Bankir.Ru
11 декабря, воскресенье 09:12

Объявление

Свернуть
Пока нет объявлений.

Как мы не выбрали I-Bank.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как мы не выбрали I-Bank.

    А я как раз недавно смотрел новый дизайн сайта БСС и читал инфу о "тонком" клиенте. Там о безопасности много сказано http://bss.bssys.com/s/bsi.dll?I=71 а нас этот вопрос тоже сильно беспокоит. В ближайшее время будем смотреть их систему и я потом поделюсь своим мнением.

  • #2
    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Михаил (aka MIZ)
    С тех пор Бифит начал постоянно нас прессовать. Так вот, получил он твердый отказ от всех наших заказчиков-управлений: безопасности, операционного и от нас - автоматизации.[/quote]

    Уважаемый Михаил, с каких это пор БИФИТ "пресует" сотрудников банков? Последний раз, когда наш сотрудник Тимофей Кудряшов мог звонить Вам и интересоваться текущим состоянием дел - это конец августа 2000 года. С тех пор мы изменили принципы маркетинга и общаемся только с теми банками, которые сами проявляют интерес к нашей системе. Посему говорить о периодической прессовки, я считаю совершенно некорректным.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Я полагаю, всем будет интересно и поучительно узнать историю - так вот:
    Безопасность. Не знаю как у других, но у нас есть подразделение IT-security. В основном - пишут регламенты по установке ОС, серверов и пр, обеспечивают интернет-интранет безопасность, следят за правами и пр. Их официальное мнение - у фирмы (Бифита)
    нет лицензии на разработку криптосредств (она обязятельна по законодательству)[/quote]

    Позволю себе прокомментировать. Компания "БИФИТ" до последнего времени не разрабатывала технологических продуктов, в том числе и Системы Криптографической Защиты Информации. Мы также не занимаемся распространением, внедрением и сопровождением СКЗИ. Мы продвиагем исключительно прикладной продукт - систему для Интернет-Банкинга.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>само решение не сертифицированно ФАПСИ и вероятность этого близка к нулю.[/quote]

    Да будет ли известно уважаемому Михаилу, что ФАПСИ проводит сертификацию исключительно технологических средств - Систем Криптографической Защиты Информации. ФАПСИ не сертифицирует прикладные программные продукты.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>То, что у них реализован российский ГОСТ, известно только с их слов. Как он реализован - хорошо, плохо, есть ли дыры - не знает никто.[/quote]

    Ну почему же? Ряд банков заказали независимые экспертизы нашего iBank'а у достаточно известных компаний . К примеру ГУП НТЦ "АТЛАС" (aka ФАПСИ), ознакомившись максимально подробно со всеми нюансами, указала только на единственный недостаток - поддержка несертифицированных ФАПСИ реализаций криптоалгоритмов. Сами же реализации не вызвали никаких нареканий. Также были рассмотрены вопросы о встраивании Сертифицированных СКЗИ. Технических проблем не возникло - всё встраивается гладко и красиво.

    Более того, если Вы, уважаемый Михаил, или сотрудники "подразделения IT-security" Вашего банка извъявили бы желание самостоятельно ознакомиться со всеми исходными текстами, всё проверить и убедиться в соответствии - мы бы бесплатно предоставили всё необходимое. Кстати, многие банки именно так и делают, не особенно доверяя различным бумагам.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Резюме: Их решение по безопасности банк не устроит. Таже банк идет на серьезное нарушение
    законов, приобретая такую "безопасность". Не официальное мнение - "коленная сборка".[/quote]

    Делая такое "рекламное" заявление, Михаил, хорошо бы представиться полностью, иначе Ваши выпады выглядят как анонимка. Я не помню, чтобы кто-то из банков активно в последнее время интересовался внутренностями iBank'а, а мы бы при этом не давали доступ к исходным текстам, не разъясняли внутренее устройство и работу системы, не отвечали на все возникшие у потенциального Заказчика вопросы. Сейчас специально посмотрел свою переписку с банками - ну нету из московских банков ни одного Михаила, с кем бы я общался мылом менее 6 месяцев назад!

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Операционное управление. По рублям - более-менее с натягом.[/quote]

    Хорошо бы все-таки не ограничиваться общими размазанными оценками, а услышать (увидеть) подробные комментарии с описанием недостатков с точки зрения Вашего управления.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Начальник валютного управления (очень толковый и продвинутый мужик) после просмотра сказал буквально следующее "спасибо-не надо". Предлагать это нашим клиентам (а они у нас крупные импортеры с большим документооборотм) - просто смешно. Процентов 30 будут делать в Бифите, а остальное - ножками в банк. Смысл и-банкинга теряется.[/quote]

    Формы валютных документов, присутствующие в iBank'е, пожалуй самые навороченные из мною виденных и удовлетворяют самым изысканным требованиям. Если не хватает форм - так ведь можно добавить. И конечно же есть кастомизация форм.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Наше управление. Прослушав пылкие рассуждения Дмитрия Репана о крутизне Ява, все равно пришли к следующему - [/quote]

    Значит я был у Вас в гостях??? За последние 9 месяцев это вообще не так часто случается, и я уж точно бы вспомнил Вас, Михаил.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>А. Совсем это не тонкий клиент.[/quote]

    Всё зависит от вкладываемых в этот термин понятий. Тонкий клиент - это универсальный клиент. В случае Интернет-Банкинга функции универсального (тонкого) клиента выполняет Web-браузер. Тонкий клиент - это когда не ставится никакое спец.ПО у клиента - не для защиты информации, не для чего!!!

