25 февраля, вторник 05:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Александр Четвертый Посмотреть сообщение
    Вообще с ЕБС нужно было делать так - вот вам черная сертифицированная коробка за $1000, вот к ней API
    "Коробку", думаю, будут предлагать скорее за $10000-$100000. И это не вариант для малых и средних банков, так что, несмотря на пугалки здесь в форуме, будем выходить из ситуации сами, возможно не достигая идеалов в части обеспечения ИБ.
    WBR, Александр Турчин

    Комментарий


    • Сообщение от EKarpov Посмотреть сообщение
      Да и с остальными объектами тоже есть люфты. Кто-то может отдельную коробку шифратора для АРМ-ов предусмотреть, а кто-то иным путем идет. Вот и строим из кубиков систему. ПО для сбора биометрии (не забываем про регистрацию в ЕСИА) - отдельно, безопасность/каналы - отдельно, а HSM - из числа поддерживаемых поставщиком ПО.
      Абсолютно правильно.
      Мы сейчас так всем и предлагаем.
      Пока не прояснится - вот вам полнофункциональное решение ЕСИА/БО/ЕБС. Как для небольшого количества операций (копейки стоит), так и вот решение более серьёзное (партнёрское) - подороже чуть. Партнёрские программы позволяют и все ИБ решения от распространенных вендоров крипты приобрести у нас же.
      Прелесть не в этом, а в ещё 40-ка разных сервисах. ФССП, ФНС, ПФР, МВД, и т.д. и т.п.. Все! сервисы, доступные банкам в едином решении.

      Комментарий


      • Сообщение от ost Посмотреть сообщение
        Что вы там выбирать собрались? Информационную систему сбора данных для ЕБСы мало какой банк может проектировать и разрабатывать, там рулят лицензиаты ФСТЭК и ФСБ, банкам светит только приобретение готового решения с последующей аттестацией системы. Т.о. смотрите предложения от вендоров, которых сейчас не так и много, РТ Лабс, ID Systems, Р-Стайл, БСС. Может ещё кто-то выйдет на рынок, но пока я о других не слышал.
        Никто не будет, конечно, всю систему сертифицировать. 8-й центр согласился с доводами о невозможности и согласился на "универсальный компонент ЕБС решения - сервер подписи", который по API дёргается вашей (нашей) ЕБС системой для необходимых действий с HSM. Мы его (сервер подписи) отдадим на аттестацию/сертификацию в сентябре.

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          про вопросы типа - "а нафига нужна своя служба ИБ?" уж можно и вообще не вспоминать,
          У вашей службы есть лицензия на ТЗКИ и на разработку/встраивание СКЗИ? Тогда вперед, начинайте встраивать в ИС СКЗИ класса КВ (под контролем ФСБ).
          З.Ы. Я так понимаю, что с отечественными HSMами вы не сталкивались. Сначала попробуйте HSMом подписать биометрический образец, когда поймете как эта железка работает захочется плакать, но железку вернуть взад не получится.

          Комментарий


          • Сообщение от Андрей Федорец Посмотреть сообщение
            (копейки стоит)
            Это сколько и что туда входит?

            Комментарий


            • Сообщение от Андрей Федорец Посмотреть сообщение
              Никто не будет, конечно, всю систему сертифицировать. 8-й центр согласился с доводами о невозможности и согласился на "универсальный компонент ЕБС решения - сервер подписи", который по API дёргается вашей (нашей) ЕБС системой для необходимых действий с HSM. Мы его (сервер подписи) отдадим на аттестацию/сертификацию в сентябре.
              А откуда известно, что 8-й центр согласился с доводами о невозможности "проведения оценки влияния среды функционирования СКЗИ*" (проверка корректности встраивания СКЗИ) на прикладные системы? (* требование/рекомендация из Формуляра КС2/КС3)

              Комментарий


              • Сообщение от Андрей Федорец Посмотреть сообщение
                Пока не прояснится - вот вам полнофункциональное решение ЕСИА/БО/ЕБС. Как для небольшого количества операций (копейки стоит), так и вот решение более серьёзное (партнёрское) - подороже чуть. Партнёрские программы позволяют и все ИБ решения от распространенных вендоров крипты приобрести у нас же.
                Для небольшого числа операций копейки стоит? А это ИБ в том числе, или бюждет на КС2/КС3/КВ отдельно? А если просто точек сбора многовато, и они не в одном здании? А между зданиями 50-100 км?

