13 декабря, четверг 01:55
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    А какие ожидаемые сроки завершения ТИ?
    Гы-гы. Вы сначала спросите, а они подались на ТИ, и приняли ли их в работу.

    Комментарий


    • ТИ и аудит мы будем делать потом, а отымеют одни и премии лишат другие за неподключение вовремя уже почти сейчас. Причём ни одних, ни других не будет интересовать, что это сделать невозможно. Поэтому склоняемся к полулегальному "облаку" ЦФТ, чтобы хотя бы запуститься в минимальные сроки с минимальными затратами. Ну а следующей осенью, когда может быть законодательство устаканится, можно будет и нормальное решение внедрить под аудит.

      Комментарий


      • Сообщение от Berckut Посмотреть сообщение
        Поэтому склоняемся к полулегальному "облаку" ЦФТ, чтобы хотя бы запуститься в минимальные сроки с минимальными затратами.
        Чем "полулегальное облако ЦФТ" лучше других нелегальных в смысле не удовлетворяющих несуществующим требованиям решений?
        Думаю, что в качестве главного аргумента неготовности вкладывать деньги в обещания, нужно использовать тот факт, что на рынке отсутствует готовое решение в отношении которого завершились ТИ.
        Вы соотнесли стоимость подарка для ЦФТ с размером крайне маловероятного в такой ситуации штрафа?

        Комментарий


        • Ласково говоря, меня раздражают новые неисполнимые законы, неготовность гос.структур к взаимодействию и откровенное вымогательство на основании разных ФЗ.

          Комментарий


          • Сообщение от Vsplesk Посмотреть сообщение
            Ласково говоря, меня раздражают новые неисполнимые законы, неготовность гос.структур к взаимодействию и откровенное вымогательство на основании разных ФЗ.
            Это во всех сферах не только ЕБС)))
            Зарегулировали все
            Вы должны использовать КВ2 криптографию / Ну ок что нужно? /Нужно купить железок на полтора ляма и софта на 6 с лицензиями по ляму каждый год/
            Не мы купим железки только а солфт напишен свой/
            Не чтобы написать свой софт вы нужно провести тематические исследовани/я на 4 ляма/
            Что вы корректно используете КВ2 криптографию.....

            wtf?????

            грубо говоря заплатите нам за то что мы сами придумали и вам навязали на законодательном уровне

            Комментарий


            • Вот интересно, с одной стороны, ЦБ систематически (552-П, ЕБС) вынуждает или способствует, что бы все банки нарушали действующее законодательство в области СКЗИ, хотя, с другой стороны, везде в своей нормативке пишет, что ПКЗ2005 банки должны соблюдать...
              Еще, конечно, интересно, почему все наши гуру и блогописатели по ИБ тему ЕБС обходят прямо-таки мертвецким молчанием. Типа со стороны наблюдают.... Вон, по 187-ФЗ наперегонки строчат.......
              Последний раз редактировалось saches; 06.12.2018, 13:20.

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                Гы-гы. Вы сначала спросите, а они подались на ТИ, и приняли ли их в работу.
                Дык ониж, на какой-то презентации, еще в октябре (если не ошибаюсь) грозились податься на ТИ, и чуть-ли не за месяц вопрос закрыть и для CryptoPro-шного, и для VipNet-овского HSM. Хотел вот поинтересоваться, как дела идут....вдруг получилось!?

                ЗЫ: Мне тут увлекающиеся футболом коллеги рассказали, что в интернет-казино вроде бы уже появились ставки, какой срок дадут двум арестованным клоунам футболистам. Может уже пора ставки делать, сколько времени ТИ займет? Я предполагаю, что если бы сами по граблям не ходили, то в пол-года бы вписались. Но что-то мне подсказывает, что грабли с надписью "не проходите мимо" не миновали их....
                Последний раз редактировалось saches; 06.12.2018, 13:18.