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Б. Полностью закрытая система - ну просто два "черных ящика" - ни посмотреть, не поправить, если что нужно - всегда на поклон к Бифиту.....Ну не продашь нам "черный ящик" больше, наелись![/quote]

    Глупость это всё. Даже архитектура iBank 1.x была открыта. Никогда не возникало никаких проблем с модернизацией форм. И не было никогда проблем с доступом к исходным текстам для самостоятельной модернизации. Да, надо иметь голову на плечах, и разбираться не только в VisualBasic'е - надо знать Java. Тогда все очень просто и понятно. И если бы даже мы уперлись рогом послали бы Вас (чего ниразу не случалось!!!), то можно было бы самостоятельно взять JAD и втихаря декомпилировать все классы, получив чистый первозданный исходный текст (мы до сих пор не обфусцируем iBank).

    На практике же банки, которым действительно надо было что-то поправить, просили у нас об этом и мы всегда делали это в оговоренные сроки. И практически всегда бесплатно.

    В iBank'е 2 формы вообще на XML описаны. Или Вы и XML не осилите?

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Да, сейчас изучаем Диас и Степап. Остальное посмотрели - не проходит.[/quote]

    Что ж, успехов Вам, Михаил, и Вашему банку в поисках подходящего продукта.

    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>PS Да, конкретные вопросы - на мыло. Никому не хочу делать ни рекламу, не анти-рекламу.[/quote]

    Да уже сделали. Хорошо бы все-таки сказав "А", сказать и "Б". Представьтесь, расскажите все подробно, обоснуйте Вашу точку зрения. Поверьте - все очень просто.

    С уважением, Репан Димитрий
    Компания "БИФИТ"
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Комментарий


    • #3
      Добрый день.

      А я как раз недавно смотрел новый дизайн сайта БСС и читал инфу о "тонком" клиенте.

      Наш филиал в течении года выбирал систему дистанционного банковского обслуживания (ДБО), услуга позиционируется именно так, а не отдельно "толстый" и "тонкий" клиенты, в результате выбора остановились на продукте БСС.

      Серверная часть едина для "толстого", "тонкого клиента" и для "компьютерной телефонии", так что после принятия решения о внедрении "тонкого клиента" работы в банке заняли 2 дня (весь внутрибанковский документооборот был уже отлажен на "толстом" клиенте).

      Безопасность
      Там о безопасности много сказано http://bss.bssys.com/s/bsi.dll?I=71 а нас этот вопрос тоже сильно беспокоит
      Беспокоит он всех, и наши службы автоматизации и безопасности тоже, но все же решать вопрос защиты всего комплекса услуг ДБО легче, чем каждой системы в отдельности.

      Операционное управление. По рублям - более-менее с натягом
      У меня "тонкий клиент" работает по рублям и всем валютным операциям, действительно полнофункциональная система. На данный момент единственная проблема - одно место "Интернет-Клиента" - одна фирма (в "толстом" этого ограничения нет), проблема решается входами в Windows под разными пользователями.

      А. Совсем это не тонкий клиент.
      Б. Полностью закрытая система


      А.На 1 дискете находится электронная подпись и BS-defender
      Б.На банковской части есть "редактор схем", "редактор опреаций", собственно внутренний язык програмирования и полная прозрачность структуры данных (то же и у "толстого клиента")

      Глупость это всё
      Дискуссия перестает быть конструктивной.

      Система мне нравится, поэтому и отзыв получился столь положительным. По результатам эксплуатации в нашем филиале принято решение о внедрении "тонкого клиента" в головном банке (Москва) и других иногородних филиалах.

      Готов ответить на конкретные вопросы.

      Комментарий


      • #4
        Не вынесла душа поэта...

        То ANM_Spb

        Скажите мне, пожалуйста, где генерится секретный ключ клиента в БСС в тонком клиенте?

        Комментарий


        • #5
          Скажите мне, пожалуйста, где генерится секретный ключ клиента в БСС в тонком клиенте?

          1) Сейчас на банковской стороне
          2) В новой версии - у клиента, срок внедрения новой версии у меня - до 10 июня.

