2 июня, вторник 01:02
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    Насколько я представляю, в цепочке Заявитель-Разработчик СКЗИ-Специализированная организация-ФСБ, для Заявителя, эта услуга оформляется в виде договора, как вариант, с разработчиком СКЗИ, и за конкретный (по видимому, 7-ми значный) ценник. А в вашем случае как?
    Вклинюсь.
    А я чёт потерял суть вопроса. Пытался найти вверх по сообщениям, но не нашёл...
    Но, вроде, понял, что волнует вопрос кто будет проводить оценку влияния, тематические исследования и отвечать за это всё.
    В части касающейся нас - мы.
    Т.е. мы сейчас поставляем на рынок решение, которое проходит оценку влияния и доп.средства за полученную выписку из заключения мы брать не будем. У нас это модуль "Универсальный сервер подписи".
    Функциональность - тупо подписать/проверить подпись, ну плюс ещё пару задач в рамках процесса Регистрации БО в ЕБС.
    Его мы поставляем в составе ПАК "УСП", т.е. это железный двухюнитовый сервер, с установленной Астрой, антивирусом, Соболем и самим модулем. Опечатан, пожизненная гарантия.
    Мы рядом с этим решением и на этот же сервер будем ставить УСП+, который будет! реализовывать OpenID Connect в части касающейся подготовки пакетов с последующей передачей на подпись в УСП. Это решение пройдёт ТИ. Будет, видимо, также стоить денег в размере по формуле:
    ("стоимость ТИ" + "трудозатраты на создание" + "невеликая маржа") / "кол-во банков, применяющих УБИ с решениями от АйДИ".
    Как-то так.

    Комментарий


    • Сообщение от Андрей Федорец Посмотреть сообщение
      .....понял, что волнует вопрос кто будет проводить оценку влияния, тематические исследования и отвечать за это всё. В части касающейся нас - мы......
      А можно несколько по-подробней про "оформление отношений". Вы договор на проведение "оценки влияния" с кем заключали? С разработчиком СКЗИ или сразу с некой аккредитованной ФСБ "лабораторией" которая и будет проводить "оценку" ?

      Комментарий


      • Сообщение от MadAlex Посмотреть сообщение
        Договор заключается обычно с лабораторией, на проведение работ по ТИ по согласованному Техническому заданию.....
        Возможно, конечно, ошибаюсь, но сдается мне, что вы описали последовательность действий, происходящих при сертификации СКЗИ.
        Во всяком случае, в соответствии с "Р 1323565.1.012-2017 Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации" -

        В соответствии с Положением ПКЗ – 2005 осуществляется взаимодействие между заказчиком СКЗИ, разработчиком СКЗИ, специализированной организацией, проводящей тематические исследования СКЗИ, и ФСБ России, осуществляющей экспертизу результатов тематических исследований, по результатам которой определяется возможность допуска СКЗИ к эксплуатации.
        Последний раз редактировалось saches; 12.12.2018, 14:33.

        Комментарий


        • Сообщение от Александр_Турчин Посмотреть сообщение
          Кстати, коллеги, подскажите правильную формулировку, которую должен содержать договор на поставку аппаратно - программного комплекса для сбора биометрии, для отражения в договоре обязанности поставщика пройти ТИ:
          Вот подумалось, что эта вставка в договор как мёртвому припарка. Всё потраченное можно будет смело списывать на убытки банка, когда выяснится, что поставщик не прошёл ТИ. С него же будет нереально получить деньги, обычно там денег на счёте нет (уже потрачены) и уставняк 10000 руб, судись не судись, хоть банкроть и сто судов выиграй, а денег не получишь.

          Комментарий


          • Сообщение от ost Посмотреть сообщение
            .....обычно там денег на счёте нет (уже потрачены) и уставняк 10000 руб, судись не судись, хоть банкроть и сто судов выиграй, а денег не получишь.
            Это наезд на какую-то конкретную компанию, или поголовно все поставщики решения по биометрии форменные нищеброды?

