Сообщение от w3d
Посмотреть сообщение
-
А по каким контактам стучались? -
Подскажите, а на кого отправляли письмо? В шапке что указали?Сообщение от Berckut Посмотреть сообщениеКомментарий
-
Министерство цифрового развития, связи и массовых коммуникаций Российской ФедерацииСообщение от Sat_Kelman Посмотреть сообщение
125375, г. Москва, ул. Тверская, д. 7
О выпуске сертификатов для работы с Единой биометрической системой
В соответствии с п. 5.6. ст. 7 Федерального закона от 07.08.2001 N 115-ФЗ <Банк> обязан размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента - физического лица, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - Единая биометрическая система), его биометрические персональные данные.
В связи с этим направляем документы, необходимые для выпуска сертификата ключа проверки электронной подписи для Единой биометрической системы.
Приложения: 1. Заявление на создание квалифицированного сертификата ключа проверки электронной подписи
2. Доверенность
3. Копия паспорта
4. Выписка из Единого государственного реестра юридических лиц
Комментарий
-
Я дозванивалась по общему телефону Минкомсвязи, меня переключали на отдел.Сообщение от Berckut Посмотреть сообщение
Еще через личный кабинет ситуационного центра можно запросить - тоже отвечали.
***Настроение бодрое, идем ко дну.Комментарий
-
Стучался еще по предыдущему письму - по камере и микрофону.Сообщение от Berckut Посмотреть сообщение
По пакету документов для КВ2 есть только то что получено адресатом (на сайте почты России)Комментарий
-
Насколько я понимаю, речь идет несколько о другом.Сообщение от Berckut Посмотреть сообщение
Смотрим п1.2 4859-У, там речь идет о возможности применения СКЗИ КС2 + СЗИ от НСД 4кл и выше, или СКЗИ КС3 без СЗИ от НСД 4 кл и выше.
Далее смотрим, например, Формуляр на КриптоПРО CSP 4.0 R4 КС2 -
2.7 СКЗИ должно использоваться со средством защиты от несанкционированного доступа, сертифицированным ФСБ России.
Там же выбираем АМДЗ, который вам больше нравится (Соболи, Аккорд, или что-то еще). Насколько я понимаю, все они сертифицированы ФСБ не ниже 4 класса - http://clsz.fsb.ru/certification.htm
В итоге видим, что использование стандартного комплекта КриптоПРО CSP КС2, в качестве требуемого СКЗИ в п.1.2. 4859-У, для снятия и передачи БО между структурными подразделениями банка, вполне достаточно.Последний раз редактировалось saches; 18.01.2019, 12:21.Комментарий
-
Вы PKCS#10-запрос отправили или что в письме?Сообщение от Berckut Посмотреть сообщение
Да пофиг на эти формуляры и документацию на СКЗИ всем, даже ЦБ (кроме Сигнатуры может).Сообщение от Berckut Посмотреть сообщениеКомментарий
-
Благодарю. Не понял сначала на что отсылка.Сообщение от saches Посмотреть сообщение
Но это не совсем корректно. 378-й приказ ФСБ:
4859-У как-то очень странно трактует 378-й приказ и различает пункты 11, 12 по использованию или не использованию СЗИ.12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Думаю, у многих в мелких доп. офисах не получится выделить под этот комп отдельное помещение. Можно конечно пытаться доказывать, что доступ в помещение банка ограничен, все работники следят, чтобы к компу никто посторонний не подошёл, а на ночь помещение сдаётся под охрану, но эта отмазка будет зависеть от благосклонности проверяющего - среди работников всегда найдётся тот, кто не должен иметь доступа к компу.Последний раз редактировалось Berckut; 21.01.2019, 04:49.Комментарий
-
Если я правильно понимаю, то согласно Временному порядку надо сначала получить согласование в Минкомсвязи, а потом уже второй комплект документов вместе с запросом на сертификат направлять в УЦ Восток. Соответственно в Минкомсвязь отправляются:Сообщение от Александр Четвертый Посмотреть сообщение
1. Заявление на создание квалифицированного сертификата ключа проверки электронной подписи (по форме Временного порядка).
2. Доверенность на владельца сертификата.
3. Копия паспорта владельца сертификата.