          Комментарий


          • #6
            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR> отправил MIZ
            Да и программистов своих - челове 40, но не в этом суть[/quote]
            40 - кого ? ПРОГРАММИСТОВ !!! да таким эскадроном (8..10 боеспособных рабочих групп) - не только I-BANK можно создать с оперднем в нагрузку... Да хоть систему ГАС "Выборы"...

            В общем вызывает удивление неспособность такого большого коллектива или его руководства самостоятельно, своими силами разработать удовлетворяющее ваш банк решение для интернет-банкинга с использованием того же InterPro от СигналКома и других подобных технологических продуктов. При желании сохранить тонкость клиента можно использовать Java-технологии, реализуя на ней механизм ЭЦП под html-формами. Короче вариантов много - была бы голова на плечах.

            С уважением, Михаил Дударев
            Руководитель Управления Перспективных Разработок компании "БИФИТ"

            Комментарий


            • #7
              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Александр Моносов (aka ANM_SPb)
              Скажите мне, пожалуйста, где генерится секретный ключ клиента в БСС в тонком клиенте?
              1) Сейчас на банковской стороне
              [/quote]

              Это значит НИКАК. То есть использование механизма ЭЦП при котором СЕКРЕТНЫЙ КЛЮЧ ЭЦП КЛИЕНТА генерируется БАНКОМ - ПРОФАНАЦИЯ БЕЗОПАСНОСТИ, ОЧКОВТИРАТЕЛЬСТВО и ПОДСТАВА КЛИЕНТА. Все Договоры, "юридически значимые протоколы" просто "коту под хвост". В Банке работают люди (самое слабое звено в любой СКЗИ), пусть и лояльные на текущий момент работодателю, но которые имеют все возможности очень просто сделать копию Секретного ключа ЭЦП клиента, а после уволнения воспользоваться ей в своих корыстных целях.

              Используя и распространяя такую систему среди своих клиентов, Банк сам того не понимая роет себе яму, в которую в самый неподходящий момент может свалиться. И дело уже не в том, что деньги уплывут (это наживное) - дело в Имени Банка, которое не просто пострадает в случае массовой подставы клиентов бывшими банковскими сотрудниками, а которое НИКОГДА не отмоется. И все суды уже будут незачем.

              И уж если Вы, уважаемый Александр, эксплуатируете в Вашем банке такую систему, не следует публично гордится фактом генерации банком секретных ключей своих клиентов. Вас просто конкуренты на смех подымут. И уж лучше заявите в форуме, что:
              "...та дескать старая система, в которой мы раньше сами генерировали секретные ключи ЭЦП клиентов, на самом деле находилась в опытной эксплуатации и использовалась 3 клиентами для пробы, и что уже сегодня вечером всё поправлено, поставлена новая версия и всё сделано как надо..."

              Иначе завтра в Коммерсанте, Деньгах, РБК и прочих СМИ Вы "вдруг" увидите очередное сенсационное сообщение, о том что:

              "...в Санкт-Петербургском филиале "Интурбанка" система для Интернет-Банкинга насковзь дырявая и позволяет банковским сотрудникам тайно управлять счетами от имени клиентов..."

              Александр, общеизвестно как журналисты падки до горячих новостей, так что не провоцируйте эту братию...

              С уважением, Репан Димитрий
              Компания "БИФИТ"

              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com

              Комментарий


              • #8
                Здравствуйте,

                Дмитрий, извините за вмешательство в дискусию, однако есть небольшое замечание по поводу "единственного недостака" указанного нашим уважаемым учредителем ГУП НТЦ "Атлас"

                Утверждение "поддержка несертифицированных ФАПСИ реализаций криптоалгоритмов" означает:

                1. iBank содержит в себе модули, реализация которых требует сертификации ФАПСИ, следовательно в состав iBank входят шифрсредства (СКЗИ);
                2. Эти шифрсредства требуют доработки для удовлетворения действующим криптографическим требованиям ФАПСИ;
                3. Разработка, распространение и техническое обслуживание шифрсредств требует соотвествующей лицензии.

                Надо сказать, что в настоящий момент ведутся переговоры, либо о существенной доработке и сертификации iBank, либо об использовании в iBank сертифицированных СКЗИ. А так же о легитимной схеме разработки, поставки и технического обслуживания системы iBank.

                P.S.
                Мне кажется, что обсуждение регламента работы с ключами для прикладных систем использующих средства ЭЦП, которые не прошли обязательную сертификацию (а все три упомянутые Выше системы на настоящий момент не могут этим похвастать, но проводят работы направленные на улучшение ситуации), лишено смысла, т.к. методов подделки ЭЦП огромное количество (и криптографических, и не криптографических).