            Комментарий


            • Сообщение от saches Посмотреть сообщение
              Это наезд на какую-то конкретную компанию, или поголовно все поставщики решения по биометрии форменные нищеброды?
              Пробегитесь по ЕГРЮЛ, всё станет понятно.

              Комментарий


              • А кто-то уже КриптоПро КС3 покупал? Пробежался по их прайсу на сайте. Там только для УЦ есть КС3. Для CSP только КС1 и КС2.
                Я так понимаю, раз для КС3 есть отдельный формуляр, то и отдельно дистрибутив сертифицированый должен продаваться?

                Комментарий


                • https://www.cryptopro.ru/news/2017/1...-40-klassa-ks3

                  СКЗИ "КриптоПро CSP" версии 4.0 (исполнение 3-Base, класс КС3).

                  Комментарий


                  • Сообщение от Berckut Посмотреть сообщение
                    А кто-то уже КриптоПро КС3 покупал? ......
                    Вообще не видел в продаже. КМК, имеет смысл позвонить в КриптоПРО и спросить у них где можно купить.

                    Комментарий


                    • Можете просветить по тематчиеским исследованиям? Мы пишем свою программу для работы с биометрией она будет условно использовать CryptoPro CSP которое сертифицрованно
                      Что нужно провести с разрабываемым софтом?(тематические исследования? корректность встраивания СКЗИ? еще чтото?)

                      Комментарий


                      • doubleside
                        Конечно, всё ИМХО - у организации должна быть лицензия ФСБ (в соответствии с ПП-313), и если делать всё "по чесноку", то для разработанного ПО нужно будет провести контроль встраивания ("оценку влияния"). При выпуске обновления ПО, оценку влияния нужно будет проводить еще раз или быть в состоянии объяснить, почему для этого обновления оценку влияния проводить не нужно. В доках для новых версий КриптоПро вроде как есть перечень вызовов, для которых достаточно проведения оценки влияния. Если будете использовать еще какие-то. то есть шанс нарваться на полноценную сертификацию нового СКЗИ (на тематические исследования), и что-то мне подсказывает, что требования по лицензированию в этом случае могут быть выше (т.е. на разработку СКЗИ).

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          doubleside
                          Конечно, всё ИМХО - у организации должна быть лицензия ФСБ (в соответствии с ПП-313), и если делать всё "по чесноку", то для разработанного ПО нужно будет провести контроль встраивания ("оценку влияния"). При выпуске обновления ПО, оценку влияния нужно будет проводить еще раз или быть в состоянии объяснить, почему для этого обновления оценку влияния проводить не нужно. В доках для новых версий КриптоПро вроде как есть перечень вызовов, для которых достаточно проведения оценки влияния. Если будете использовать еще какие-то. то есть шанс нарваться на полноценную сертификацию нового СКЗИ (на тематические исследования), и что-то мне подсказывает, что требования по лицензированию в этом случае могут быть выше (т.е. на разработку СКЗИ).
                          Всё верно сказано, кроме требования к лицензии по разработке СКЗИ. В вашем случае достаточно лицензии на "встраивание" (см. пункт 2 Приложения к ПП313).
                          Чтобы не нарваться на "разработку", нужно применять уже сертифицированные СКЗИ (CSP. HSM).

                          Но готовьтесь проходить этот квест с подготовки и согласования Технического Задания на вашу разработку. В процессе согласования вы и выясните, что следует делать дальше и как эта процедура будет называться. Ну и выбирайте аккредитованную лабораторию, которая будет проводить ТИ.

                          Комментарий


                          • Сообщение от Андрей Федорец Посмотреть сообщение
                            Т.е. мы сейчас поставляем на рынок решение, которое проходит оценку влияния и доп.средства за полученную выписку из заключения мы брать не будем. У нас это модуль "Универсальный сервер подписи". Функциональность - тупо подписать/проверить подпись, ну плюс ещё пару задач в рамках процесса Регистрации БО в ЕБС.
                            [QUOTE=Андрей Федорец;n4867222]


                            На какой технологии/ языке программирования написан ваш продукт?