                Комментарий


                • Сообщение от Vsplesk Посмотреть сообщение
                  Ласково говоря, меня раздражают новые неисполнимые законы, неготовность гос.структур к взаимодействию и откровенное вымогательство на основании разных ФЗ.
                  Такая же песня и в части АРМ КБР-Н. По-моему, нет еще ни одного решения от поставщиков АБС прошедшего ТИ на корректность встраивания СКЗИ.

                  Комментарий


                  • Сообщение от Массаракш Посмотреть сообщение
                    ...По-моему, нет еще ни одного решения от поставщиков АБС прошедшего ТИ на корректность встраивания СКЗИ.
                    А сам АРМ КБР/АРМ КБР-Н? А всякие прочие поделки в части отчетности, СМЭВ и т.д.?

                    Комментарий


                    • Так всё же, коллеги? Можно ли обеспечить прием биометрии без использования HSM, если не задумываться о том, что скажет гипотетическая проверка об исполнении мер по ИБ для ЕБС? Что и каким образом можно использовать вместо HSM для того, чтобы передать биометрические образцы в СМЭВ??
                      WBR, Александр Турчин

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        вдруг получилось!?
                        Оценку влияния на наш "Универсальный сервер подписи" мы проводим. Тематику на соответствие требованиям, естественно, не проводим, т.к. требований нет.
                        Работать будет, пока, только с КриптоПро HSM. По завершении посмотрим - надо ли будет проводить с другим вендором.
                        Ну или будет работать, но без тематики...

                        Комментарий


                        • Сообщение от Александр_Турчин Посмотреть сообщение
                          Так всё же, коллеги? Можно ли обеспечить прием биометрии без использования HSM, если не задумываться о том, что скажет гипотетическая проверка об исполнении мер по ИБ для ЕБС? Что и каким образом можно использовать вместо HSM для того, чтобы передать биометрические образцы в СМЭВ??
                          Судя по заявлениям КриптоПро, их HSM совместим на уровне вызовов с КриптоПРО CSP/JSP - https://www.cryptopro.ru/products/hsm/cryptopro-hsm Т.е., весьма вероятно, что для правильно написанного приложения должно быть фиолетово, что используется в кач-ве крипто-провайдера CSP или HSM.
                          И, почему-то мне кажется, что БО передаются в ЕБС, а не в СМЭВ.
                          Последний раз редактировалось saches; 06.12.2018, 19:33.

                          Комментарий


                          • Сообщение от Александр_Турчин Посмотреть сообщение
                            Можно ли обеспечить прием биометрии без использования HSM, если не задумываться о том, что скажет гипотетическая проверка об исполнении мер по ИБ для ЕБС?
                            Я уже рассуждал на эту тему - никто не поддержал.

                            Сообщение от Александр Четвертый Посмотреть сообщение
                            Если вот эту тему развивать - на каком уровне контролируется наличие именно КВ-шной подписи запроса к ВС ЕБС? На этапе регистрации ИС в СМЭВ3 этого никто контролировать не будет - СМЭВ3 не представляет, для чего вы регистрируете ИС. Когда оформляете права на ВС ЕБС для своей ИС? Тоже врядли - там же стандартный СМЭВ-регламент, который в итоге закончится на поставщике ВС - Операторе ЕБС (Ростелеком). И вот тут организационно могут попросить предоставить какую-нить фигню про КВ-средство. А технически это, возможно, никак не контролируется.
                            Сообщение от saches Посмотреть сообщение
                            И, почему-то мне кажется, что БО передаются в ЕБС, а не в СМЭВ.
                            Т.к. прием данных сделан в виде ВС в СМЭВ3 - то данные побегут через единый сервис в СМЭВ3 по каналам СМЭВ.

                            Комментарий


                            • Александр Четвертый
                              По поводу "через", вопросов нет.

                              Комментарий


                              • Сообщение от Андрей Федорец Посмотреть сообщение
                                Оценку влияния на наш "Универсальный сервер подписи" мы проводим. Тематику на соответствие требованиям, естественно, не проводим, т.к. требований нет.
                                Работать будет, пока, только с КриптоПро HSM. По завершении посмотрим - надо ли будет проводить с другим вендором.
                                Ну или будет работать, но без тематики...
                                Спасибо за информацию! Ждем "выписку из положительного заключения..."
                                Не очень понятно про отсутствие требований, как-то все остальные производители СКЗИ обошлись же имеющимися требованиями.

