16 апреля, пятница 19:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ПО для отправки отчетностей и ЭС положений

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ПО для отправки отчетностей и ЭС положений

    Здравствуйте.
    Возможно уже обсуждалось, но не смог найти.
    Мы (мск. отделение) отправляем отчетность формата XML и ЭС положений (440, например), формируя всё батником и отправляя через АстраСВК.
    Хотим уйти от батников в пользу какого-то аутсорсного ПО (в т.ч. платное, конечно же), автоматического или полуавтоматического (но оставив взаимодействие исключительно на бизнес-подразделениях (т.е. заходить в ППК KLIKOMSG они не хотят)). Хотя бы по части формирования TK и транспортных архивов, т.е. видим как закрытое ПО, которое само правильно шифрует\подписывает\сжимает.

    Можете порекомендовать куда смотреть?

  • #2
    Можете обратиться к нам.
    https://kraskript.com/ufo-checker/
    дадим тестовую лицензию (полнофункциональную с ограничением 2 месяца), установить-настроить поможем

    Комментарий


    • #3
      КрасКрипт
      Я правильно понимаю, что это же ПО (https://kraskript.com/ufo-checker/) позволяет формировать ЗК/КА под ED-шками для дальнейшей передачи в АРМ КБР-Н, и проверять КА при получении?
      И как ваше ПО живёт с 6-ой Сигнатурой?

      Комментарий


      • #4
        И это тоже может.
        С Сигнатурой 6 на ключах ГОСТ 2012 работает уже сейчас. Под ГОСТ 2015 пока ключи в природе не замечены. Как появятся, будем и под новый ГОСТ доделывать

        Комментарий


        • #5
          КрасКрипт
          Если говорить про платёжную часть (формирование ЗК/КА), планируется ли что-то делать в рамках требований ЦБ по контролю на ОУД4 или сертификацию этого ПО?
          Речь, например, о п.2.5.5.1, 382-П.

          Комментарий


          • #6
            С этими требованиями ЦБ перемудрили. Вот к примеру неплохая стстья на тему.
            https://www.securitylab.ru/blog/pers...avr/346548.php
            Мало того что процедура крайне запутана и практически нереализуема, а иногда и невозможна, так еще и гарантирует проблемы с эксплуатацией и поддержкой.
            Мы обычно предлагаем банкам заниматься этим самостоятельно (если денег и времени девать некуда), но пока никто этим так и не занялся ввиду диалектического фиаско, зарытого в требованиях

            Комментарий


            • #7
              КрасКрипт
              Всё несколько не так. Сам ГОСТ 15408 (это в котором речь про ОУД), калька с некой предыдущей версии Common Criteria - международного стандарта, в том числе, принятого в РФ, оценки безопасности ИС, по сути сертификации. См, например, https://www.commoncriteriaportal.org/
              У ФСТЭК своя система сертификации и статья Кузнецова Д., на которую вы ссылались, была о том. что требования ЦБ вышли в тот момент, когда ФСТЭК проводил изменения в своей нормативке и не очень было ясно куда бечь со всеми этими требованиями ЦБ.

              Вопрос насколько в целом это всё нужно, достаточно спорный. Например, если бы Solarwinds сертифицировал своё ПО по Common Criteria, не думаю, что сейчас исходники MS, Cisco и прочих залетевших продавались бы на "помойке" - https://blog.avast.com/solarleaks-se...ft-cisco-avast.

              Хотя, конечно, определённых денег сертификация стоит, не очевидно, на сколько это может быть актуально/критично для всех финансовых компаний в РФ. И тут, на мой взгляд, ЦБ зря чешет всех под одну гребенку...

              PS:в любом случае, ответ понятен. За инфу, спасибо!
              Последний раз редактировалось saches; 01.02.2021, 16:03.

              Комментарий


              • #8
                saches на сколько я помню Вы как раз поднимали подобную тему на форуме разработчиком Сигнатуры, и они честно признались что кроме ЦБ никто этим не занимался, что безусловно наводит на философские мысли...

                Комментарий


                • #9
                  КрасКрипт
                  Было такое. Но тогда речь шла о требовании ФСБ по проведению контроля встраивания СКЗИ в ПО http://www.fsb.ru/fsb/science/single...searchart.html.
                  В нормативке ЦБ это выглядит как, например, п. 2.9.1. в 382-П или п.6 в 683-П и, по сути, речь идет о контроле того, насколько правильно реализовано использование СКЗИ в Вашем (или чьём-то ещё) ПО.

