16 июля, четверг 19:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Александр Четвертый Посмотреть сообщение
    Вообще с ЕБС нужно было делать так - вот вам черная сертифицированная коробка за $1000, вот к ней API
    "Коробку", думаю, будут предлагать скорее за $10000-$100000. И это не вариант для малых и средних банков, так что, несмотря на пугалки здесь в форуме, будем выходить из ситуации сами, возможно не достигая идеалов в части обеспечения ИБ.
    WBR, Александр Турчин

    Комментарий


    • Сообщение от EKarpov Посмотреть сообщение
      Да и с остальными объектами тоже есть люфты. Кто-то может отдельную коробку шифратора для АРМ-ов предусмотреть, а кто-то иным путем идет. Вот и строим из кубиков систему. ПО для сбора биометрии (не забываем про регистрацию в ЕСИА) - отдельно, безопасность/каналы - отдельно, а HSM - из числа поддерживаемых поставщиком ПО.
      Абсолютно правильно.
      Мы сейчас так всем и предлагаем.
      Пока не прояснится - вот вам полнофункциональное решение ЕСИА/БО/ЕБС. Как для небольшого количества операций (копейки стоит), так и вот решение более серьёзное (партнёрское) - подороже чуть. Партнёрские программы позволяют и все ИБ решения от распространенных вендоров крипты приобрести у нас же.
      Прелесть не в этом, а в ещё 40-ка разных сервисах. ФССП, ФНС, ПФР, МВД, и т.д. и т.п.. Все! сервисы, доступные банкам в едином решении.

      Комментарий


      • Сообщение от ost Посмотреть сообщение
        Что вы там выбирать собрались? Информационную систему сбора данных для ЕБСы мало какой банк может проектировать и разрабатывать, там рулят лицензиаты ФСТЭК и ФСБ, банкам светит только приобретение готового решения с последующей аттестацией системы. Т.о. смотрите предложения от вендоров, которых сейчас не так и много, РТ Лабс, ID Systems, Р-Стайл, БСС. Может ещё кто-то выйдет на рынок, но пока я о других не слышал.
        Никто не будет, конечно, всю систему сертифицировать. 8-й центр согласился с доводами о невозможности и согласился на "универсальный компонент ЕБС решения - сервер подписи", который по API дёргается вашей (нашей) ЕБС системой для необходимых действий с HSM. Мы его (сервер подписи) отдадим на аттестацию/сертификацию в сентябре.

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          про вопросы типа - "а нафига нужна своя служба ИБ?" уж можно и вообще не вспоминать,
          У вашей службы есть лицензия на ТЗКИ и на разработку/встраивание СКЗИ? Тогда вперед, начинайте встраивать в ИС СКЗИ класса КВ (под контролем ФСБ).
          З.Ы. Я так понимаю, что с отечественными HSMами вы не сталкивались. Сначала попробуйте HSMом подписать биометрический образец, когда поймете как эта железка работает захочется плакать, но железку вернуть взад не получится.

          Комментарий


          • Сообщение от Андрей Федорец Посмотреть сообщение
            (копейки стоит)
            Это сколько и что туда входит?

            Комментарий


            • Сообщение от Андрей Федорец Посмотреть сообщение
              Никто не будет, конечно, всю систему сертифицировать. 8-й центр согласился с доводами о невозможности и согласился на "универсальный компонент ЕБС решения - сервер подписи", который по API дёргается вашей (нашей) ЕБС системой для необходимых действий с HSM. Мы его (сервер подписи) отдадим на аттестацию/сертификацию в сентябре.
              А откуда известно, что 8-й центр согласился с доводами о невозможности "проведения оценки влияния среды функционирования СКЗИ*" (проверка корректности встраивания СКЗИ) на прикладные системы? (* требование/рекомендация из Формуляра КС2/КС3)

              Комментарий


              • Сообщение от Андрей Федорец Посмотреть сообщение
                Пока не прояснится - вот вам полнофункциональное решение ЕСИА/БО/ЕБС. Как для небольшого количества операций (копейки стоит), так и вот решение более серьёзное (партнёрское) - подороже чуть. Партнёрские программы позволяют и все ИБ решения от распространенных вендоров крипты приобрести у нас же.
                Для небольшого числа операций копейки стоит? А это ИБ в том числе, или бюждет на КС2/КС3/КВ отдельно? А если просто точек сбора многовато, и они не в одном здании? А между зданиями 50-100 км?

