13 ноября, вторник 10:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    приниматься будут
    Но это, думаю, верно.
    Только надеяться надо не на техногенную составляющую (т.е. на её отсутствие), а на перенос сроков внедрения закрытых КВ контуров. Вот это вполне себе реально.
    Смотрим на календарь...

    Комментарий


    • Сообщение от w3d Посмотреть сообщение
      ....И как это обойти?
      А смысл? До первого предписания устранить несоответствие требованиям 4859-У?

      Комментарий


      • Сообщение от Александр Четвертый Посмотреть сообщение
        скан-копию предписанного договора о закупке оборудования у лицензиата ФСБ РФ
        Обещал, не значит женился. Заключил договор, не значит купил. А с помощью openssl-gost можно сделать любой CSR.
        Да и не нужно это РТК, код править, им бы успеть дописать и отладить то, что нужно.

        Комментарий


        • Сообщение от ost Посмотреть сообщение
          А с помощью openssl-gost можно сделать любой CSR.
          Во временном порядке получения ЭЦП от Восхода указано "Файл запроса на сертификат формируется с использованием средств ЭП КО класса КВ2"
          Как сюда вписывается openssl-gost ?

          Комментарий


          • Сообщение от w3d Посмотреть сообщение
            Во временном порядке получения ЭЦП от Восхода указано "Файл запроса на сертификат формируется с использованием средств ЭП КО класса КВ2" Как сюда вписывается openssl-gost ?
            Это из разряда "Вы руки мыли? - Да, мыл. - Ну тогда садитесь кушать."
            PKCS#10 запрос он и в Африке PKCS#10 запрос. Все эти буковки про класс криптопсредства, которым сделан запрос - все пожно добавить самому, делая запрос далеко не сертифицированными средствами. Структура PKCS#10 запроса определяется RFC 2986 (https://tools.ietf.org/html/rfc2986), атрибуты в RFC 2985 (https://tools.ietf.org/html/rfc2985).

            Комментарий


            • Сообщение от w3d Посмотреть сообщение
              Файл запроса на сертификат формируется с использованием средств ЭП КО класса КВ2" Как сюда вписывается openssl-gost ?
              А как они проверят, чем сформирован CSR? openssl туда впишет то, что я скажу, хоть КВ2, хоть КА, хоть "Здесь был Вася". Я с ним развлекался лет пять тому назад, очень гибкая штука.

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                А как они проверят, чем сформирован CSR? openssl туда впишет то, что я скажу, хоть КВ2, хоть КА, хоть "Здесь был Вася". Я с ним развлекался лет пять тому назад, очень гибкая штука.
                И кто все эти люди....

                Комментарий


                • Для инфы:

                  Департамент информационной безопасности рассмотрел Ваше обращение по вопросу реализации отдельных требований к сбору биометрических персональных данных и сообщает следующее.

                  По первому вопросу.
                  В соответствии c пунктом 5 Приложения № 3 к приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.06.2018 № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (зарегистрирован в Минюсте России 04.07.2018 № 51532) банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации
                  ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
                  Требования о проведении оценки соответствия требованиям по защите информации определены абзацем 4 пункта 9 Приложения № 1 к указанному приказу.

                  По второму вопросу.
                  Уровень защищенности персональных данных на рабочих местах сотрудников банка, на которых выполняется непосредственный сбор биометрических персональных данных, банкам следует определять самостоятельно с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, определенных Постановлением Правительства Российской Федерации от 01.11.2012. № 1119, и актуальных для банка угроз безопасности персональных данных.



                  Директор В.А. Уваров

                  Комментарий


                  • Кто-нибудь задавался вопросом, что из схемы ЕБС можно развернуть в арендуемом ЦОД? И не будет ли это потом препятствием при аудитах?

                    Комментарий


                    • Сообщение от amarhgil Посмотреть сообщение
                      Для инфы:.......