                                Комментарий


                                • Сообщение от Александр_Турчин Посмотреть сообщение
                                  Так всё же, коллеги? Можно ли обеспечить прием биометрии без использования HSM,
                                  Вообще-то нужно только СКЗИ класса КВ. Беда в том, что по этому классу сертифицированы только дорогущие ХСМы. Хотя для ЕБС подошло бы что-то вроде приставки к телевизору, но такого никто не сделал. Так что тока хардкор.

                                  Комментарий


                                  • Сообщение от saches Посмотреть сообщение
                                    Спасибо за информацию! Ждем "выписку из положительного заключения..."
                                    Не очень понятно про отсутствие требований, как-то все остальные производители СКЗИ обошлись же имеющимися требованиями.
                                    "Все остальные производители СКЗИ" продвинулись не дальше согласования ТЗ. К ТИ никто ещё не приступил.
                                    Каждый из вендоров индивидуально проходит квест под названием "Согласовать ТЗ по требованиям, которые будут рождаться в процессе согласования ТЗ".

                                    Комментарий


                                    • Сообщение от MadAlex Посмотреть сообщение

                                      "Все остальные производители СКЗИ" продвинулись не дальше согласования ТЗ. К ТИ никто ещё не приступил.
                                      Каждый из вендоров индивидуально проходит квест под названием "Согласовать ТЗ по требованиям, которые будут рождаться в процессе согласования ТЗ".
                                      Откуда дровишки?
                                      Инфотекс и РТК говорят совсем другое.

                                      Комментарий


                                      • Для тех, кто делает всё на базе КриптоПро.

                                        На всех компьютерах криптография должна быть реализована по классу КС3. Я поднял формуляр на КриптоПро 4.0 R3 (КС3) и там нашлось очень неприятное требование (он отличается от формуляров на КС1 и КС2):

                                        3.2 СКЗИ функционирует в следующих программно-аппаратных средах:
                                        Windows
                                        Включает программно-аппаратные среды:
                                        - Windows 7/8/8.1/10/Server 2003/2008 (x86, x64);
                                        - Windows Server 2008 R2/2012/2012 R2/2016 (x64).
                                        С использованием пакета Secure Pack Rus версии 3.0.

                                        Т.е. необходимо доукомплектовывать компьютеры операторов ещё как минимум Secure Pack Rus 3.0. А это в свою очередь потянет за собой обязательное использование только Windows 10, потому что под другие версии у SPR сертификаты уже не актуальны. Windows 10 потянет за собой использование свежего аппаратного обеспечения. На более старое может просто не оказаться драйверов.

                                        И там же в формуляре пункт 4 накладывает ограничения на используемые версии Соболя:
                                        - ПАК защиты от НСД «Соболь» RU.40308570.501410.001 (версии кода расширения BIOS 1.0.99, 1.0.180);

                                        Судя по номеру, это старая версия Соболя 3.0 у которой есть большие проблемы совместимости со свежими материнскими платами.

                                        Сегодня появилась новость о том, что версия КриптоПро 4.0 R4 получила положительное заключение ФСБ, но когда будет выпущен сертификат неизвестно. Возможно, там нет таких жёстких ограничений. Формуляр добыть у меня возможности нет.

                                        Вот такие дела. Если закази Соболи 3.2, то можно класть их на полку.
                                        Да и вообще, приличную часть системы надо перестраивать. Либо забивать на требования и делать так чтобы просто заработало без использования средств защиты т.п.

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение

                                          Откуда дровишки?
                                          Инфотекс и РТК говорят совсем другое.
                                          От людей, близких к процессу.