                Сколько копеек за коробку - не так важно, по сравнению с тем, сколько на КС3 каналы уйдет. Озвучите цифру расходов на оснащение АРМ-ов сбора + каналы до головного офиса, для, к примеру, 20 офисов (по 1 АРМу сбора в каждом) ?

                Комментарий


                • Сообщение от ost Посмотреть сообщение
                  У вашей службы есть лицензия на ТЗКИ и на разработку/встраивание СКЗИ? Тогда вперед, начинайте встраивать в ИС СКЗИ класса КВ (под контролем ФСБ).
                  З.Ы. Я так понимаю, что с отечественными HSMами вы не сталкивались. Сначала попробуйте HSMом подписать биометрический образец, когда поймете как эта железка работает захочется плакать, но железку вернуть взад не получится.
                  Звучит достаточно креативно, особенно с учетом того, что лицензии выдаются не службам, а юр лицам (или ИП), лицензия на разработку СКЗИ (если не ошибаюсь) требует получение лицензии на гос тайну, а в перечне сертифицированных СКЗИ, ХСМ-ов всего ничего. Да и в целом, не о них только речь.
                  Кроме того, когда Сигнатуру в АБС и прочие поделки встраивали, кого-либо интересовало наличие лицензии у разработчиков банковского ПО или необходимость проведения контроля встраивания в том числе в ДБО?
                  Вы вообще собственно о чем? О том что наши разработчики вдоль и поперек сертифицированы и выполняют все требования нормативки ФСБ или, хотя бы, хорошо в них ориентируются?
                  Понять как работать с ХСМ, если он вообще работает, это задача программистов, а задача ИБ, если они нормально собираются курировать подобный проект, сделать так, что было понятно почему были заплачены деньги именно за такое решение, а если какая-то железка нормально не работает, что бы организация не потеряла на этом деньги, в т.ч. за интеграцию с такой железкой.
                  Ну и вообще, в принципе, кому-что читать, дело глубоко личное. Не нравится не читайте, ни кто же не заставляет...

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Понять как работать с ХСМ, если он вообще работает, это задача программистов, а задача ИБ, если они нормально собираются курировать подобный проект, сделать так, что было понятно почему были заплачены деньги именно за такое решение, а если какая-то железка нормально не работает, что бы организация не потеряла на этом деньги, в т.ч. за интеграцию с такой железкой.
                    Показываешь программистам и администраторам руководство к HSM:
                    • Администраторы инициализации,
                    • Администраторы безопасности,
                    • Администраторы аудита,
                    • Администраторы резервного копирования,
                    • Администраторы прикладного сервиса.

                    И взгляд у ИТ становиться такой добрый, понимающий... и руки ищут предмет потяжелее.

                    ИТ не любят усложнять: "За HSM отвечает Иванов. Хорошо, в отсутствие Иванова Петров сделает. И пусть как хотят, так и делают!"

                    А задача ИБ - сделать так, чтобы никто не мог сделать ущерба больше, чем будет "терпимо" и принято за допустимый риск.
                    Потому и будут у ИБ требования: "Администраторы инициализации 6 человек, для загрузки надо чтобы был кворум из 3 из них, мало ли кто заболел, или в отпуске, или токен сломал. Администратор безопасности 1 человек, если что - соберем кворум админов и выберем/назначим нового..."