                P.P.S.
                Замечание по поводу лицензирования и сертификации. Обязательным требованием законодательства является лишь наличие лицензий на распространение и обслуживание шифрсредств (ими являются, в частности, средства ЭЦП и средства генерации ключей ЭЦП). Всё остальное можно утрясти в договорах с клиентами, разумеется, В УЩЕРБ КЛИЕНТАМ. Но, т.к. в настоящий момент на рынке клиент-банк очень мало систем использующих сертифицированные средства ЭЦП, то безопасность клиента пока ещё можно игнорировать.

                Успехов
                ------------------------------------
                Леонтьев Сергей, lse@CryptoPro.ru , Крипто-Про
                Успехов
                Леонтьев Сергей, lse@CryptoPro.ru, Крипто-Про

                Комментарий


                • #9
                  Добрый день всем!
                  Я постоянный посетитель форума, но пишу впервые.
                  Работаю в московском банке, достаточно технологически продвинутом. Когда стал вопрос
                  о выборе системы интернет-банкинга - стали пристально рассматривать все, что есть на рынке.
                  С тех пор Бифит начал постоянно нас прессовать. Так вот, получил он твердый отказ от всех
                  наших заказчиков-управлений: безопасности, операционного и от нас - автоматизации. Я полагаю,
                  всем будет интересно и поучительно узнать историю - так вот:

                  Безопасность. Не знаю как у других, но у нас есть подразделение IT-security. В основном -
                  пишут регламенты по установке ОС, серверов и пр, обеспечивают интернет-интранет
                  безопасность, следят за правами и пр. Их официальное мнение - у фирмы (Бифита)
                  нет лицензии на разработку криптосредств (она обязятельна по законодательству),
                  само решение не сертифицированно ФАПСИ и вероятность этого близка к нулю.
                  То, что у них реализован российский ГОСТ, известно только с их слов. Как он реализован
                  - хорошо, плохо, есть ли дыры - не знает никто.
                  Резюме: Их решение по безопасности банк не устроит. Таже банк идет на серьезное нарушение
                  законов, приобретая такую "безопасность". Не официальное мнение - "коленная сборка".

                  Операционное управление. По рублям - более-менее с натягом. Начальник валютного управления
                  (очень толковый и продвинутый мужик) после просмотра сказал буквально следующее
                  "спасибо-не надо". Предлагать это нашим клиентам (а они у нас крупные
                  импортеры с большим документооборотм) - просто смешно.
                  Процентов 30 будут делать в Бифите, а остальное - ножками в банк. Смысл и-банкинга
                  теряется.

                  Наше управление. Прослушав пылкие рассуждения Дмитрия Репана о крутизне Ява, все
                  равно пришли к следующему -
                  А. Совсем это не тонкий клиент.
                  Б. Полностью закрытая система - ну просто два "черных ящика" - ни посмотреть,
                  не поправить, если что нужно - всегда на поклон к Бифиту. А у нас клиенты все время
                  что-то хотят менять, причем пошлешь их - тут же получишь по шапке - могут настучать
                  даже преду! Да и программистов своих - челове 40, но не в этом суть. Ну не продашь
                  нам "черный ящик" больше, наелись! Так что вот.
                  Пока эксплуатируем свой собственый виндовый банк-клиент, ну и развиваем его.

                  Да, сейчас изучаем Диас и Степап. Остальное посмотрели - не проходит.

                  Михаил.

                  PS Да, конкретные вопросы - на мыло. Никому не хочу делать ни рекламу, не анти-рекламу.

                  Комментарий


                  • #10
                    to Димитрий

                    Похоже с Вами работать тоже не сахар !

                    Комментарий


                    • #11
                      Скажите мне, пожалуйста, где генерится секретный ключ клиента в БСС в тонком клиенте?

                      Так это еще ничего не означает. Например можно
                      поставить одельную машину в банке, за которой
                      клиент сам будет генерить ключи и никто ничего не
                      перехватит.

                      использование механизма ЭЦП при котором СЕКРЕТНЫЙ КЛЮЧ ЭЦП КЛИЕНТА генерируется БАНКОМ - ПРОФАНАЦИЯ БЕЗОПАСНОСТИ, ОЧКОВТИРАТЕЛЬСТВО и ПОДСТАВА КЛИЕНТА

                      Зачем же так кричать? Никакая это не профанация, см выше.

                      . И дело уже не в том, что деньги уплывут (это наживное) - дело в Имени Банка, которое не просто пострадает в случае массовой подставы клиентов бывшими банковскими сотрудниками, а которое НИКОГДА не отмоется. И все суды уже будут незачем.

                      Работал наш банк 7 лет без електронной системы -
                      никто никого не подставлял, все клиенты были довольны. Купили электронную систему - и вдруг все сотрудники сломя голову принялись подставлять клиентов и банк
                      Спасибо за заботу о нас. Ведь для того чтобы подставить банк можно просто пихнуть в рейс левую клиентскую платежку, и покупать для этого интернет-банкинг не надо.


                      успехов..