                                          РТ вообще много что говорил и говорит.
                                          Но, поживём - увидим.
                                          Сейчас конец года, близится дедлайн про срокам.
                                          И либо 28-31 декабря может выйти какой-то внезапный новый НПА, который что-то уточнит/поменяет.
                                          Либо, 8-ка так же внезапно согласует хотя бы одно решение, чтобы не быть крайними. Например, от РТ. И тоже 31 декабря. :-)

                                          Комментарий


                                          • Сертификаты соответствия требованиям ФСБ России на СЗИ Secure Pack Rus 3.0 с сайта http://cansec.ru/spr/sertificate_FSB_windows.html для ОС Microsoft Windows Server R2 2012 Standart Service Pack 1 64-bit и ОС Microsoft Windows Server 2012 Standart Service Pack 1 64-bit протухли. Действительны до января 2020 только сертификаты ОС Microsoft Windows 10 Pro 32/64-bit и ОС Microsoft Windows 10 Enterprise 32/64-bit.
                                            Ну, и что покупать? Чем обеспечивать?

                                            Комментарий


                                            • Vsplesk
                                              А зачем вам серверные сертификаты? СЗИ Secure Pack Rus 3.0 для рабочих мест же?

                                              Комментарий


                                              • А зачем вам серверные сертификаты? СЗИ Secure Pack Rus 3.0 для рабочих мест же?
                                                Ну, например, для Сервера iDБанк, который предлагает iDSystems в своей схеме, где криптография должна быть реализована по классу КС3.

                                                Комментарий


                                                • Сообщение от Vsplesk Посмотреть сообщение
                                                  Сертификаты соответствия требованиям ФСБ России на СЗИ Secure Pack Rus 3.0 с сайта http://cansec.ru/spr/sertificate_FSB_windows.html для ОС Microsoft Windows Server R2 2012 Standart Service Pack 1 64-bit и ОС Microsoft Windows Server 2012 Standart Service Pack 1 64-bit протухли. Действительны до января 2020 только сертификаты ОС Microsoft Windows 10 Pro 32/64-bit и ОС Microsoft Windows 10 Enterprise 32/64-bit.
                                                  Ну, и что покупать? Чем обеспечивать?
                                                  На сайте лежат сертификаты на Исполнение 3, 4. Они протухли.
                                                  А в данный момент актуально Исполнение 5.

                                                  Ну и можно смотреть в формуляр на КриптоПро CSP 4.0 КС3.

                                                  Комментарий


                                                  • Коллеги, прокурив всю тему пришел к выводу, что есть две схемы реализации требований по ИБ в рамках :
                                                    1) на базе Крипто-Про ( их XCM, криптопровайдер на АРМ и серверах, любой МЭ КС3)
                                                    2) на базе VipNet (их ХСM,VipNet Client на АРМ, МЭ Vipnet Coordinator)

                                                    При этом в 1) случае защищенный туннель образуется на уровне прикладном уровне (CSP_ АРМ<->CSP_сервер), а во 2) на уровне сети VipNet Client на АРМ <-> МЭ Vipnet Coordinator.
                                                    Другие варианты - экзотика. Ни одно из решение не имеет заключение от ФСБ.

                                                    Ростелеком в своем типовом решении предлагает 1)


                                                    Я ничего не напутал?

                                                    Комментарий


                                                    • Сообщение от Vsplesk Посмотреть сообщение
                                                      Сертификаты соответствия требованиям ФСБ России на СЗИ Secure Pack Rus 3.0 с сайта http://cansec.ru/spr/sertificate_FSB_windows.html для ОС Microsoft Windows Server R2 2012 Standart Service Pack 1 64-bit и ОС Microsoft Windows Server 2012 Standart Service Pack 1 64-bit протухли. Действительны до января 2020 только сертификаты ОС Microsoft Windows 10 Pro 32/64-bit и ОС Microsoft Windows 10 Enterprise 32/64-bit.
                                                      Ну, и что покупать? Чем обеспечивать?
                                                      маразм нет? Сертификаты только на ОС с закрытым исхзодным кодом производителя США где они каждый комп могут удаленно мониторить аххахахаха