                    Комментарий


                    • EKarpov
                      Ну контекст же был об использовании API HSM)))
                      Как соблюсти требования эксплуатационной документации СКЗИ, это конечно отдельная тема, и ИТ, обычно, от этого просто шарахается, как от чумного барака (ну, или холерного...).
                      Последний раз редактировалось saches; 09.08.2018, 18:17.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        EKarpov
                        Ну контекст же был об использовании API HSM)))
                        .).
                        ​​​Ага, API, и когда ИТ гордо сдаёт работу вдруг выясняется, что на выходе подпись RSA вместо ГОСТ, и оно никак не лечится.
                        Плавали, знаем.

                        Комментарий


                        • Руководством поставлена задача «Узнать - есть ли аутсорсинг», позволяющий избежать приобретения дорогого оборудования, ну мол – «Вы уважаемый хотите сдать биометрию? - Ну, ДА, хочу! Ну, тогда Вам к нашему аутсорсиру (подрядчику, партнеру…. или как там его назвать можно) через дорогу или может быть в соседнем квартале по адресу такому-то.
                          Я понимаю, что так не получится, но найти слова, объяснить, пока не получается. В требованиях вроде не запрещено, а что не запрещено - то разрешено!

                          Комментарий


                          • BeebooM
                            Теоретически - некто разворачивает у себя центральное ядро, а банк выступает как удаленная точка.
                            Сильно сомневаюсь что это взлетит. Все же упирается в ключи.

                            Комментарий


                            • Сообщение от BeebooM Посмотреть сообщение
                              …….но найти слова, объяснить, пока не получается. В требованиях вроде не запрещено, а что не запрещено - то разрешено!
                              Если не ошибаюсь, всё есть в действующей нормативке. Т.е., пока собирать биометрические образцы могут только банки. Тем же страховым, НПФ и прочим финансовым организациям, которые ходят под ЦБ, и во всю работают с физиками, это делать не разрешено.
                              КМК, имеет смысл уточнить этот вопрос у своих юристов и в Ростелекоме, готовы ли они будут подключить какую-либо контору, предоставляющую аутсорсинговые услуги банкам по сбору БПДн.
                              Во всяком случае, насколько я понимаю,в модели угроз (4859-У), возможность передачи собранных БПДн между организациями вообще не рассматривается, кроме как в ЕБС.
                              Последний раз редактировалось saches; 10.08.2018, 10:30.

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                ​​​Ага, API, и когда ИТ гордо сдаёт работу вдруг выясняется, что на выходе подпись RSA вместо ГОСТ, и оно никак не лечится.
                                Плавали, знаем.
                                Даже стесняюсь спросить, речь идет о том, что программеры, при использовании API отечественного HSM, на выходе всегда получали подпись RSA вместо ГОСТ?
                                Что правда наши HSM так работают?

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение

                                  Что правда наши HSM так работают?
                                  Просто у наших производителей лозунг — "никто кроме нас".

                                  Комментарий


                                  • Сообщение от ost Посмотреть сообщение
                                    Просто у наших производителей лозунг — "никто кроме нас".
                                    Неконструктивно.

                                    Наши производители и регуляторы страхуются от возможных подводных камней, которые могут быть заложены. И принцип, что "доказано, что дыр не нет" или "дыры искали тщательно, но ни их, ни признаков их наличия не найдено", а не "Не увидел, не заметил, не смотрел..."

                                    Их тоже можно понять. Эволюция идет, хотя да, поддержку в приходится прикручивать, а не получать "из коробки".

                                    Как пример - в отечественной криптографии сроки действия ключей подписи всегда были ограничены. А "за бугром" сроки действия сертификатов сайтов только сейчас стали ограничивать. может дело и до CRL (СОС) дойдёт. И до нормального подхода к сертификатам и управлению ими во всех системах.

                                    Давайте ближе к теме. Аутсорсинг - не получится сделать "чисто", хотя бы из-за взаимодействия с ЕБС и возложенной на банки обязанности. Человек может сказать: "Хочу, чтобы данные сняли и разместили именно вы (банк)! А не какая-то фирма или ИП - с кого я деньги буду взыскивать и кто будет отвечать в случае чего?"