                      Комментарий


                      • #12
                        Здравствуйте,

                        "все сотрудники сломя голову принялись подставлять клиентов и банк "

                        Конечно не все и не сломя голову . Но работы Вашей службе безопасности прибавится. Ей потребуется пересмотреть круг лиц (банковские работники, програмисты, ПОСТАВЩИКИ СИСТЕМЫ, ЕЁ РАЗРАБОТЧИКИ, ЕЁ СЛУЖБА ПОДДЕРЖКИ), которые имеют (получат в результате внедрения) возможности для осуществления махинаций. И разработать меры (административные, юридические, технические) по предотвращению рисков ущерба и для банка, и для его клиентов. В частности, учесть и предотвратить иными мерами все те риски, от которых выбранная система Internet-Banking-а не защищает. Это задача не из простых, т.к. производители не склонны распространятся на эту тему. Ну а регламент работы с ключами это только очень маленькая часть.

                        ------------
                        Леонтьев Сергей, lse@CryptoPro.ru , Крипто-Про
                        Успехов
                        Леонтьев Сергей, lse@CryptoPro.ru, Крипто-Про

                        Комментарий


                        • #13
                          to Леонтьев Сергей

                          Замечание по поводу лицензирования и сертификации. Обязательным требованием законодательства является лишь наличие лицензий на распространение и обслуживание шифрсредств

                          А как быть с Указом Президента ╧ 334?

                          Пункт 4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

                          Комментарий


                          • #14
                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Serge3
                            ... методов подделки ЭЦП огромное количество (и криптографических, и не криптографических).[/quote]
                            Разверните, пожалуйста, это утверждение или дайте ссылку на подробную информацию. Чертовски интересно - можно ли доверять ЭЦП? Стоит ли огород городить, как без устали призывает в этом форуме Дмитрий. Из Вашего утверждения следует, что нет смысла?
                            --
                            Иван

                            Комментарий


                            • #15
                              Дмитрий!

                              Насчет подставы и очковтирательства Вы конечно же перегнули! :о)
                              На стороне банка стоит сервачок, на котором установлена система ИБ. Там же находится серверная часть системы криптозащиты и система генерации ключей для клиентов (в нашем случае это "Inter-Pro" и "Notary-Pro"). К этому сервачку имеют доступ 2 человека, которые несут ответственность за сохранность ключей точно также, как и люди, отправляющие в РКЦ платежи за верность рейса. Представьте себе, какими правами наделены бухгалтера, которые могут осуществлять проводки банковской системе.
                              А уж если получилось так, что хотя бы один из людей, имеющих доступ к ключам увольняется, то придумать процедуру замены или перегенерации ключей для всех клиентов.
                              Тут впору вспомнить наш с Вами разговор о одноразовых Pin-кодах на банковские транзакции в дополнение к ЭЦП.

                              С уважением, Герасимов Александр

                              Комментарий


                              • #16
                                to Леонтьев Сергей

                                В ст.11. ФЗ "О ФАПСИ" говорится следующее:
                                "ФАПСИ имеет право:

                                к) определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;"

                                Положение утв. Решениями Гостехкомиссии и ФАПСИ от " 27 " апреля 1994 г. ╧ 10 и от " 24 " июня 1997 г. ╧ 60, с перечнем видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ. ПП 2 - "Эксплуатация негосударственными предприятиями шифровальных средств,..."

                                Приказ ФАПСИ от 23 сентября 1999 г. N 158 "О порядке разработки,... использования СКЗИ....". Раздел V ПП 36) Использование СКЗИ осуществляется лицами имеющими лицензию ФАПСИ.

                                Т.о необходимость наличия лицензии на использование(эксплуатацию) СКЗИ, подтверждается нормами действующего законодательства.

                                Комментарий


                                • #17
                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Александр Герасимов
                                  Насчет подставы и очковтирательства Вы конечно же перегнули![/quote]

                                  Да почему ж перегнул то?! Я просто обрисовал ситуацию в ярких сочных красках, чтоб понаглядней было. Ведь не секрет, что во многих банках секретные ключи ЭЦП клиентов генерируются банковскими сотрудниками и уже передаются на дискете вместе с дистрибутивом. Намеренье то благое - облегчить установку клиентского ПО. Но как известно: "Благими намереньями выложена дорога в ад."

                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>На стороне банка стоит сервачок, на котором установлена система ИБ. Там же находится серверная часть системы криптозащиты и система генерации ключей для клиентов ... К этому сервачку имеют доступ 2 человека, которые несут ответственность за сохранность ключей точно также, как и люди, отправляющие в РКЦ платежи за верность рейса.[/quote]

                                  Да ведь, уважаемый Александр, это Вы как разработчик смазываете, упрощаете ситуацию, предлагая решение с генерацией клиентских ключей в Банке. И то, что два (или NN) банковских сотрудников имеет доступ к СЕКРЕТНЫМ клиентским ключам совершенно НИКАК не упрощает ситуацию. Уже только сам факт доступа кого-либо кроме клиента к секретным ключам ЭЦП клиентов ставит большой жирный крест на предлагаемом Вами решении.