                            Комментарий


                            • Последний раз редактировалось doubleside; 14.12.2018, 14:58.

                              Комментарий


                              • Подскажите, пожалуйста, какие требования к каналу связи?

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение
                                  Т.е. необходимо доукомплектовывать компьютеры операторов ещё как минимум Secure Pack Rus 3.0
                                  А вот интересный вопрос (про необходимостьна клиенте КС3). К примеру, в спецификации Ростелекома, для защиты каналов между вашим сервером (где подпись и отправка БД) и клиентми (где сбор БД) было прдложено следующее решение:
                                  1 Аренда S-terra G-100-4.2-1701-3-ST-KC3
                                  2 Поддержка S-terra G-100-4.2-1701-3-ST-KC3
                                  3 Аренда ПО VPN LIC-C-WIN-4.2-ST-KC2 КС2
                                  Т.е. на клиенте всё равно КС2. По аналогии в вашем решении должно быть только на сервере КС3.

                                  Более того, подпись у вас будет тоже по КС2 или вы для подключения к СМЭВ-3 (и передачи данных через нём в ЕСБ) получили сертификат КС3?

                                  А Соболя в спеке там вот такие:
                                  6 Программно-аппаратный комплекс "Соболь". Версия 3.2, PCI-E либо M2. Исполнение 1 (бессрочно)
                                  Причём вопрос ещё с каким сертфикатом соответсвия брать ФСБ или ФСТЭК? )

                                  Зацените сей шедевр инженерно марктеингвой мысли:
                                  Нажмите на изображение для увеличения.·  Название:	схема.png· Просмотров:	1· Размер:	537.6 Кб· ID:	4867690
                                  Последний раз редактировалось Zuz; 16.12.2018, 16:58.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    С получением сертификатов проблема будет. УЦ, которые сертификаты для КриптоПро выпускают, в каждом городе есть, а с ViPNet'ом мало кто работает. Например, у нас городе таких нет. И даже если делать такие сертификаты просто для себя, то придётся ещё УЦ ViPNet покупать.
                                    А зачем получать сертфикаты / УЦ покупать? Можно делать самоподпианыне сертификаты, для себя же, в классической зведе, что представляет из типовая система сбора в банках с центром с сервером для подписи БД, PKI не нужна.
                                    Последний раз редактировалось Zuz; 16.12.2018, 16:59.

                                    Комментарий


                                    • [QUOTE=Berckut ;n4867339]Я так понимаю, раз для КС3 есть отдельный формуляр, то и отдельно дистрибутив сертифицированый должен продаваться?[/QUOTE]
                                      В прайсе нет даже КС1 и КС2 (и во встроенном в сайт магазине тоже), есть только формуляры на
                                      CD. Кстати, для КС3 нет даже CD с формулярами и вообще там состав поставки интересный в формуляре.
                                      Я предполагал, что приобретя дистрибутив и формуляр на компашке + средство от НСД (согласно формуляру), можно заполнить формуляр, выполнить его требования при установке СКЗИ, и у вас будет соответствующий класс защиты СКЗИ.
                                      Но, если нужно обязательно купить в соответствующем составе, то ой. Странно, что комплекты не продаются или не указаны партнёры для такой деятельности, т.к. в формуляре досочно обширный список средств защиты, которые должны постелятся.

                                      Комментарий


                                      • Сообщение от Zuz Посмотреть сообщение
                                        А вот интересный вопрос (про необходимостьна клиенте КС3). К примеру, в спецификации Ростелекома, для защиты каналов между вашим сервером (где подпись и отправка БД) и клиентми (где сбор БД) было прдложено следующее решение:
                                        1 Аренда S-terra G-100-4.2-1701-3-ST-KC3
                                        2 Поддержка S-terra G-100-4.2-1701-3-ST-KC3
                                        3 Аренда ПО VPN LIC-C-WIN-4.2-ST-KC2 КС2
                                        Т.е. на клиенте всё равно КС2. По аналогии в вашем решении должно быть только на сервере КС3.