                Сколько копеек за коробку - не так важно, по сравнению с тем, сколько на КС3 каналы уйдет. Озвучите цифру расходов на оснащение АРМ-ов сбора + каналы до головного офиса, для, к примеру, 20 офисов (по 1 АРМу сбора в каждом) ?

                Комментарий


                • Сообщение от ost Посмотреть сообщение
                  У вашей службы есть лицензия на ТЗКИ и на разработку/встраивание СКЗИ? Тогда вперед, начинайте встраивать в ИС СКЗИ класса КВ (под контролем ФСБ).
                  З.Ы. Я так понимаю, что с отечественными HSMами вы не сталкивались. Сначала попробуйте HSMом подписать биометрический образец, когда поймете как эта железка работает захочется плакать, но железку вернуть взад не получится.
                  Звучит достаточно креативно, особенно с учетом того, что лицензии выдаются не службам, а юр лицам (или ИП), лицензия на разработку СКЗИ (если не ошибаюсь) требует получение лицензии на гос тайну, а в перечне сертифицированных СКЗИ, ХСМ-ов всего ничего. Да и в целом, не о них только речь.
                  Кроме того, когда Сигнатуру в АБС и прочие поделки встраивали, кого-либо интересовало наличие лицензии у разработчиков банковского ПО или необходимость проведения контроля встраивания в том числе в ДБО?
                  Вы вообще собственно о чем? О том что наши разработчики вдоль и поперек сертифицированы и выполняют все требования нормативки ФСБ или, хотя бы, хорошо в них ориентируются?
                  Понять как работать с ХСМ, если он вообще работает, это задача программистов, а задача ИБ, если они нормально собираются курировать подобный проект, сделать так, что было понятно почему были заплачены деньги именно за такое решение, а если какая-то железка нормально не работает, что бы организация не потеряла на этом деньги, в т.ч. за интеграцию с такой железкой.
                  Ну и вообще, в принципе, кому-что читать, дело глубоко личное. Не нравится не читайте, ни кто же не заставляет...

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Понять как работать с ХСМ, если он вообще работает, это задача программистов, а задача ИБ, если они нормально собираются курировать подобный проект, сделать так, что было понятно почему были заплачены деньги именно за такое решение, а если какая-то железка нормально не работает, что бы организация не потеряла на этом деньги, в т.ч. за интеграцию с такой железкой.
                    Показываешь программистам и администраторам руководство к HSM:
                    • Администраторы инициализации,
                    • Администраторы безопасности,
                    • Администраторы аудита,
                    • Администраторы резервного копирования,
                    • Администраторы прикладного сервиса.

                    И взгляд у ИТ становиться такой добрый, понимающий... и руки ищут предмет потяжелее.

                    ИТ не любят усложнять: "За HSM отвечает Иванов. Хорошо, в отсутствие Иванова Петров сделает. И пусть как хотят, так и делают!"

                    А задача ИБ - сделать так, чтобы никто не мог сделать ущерба больше, чем будет "терпимо" и принято за допустимый риск.
                    Потому и будут у ИБ требования: "Администраторы инициализации 6 человек, для загрузки надо чтобы был кворум из 3 из них, мало ли кто заболел, или в отпуске, или токен сломал. Администратор безопасности 1 человек, если что - соберем кворум админов и выберем/назначим нового..."