                                  А вот представьте, что банк, где работает Ваш И-Б развернулся по полной программе, и подключил 1000 клиентов к И-Б. Все работает великолепно, все довольны, просто цветут. Теперь один из сотрудников решил из-за недовольства работодателем в отношении зарплаты (режима работы, бесплатных обедов, или другой социалки) решил уволиться. При этом разговаривал с руководством нагло и на повышенных тонах. Зная, что этот сотрудник имел доступ к клиентским ключам, у руководства закрадывается подозрение, что сотрудник, уволившись и получив расчет, может "хлопнуть дверью". Причем не сам, а через подставное лицо. Вариантов такого "хлопанья" - масса. Естественно что сразу же сменят все пароли в системе, удалят экаунт уволевшегося сотрудника. А что делать с клиентскими ключами? Объявить клиентам что из-за какого-то увольнения сотрудника низшего звена необходимо перегенерировать ключи всей тысячи клиентов? А потом еще и передать на дискете? Круто!!! Ну один раз отбрехаться получится - сошлетесь на обновление версии, но и то уже в глазах клинетов банк будет выглядеть идиотом, неспособным заранее все планировать.

                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Тут впору вспомнить наш с Вами разговор о одноразовых Pin-кодах на банковские транзакции в дополнение к ЭЦП.[/quote]

                                  Да Ваши PIN-коды это абсолюно такая же профанация, как и генерация клиенстких ключей в банке банковскими сотрудниками. Возможно одноразовые pin-коды и являются некой мерой защиты от внешнего агрессора, но уж никак не от банковского инсайдера.

                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ"
                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ" - www.bifit.com

                                  Комментарий


                                  • #18
                                    Это значит НИКАК. То есть использование механизма ЭЦП при котором СЕКРЕТНЫЙ КЛЮЧ ЭЦП КЛИЕНТА генерируется БАНКОМ - ПРОФАНАЦИЯ БЕЗОПАСНОСТИ, ОЧКОВТИРАТЕЛЬСТВО и ПОДСТАВА КЛИЕНТА. Все Договоры, "юридически значимые протоколы" просто "коту под хвост". В Банке работают люди (самое слабое звено в любой СКЗИ), пусть и лояльные на текущий момент работодателю, но которые имеют все возможности очень просто сделать копию Секретного ключа ЭЦП клиента, а после уволнения воспользоваться ей в своих корыстных целях.

                                    Я удивляюсь, как Дмитрий лихо наезжает на всех разработчиков "тонкого". На сайте БСС я читаю: "Клиент получает ключи своей ЭЦП в банке согласно акта передачи. При этом для "продвинутого" клиента сохраняется возможность самостоятельной перегенерации ключей как в банке, так и непосредственно на своем АРМ". http://bss.bssys.com/s/bsi.dll?I=109#2 - это что, не соответствует действительности? С другой стороны, есть и организационные меры безопасности в банке. И отбор сотрудников производится довольно строго.

                                    Комментарий


                                    • #19
                                      Дмитрий!

                                      Я принимаю все ваши доводы и соглашаюсь с ними отчасти. Но Вы же предлагаете защитить все и от всех. Так никогда не получится. От человеческого фактора мы никогда и нукуда не уйдем и поэтому не нам решать эти вопросы. Есть в банке служба безопасности.
                                      Да почему Вы так против пин-кодов? Они разве лишние в вопросе безопасности? Таже служба безопасности скажет, что лучше с ними (в дополнение к ЭЦП), чем без них!

                                      С уважением, Герасимов Александр

                                      Комментарий


                                      • #20
                                        to Dimitry

                                        Дима, все что ты описал - не страшно для банка.
                                        Наиболее эфективно подставить банк (поучим
                                        сотрудника посильнее хлопать дверью )
                                        - это потереть все базы банковской системы и
                                        архивы и все - банка нет.
                                        От этого тоже нет защиты.
                                        WBR
                                        serg

                                        Комментарий


                                        • #21
                                          to Странник

                                          Работал наш банк 7 лет без електронной системы -
                                          никто никого не подставлял, все клиенты были довольны. Купили электронную систему - и вдруг все сотрудники сломя голову принялись подставлять клиентов и банк
                                          Спасибо за заботу о нас. Ведь для того чтобы подставить банк можно просто пихнуть в рейс левую клиентскую платежку, и покупать для этого интернет-банкинг не надо.