                                                      Комментарий


                                                      • Сообщение от Массаракш Посмотреть сообщение
                                                        Коллеги, прокурив всю тему пришел к выводу, что есть две схемы реализации требований по ИБ в рамках :
                                                        1) на базе Крипто-Про ( их XCM, криптопровайдер на АРМ и серверах, любой МЭ КС3)
                                                        2) на базе VipNet (их ХСM,VipNet Client на АРМ, МЭ Vipnet Coordinator)

                                                        При этом в 1) случае защищенный туннель образуется на уровне прикладном уровне (CSP_ АРМ<->CSP_сервер), а во 2) на уровне сети VipNet Client на АРМ <-> МЭ Vipnet Coordinator.
                                                        Другие варианты - экзотика. Ни одно из решение не имеет заключение от ФСБ.

                                                        Ростелеком в своем типовом решении предлагает 1)


                                                        Я ничего не напутал?
                                                        Верно.
                                                        Но в случае УБИ - нужен именно TLS, который от мобильника будет строиться до головного офиса. Поэтому только VPN развернуть на сервере будет недостаточно.
                                                        Последний раз редактировалось MadAlex; 07.12.2018, 12:14.

                                                        Комментарий


                                                        • Сообщение от MadAlex Посмотреть сообщение
                                                          Сейчас конец года, близится дедлайн про срокам. И либо 28-31 декабря может выйти какой-то внезапный новый НПА, который что-то уточнит/поменяет. Либо, 8-ка так же внезапно согласует хотя бы одно решение, чтобы не быть крайними. Например, от РТ. И тоже 31 декабря. :-)

                                                          Либо всё останется как есть.
                                                          В любом случае Новый Год можно встречать спокойно, а там видно будет, может ишак сдохнет.

                                                          Комментарий


                                                          • Сообщение от Berckut Посмотреть сообщение
                                                            ......Сегодня появилась новость о том, что версия КриптоПро 4.0 R4 получила положительное заключение ФСБ, но когда будет выпущен сертификат неизвестно. Возможно, там нет таких жёстких ограничений. Формуляр добыть у меня возможности нет.....
                                                            Если не ошибаюсь, сертификат для HSM 2.0 появился через пару недель после появления информации о положительном заключении. Не думаю, что для КриптоПРО будет сильно дольше. Формуляр для версии R4 3-Base лежит на сайте (понадобится зарегаться и ненамного включить голову) или, как вариант, запросить у вендора.
                                                            Из формуляра -
                                                            2.7 СКЗИ должно использоваться со средством защиты от несанкционированного доступа, сертифицированным ФСБ России, и пакетом Secure Pack Rus, входящим в комплект поставки.

                                                            В кач-ве считывателей и ДСЧ упоминаются в т.ч. следующие железки
                                                            ПАК защиты от НСД «Соболь» RU.40308570.501410.001 (версии кода расширения BIOS 1.0.99, 1.0.180)
                                                            ПАК защиты от НСД «Соболь». Версия 3.1. RU.88338853.501410.020 (исполнения 1, 2)
                                                            ПАК защиты от НСД «Соболь». Версия 3.2. RU.88338853.501410.021 (исполнения 1, 2)
                                                            СЗИ НСД «Аккорд-АМДЗ» ТУ 4012-054-11443195-2013, 4012-006-11443195-2005 ТУ
                                                            АПМДЗ-У М-526Б (КРИПТОН-ЗАМОК/У) КБДЖ.468243.067 ТУ, М-526Е1 (КРИПТОН-ЗАМОК/Е) КБДЖ.468243.090 ТУ

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              производители СКЗИ обошлись же имеющимися требованиями.
                                                              Если мы говорим про формуляр СКЗИ, то да. Этого достаточно для проведения ТИ на оценку влияния и НДВ.

                                                              Если мы смотрим в 321 приказ, то видим, что банк обязан проводить аттестацию на соответствие требованиям. Каким? В них, вполне вероятно, могут быть требования по обеспечению контура КВ. Я про эти требования пишу. Нет их.
                                                              А по формуляру да. Получим выписку.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X