                    Комментарий


                    • EKarpov
                      Ну контекст же был об использовании API HSM)))
                      Как соблюсти требования эксплуатационной документации СКЗИ, это конечно отдельная тема, и ИТ, обычно, от этого просто шарахается, как от чумного барака (ну, или холерного...).
                      Последний раз редактировалось saches; 09.08.2018, 18:17.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        EKarpov
                        Ну контекст же был об использовании API HSM)))
                        .).
                        ​​​Ага, API, и когда ИТ гордо сдаёт работу вдруг выясняется, что на выходе подпись RSA вместо ГОСТ, и оно никак не лечится.
                        Плавали, знаем.

                        Комментарий


                        • Руководством поставлена задача «Узнать - есть ли аутсорсинг», позволяющий избежать приобретения дорогого оборудования, ну мол – «Вы уважаемый хотите сдать биометрию? - Ну, ДА, хочу! Ну, тогда Вам к нашему аутсорсиру (подрядчику, партнеру…. или как там его назвать можно) через дорогу или может быть в соседнем квартале по адресу такому-то.
                          Я понимаю, что так не получится, но найти слова, объяснить, пока не получается. В требованиях вроде не запрещено, а что не запрещено - то разрешено!

                          Комментарий


                          • BeebooM
                            Теоретически - некто разворачивает у себя центральное ядро, а банк выступает как удаленная точка.
                            Сильно сомневаюсь что это взлетит. Все же упирается в ключи.

                            Комментарий


                            • Сообщение от BeebooM Посмотреть сообщение
                              …….но найти слова, объяснить, пока не получается. В требованиях вроде не запрещено, а что не запрещено - то разрешено!
                              Если не ошибаюсь, всё есть в действующей нормативке. Т.е., пока собирать биометрические образцы могут только банки. Тем же страховым, НПФ и прочим финансовым организациям, которые ходят под ЦБ, и во всю работают с физиками, это делать не разрешено.
                              КМК, имеет смысл уточнить этот вопрос у своих юристов и в Ростелекоме, готовы ли они будут подключить какую-либо контору, предоставляющую аутсорсинговые услуги банкам по сбору БПДн.
                              Во всяком случае, насколько я понимаю,в модели угроз (4859-У), возможность передачи собранных БПДн между организациями вообще не рассматривается, кроме как в ЕБС.
                              Последний раз редактировалось saches; 10.08.2018, 10:30.

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                ​​​Ага, API, и когда ИТ гордо сдаёт работу вдруг выясняется, что на выходе подпись RSA вместо ГОСТ, и оно никак не лечится.
                                Плавали, знаем.
                                Даже стесняюсь спросить, речь идет о том, что программеры, при использовании API отечественного HSM, на выходе всегда получали подпись RSA вместо ГОСТ?
                                Что правда наши HSM так работают?

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение

                                  Что правда наши HSM так работают?
                                  Просто у наших производителей лозунг — "никто кроме нас".

                                  Комментарий


                                  • Сообщение от ost Посмотреть сообщение
                                    Просто у наших производителей лозунг — "никто кроме нас".
                                    Неконструктивно.

                                    Наши производители и регуляторы страхуются от возможных подводных камней, которые могут быть заложены. И принцип, что "доказано, что дыр не нет" или "дыры искали тщательно, но ни их, ни признаков их наличия не найдено", а не "Не увидел, не заметил, не смотрел..."

                                    Их тоже можно понять. Эволюция идет, хотя да, поддержку в приходится прикручивать, а не получать "из коробки".

                                    Как пример - в отечественной криптографии сроки действия ключей подписи всегда были ограничены. А "за бугром" сроки действия сертификатов сайтов только сейчас стали ограничивать. может дело и до CRL (СОС) дойдёт. И до нормального подхода к сертификатам и управлению ими во всех системах.

                                    Давайте ближе к теме. Аутсорсинг - не получится сделать "чисто", хотя бы из-за взаимодействия с ЕБС и возложенной на банки обязанности. Человек может сказать: "Хочу, чтобы данные сняли и разместили именно вы (банк)! А не какая-то фирма или ИП - с кого я деньги буду взыскивать и кто будет отвечать в случае чего?"