                      По второму вопросу.
                      Уровень защищенности персональных данных на рабочих местах сотрудников банка, на которых выполняется непосредственный сбор биометрических персональных данных, банкам следует определять самостоятельно с учетом Требований к защите персональных данных при их обработке в информационных системах персональных данных, определенных Постановлением Правительства Российской Федерации от 01.11.2012. № 1119, и актуальных для банка угроз безопасности персональных данных.
                      Вот интересно, про 4859-У ничего не написали исходя из каких соображений? Что отдельные, указанные там угрозы, можно считать неактуальными?

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Вот интересно, про 4859-У ничего не написали исходя из каких соображений? Что отдельные, указанные там угрозы, можно считать неактуальными?
                        Да все понятно. Банки и так сейчас собирают персональные данные, обслуживая клиентов в офисах. Подразумевается, что все банки обеспечивают защиту обработки и передачи этих ПДн в соответствии требованиями регуляторов. И необходимости как-то усиливать ЦБ не видит. Здесь я с ними солидарен и необходимости использовать КС3 (да и КС2, честно говоря, тоже) не вижу. ( ИМХО:- более 80% используют VPN+ IPSec CISCO).
                        Жаль только, что все эти требования очень размазаны и у разных проверяющих разные взгляды. Ну а банкам выгоднее сделать некоторые угрозы не актуальными, чтобы не нарываться на излишние регуляторные требования. А то так можно дойти до того, что каждое место операциониста придется аттестовать, а в мести с ними и АБС.
                        Помнится в свое время, чтобы как-то уйти из-под «жестких» требований по ПДн ЦБ предлагал всем присоединиться к Стандарту и все системы считать не ИСПДн, а спец. системами.


                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Вот интересно, про 4859-У ничего не написали исходя из каких соображений? Что отдельные, указанные там угрозы, можно считать неактуальными?
                          При проверке ЦБшники не спрашивают о вашем решении об актуальных угрозах, тупо требуют пояснить почему не выполняется пункт такой-то и потом вписывают как нарушение. Все эти разговоры про модели угроз мне смешны.

                          Комментарий


                          • Сообщение от Массаракш Посмотреть сообщение
                            ..... И необходимости как-то усиливать ЦБ не видит. Здесь я с ними солидарен и необходимости использовать КС3 (да и КС2, честно говоря, тоже) не вижу. ( ИМХО:- более 80% используют VPN+ IPSec CISCO)....
                            Это как сказать, например, в СТО БР, с какого-то перепугу, в свое время вставили -
                            7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

                            И это, кстати, несколько противоречит п.1.1. 4859-У.



                            Комментарий


                            • Сообщение от ost Посмотреть сообщение
                              ..... Все эти разговоры про модели угроз мне смешны.
                              Вообще-то это был вопрос и, кроме того, наверное, сильно не ошибусь. если предположу, что стоимость HSM, в бюджете ИБ вашего банка, не превосходит уровень статистической погрешности при стандартной величине доверительной вероятности.

                              Комментарий


                              • Коллеги, вот тоже вопрос.
                                Если я, всё-таки, решу сделать типовую модель угроз на типовое решение (представлено в КП по ИБ) от нас. Вам это чем-то поможет?

                                Комментарий


                                • Сообщение от Андрей Федорец Посмотреть сообщение
                                  Если я, всё-таки, решу сделать типовую модель угроз на типовое решение (представлено в КП по ИБ) от нас. Вам это чем-то поможет?
                                  Это зависит то того, какая задача будет поставлена разработчику.
                                  Если это будет документ ради документа, полезность будет низкая.
                                  Если документ поможет избежать бессымысленных затрат, то его полезность будет выше.
                                  В любом случае, думаю, что реально оценить нужность можно будет только после прочтения.

                                  Комментарий


                                  • Сообщение от UserNick Посмотреть сообщение
                                    Если документ поможет избежать бессымысленных затрат, то его полезность будет выше.
                                    Поясните, плиззз.
                                    Что бы вы хотели видеть?
                                    Только сюда пишите - post@id-sys.ru

                                    Комментарий


                                    • Сообщение от Андрей Федорец Посмотреть сообщение
                                      Поясните, плиззз.
                                      Что бы вы хотели видеть?....
                                      Ну, типа - исходя из имеющейся модели угроз, и HSM, и вся жизофреническая обвязка вокруг, ну вовсе ни к чему.
                                      И что бы никто не подкопался......