                                    Комментарий


                                    • Сообщение от EKarpov Посмотреть сообщение
                                      Как пример - в отечественной криптографии сроки действия ключей подписи всегда были ограничены. А "за бугром" сроки действия сертификатов сайтов только сейчас стали ограничивать. может дело и до CRL (СОС) дойдёт. И до нормального подхода к сертификатам и управлению ими во всех системах.
                                      Вы что серьезно? Срок действия сертификата как показатель превосходства криптографии? То есть, подписывая запрос на выпуск сертификата, и устанавливая при этом коротенький срок его действия, я улучшаю СКЗИ?
                                      Видел я наш нормальный подход к сертификатам - каждому в задницу засунуть корневой УЦ Минсвязи и заставить ему верить. Вот это, наверное, вы подразумеваете под нормальным подходом к сертификатам и PKI?

                                      Комментарий


                                      • Александр Четвертый

                                        Срок действия сертификата в 30 лет - это очень много. Наши стараются сделать регулярную, плавную смену используемых криптографических ключей. Считаю плавную, с разумными сроками действия смену криптографических ключей полезной и повышающей уровень защиты.

                                        Первая попавшаяся ссылка: https://www.leaderssl.ru/news/412-s-...l-sertifikatov

                                        Во многом разные подходы.

                                        По теме:
                                        Кто-то уже разворачивал HSM с ключем КВ2? Как выглядит процедура получения ключа (кроме документов) у "Восхода"? По аналогии с ключом регистрации СКАД "Сигнатура" или просто на токене принес и скопировал в HSM?

                                        Комментарий


                                        • Сообщение от EKarpov Посмотреть сообщение
                                          Считаю плавную, с разумными сроками действия смену криптографических ключей полезной и повышающей уровень защиты.
                                          Ну конечно же, ибо смена ключей приносит прибыль УЦ. Сейчас чем чаще, тем выгодней.

                                          Комментарий


                                          • Сообщение от EKarpov Посмотреть сообщение
                                            просто на токене принес и скопировал в HSM?
                                            JFY, HSM генерит ключи сам. С тоски зрения безопасности приносить ключ, сгенеренный каким-то там УЦ, это дыра.

                                            Комментарий


                                            • Сообщение от EKarpov Посмотреть сообщение
                                              Срок действия сертификата в 30 лет - это очень много.
                                              let's encrypt ваша панацея?

                                              такой вы интересный, будь вы моим сотрудником (ИБ-шником), я бы вас уволил за некомпетентность

                                              Комментарий


                                              • Сообщение от EKarpov Посмотреть сообщение
                                                По теме: Кто-то уже разворачивал HSM с ключем КВ2
                                                Если по теме HSM, то VipNet пока для меня лидирует. Ибо есть адекватный способ работы с ним без специфичного ПО на "клиенте" (если с SDK поразбираться - тут пока времени не хватило, но всяко лучше MS Crypto API 2.0 в криптопро HSM. Пока все это только из документации.

                                                Комментарий


                                                • А почему решили, что HSM должен стоять на каждом рабочем месте? Почему данные не могут передаваться с защитой каналов по КС3 на сервер и там уже будет задействован один HSM на весь банк.

                                                  Комментарий


                                                  • Сообщение от Berckut Посмотреть сообщение
                                                    А почему решили, что HSM должен стоять на каждом рабочем месте? Почему данные не могут передаваться с защитой каналов по КС3 на сервер и там уже будет задействован один HSM на весь банк.
                                                    Ну да, так и есть.
                                                    Меня больше волнует вопрос - установка и настройка HSM это же лицензируемый вид деятельности? Если при покупке предлагают за отдельные деньги все настроить это хорошо, а на работы по дальнейшему сопровождению нужна ли лицензия? Грубо говоря могут свои ИТшники следить чтобы железка не загнулась или придется еще и покупать у лицензиатов услуги поддержки?