                                    Комментарий


                                    • Сообщение от EKarpov Посмотреть сообщение
                                      Как пример - в отечественной криптографии сроки действия ключей подписи всегда были ограничены. А "за бугром" сроки действия сертификатов сайтов только сейчас стали ограничивать. может дело и до CRL (СОС) дойдёт. И до нормального подхода к сертификатам и управлению ими во всех системах.
                                      Вы что серьезно? Срок действия сертификата как показатель превосходства криптографии? То есть, подписывая запрос на выпуск сертификата, и устанавливая при этом коротенький срок его действия, я улучшаю СКЗИ?
                                      Видел я наш нормальный подход к сертификатам - каждому в задницу засунуть корневой УЦ Минсвязи и заставить ему верить. Вот это, наверное, вы подразумеваете под нормальным подходом к сертификатам и PKI?

                                      Комментарий


                                      • Александр Четвертый

                                        Срок действия сертификата в 30 лет - это очень много. Наши стараются сделать регулярную, плавную смену используемых криптографических ключей. Считаю плавную, с разумными сроками действия смену криптографических ключей полезной и повышающей уровень защиты.

                                        Первая попавшаяся ссылка: https://www.leaderssl.ru/news/412-s-...l-sertifikatov

                                        Во многом разные подходы.

                                        По теме:
                                        Кто-то уже разворачивал HSM с ключем КВ2? Как выглядит процедура получения ключа (кроме документов) у "Восхода"? По аналогии с ключом регистрации СКАД "Сигнатура" или просто на токене принес и скопировал в HSM?

                                        Комментарий


                                        • Сообщение от EKarpov Посмотреть сообщение
                                          Считаю плавную, с разумными сроками действия смену криптографических ключей полезной и повышающей уровень защиты.
                                          Ну конечно же, ибо смена ключей приносит прибыль УЦ. Сейчас чем чаще, тем выгодней.

                                          Комментарий


                                          • Сообщение от EKarpov Посмотреть сообщение
                                            просто на токене принес и скопировал в HSM?
                                            JFY, HSM генерит ключи сам. С тоски зрения безопасности приносить ключ, сгенеренный каким-то там УЦ, это дыра.

                                            Комментарий


                                            • Сообщение от EKarpov Посмотреть сообщение
                                              Срок действия сертификата в 30 лет - это очень много.
                                              let's encrypt ваша панацея?

                                              такой вы интересный, будь вы моим сотрудником (ИБ-шником), я бы вас уволил за некомпетентность

                                              Комментарий


                                              • Сообщение от EKarpov Посмотреть сообщение
                                                По теме: Кто-то уже разворачивал HSM с ключем КВ2
                                                Если по теме HSM, то VipNet пока для меня лидирует. Ибо есть адекватный способ работы с ним без специфичного ПО на "клиенте" (если с SDK поразбираться - тут пока времени не хватило, но всяко лучше MS Crypto API 2.0 в криптопро HSM. Пока все это только из документации.

                                                Комментарий


                                                • А почему решили, что HSM должен стоять на каждом рабочем месте? Почему данные не могут передаваться с защитой каналов по КС3 на сервер и там уже будет задействован один HSM на весь банк.

                                                  Комментарий


                                                  • Сообщение от Berckut Посмотреть сообщение
                                                    А почему решили, что HSM должен стоять на каждом рабочем месте? Почему данные не могут передаваться с защитой каналов по КС3 на сервер и там уже будет задействован один HSM на весь банк.
                                                    Ну да, так и есть.
                                                    Меня больше волнует вопрос - установка и настройка HSM это же лицензируемый вид деятельности? Если при покупке предлагают за отдельные деньги все настроить это хорошо, а на работы по дальнейшему сопровождению нужна ли лицензия? Грубо говоря могут свои ИТшники следить чтобы железка не загнулась или придется еще и покупать у лицензиатов услуги поддержки?

