1 апреля, среда 04:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от pereprorubkin Посмотреть сообщение
    Ну что за манера, устраивать дискуссию ссылаясь на уже не действующий нормативный документ - http://www.fsb.ru/fsb/science/single...searchart.html

    Комментарий


    • Добрый день!
      Товарищи, подскажите, правильно ли я мыслю?
      Сейчас начал заниматься АРМ КБР-Н (раньше никогда им не занимался), прочитал всю эту ветку, прочитал всю документацию из раздела "Документация на ПК АРМ КБР Н" - http://cbr.ru/mcirabis/itest/
      но четкого однозначного понимания "как должно работать" не появилось.
      Что я понял:
      Вся основная нагрузка переносится на АБС, там готовится файлик правильного формата, шифруется и потом передается в АРМ КБР-Н
      Нажмите на изображение для увеличения.·  Название:	АРМ КБР-Н.jpg· Просмотров:	2· Размер:	56.6 Кб· ID:	4854705

      Возникает куча вопросов:
      1. Если нагрузка передается на АБС, то наши программисты должны настроить в самой АБС шифрование, а где описание как это делать, где описание форматов, шифрование должно быть не абы какое, а по алгоритму определенному?
      2. В соответствии с док. "АРМ КБР-Н. Руководство по установке и настройке" раздел 2.2.1.1. Рисунок 1 Что такое "точка обмена" ?
      3. Как АРМ КБР-Н понимает что ему из АБС что то свалилось?
      4. Отправка в СВК происходит автоматом или надо руками кнопку нажать?
      5. Что такое УТА, как расшифровывается, не могу найти в доках? Нашел, но пока читаю и не могу понять, а имеет это отношение к АРМ КБР-Н?
      Подскажите как правильно (мировые практики :-) ) вообще все это реализовать?

      Чего то у меня каша в голове.
      Последний раз редактировалось kyi; 03.09.2018, 16:37.

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        Ну что за манера, устраивать дискуссию ссылаясь на уже не действующий нормативный документ - http://www.fsb.ru/fsb/science/single...searchart.html
        А с чего вы решили что документы УФЭБС которые "курсируют" в межбанковском обмене ( насколько я понимаю именно это здесь обсуждают ) относятся к "персональным данным" о которых говорится по приведенной вами ссылке?
        Кроме того, там говорится: "В связи с выводом из действия постановления Правительства Российской Федерации от 17 ноября 2007 года №781 «Методические рекомендации ..."
        а w3d ссылался на "«Методические рекомендации ..." от 21 февраля 2008 №149/54-144 - как бы разные документы ...
        Ну и опять-же, все эти документы "... безопасности персональных данных при их обработке в информационных системах персональных данных с использованием ...".

        Комментарий


        • sap
          ПДн - это не ФСБ. Любое слово "шифрование" - ФСБ.

          И, кстати, переоформить лицензии на новую форму названия, на смену адреса - не так сложно. Морально сложнее для "бессрочной" лицензии не забывать раз в 3 года проводить приглашаемую переаттестацию зафиксенных(!) рабочих мест, чтобы эта "бессрочность" вдруг не слетела, да еще с нарушением...

          А про надобность тематических исследований на полгода и полмешка денег - тот же архиватор может работать с разными алгоритмами сжатия или же сформировать архив с компрессией 0 (была тут тема про лицензионность ARJ, столь любимого федеральными органами). Формально этот файл отвечает требуемому формату, имеет все заголовки, расширения, но внутри него - всё видно!

          Комментарий


          • sap
            Вспомнилась детская прибаутка времен начала 70-ых -
            " ......... закон не писан,
            если писан, то не читан,
            если, то не понят,
            если понят, то не так..."

            Извините ради бога за стиль, что называется, ничего личного, но нельзя всё мешать в кучу, абсолютно не понимаю, вообще, о чем, кем и для чего написано.
            В переводе на русский, суть в следующем -
            По поводу ПП-781 и ссылки от w3d:
            1. Пока действовало ПП-781, имело смысл руководствоваться Метод. Рекомендациями от 21.02.2008 ФСБ.
            2. С выходом ПП-1119 (вместо ПП-781), ФСБ выпустило другой нормативной документ, о чем честно уведомило, как и о том, что старый уже не легитимен. Об этом, собственно, и речь в ссылке на сайт ФСБ.