                                          Это совершенно не одно и то же. Если до внедрения ИБ из банка уходит клиентский платеж, а в банке нет платежки с подписью и печатью клиента, то это однозначно дело рук банковских работников и эти работники сильно рискуют. Ежели внедрили ИБ с генерацией ключей в самом банке и ушел платеж от которого клиент отказывается, а в банке соответствующий документ с электронной подписью имеется, то круг подозреваемых несколько шире. Сам же сотрудник банка, передавший копии секретных ключей клиентов своим подельникам, может спокойно с честными глазами отстаивать свою невиновность, сваливая все на неосторожное обращение с секретными ключами самих клиентов или валя все на несовершенство защиты ИБ. И ему совсем не обязательно увольняться для этого.

                                          PS Bravo, Butrimass !

                                          Комментарий


                                          • #22
                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>MIZ
                                            ... у фирмы (Бифита) нет лицензии на разработку криптосредств (она обязятельна по законодательству), само решение не сертифицированно ФАПСИ ...[/quote]
                                            Чертовски хочется определиться, наконец, с лицензиями и сертификацией.
                                            Федеральный Закон "О лицензировании отдельных видов деятельности" от 16.09.1998 и Постановление Правительства РФ ╧326 от 11.04.2000 утверждают, что ФАПСИ лицензирует деятельность по распространению, обслуживанию и предоставлению услуг (связанных с шифровальными средствами)(ни слова о разработке). А в далеком 1995 году Указ Президента ╧334 от 03.05.1995 утверждал, что сертификат нужен государственным организациям, а лицензировать юридические и физические лица должны разработку, производство, реализацию и эксплуатацию.
                                            Я ничего не упустил?
                                            Так откуда следует
                                            - необходимость лицензии на разработку и
                                            - сертифицированности системы банка?
                                            --
                                            Иван

                                            Комментарий


                                            • #23
                                              Уважаемый Capt, я не наезжаю (как Вы изволили выразится) на всех разработчиков "тонкого" или "толстого" К-Б. В топике идет активное обсуждение. Затронуты вопросы генерации ключей ЭЦП клиентов. Я высказал точку зрения, что генерация секретного ключа ЭЦП клиента должна производится исключительно самим клиентом, и что генерация секретных ключей клиентов банковскими сотрудниками сводит на нет весь смысл механизма ЭЦП клиента под финансовым документом.

                                              Банковские администраторы систем И-Б и К-Б должны быть Богами, но только в рамках банковской составляющей системы для Интернет-банкинга. Но уж никак не играть на поле клиента, беря на себя ключевые функции (фактически получая доступ к системе от имени клиента!!!), но оставляя ответственность на клиенте! Разве после такой "организационной процедуры" клиент уже не подставлен? Это как если бы вместо Генерального Директора компании в банковской карточке расписался банковский сотрудник.

                                              Что касается организационных мер, строгого отбора сотрудников, бронированных дверей и решеток на стенах - это все хорошо и только в плюс. Но это никак, ни на грамм не компенсирует генерацию клиентских секретных ключей банковскими сотрудниками!

                                              Весь смысл механизма ЭЦП в том, чтобы однозначно доказать авторство документа при условии, что никто кроме клиента не имеет доступ к секретному ключу ЭЦП клиента. А если документ кроме самого клиента может подписать кто-то еще - и не важно уже злоумышленник это или банковский сотрудник - то весь смысл ЭЦП теряется полностью!!! Подписав Договор на обслуживание, где разрешение конфликтной ситуации основано на использовании ЭЦП клиента под финансовым документом, и при этом секретный ключ ЭЦП клиента генерируется кем бы то нибыло кроме клиента, Клиент с искренней помощью банка кладет свою голову под гельятину.

                                              Уважаемый Capt, чтобы направить обсуждение в форуме в конструктивное русло, предлагаю Вам, как читателю сайтов разработчиков объяснить разницу между TTK и ЭЦП с генерацией клиентских секертных ключей ЭЦП банком (банковскими сотрудниками)?

                                              С уважением, Репан Димитрий
                                              Компания "БИФИТ"
                                              С уважением, Репан Димитрий
                                              Компания "БИФИТ" - www.bifit.com

                                              Комментарий


                                              • #24
                                                Добрый день.

                                                То есть использование механизма ЭЦП при котором СЕКРЕТНЫЙ КЛЮЧ ЭЦП КЛИЕНТА генерируется БАНКОМ - ПРОФАНАЦИЯ БЕЗОПАСНОСТИ, ОЧКОВТИРАТЕЛЬСТВО и ПОДСТАВА КЛИЕНТА.

                                                Есть требования по безопасности от ЦБ для генерации электронных ключей банка, которые включают в себя в том числе выделение для этих целей отдельного компьютера и ограничение доступа к такому компьютеру. Точно так же происходит и с генерацией ключей клиентов. Делает это клиент в банке самостоятельно.

                                                И не надо так кричать.


                                                Комментарий


                                                • #25
                                                  Уважаемый Александр!

                                                  Да, от человеческого фактора нам никуда не уйти. Но! При построении любых систем необходимо не создавать проблему а потом мужественно ее преодолевать, тратя дополнительные деньги и время, а строить решения так, чтобы проблемы просто не создавались, не провоцировались. Поверьте - так для конечного потребителя легче.