                                        Более того, подпись у вас будет тоже по КС2 или вы для подключения к СМЭВ-3 (и передачи данных через нём в ЕСБ) получили сертификат КС3?

                                        А Соболя в спеке там вот такие:
                                        6 Программно-аппаратный комплекс "Соболь". Версия 3.2, PCI-E либо M2. Исполнение 1 (бессрочно)
                                        Причём вопрос ещё с каким сертфикатом соответсвия брать ФСБ или ФСТЭК? )

                                        Зацените сей шедевр инженерно марктеингвой мысли:
                                        Нажмите на изображение для увеличения.· Название:	схема.png· Просмотров:	1· Размер:	537.6 Кб· ID:	4867690
                                        Вот это мешанина! И С-Терра, и ViPNet Client, и Соболь, и SecretNet... А я построю свой ЕБС, с блэкджеком и шлюхами!
                                        У РТ вроде изначально решение на основе КриптоПро строилось. Они всё поменяли? Я им тоже запрос скидывал по поводу необходимости использования SPR. По-моему их "решение" с размещением в ЦОДе стало ещё сложнее, чем сделать всё непосредственно у себя.

                                        С КС3 всё как-то мутно. По-моему даже тут единого мнения нет, как надо делать.
                                        Последний раз редактировалось Berckut; 17.12.2018, 04:30.

                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          договор на проведение "оценки влияния" с кем заключали? С разработчиком СКЗИ
                                          С КриптоПро

                                          Комментарий


                                          • Сообщение от Zuz Посмотреть сообщение
                                            Зацените сей шедевр инженерно марктеингвой мысли:
                                            Мы, к превеликому сожалению, не можем с коллегами из КриптоПро понять, как реализовать требования по КВ вне закрытого периметра банка, причём к арендованному ЦОДу тоже есть вопросы... Хотя чем арендованный ЦОД отличается от аренды помещения, в котором находится банк я не очень понимаю.
                                            К чему это - к тому, что любые "облачные" решения без снижения требований от ФСБ по КВ2 - малопонятны.
                                            Поэтому пытаемся снизить совокупную стоимость владения до минимальной. Вроде на сегодня это получается.

                                            Комментарий


                                            • Сообщение от Андрей Федорец Посмотреть сообщение
                                              ... Хотя чем арендованный ЦОД отличается от аренды помещения, в котором находится банк я не очень понимаю.
                                              К чему это - к тому, что любые "облачные" решения без снижения требований от ФСБ по КВ2 - малопонятны.......
                                              Дык весь вопрос в доступе 3-их лиц. И (без всяких КВ) если просто с арендуемым ЦОД-ом еще как-то можно прикрыться орг и тех средствами защиты, что типа никто и никогда не залезет ваши железки, то если говорить про нормальные облака, то там совсем начинается "жескач" - на основании чего вы хотите передать право подписи 3-му лицу? Т.е. если HSM в облаке, подпись кто ставит? А ключи вы храните в чьем оборудовании?

                                              Комментарий


                                              • Сообщение от Андрей Федорец Посмотреть сообщение
                                                Поэтому пытаемся снизить совокупную стоимость владения до минимальной. Вроде на сегодня это получается
                                                А можно в двух словах, что именно делаете? Коллеги смотрели ваш семинар сегодня, но целостной картины после кратного пересказа я пока не получил. )))
                                                Вообще возникал вариант использовать ваше решение, т.к. уже используем его в банке и ваг уровень погружённости в процесс и компетенции выглядит на фоне иных вендоров более привлекательно.