            По поводу ПДн и УФЭБС - УФЭБС, вообще, ни разу, не нормативный документ, это просто альбом форматов (с определенной долей убожества в части ЭП).
            Читайте 552-П и 382-П в части информации, подлежащей защите. Есть там требование защиты ПДн, наравне с прочей информацией? Есть! Т.е., если хотим соответствовать, выполняем. Что еще не понятно?

            И пожалейте Вы собственное руководство, донесите до него, коли занимаетесь вопросами ИБ, что оно реально ходит под рисками отвечать начиная от административки по КоАП, заканчивая 171 УК РФ из-за отсутствия лицензии на работу с СКЗИ.
            Последний раз редактировалось saches; 03.09.2018, 22:41.

            Комментарий


            • Сообщение от diev Посмотреть сообщение
              sap......А про надобность тематических исследований на полгода и полмешка денег - тот же архиватор может работать с разными алгоритмами сжатия или же сформировать архив с компрессией 0 (была тут тема про лицензионность ARJ, столь любимого федеральными органами). Формально этот файл отвечает требуемому формату, имеет все заголовки, расширения, но внутри него - всё видно!
              Коллеги, если обсуждаем формальные требования регуляторов, лучше обходиться без абстрактных аналогий, что бы не путать себя и окружающих.
              Посмотрим на требования регуляторов:
              - Есть ПКЗ-2005 (он же Приказ № 66 ФСБ) где говориться в т.ч. о необходимости выполнения требований эксплуатационной документации СКЗИ.
              - Есть Формуляр на СКЗИ, где говориться о необходимости проведения тематических исследований при встраивании СКЗИ в системы, обрабатывающие защищаемую по законодательству информацию (как минимум).
              - Есть 382-П и 552-П, где перечислена информация подлежащая защите, и ПДн там упомянуты. (и вроде бы необходимость использования СКЗИ то же).

              Т.е. все расписано, ARJ тут вообще "не при делах". Чистый комплаенс. Другой вопрос, что вообще, ни кто не выполняет, типичная иллюстрация строгости закона и необязательности его исполнения...

              Комментарий


              • Доброго дня Камрады!

                Пришлите, пожалуйста, платежные документы для тестирования на БИК 044525499

                Комментарий


                • Сообщение от mejikop Посмотреть сообщение
                  Доброго дня Камрады!

                  Пришлите, пожалуйста, платежные документы для тестирования на БИК 044525499
                  Неожиданный поворот в теме!

                  Послал, аж 3 штуки
                  IK Soft

                  Комментарий


                  • Добрый день!
                    Товарищи, направьте меня что еще надо почитать для решения вопроса

                    Комментарий


                    • IKSoft
                      Огромное спасибо

                      Комментарий


                      • Сообщение от kyi Посмотреть сообщение
                        Возникает куча вопросов:
                        1. Если нагрузка передается на АБС, то наши программисты должны настроить в самой АБС шифрование, а где описание как это делать, где описание форматов, шифрование должно быть не абы какое, а по алгоритму определенному?
                        2. В соответствии с док. "АРМ КБР-Н. Руководство по установке и настройке" раздел 2.2.1.1. Рисунок 1 Что такое "точка обмена" ?
                        3. Как АРМ КБР-Н понимает что ему из АБС что то свалилось?
                        4. Отправка в СВК происходит автоматом или надо руками кнопку нажать?
                        5. Что такое УТА, как расшифровывается, не могу найти в доках? Нашел, но пока читаю и не могу понять, а имеет это отношение к АРМ КБР-Н?
                        Мы держимся за КБР, но тестовый КБР-Н разок настраивали. Мои ответы такие:
                        1. Ваши банковские программисты настраивают в АБС шифрование или ищете информацию для программистов покупной АБС? Вот они, имея лицензию ФСБ (о чем тут последний кипеж идет), должны раздобыть описание из УФЭБС и сделать как надо.
                        2. Ответ в следующем пункте 2.2.1.2 В конфигурации ПК АРМ КБР-Н создаются и настраиваются «точки обмена» с АС клиента. Каждая точка обмена характеризуется как набор параметров, определяющих ресурсы получения/передачи ЭС от/в АС клиента, параметры СКАД «Сигнатура» и т.п. Настройка точек обмена с АС клиента представлена в документе ЦБРФ.61289-02 92 01 «Автоматизированное рабочее место клиента Банка России новое. Руководство администратора».
                        3. КБР(-Н) мониторит указанную приемную папку и видит, если туда свалились файлы (если у Вас по-простому - на файловом обмене сделано).
                        4. КБР(-Н) выкладывает файлы в указанную папку для передачи, где мониторит (или Вы запускаете) программа связи с СВК, чтобы отправить содержимое этой папки.
                        5. УТА - универсальный транспортный адаптер, который и есть программа связи с СВК в п.4. К КБР(-Н) отношения не имеет и живет своей жизнью. УТА предлагается скачать с сайта ЦБ, откуда и КБР(-Н), но есть и другие аналогичные программы - на любой вкус. Мы используем свою - http://dievdo.ru/SVK-Transport-hta/
                        Последний раз редактировалось diev; 04.09.2018, 13:06.