                                                  Именно такова ситуация с секретными ключами ЭЦП у некоторых разработчиков и/или банков. Если мы используем механизм ЭЦП, то его надо использовать правильно и полностью. Иначе теряется смысл в нем. И нет каких-либо технических препятствий как для разработчика, так и для банка чтобы реализовать и использовать самостоятельную генерацию клеинтом своих секретных ключей.

                                                  По крайней мере в iBank'е ситуация с генерацией секретных ключей правильная - свои ключи ЭЦП клиенты генерируют сами. Это штатный режим для всех клиентов - как продвинутых, так и совсем тупых (именно поэтому апплет "Регистратор" реализован в виде визарда). Во всех 50-ти банках, где iBank находится в промышленной эксплуатации, клиенты свои ключи генерируют исключительно сами.

                                                  С уважением, Репан Димитрий
                                                  Компания "БИФИТ"
                                                  С уважением, Репан Димитрий
                                                  Компания "БИФИТ" - www.bifit.com

                                                  Комментарий


                                                  • #26
                                                    to ANM_SPb

                                                    выделение для этих целей отдельного компьютера и ограничение доступа к такому компьютеру. Точно так же происходит и с генерацией ключей клиентов. Делает это клиент в банке самостоятельно

                                                    Прямо, кабинка для тайного голосования .

                                                    Комментарий


                                                    • #27
                                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Sharpcat
                                                      Дима, все что ты описал - не страшно для банка. Наиболее эфективно подставить банк ... - это потереть все базы банковской системы и архивы и все - банка нет. От этого тоже нет защиты.[/quote]

                                                      Описанный тобою метод практически неосуществим (если это не банк с одним автоматизатором - видел и такие). В банках всегда ведутся архивы, причем много и разные. Да и снос Опердня проблема будет исключительно внутрибанковская.

                                                      А вот массовый уплыв денег со счетов клиентов - это уже внешняя проблема (сами деньги как раз вернуть-то можно), и в первую очередь для PR-отдела банка.

                                                      Сам факт возможности тайного управления банковскими сотрудниками счетами клиентов от имени клиентов для банка уже бомба в 40 мегатонн. И при правильном подходе со стороны банков-конкурентов с привлечением соотвествующих пиарщиков эту бомбу можно расскрутить по полной программме. Все прекрасно знают, что главное измазать, и отмоется потом банк или нет - уже не важно. Главное - доверие будет подорвано полностью.

                                                      С уважением, Репан Димитрий
                                                      Компания "БИФИТ"
                                                      С уважением, Репан Димитрий
                                                      Компания "БИФИТ" - www.bifit.com

                                                      Комментарий


                                                      • #28
                                                        Уважаемый Capt, чтобы направить обсуждение в форуме в конструктивное русло, предлагаю Вам, как читателю сайтов разработчиков объяснить разницу между TTK и ЭЦП с генерацией клиентских секертных ключей ЭЦП банком (банковскими сотрудниками)?

                                                        А я могу и повторить: На сайте БСС я читаю: "Клиент получает ключи своей ЭЦП в банке согласно акта передачи. При этом для "продвинутого" клиента сохраняется возможность самостоятельной перегенерации ключей как в банке, так и непосредственно на своем АРМ". http://bss.bssys.com/s/bsi.dll?I=109#2

                                                        Комментарий


                                                        • #29
                                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил ANM_SPb
                                                          Точно так же происходит и с генерацией ключей клиентов. Делает это клиент в банке самостоятельно.[/quote]

                                                          Ну вот и славненько. Значит всё в Вашем банке сделано правильно и нет причин для беспокойства.

                                                          С уважением, Репан Димитрий
                                                          Компания "БИФИТ"
                                                          С уважением, Репан Димитрий
                                                          Компания "БИФИТ" - www.bifit.com

                                                          Комментарий


                                                          • #30
                                                            Да что мне цитата с сайта уважаемый коллег-конкурентов? Ну написали, молодцы. Другие вообще ничего не пишут.

                                                            Если поставщик советует - это не значит что совет верный по определению. Это же так очевидно!!! Да, в подавляющем большинстве случаев надо прислушиваться к советам. Но ведь на веру принимать-то ничего не надо! Ведь должна же быть и у самого голова на плечах?

                                                            Ну а если мы по случаю праздника 1 апреля на сайте БИФИТа напишем, что дескать наилучшим способом защиты является публикация клиентами своих секретных ключей на сайте банка, Вы тоже безоговорочно последуете написанному и будите цитировать БИФИТ ???

                                                            С уважением, Репан Димитрий
                                                            Компания "БИФИТ"
                                                            С уважением, Репан Димитрий
                                                            Компания "БИФИТ" - www.bifit.com

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X