                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        И что бы никто не подкопался......

                                        Комментарий


                                        • Сообщение от Андрей Федорец Посмотреть сообщение

                                          От вас нужна бумага о соответствии. Такая бумага, чтоб ни один Швондер, никто, окончательная бумага, броня.

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение
                                            От вас нужна бумага о соответствии. Такая бумага, чтоб ни один Швондер, никто, окончательная бумага, броня.
                                            Не на того вы бочку катите.

                                            Комментарий


                                            • Сообщение от Андрей Федорец Посмотреть сообщение
                                              Что бы вы хотели видеть?
                                              Концептуально коллеги пояснили правильно. Дополню:
                                              Чем меньше средств можно потратить тем лучше.
                                              Чем большим количеством организационных основных или компенсирующих мер можно нейтрализовать максимальное количество угроз тем лучше.
                                              А если найдете возможность не использовать HSM, так вообще супер

                                              Комментарий


                                              • Сообщение от Александр Четвертый Посмотреть сообщение

                                                Не на того вы бочку катите.
                                                На того. Систему они продают, а о модели угроз только сейчас задумались. Отсюда вывод, что безопасностью там даже не пахнет. И оно на самом деле так, БД на сеточку ложатся и сверху СНИЛСом прикрываются, заходите люди добрые, берите/кладите что хотите.

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  Чем меньше средств можно потратить тем лучше.
                                                  Коллеги, а вот на сегодняшний день, какие представления о стоимости подключения к ЕБС (ПО, ИБ, Пусконаладка, сертификация)?

                                                  Комментарий


                                                  • Сообщение от Руд Посмотреть сообщение

                                                    Коллеги, а вот на сегодняшний день, какие представления о стоимости подключения к ЕБС (ПО, ИБ, Пусконаладка, сертификация)?
                                                    Недавно прикидочно считал для конфигурации с двумя разными "солидными" вендорами по софту и железу, на 8 точек приема (это без сертификации\аудита):

                                                    Расчет стоимости подключения к Единой биометрической системе (ЕБС) для 8 точек приема данных
                                                    Наименование Ед. изм. Цена за единицу, руб. Кол-во Цена общая,
                                                    руб.*
                                                    Аппаратные средства и тех. поддержка
                                                    ПО ViPNet Administrator (KC3) 4.x Шт. 97 350 1 97 350
                                                    ПАК ViPNet HSM (КВ2) Шт. 1 230 000 1 1 230 000
                                                    Сертификат активации сервиса прямой технической поддержки ПАК ViPNet HSM (KB2) на срок 1 год, уровень – Расширенный Шт. 430 500 1 430 500
                                                    ПАК ViPNet Coordinator HW1000 D 4.x Шт. 306 200 1 306 200
                                                    ПО ViPNet Client (КС3) 4.х Шт. 9 740 1 9 740
                                                    Дистрибутив ПО на компакт-диске с формуляром и копиями сертификатов Шт. 944 1 944
                                                    Терминал для защиты информации при передачи по сети банка, со встроенный VPN-клиентом по классу КС3: ПАК ViPNet Terminal 4 (исполнение 4) Шт. 48 000 8 384 000
                                                    АМДЗ Соболь PCI Шт. 11 385 8 91 080
                                                    Камера Logitech C922 Pro Stream, Штатив Star61, комплект 60 000 8 480 000
                                                    Осветитель Falcon Eyes, Фон Rekam, Микрофон AKG, Стойка микрофонная Veston
                                                    ИТОГО: 2 549 814 ₽
                                                    Программные средства и работы
                                                    Лицензия на ИС АРМ Биометрия на 5 рабочих мест*, включая гарантийную поддержку 1 год Шт. 910 000 1 910 000
                                                    Лицензия на Модуль адаптеров к СМЭВ 3.0 ЕСИА, ЕБС**, включая гарантийную поддержку 1 год Шт. 780 000 1 780 000
                                                    Расширение лицензии АРМ Биометрия на 5 дополнительных рабочих мест, включая гарантийную поддержку 1 год Шт. 65 000 1 65 000
                                                    Развертывание, первичная настройка и тестирование АРМ Биометрия и Модуля адаптеров СМЭВ 3.0 ЕСИА, ЕБС (удалённая) на подготовленные виртуальные мощности Заказчика*** Шт. 450 000 1 450 000
                                                    ИТОГО: 2 205 000 ₽
                                                    Общая стоимость единовременного приобретения, на 8 точек: 4 754 814 ₽
                                                    Ежегодные затраты на тех. поддержку
                                                    Сертификат активации сервиса прямой технической поддержки ПАК ViPNet HSM (KB2) на срок 1 год, уровень – Расширенный Шт. 430 500 1 430 500
                                                    Продление гарантийной поддержки на 1 год для лицензии АРМ Биометрия на 5 рабочих мест* Шт. 210000 2 420 000
                                                    Продление гарантийной поддержки на 1 год для лицензии Модуль адаптеров СМЭВ 3.0 ЕСИА, ЕБС** Шт. 180000 1 180 000
                                                    ИТОГО в год: 1 030 500 ₽
                                                    Полная стоимость владения системы за 3 года: 9 365 628 ₽
                                                    WBR, Александр Турчин