                        Комментарий


                        • diev

                          Не пугайте людей. Для КБР-Н необходимо сделать простановку ЗК/КА в АБС, никакого шифрования в АБС делать не нужно, КБР-Н после проверки ЗК/КА сам зашифрует файл.

                          Комментарий


                          • rvroman
                            Да, в этом согласен. Но всё равно в АБС надо волоком притащить СКАД Сигнатура. (Или совместимый по ключам и алгоритмам аналог.)

                            Комментарий


                            • Сообщение от diev Посмотреть сообщение
                              rvroman
                              Да, в этом согласен. Но всё равно в АБС надо волоком притащить СКАД Сигнатура. (Или совместимый по ключам и алгоритмам аналог.)
                              Ну так это ЦБ с прошлого года и продвигает. Переходим на 3-й вариант и дорабатываем АБС со встраиванием Сигнатуры. Наш вендор так и сделал.

                              Комментарий


                              • rvroman, diev
                                Спасибо, хоть что то, хотя я все еще продолжаю плавать.
                                В док. "ЦБРФ.61289-02 31 01 Описание применения" сказано:
                                1.2 Условия применения
                                Условия применения ПК АРМ КБР-Н предусматривают наличие у клиента:
                                ‒ собственной АС обработки информации, реализующей интерфейс обмена в соответствии с Альбомом УФЭБС, включая формирование кода аутентификации (КА)/защитного кода (ЗК) на ЭС;
                                Видимо под АС подразумевается АБС?
                                Разъясните мне, я никак не могу понять терменалогию, что такое "код аутентификации (КА)" и "защитный код (ЗК)" если перевести это на язык 63-ФЗ ?

                                По поводу точек обмена. Если я что то понимаю, то иными словами это просто расшаренная папка в которую АБС выкладывает правильный файлик, а АРМ КБР-Н его забирает, шифрует и отправляет в СВК. В СВК файл отправляется через УТА
                                Нажмите на изображение для увеличения. 

Название:	Документ1.jpg 
Просмотров:	1 
Размер:	55.4 Кб 
ID:	4854848

                                Комментарий


                                • kyi

                                  Да, АС в данном случае это АБС (ну или что-то самописное, если вы решили пойти таким путём).

                                  ЗК и КА это электронная подпись, вычисленная над разными сущностями. ЗК проставляется на канонизированный и нормализованный EDXXX, дальше он внедряется в этот самый EDXXX, после чего на полученный EDXXX (или некоторое их количество объединенное в пакет PacketEPD) проставляется КА и всё это хозяйство в виде конверта КА (SigEnvelope) уже выгружается в КБР-Н (либо через расшареную папку, либо через очередь MQ). Ну и там ещё несколько преобразований в base64 в процессе имеются. В альбоме УФЭБС есть примеры сообщений, в том числе и конверта КА.