                                                    Комментарий


                                                    • Сообщение от Sat_Kelman Посмотреть сообщение
                                                      установка и настройка HSM это же лицензируемый вид деятельности? Если при покупке предлагают за отдельные деньги все настроить это хорошо, а на работы по дальнейшему сопровождению нужна ли лицензия? Грубо говоря могут свои ИТшники следить чтобы железка не загнулась или придется еще и покупать у лицензиатов услуги поддержки?
                                                      Для собственных нужд лицензия не нужна. Да и поддерживать там особо нечего, настроил и забыл. С нашими HSM, которые на три-четыре года... Как с водяными счётчиками.

                                                      Комментарий


                                                      • Сообщение от Berckut Посмотреть сообщение
                                                        А почему решили, что HSM должен стоять на каждом рабочем месте? Почему данные не могут передаваться с защитой каналов по КС3 на сервер и там уже будет задействован один HSM на весь банк.
                                                        Под клиентом тут подразумевал сервер, который будет к HSM'у за КВ-подписью ходить для уже собранной из офисов биометрии.

                                                        Комментарий


                                                        • Коллеги, приветствую!
                                                          Если исходить из содержания 4859-У, там, в т.ч., есть следующие требования (в собственном изложении):
                                                          1.4. При обработки информации о степени соответствия БПДн в банках, необходимо использование СКЗИ класса КВ.
                                                          1.5. При передаче информации о степени соответствия между банком и ЕБС:...


                                                          Если с передачей информации о степени соответствия в ЕБС (п.1.5.) приблизительно понятно, что подразумевается под обработкой информации о степени соответствия в банке, при которой необходимо использовать СКЗИ (п.1.4.)?

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            Если с передачей информации о степени соответствия в ЕБС (п.1.5.) приблизительно понятно, что подразумевается под обработкой информации о степени соответствия в банке, при которой необходимо использовать СКЗИ (п.1.4.)?
                                                            Видимо, речь о разных жизненных циклах обработки маркера доступа, полученного из ЕБС. Технически он ничем не отличается от обычных ЕСИА-вских маркеров.

                                                            Части маркера разделены точкой, так что он имеет вид: HEADER.PAYLOAD.SIGNATURE
                                                            Маркер передается в виде строки в формате Base64url.
                                                            Маркеры ЕБС, в отличие от обычных ЕСИА-вских, обязательно будут подписаны по ГОСТу, ну и КВ-крипотой - это обязательства ЕБС тут (п.1.5):

                                                            Алгоритм шифрования (“alg”, стандартное обозначение); в настоящее время в ЕСИА
                                                            поддерживается алгоритм электронной подписи RSA SHA-256, рекомендуемый
                                                            спецификацией (соответствует значению “RS256”) и алгоритм электронной подписи
                                                            ГОСТ Р 34.10-2001 (соответствует значению “GOST3410”). Для каждой информационной
                                                            системы используется заданный ей алгоритм шифрования (“RS256” или “GOST3410”).
                                                            В маркере собственно кусок биометрии - степень соответствия:

                                                            Код:
                                                            "match": {
                                                            "voice": "0.95",
                                                            "face": "0.8",
                                                            "overall": "0.9"
                                                            }
                                                            Вот эти данные просто так внутри банка использовать (п.1.4) видимо нельзя - нужно всегда при этом проверять их целостность, то есть проверять подпись маркера доступа в момент использования биометрии (принятия решения о возможности открытия счета)?.. Т.е. обращаться к HSM?

                                                            Комментарий


                                                            • Сообщение от w3d Посмотреть сообщение
                                                              Это сколько и что туда входит?
                                                              Напишите, пожалуйста, на post@id-sys.ru
                                                              Развёрнуто ответим. Весь комплекс софта для работы с ЕСИА/ЕБС, сбору БО, рабочие места. Весь комплект в районе 650...750 т.р.
                                                              Но это без ИБ, понятное дело. По ИБ надо определяться со всей схемой и набором компонент.

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X