                                                    Комментарий


                                                    • Сообщение от Александр_Турчин Посмотреть сообщение
                                                      .....(это без сертификации\аудита).....
                                                      Просьба уточнить, о какой именно сертификации идет речь?

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        Просьба уточнить, о какой именно сертификации идет речь?
                                                        Не уточню, к сожалению. У автора вопроса спросите
                                                        Коллеги, а вот на сегодняшний день, какие представления о стоимости подключения к ЕБС (ПО, ИБ, Пусконаладка, сертификация)?
                                                        WBR, Александр Турчин

                                                        Комментарий


                                                        • Сообщение от Berckut Посмотреть сообщение
                                                          Сообщение от ost Посмотреть сообщение Опубликован приказ Минкомсвязи № 321 от 26-06-2018 http://publication.pravo.gov.ru/Docu...01201807110014 открываем страницу 6 и читаем пункт 2) части 9. Теперь нам ещё и эту хрень ежегодно оценивать с привлечением лицензиатов ФСТЭК. Готовьте бабло. Слов нет, кроме матерных. А были сомнения, что аттестацию надо будет делать? Кстати, а кто-нибудь знает, что такое "оценка соответствия требований по защите информации"? Это как, мы должны лицензиата ФСТЭК нанять, чтобы он проверил требования, которые установил ФСТЭК, ФСБ и т.д. в своих документах? И чему должны соответствовать эти требования?
                                                          О сертификации говорилось в #125, #182,#201

                                                          Мысль о том, что содравши шкуру, ещё и постричь не попытаются.... ну, знаете, как минимум, не современна.
                                                          Последний раз редактировалось Руд; 09.11.2018, 17:09.

                                                          Комментарий


                                                          • Сообщение от Руд Посмотреть сообщение
                                                            О сертификации говорилось в #125, #182,#201......
                                                            Вот когда захочется использовать СКЗИ собственной разработки, вот тогда у нужно будет говорить о сертификации.

                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение
                                                              Отсюда вывод, что безопасностью там даже не пахнет.
                                                              Совершенно странный, надо сказать, вывод.
                                                              Уж не буду писать, что идиотский.
                                                              Сто раз уже писал.
                                                              Это вы оператор ПДн.
                                                              С какой стати я должен делать что-то по поводу Ваших организационных мер?
                                                              Я вам предлагаю инструмент, которым вы работаете.
                                                              Не более того.
                                                              Конечно, я упакую его и напишу. Осторожно, опасно.
                                                              Но как я распишу то, как Вы этим инструментом должны БЕЗОПАСНО пользоваться???

                                                              Беда.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X