                  То, что мы обсуждаем сейчас, это контроль качества исходного кода и используемых внешних компонентов Вашего (или чьего-то) ПО на наличие уязвимостей и "недекларированных возможностей" (НДВ), т.е. троянов, бэкдоров и т.п. вне зависимости от наличия или отсутствия СКЗИ. Т.е. предмет обсуждения сейчас несколько иной, и кейс с Solarwinds демонстрирует насколько это может быть критично, когда порядка 18 тыс компаний скачали себе затрояненное ПО и, после этого, их неплохо так выпотрашили....
                  Если говорить о нормативке ЦБ, то это, например, п.2.5.5.1 в 382-П или п.4.1 в 683-П. Хотя, соглашусь, что для большинства наших банков риски совсем другие...

                  Я правильно понимаю, что в принципе, ваша компания готова предоставить свои исходники клиентам для проведения контроля по ОУД4?
                  Последний раз редактировалось saches; 02.02.2021, 11:19.

                  Комментарий


                  • #10
                    вопрос только в том что там оценивать...
                    Сертифицировать можно только средство защиты, то есть ПО, в котором есть функции безопасности. В платежном процессе часто используется софт, в котором функций безопасности нет в принципе (например, самописные конвертеры, которые просто преобразуют платежные данные из одного формата в другой) - такие приложения сертифицировать невозможно.
                    т.е. сначала надо заморочиться и измахратить ПО до состояния КБРН с кучей пользователей, и потом уже оценивать как эти функции безопасности реализованы

                    Комментарий


                    • #11
                      КрасКрипт
                      Ну с этим всё просто. Например, если в ИС/ПО присутствует какое-то распределение прав пользователей или СКЗИ, то это уже считается системой "в защищенном исполнении".
                      Т.е. уже есть чего сертифицировать или, в случае ФСБ, повод получать лицензию на разработку, сопровождение и распространение подобного ПО/ИС.
                      И, кроме того, любое ПО можно проверить на наличие уязвимостей, т.е. фактически, на качество кода (чего собственно и хочет ЦБ) и, как правило, это дешевле, чем полноценная сертификация.
                      Ну и АРМ КБР-Н не очень и "замахрён" всего 3 роли - админ, админ ИБ и оператор.)))

                      Комментарий


                      • #12
                        Ап. Может кто-то использует какие-либо решения?
                        Ну не может такая ниша представляться только одним готовым решением на рынке..

                        Комментарий


                        • #13
                          Сообщение от Korper Посмотреть сообщение
                          Ап. Может кто-то использует какие-либо решения?
                          Ну не может такая ниша представляться только одним готовым решением на рынке..
                          еще есть http://svkclient.ru/?page_id=1341

                          Комментарий


                          • #14
                            Подскажите, существует ли ПО для обработки сообщений ФСФМ (407-П) кроме Комиты?

                            Комментарий


                            • #15
                              407-П это только одна половина. Еще туда же 349-П (по одному положению запросы, по второму - ответы).
                              Если интересует только обработка (без составления документов), то это можно в нашем ПО обрабатывать (как и многие другие положения-указания)

                              Комментарий


                              • #16
                                Спасибо, интересует именно обработка, т.е. подпись шифрование. Ещё дело в том, что сейчас многие отчеты будут отправляться через ЛК ЦБ, а вот этот 407-П через ЛК ФСФМ, а там уже не Сигнатура, а КриптоПро и другая подпись. А 4512-У например вообще подпись УКЭП КриптоПро, а потом шифрование и КА Сигнатурой. Ваше ПО это делает?

                                Комментарий


                                • #17
                                  Можно и КриптоПро и Сигнатурой.
                                  Вы 407-П не перепутали с 4936-У? Там действительно УКЭП и шифрование КриптоПро и отправка через ЛК РФМ, а 407-П отправляется в ЦБ (код посылки ПТК ПСД FZ для 407 и OZ для 349П) и подписывается-шифруется Сигнатурой (получатель при шифровании CN=FSFM в профиле ФОИВ)
                                  по 4512-У (да и 1459-У) вариантов уже сделали кучу из-за особенностей работы ТБСВК и АСВКБ. Детально описывать не буду, но хотелок у банков много разных (в основном касающихся того где-кем подписываются и где формировать архивы)

                                  Комментарий


                                  • #18
                                    Сообщение от КрасКрипт Посмотреть сообщение
                                    Вы 407-П не перепутали с 4936-У?
                                    Может и перепутал) Я по отчетности не особо специалист, просто попросили помочь, а так криптографией занимаюсь. По 407-П вроде вышел какой-то 171 приказ, по которому в течение 90 дней перейдут на работу через ЛК...

                                    Комментарий


                                    • #19
                                      Да, по 171 приказу, который отменяет 349, запросы будет нужно скачивать в ЛК на портале РФМ. КрасКрипт, у вас это уже реализовано?

                                      Комментарий


                                      • #20
                                        Да подписать-зашифровать с помощью криптопро никаких проблем. Надо заняться сценарий обработки перерисовать. Поменять обработку Сигнатурой на КриптоПро

                                        Комментарий

                                        Обработка...
                                        X