                                  Комментарий


                                  • kyi
                                    Несколько упрощенная версия -
                                    Ранее, ЦБ РФ предлагал всем банкам использовать ПО АРМ КБР, которое, получив выгрузку из АБС, нужным образом формировало ЗК/КА, шифровало и т.д.
                                    В силу определенных причин, в ЦБ было принято решение о переходе на АРМ КБР-Н, в котором (по сравнению с АРМ КБР) процедуры формирования ЗК и КА были исключены, и переданы для реализации на стороне банка.
                                    Т.е.,, теперь обязанность по формированию ЗК/КА легла на плечи банков, и реализовано это может быть в АБС или неком промежуточном ПО.
                                    С точки зрения 63-ФЗ, ЗК и КА это усиленная ЭП (на счет квалифицированности, не помню, надо посмотреть аккредитован ли УЦ).
                                    Как у Вас будет реализован транспорт по передаче файлов, это Ваше собственное дело, можете хоть шину использовать.
                                    Что, чем и как подписывать, читайте описание УФЭБС, описания 3-го варианта защиты, эту ветку форума. Ну и коллеги, если что, подскажут.
                                    Своим ИБ-шникам дайте почитать 552-П. Если ПО по формированию ЗК/КА планируете писать сами, можно позадовать вопросы на форуме Валидаты http://www.x509.ru/forum/viewforum.php?id=5.
                                    Если не ошибаюсь, особо продвинутые используют для формирования ЗК/КА, в качестве временного решения, АРМ КБР.
                                    Последний раз редактировалось saches; 04.09.2018, 16:39.

                                    Комментарий


                                    • Сообщение от rvroman Посмотреть сообщение
                                      КБР-Н после проверки ЗК/КА сам зашифрует файл.
                                      Ахренительный функционал, да?
                                      ИМХО, если разобрались и научились делать ХМЛ по третьему варианту защиты, то дописать кусок шифрования плёвое дело, и КБР-Н можно вообще убрать из цепочки.

                                      Комментарий


                                      • rvroman, saches
                                        Спасибо, пошел читать дальше, видимо что то упустил

                                        ost, поясните пожалуйста, я не понял о чем вы хотели сказать.
                                        Дело в том, что я здесь универсальный солдат 5 в одном, но точно не буду делать XML, это пусть программисты АБС голову ломают.

                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          Если не ошибаюсь, особо продвинутые, используют для формирования ЗК/КА, в качестве временного решения, АРМ КБР.
                                          При "ближайшем рассмотрении" выяснилось, что не нужно вообще никакой продвинутости для использования только КБР-а...
                                          Только цепочка у кого-то из 2-х, у кого-то из 3-х КБР-ов и можно вообще (и совсем) ничего не делать с АБС-ом и не иметь КБР-Н...
                                          Но это как Вы и написали "в качестве временного решения", как минимум до 28.06.2019-го.


                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение

                                            Ахренительный функционал, да?
                                            ИМХО, если разобрались и научились делать ХМЛ по третьему варианту защиты, то дописать кусок шифрования плёвое дело, и КБР-Н можно вообще убрать из цепочки.
                                            Ну нам удобно, что он с очередями работает и не нужно лишний функционал в АБС тащить. Он с версии 2.0 и УТА заменяет, так сказать всё в одном флаконе. Правда с некоторыми оговорками (не поддерживает 701ю форму, полученные из СВК файлы не умеет куда-то складировать, только уже расшифрованные может кинуть в очередь или папку). Ну и на тестовом стенде он у меня пару раз глюканул, переотправив сообщение и в итоге я получил на ED101 аж три квитанции ED205, ED206 и ED201 с результатом дублирования EDNo. Ещё может например упасть если несколько раз на кнопку Показать протокол тыкнуть. И ещё в нём удобная штука рассылки уведомлений на почту об отбраковке и обрывах связи.

                                            ЗЫ: Ну и он ещё стучит регулярно в ЦБ, что у него всё хорошо в плане целостности. Поэтому если он вдруг упал, то после подъёма настучит об этом в ЦБ.

                                            Комментарий


                                            • Сообщение от saches Посмотреть сообщение
                                              kyi
                                              С точки зрения 63-ФЗ, ЗК и КА это усиленная ЭП (на счет квалифицированности, не помню, надо посмотреть, аккредитован ли УЦ).
                                              ...
                                              Если не ошибаюсь, особо продвинутые, используют для формирования ЗК/КА, в качестве временного решения, АРМ КБР.
                                              Имхо, когда Госдума принимала всякие ФЗ, ЦБ потребовал в своих документах все слова "Э(Ц)П" заменить на "КА", с чем и едет дальше.