                                                Сообщение от saches Посмотреть сообщение
                                                то если говорить про нормальные облака, то там совсем начинается "жескач" - на основании чего вы хотите передать право подписи 3-му лицу?
                                                А чем это отличается от УКЭП в облаке, что есть сейчас и у многих?

                                                Сообщение от saches Посмотреть сообщение
                                                Т.е. если HSM в облаке, подпись кто ставит? А ключи вы храните в чьем оборудовании?
                                                Очевидно, что организация чьи ключи используется для подписи, тот и ставит иначе какой в этом практический смысл? Естественно, процесс доступа к функциональности должен быть реализован таким образом, чтобы исключить возможность несанкционированного использования ключей. Для этого HSM и нужен. Я понимаю, что, возможно, не погружен сейчас в контекст и не совсем понял вопрос. )
                                                К примеру карточный процессинг на аутсорсинге, HSM на несколько банков там, да и многие другие штуки и ничего, никого не беспокоит, PCI DSS ПЦ проходит без проблем.)

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  К примеру карточный процессинг на аутсорсинге, HSM на несколько банков там, да и многие другие штуки и ничего
                                                  +100500
                                                  Ещё есть сервис бюро SWIFT и там тоже HSM-box'ы, стоят в сервис бюро (а у некоторых и в ЦОДе) и ничего.

                                                  Комментарий


                                                  • Извините, но тёплое и мягкое не нужно путать.
                                                    HSM для pci dss и HSM класса КВ2 - это, как говорится, две большие разницы.
                                                    Требования разные, да и количество внедрений различается в разы!

                                                    Комментарий


                                                    • Сообщение от MadAlex Посмотреть сообщение
                                                      Извините, но тёплое и мягкое не нужно путать. HSM для pci dss и HSM класса КВ2 - это, как говорится, две большие разницы. Требования разные, да и количество внедрений различается в разы!
                                                      И в чём же там такие "разные" требования, вот по вашему "HSM для pci dss", чем он хужее "HSM класса КВ2"?

                                                      Комментарий


                                                      • MadAlex, а можно немого хоть по существу? Я понимаю, что вы работали в области разработки СКЗИ и погружены в определённые нюансы и «кухню», явно обладаете знаниями в этой далеко не очевидно регулируемой области (одна инструкция ФАПСИ, якобы до сих пор действующая, чего только стоит), имели или имеете доступ к засекреченным документам, где, наверное, изложены серьёзные требования, но всё это звучит слегка высокомерно и малоинформативно! )))

                                                        Моя аналогия была в том, что есть процессы с уровнем значимости, ИМХО, даже выше чем эта якобы биометрия (она весьма условная биометрия) и ничего, это работает, безопасность, вполне, на уровне, все пользуются картами каждый день, сейчас и токенизация подоспела, на мобильниках пользователей живёт и нормально же, с практической точки зрения технология лучшее, что когда-либо до этого было.

                                                        Проанализируйте степень критичности ключевой информации в HSM ПЦ (для эмиссии карт, для процессирования транзакций, для работы с транзакциями через интернет и пр.) и HSM КВ2 для биометрии, задача, которого подписать образец данных голоса и фотку снятую на вебку (а точнее просто обеспечить целостность, сама по себе подпись тут не особо то и важна и PKI тем более не нужен). И для этого нужно HSM с КВ2, который ох как суров, что HSMы для ПЦ тут рядом не стояли (кстати и они должны быть сертфицированы в недалёком будущем как минимум для значимых ПС). )))