                                                    Комментарий


                                                    • Сообщение от Sat_Kelman Посмотреть сообщение
                                                      установка и настройка HSM это же лицензируемый вид деятельности? Если при покупке предлагают за отдельные деньги все настроить это хорошо, а на работы по дальнейшему сопровождению нужна ли лицензия? Грубо говоря могут свои ИТшники следить чтобы железка не загнулась или придется еще и покупать у лицензиатов услуги поддержки?
                                                      Для собственных нужд лицензия не нужна. Да и поддерживать там особо нечего, настроил и забыл. С нашими HSM, которые на три-четыре года... Как с водяными счётчиками.

                                                      Комментарий


                                                      • Сообщение от Berckut Посмотреть сообщение
                                                        А почему решили, что HSM должен стоять на каждом рабочем месте? Почему данные не могут передаваться с защитой каналов по КС3 на сервер и там уже будет задействован один HSM на весь банк.
                                                        Под клиентом тут подразумевал сервер, который будет к HSM'у за КВ-подписью ходить для уже собранной из офисов биометрии.

                                                        Комментарий


                                                        • Коллеги, приветствую!
                                                          Если исходить из содержания 4859-У, там, в т.ч., есть следующие требования (в собственном изложении):
                                                          1.4. При обработки информации о степени соответствия БПДн в банках, необходимо использование СКЗИ класса КВ.
                                                          1.5. При передаче информации о степени соответствия между банком и ЕБС:...


                                                          Если с передачей информации о степени соответствия в ЕБС (п.1.5.) приблизительно понятно, что подразумевается под обработкой информации о степени соответствия в банке, при которой необходимо использовать СКЗИ (п.1.4.)?

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            Если с передачей информации о степени соответствия в ЕБС (п.1.5.) приблизительно понятно, что подразумевается под обработкой информации о степени соответствия в банке, при которой необходимо использовать СКЗИ (п.1.4.)?
                                                            Видимо, речь о разных жизненных циклах обработки маркера доступа, полученного из ЕБС. Технически он ничем не отличается от обычных ЕСИА-вских маркеров.

                                                            Части маркера разделены точкой, так что он имеет вид: HEADER.PAYLOAD.SIGNATURE
                                                            Маркер передается в виде строки в формате Base64url.
                                                            Маркеры ЕБС, в отличие от обычных ЕСИА-вских, обязательно будут подписаны по ГОСТу, ну и КВ-крипотой - это обязательства ЕБС тут (п.1.5):

                                                            Алгоритм шифрования (“alg”, стандартное обозначение); в настоящее время в ЕСИА
                                                            поддерживается алгоритм электронной подписи RSA SHA-256, рекомендуемый
                                                            спецификацией (соответствует значению “RS256”) и алгоритм электронной подписи
                                                            ГОСТ Р 34.10-2001 (соответствует значению “GOST3410”). Для каждой информационной
                                                            системы используется заданный ей алгоритм шифрования (“RS256” или “GOST3410”).
                                                            В маркере собственно кусок биометрии - степень соответствия:

                                                            Код:
                                                            "match": {
                                                            "voice": "0.95",
                                                            "face": "0.8",
                                                            "overall": "0.9"
                                                            }
                                                            Вот эти данные просто так внутри банка использовать (п.1.4) видимо нельзя - нужно всегда при этом проверять их целостность, то есть проверять подпись маркера доступа в момент использования биометрии (принятия решения о возможности открытия счета)?.. Т.е. обращаться к HSM?

                                                            Комментарий


                                                            • Сообщение от w3d Посмотреть сообщение
                                                              Это сколько и что туда входит?
                                                              Напишите, пожалуйста, на post@id-sys.ru
                                                              Развёрнуто ответим. Весь комплекс софта для работы с ЕСИА/ЕБС, сбору БО, рабочие места. Весь комплект в районе 650...750 т.р.
                                                              Но это без ИБ, понятное дело. По ИБ надо определяться со всей схемой и набором компонент.

                                                              Комментарий

                                                              Обработка...
                                                              X