                                              Пока в Питере было независимое ТУ, планировались переходы на 3 вариант защиты, тестировали, переходили... С передачей всего в Москву, в ней оказался снова 1 вариант (без ЗК на каждый документ) и просто один КБР.

                                              Комментарий


                                              • Сообщение от rvroman Посмотреть сообщение
                                                Он с версии 2.0 и УТА заменяет, так сказать всё в одном флаконе.
                                                У нас с СВК единый канал с предварительной Telnet-аутентификацией и для платежей, и отчетности, и тестов (на них логины разные, но на сам вход в систему СВК на том конце - еще один, с контролем этой единственности). В итоге мы не можем последовать благой идее ЦБ отделить платежи от всего остального. Или мы что-то не знаем?

                                                Комментарий


                                                • Сообщение от diev Посмотреть сообщение
                                                  У нас с СВК единый канал с предварительной Telnet-аутентификацией и для платежей, и отчетности, и тестов (на них логины разные, но на сам вход в систему СВК на том конце - еще один, с контролем этой единственности). В итоге мы не можем последовать благой идее ЦБ отделить платежи от всего остального. Или мы что-то не знаем?
                                                  Подозреваю, что вы не в Московском регионе. В Москве есть два СВК (отдельно платежи, отдельно отчётность) и они по-моему даже по провайдерам не перемекаются. Поэтому КБР-Н 2.0 обрабатывает только платежи и отчётности не мешает.

                                                  Комментарий


                                                  • Сообщение от kyi Посмотреть сообщение
                                                    я не понял о чем вы хотели сказать
                                                    О том, что можно обойтись и без КБР-Н. А с учётом того, что он стучит в ЦБ его наличие крайне нежелательно.

                                                    Комментарий


                                                    • Сообщение от rvroman Посмотреть сообщение
                                                      В Москве есть два СВК (отдельно платежи, отдельно отчётность)
                                                      Насколько я понимаю, сейчас инфраструктура поменялась везде. Платежи ходят по бывшей инфраструктуре БЭСП (там реданданс и два центра), отчетность же уходит в ТУ, так же в ТУ пойдут заявки по работе с наличностью.

                                                      Комментарий


                                                      • Сообщение от ost Посмотреть сообщение

                                                        Насколько я понимаю, сейчас инфраструктура поменялась везде. Платежи ходят по бывшей инфраструктуре БЭСП (там реданданс и два центра), отчетность же уходит в ТУ, так же в ТУ пойдут заявки по работе с наличностью.
                                                        Настолько детально я не в теме, но для платежей и отчётности у нас совершенно разные провайдеры и у них разная адресация и логины, хотя и то и другое - СВК. Адресные книги у них тоже разные и непересекающиеся. А для БЭСПа в плане доступа не было отдельной коммуникационной инфраструктуры ЕМНИП. Т.е. тот же канал, что мы использовали в доБЭСПовую эру (АСБР Москва) для подключения к НОП (FastInfo-3) благополучно перекочевал на Рабис-НП, а затем и на ППС. Для ПУРов БЭСПа нужны были отдельные ключи и свой АРМ ПУР.

                                                        Комментарий


                                                        • Сообщение от rvroman Посмотреть сообщение
                                                          А для БЭСПа в плане доступа не было отдельной коммуникационной инфраструктуры ЕМНИП
                                                          Для банков это было не видно, там как бы платежный контур и платежи в нём варятся, а отчётность идет в ТУ.
                                                          Даже ключи для отчетности получали на Балчуге, а для платежей на Житной.

                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение

                                                            Для банков это было не видно, там как бы платежный контур и платежи в нём варятся, а отчётность идет в ТУ.
                                                            Даже ключи для отчетности получали на Балчуге, а для платежей на Житной.
                                                            Ну так и осталось. На Балчуге отчётность и ключи Верба, на Житной платежи и ключи Сигнатура.

                                                            Комментарий


                                                            • rvroman

                                                              Вот, нашел https://www.cbr.ru/PSystem/develop_ps/

                                                              https://www.cbr.ru/Content/Document/...2017-05-26.pdf

                                                              Комментарий

                                                              Обработка...
                                                              X