                                                        Прочтите внимательно указание ЦБ+Ростелеком (4859-У), где даны актуальные угрозы, нет там никакого КВ2. То, что даны ссылки на приказ ФСБ и возможности нарушителя не означает, что для нейтрализации данных угроз требуется КВ2 и СКЗИ в частности.
                                                        И вообще, если читать ПП 1119, уровни защищённости и соответственно класс СКЗИ от них не зависит, он зависит от типа актуальных угроз и приказа 378 ФСБ, где конкретному типу сопоставлены классы. А типы угроз определены ПП 1119, они никак не связаны с указанием 4859-У, т.к. они (типы) вообще про недекларированные возможности в ПО.
                                                        Согласно приказу 378 ФСБ для биометрических ПДн требуется минимум класс СКЗИ КВ2+ для 1 и 2 уровня защищённости ПДн.
                                                        Для 3го уровня защищённости достаточно КС1, а вот КС2 и КС3 вообще нет в приказе ФСБ для биометрии и как он появился в требованиях и в решениях, предлагаемых интеграторами и разработчиками решений для биомтерии, вообще не ясно мне. )))

                                                        Более того, собрали данные в небольшом слабозащищённом офисе, защитили их с помощью СКЗИ КС2 при передаче в ЦОД, но вдруг дальше в ЕБС их нужно уже защищать по КС3 в части шифрования и КВ2 в части целостности. Очевидно же, что в небольшом офисе, где данные подменить проще контроль должен быть строже, а тут наоборот. Почему у злоумышленника возможности возрастают? Почему из офиса в ЦОД можно данные передать применяя СКЗИ по КС2 (шифровать + контроль целостности) в т.ч. и через Интернет, а дальше в ЕБС через СМЭВ-3 уже нельзя? Там уже КС3 нужно для шифрования. А для целостности без КВ2 совсем никак.
                                                        Ещё раз 4859-У про СКЗИ вообще ничего не говорит, там про актуальные угрозы и возможнсоти злоумышленника!

                                                        P.S. Прошу прощения за излишне ироничный тон, но всё, что сейчас происходит похоже на дурной кошмар, приходится иронизировать. )
                                                        Уже неоднократно обращалось внимание, что практической безопасностью мало кто сейчас в области взаимодействия с ЕБС занимается, происходит навязывание банкам решений, которые многим не по карману, а некоторые неимоверно сложны и бессмыслены, направлены только на закрытие регуляторных требований и продажи.
                                                        Более того из банков сделали агентов, которые должны теперь и ЕСИА регистрировать!
                                                        Есть же МФЦ, люди уже привыкли туда ходить, всё там, единое окно, нет теперь и банки обязаны! И сбор биометрии мог бы быть в МФЦ. Зачем это навязано всем банкам опять же не ясно. Дали бы выбор, было бы всё гораздо проще...

                                                        Комментарий


                                                        • Если вы считаете, что я одобряю или хотя бы понимаю , зачем было выставлено требование использовать скзи такого класса, то глубоко заблуждаетесь.
                                                          я считаю это креативом каких-то лиц внутри регулятора.
                                                          а мой комментарий относительно разных hsm заключается в том, что при обеспечении требований pci dss накоплено огромное количество опыта и выработаны «лучшие практики».
                                                          А с ебс и вообще с hsm по кв2 - вообще никто не знает как быть. И самое главное - не хочет разбираться! (Тут речь про регуляторов)
                                                          поэтому выставленные требования, да и всю ситуацию с нормативкой считаю креативом, впопыхах.

                                                          не согласны со мной?

                                                          Комментарий


                                                          • MadAlex, просто прозвучало совсем не так: мол HSM КВ2 для биометрии это важно, там требования ух! А ваши процессинги ерунда, какие там требования могут быть! ))).

                                                            Комментарий


                                                            • Вообще, меня глубоко удивляет, как регулятор вообще согласился на схему с мобильным приложением. Когда столько лет различным продуктам, реализующим на мобильных устройствах средства ЭП и другие механизмы ЗИ, выставлялись довольно высокие требования, которые крайне сложно было удовлетворить (многие и не смогли).
                                                              А тут - бац! И на смартфонах, в классически недоверенной и неконтролируемой среде предполагается использовать приложение для УБИ.

                                                              Без определённого нажима извне такие смены курса редко происходят.

                                                              Комментарий

                                                              Обработка...
                                                              X