4. Выписка из Единого государственного реестра юридических лиц не старше месяца.Комментарий
-
В отношении внешних аудиторов у меня нет такой уверенности. Они своей лицензией ФСТЭК рискуют.Сообщение от Александр Четвертый Посмотреть сообщениеКомментарий
-
Отвечу самому себеСообщение от Berckut Посмотреть сообщение
А с другой стороны, какая нам разница, как они его трактуют!
Оператором системы является РТ и согласно 152-ФЗ именно они определяют требования и порядок обработки ПДн. Мы же обязаны выполнять их требования. Если приходит проверка и говорит, что всё не так, то мы им показываем договор с РТ (который оферта) и говорим: а мы тут не причём, мы обязаны делать то, что сказал оператор ИСПДн, так что идите к ним и все претензии там предъявляйте.Комментарий
-
Кто уже отправлял список камер и микрофонов в Минкомсвязи, что написать по абзацу 3 пункта 5?
Счет на покупку камер? То что его на баланс поставили инвентаризовали?документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;Комментарий
-
Совершенно правильный подход! Насколько я представляю, в соответствии с так называемыми "юридическими техниками", статус 4859-У (при всей его кривости) в части, касающейся ЕБС, будет повыше, чем у 378 приказа ФСБ.Сообщение от Berckut Посмотреть сообщениеОтвечу самому себе А с другой стороны, какая нам разница, как они его трактуют! Оператором системы является РТ .......
Если заморачиваться, возможно, имеет смысл повесить камеру в ДО, что бы было видно рабочее место, используемое для съема БО.
А если расписать в очередном положении и регламентах, что-нибудь, типа того, что АМДЗ + пароль на БИОСе не позволяют незаметно вскрыть ПК и подменить устройство загрузки, а контроль целостности средствами АМДЗ и СКЗИ препятствует подмене исполняемых модулей, то может и камеру вешать не надо. Ну и по возможности убрать с этого ПК доступ в и-нет, почту и весь лишний софт...Комментарий
-
Там есть засада, следующего содержания:Сообщение от Berckut Посмотреть сообщение
Заказчик вправе в одностороннем порядке изменять условия Соглашения
путем опубликования на портале ЕБС нового текста Публичной оферты или внесения
изменений в действующую редакцию Публичной оферты. Изменения вступают в силу по
истечении 5 (пяти) рабочих дней с момента размещения измененного текста Публичной
оферты на сайте Заказчика. Исполнитель обязуется самостоятельно ознакомиться с новыми
редакциями и соблюдать условия новых редакций Публичной оферты.Комментарий
-
https://events.webinar.ru/iDSystems/1890653
Я так понимаю, КРОК будет "нести в массы" решение iD Systems.
29 января компания КРОК совместно с iDSystems проведут вебинар для банков, посвященный обеспечению информационной безопасности при взаимодействии с Единой биометрической системой.
Специалисты компаний и участники обсудят основные аспекты типовой схемы подключения, текущий статус сертификации решения iDSystems в ФСБ, а также особенности встраивания в существующую инфраструктуру банка с учётом соблюдения текущих требований регуляторов в части защиты ПДн.
Также вебинар будет полезен специалистам банков для того, чтобы понять, какой состав работ необходимо будет выполнять на регулярной основе с введённой в эксплуатацию инфраструктурой ИБ. Кроме этого участники вебинара получат информацию для последующего принятия решений о модификации остальной части информационной инфраструктуры банка с тем, чтобы начать процедуры по приведению её в соответствии с ГОСТ Р 57580.1.
Ведущие вебинара- Андрей Федорец, генеральный директор iDSystems
- Алексей Александров, директор по информационной безопасности iDSystems
- Евгений Дружинин, ведущий эксперт направления информационной безопасности КРОК
Напоминаем, что вебинар "ЕБС. Инфраструктура ИБ и её обслуживание" состоится 29 января в 11-00 на площадке Webinar.ru
Для представителей банков участие в мероприятии бесплатное.
Пройдите обязательную регистрацию, отправив запрос с корпоративной почты банка.Комментарий
-
Спасибо за наводку! Послушаем, может чего нового скажут. Хотя, всегда был в некотором "шоке" от ценообразования Крок-а....Сообщение от ost Посмотреть сообщение
Комментарий
-
"Свыше 150 банков уже начали собирать биометрические данные граждан." https://bankir.ru/novosti/20190121/r...ntov-10153679/
Какие молодцы!Комментарий
-
А можно ссылку на первоисточник?Сообщение от Berckut Посмотреть сообщение
Сообщение от Berckut Посмотреть сообщение
Аналогично, где почитать этот Временный порядок?Комментарий
-
А что делать тем, кто внедряет решение не от РТ? Ведь РТ не заявляет, что их типовое решение по ИБ единственное. Вот и ID System делает свое решение, и ЦФТ, и другие.Сообщение от Berckut Посмотреть сообщение
Отвечу самому себе
А с другой стороны, какая нам разница, как они его трактуют!
