всё равно пишет,что не найден.
                                        Последний раз редактировалось AF22; 02.10.2017, 19:36.

                                        Комментарий


                                        • Сообщение от AF22 Посмотреть сообщение
                                          Добрый день.

                                          Подскажите, пожалуйста (или направьте на документ, в котором это описано), как правильно загружать сертификаты в Сигнатуру и сопоставлять их с пользователями АРМ КБР-Н.
                                          А именно:
                                          - сколько должно быть пользователей в АРМ (Администратор, АИБ, Оператор - это понятно. Но в письмах говорится ещё о пользователе с ролью "Контролёр". Верно ли, что нужно содавать ещё одного "оператора" для этого?);
                                          Три и должно быть, всё остальное нового АРМ не касается. Задача Оператора(АРМ-Н) проверка КА\ЗК, шифрование, контроль. "Контролёр" и "Оператор" это уже внутренняя кухня Банка.
                                          Сообщение от AF22 Посмотреть сообщение
                                          - для пользователей ПК, соответствующих каким ролям АРМ, нужно закачивать сертификаты в сигнатуру?
                                          Я создал Оператора с ключами шифрования,если нужно, импортируем в профиль открытые ключи "Контролёр" и "Оператор"(Мы получили тестовые ключи, у CN=ARMKBRN в справочнике уже были ключи "Контролёр" и "Оператор"). Запуск КБР-Н с оид Оператора.

                                          Т.е. проставили ЗК, проставили КА, используя свой софт. Подложили Оператору в КРБ-Н на вход, он соответственно проверяет и шифрует.

                                          Комментарий




                                          • Комментарий


                                            • Коллеги, добрый день.

                                              Мне тут сообщили, что из АРМ КБР выпиливается функционал по подписи.

                                              Кто в курсе? Есть какие то другие ПО?

                                              Комментарий


                                              • Для начала можно перечитать данную тему с самого начала. На эту тему уже и писем от ЦБ куча (Первые были еще в январе)
                                                Функционал подписи необходимо выносить в АСК. Если кратко, то вариантов два:
                                                1. За небольшую сумку денег покупать у производителя АБС (правда не все производители АБС делают такие доработки)
                                                2. Брать отдельное ПО (естественно производитель должен иметь соответствующую лицензию ФСБ) и по документам проводить его как часть АСК.

                                                Комментарий


                                                • Сообщение от КрасКрипт Посмотреть сообщение
                                                  Для начала можно перечитать данную тему с самого начала. На эту тему уже и писем от ЦБ куча (Первые были еще в январе)
                                                  Функционал подписи необходимо выносить в АСК. Если кратко, то вариантов два:
                                                  1. За небольшую сумку денег покупать у производителя АБС (правда не все производители АБС делают такие доработки)
                                                  2. Брать отдельное ПО (естественно производитель должен иметь соответствующую лицензию ФСБ) и по документам проводить его как часть АСК.
                                                  Спасибо.

                                                  Подскажите, а что такое АСК?

                                                  Комментарий


                                                  • Федор Евгеньевич

                                                    ...........и по документам проводить его как часть АСК.
                                                    Проводить как часть АСК никто не требует. Более того, из 552-П:

                                                    5.2. Для защиты ЭС от искажения, фальсификации, переадресации, несанкционированного ознакомления, уничтожения и ложной авторизации программным обеспечением АРМ обмена ЭС с ПС БР или специальной компоненты АБС участника

                                                    Т.е. покупаете или собираете самостоятельно этот самый "АРМ обмена ЭС", на котором будете проставлять ЗК/КА и можете считать, что п.5.2. из 552-П Вами выполнен.
                                                    Если же речь шла об оформлении/выделении "участка ПС БР", тогда лучше просто читать 552-П полностью и думать как его исполнить. Т.к. там достаточно много чего требуется сделать. Детали лучше обсуждать в ветке ИБ.
                                                    Последний раз редактировалось saches; 05.10.2017, 10:17.

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      Федор Евгеньевич


                                                      Проводить как часть АСК никто не требует. Более того, из 552-П:

                                                      5.2. Для защиты ЭС от искажения, фальсификации, переадресации, несанкционированного ознакомления, уничтожения и ложной авторизации программным обеспечением АРМ обмена ЭС с ПС БР или специальной компоненты АБС участника

                                                      Т.е. покупаете или собираете самостоятельно этот самый "АРМ обмена ЭС", на котором будете проставлять ЗК/КА и можете считать, что п.5.2. из 552-П Вами выполнен.
                                                      Если же речь шла об оформлении/выделении "участка ПС БР", тогда лучше просто читать 552-П полностью и думать как его исполнить. Т.к. там достаточно много чего требуется сделать. Детали лучше обсуждать в ветке ИБ.
                                                      Спасибо.

                                                      Подскажите еще, а ключ для подписи и снятии подписи ЦБ выдает или ключом Банку это нужно делать?

                                                      Комментарий


                                                      • Федор Евгеньевич
                                                        ЦБ. Читаем посты в данной теме и http://www.cbr.ru/mcirabis/acyoc/Inf_Mci_82(2017).pdf

                                                        Комментарий


                                                        • Сообщение от Федор Евгеньевич Посмотреть сообщение
                                                          подписи
                                                          Вы имеете ввиду как проверять,что сообщения которые пришли от ЦБ действительно подписаны ЦБ?
                                                          Если я правильно понял ваш вопрос, то сертификаты лежат тут
                                                          http://www.cbr.ru/mcirabis/?PrtId=Involve_EM

                                                          Комментарий


                                                          • Коллеги, спасибо. Будем разбираться.

                                                            Комментарий


                                                            • Коллеги, подскажите пожалуйста. Правильно я понимаю, что мы должны проставлять ЗК для каждого платежа в пакете, а далее сформировать служебный конверт с КА?

                                                              Есть ли какое - то описание, как проставлять ЗК и КА?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X