Оператором системы является РТ и согласно 152-ФЗ именно они определяют требования и порядок обработки ПДн. Мы же обязаны выполнять их требования. Если приходит проверка и говорит, что всё не так, то мы им показываем договор с РТ (который оферта) и говорим: а мы тут не причём, мы обязаны делать то, что сказал оператор ИСПДн, так что идите к ним и все претензии там предъявляйте.Комментарий
-
https://sc-new.minsvyaz.ru/web/guest...m-organizaciamСообщение от Массаракш Посмотреть сообщениеКомментарий
-
Так мы тоже на ЦФТ ушли. Оферта, под которой банк подписывается, своего рода поручение РТ банку на обработку ПДн. В соответствии со 152-ФЗ оператор обязан установить требования к такой обработки, что он и сделал, выпустив совместно с ЦБ 4859-У. Я пока такую логику вижу.Сообщение от Массаракш Посмотреть сообщение
Почему РТ, а не банк является оператором? Да потому что согласно 152-ФЗ оператор это то лицо, которое организует обработку ПДн, определяет цели обработки, состав ПДн и действия, совершаемые с ПДн, а банк даже форму согласия свою составить не может.
Кстати, по такой логике, если банк закосячит, то отвечать за это будет РТ, а уже потом РТ может подать в суд на банк и пытаться возместить свой ущерб.Комментарий
-
Особенно это умиляет если прочитать вот эту статью, там феерия: "Фото было сделано на веб-камеру, а голос пришлось записывать на терминал для приема карт."Сообщение от saches Посмотреть сообщение
https://www.vedomosti.ru/finance/art...91285-sberbank
Комментарий
-
По такой логике и контролировать, что у банка все нормально с обработкой БПдН, должен РТ, а не ЦБ.Сообщение от Berckut Посмотреть сообщениеКомментарий
-
В отношении ПДн - да.Сообщение от Массаракш Посмотреть сообщение
В отношении всего остального нет.Комментарий
-
-
я так до поддержки пытался дозвонится/ турбки не брали тогда я нажал цифру там борьба с коррупцией мне там ответили и я саппросил почему поддержка трубки не берет она вымерла чтолиСообщение от iPtich Посмотреть сообщение
меня перевели на них сразу и они ответили
Попробуйте такжеКомментарий
-
...Комиссия, руководствуясь частью 20 ст. 18.1 Федерального закона «О защите конкуренции»,
РЕШИЛА:
1. Признать жалобу ПАО «Ростелеком» (ИНН 7707049388 , ОГРН 1027700198767) необоснованной...
http://solutions.fas.gov.ru/to/altay...ssii/124-ov-18
http://solutions.fas.gov.ru/to/altay...ssii/123-ov-18
Комментарий
-
"Кроме того, АО «Современные системы» не имеют подтверждения соответствия требованиям, установленным действующим законодательствам."Сообщение от svarog.coop Посмотреть сообщение
интересно о каких требованиях идет речь? Также интересно, как можно продавать решение -облачный сервис для взаимодействия с Единой биометрической системой»-, если оператор ЕБС такое решение не акцептует? Это похоже на мошенничество со стороны ЦФТ!Последний раз редактировалось Массаракш; 22.01.2019, 17:03.Комментарий
-
Подскажите пожалуйста, появилось ли какое то облачное решение, которое позволяет на месте не городить все эти дела с HSM и так далее, и если да то выгодней ли это чем делать у себя на месте система сбора и передачи биометрии? Еще такой вопрос минимально возможная цена для того чтобы полноценно подключиться к ЕБС примерно сколько с учетом HSM?в 173-Т слово комплаенс встречается 206 раз.Комментарий
-
ЦФТ клянется - божится, что уже в этом месяце выйдет документ, дающий облачному решению право на существование. Поглядим, хоть я и не фанат ЦФТ, но желаю им успеха в продвижении своего продукта.Сообщение от Массаракш Посмотреть сообщениеWBR, Александр ТурчинКомментарий
Комментарий