22 февраля, пятница 04:39
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от w3d Посмотреть сообщение

    Аналогичная ситуация. Исполнители трубку не берут похоже в принципе.

    Равно как и от УЦ Восток никакой реакции на запросы.
    А по каким контактам стучались?

    Комментарий


    • Сообщение от Berckut Посмотреть сообщение
      В конце ноября отправил письмо в Минкосвязи, как того требует порядок.
      Подскажите, а на кого отправляли письмо? В шапке что указали?

      Комментарий


      • Сообщение от Sat_Kelman Посмотреть сообщение

        Подскажите, а на кого отправляли письмо? В шапке что указали?
        Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
        125375, г. Москва, ул. Тверская, д. 7

        О выпуске сертификатов для работы с Единой биометрической системой

        В соответствии с п. 5.6. ст. 7 Федерального закона от 07.08.2001 N 115-ФЗ <Банк> обязан размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента - физического лица, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - Единая биометрическая система), его биометрические персональные данные.
        В связи с этим направляем документы, необходимые для выпуска сертификата ключа проверки электронной подписи для Единой биометрической системы.
        Приложения: 1. Заявление на создание квалифицированного сертификата ключа проверки электронной подписи
        2. Доверенность
        3. Копия паспорта
        4. Выписка из Единого государственного реестра юридических лиц

        Комментарий


        • Сообщение от Berckut Посмотреть сообщение

          А по каким контактам стучались?
          Я дозванивалась по общему телефону Минкомсвязи, меня переключали на отдел.
          Еще через личный кабинет ситуационного центра можно запросить - тоже отвечали.
          ***Настроение бодрое, идем ко дну.

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение

            А по каким контактам стучались?
            Стучался еще по предыдущему письму - по камере и микрофону.

            По пакету документов для КВ2 есть только то что получено адресатом (на сайте почты России)

            Комментарий


            • Сообщение от Berckut Посмотреть сообщение
              Не проканает. Надо ещё и руководствоваться формуляром на СКЗИ, а там прямо прописано, что надо использовать SPR.
              Насколько я понимаю, речь идет несколько о другом.
              Смотрим п1.2 4859-У, там речь идет о возможности применения СКЗИ КС2 + СЗИ от НСД 4кл и выше, или СКЗИ КС3 без СЗИ от НСД 4 кл и выше.
              Далее смотрим, например, Формуляр на КриптоПРО CSP 4.0 R4 КС2 -
              2.7 СКЗИ должно использоваться со средством защиты от несанкционированного доступа, сертифицированным ФСБ России.
              Там же выбираем АМДЗ, который вам больше нравится (Соболи, Аккорд, или что-то еще). Насколько я понимаю, все они сертифицированы ФСБ не ниже 4 класса - http://clsz.fsb.ru/certification.htm

              В итоге видим, что использование стандартного комплекта КриптоПРО CSP КС2, в качестве требуемого СКЗИ в п.1.2. 4859-У, для снятия и передачи БО между структурными подразделениями банка, вполне достаточно.
              Последний раз редактировалось saches; 18.01.2019, 12:21.

              Комментарий


              • Сообщение от Berckut Посмотреть сообщение
                В конце ноября отправил письмо в Минкосвязи, как того требует порядок.
                Вы PKCS#10-запрос отправили или что в письме?

                Сообщение от Berckut Посмотреть сообщение
                Не проканает. Надо ещё и руководствоваться формуляром на СКЗИ, а там прямо прописано, что надо использовать SPR.
                Да пофиг на эти формуляры и документацию на СКЗИ всем, даже ЦБ (кроме Сигнатуры может).

                Комментарий


                • Сообщение от saches Посмотреть сообщение
                  Насколько я понимаю, речь идет несколько о другом.
                  Смотрим п1.2 4859-У, там речь идет о возможности применения СКЗИ КС2 + СЗИ от НСД 4кл и выше, или СКЗИ КС3 без СЗИ от НСД 4 кл и выше.
                  Далее смотрим, например, Формуляр на КриптоПРО CSP 4.0 R4 КС2 -
                  2.7 СКЗИ должно использоваться со средством защиты от несанкционированного доступа, сертифицированным ФСБ России.
                  Там же выбираем АМДЗ, который вам больше нравится (Соболи, Аккорд, или что-то еще). Насколько я понимаю, все они сертифицированы ФСБ не ниже 4 класса - http://clsz.fsb.ru/certification.htm

                  В итоге видим, что использование стандартного комплекта КриптоПРО CSP КС2, в качестве требуемого СКЗИ в п.1.2. 4859-У, для снятия и передачи БО между структурными подразделениями банка, вполне достаточно.
                  Благодарю. Не понял сначала на что отсылка.
                  Но это не совсем корректно. 378-й приказ ФСБ:
                  12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
                  а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
                  б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
                  4859-У как-то очень странно трактует 378-й приказ и различает пункты 11, 12 по использованию или не использованию СЗИ.
                  Думаю, у многих в мелких доп. офисах не получится выделить под этот комп отдельное помещение. Можно конечно пытаться доказывать, что доступ в помещение банка ограничен, все работники следят, чтобы к компу никто посторонний не подошёл, а на ночь помещение сдаётся под охрану, но эта отмазка будет зависеть от благосклонности проверяющего - среди работников всегда найдётся тот, кто не должен иметь доступа к компу.
                  Последний раз редактировалось Berckut; 21.01.2019, 04:49.

                  Комментарий


                  • Сообщение от Александр Четвертый Посмотреть сообщение

                    Вы PKCS#10-запрос отправили или что в письме?
                    Если я правильно понимаю, то согласно Временному порядку надо сначала получить согласование в Минкомсвязи, а потом уже второй комплект документов вместе с запросом на сертификат направлять в УЦ Восток. Соответственно в Минкомсвязь отправляются:
                    1. Заявление на создание квалифицированного сертификата ключа проверки электронной подписи (по форме Временного порядка).
                    2. Доверенность на владельца сертификата.
                    3. Копия паспорта владельца сертификата.
                    4. Выписка из Единого государственного реестра юридических лиц не старше месяца.

                    Комментарий


                    • Сообщение от Александр Четвертый Посмотреть сообщение
                      Да пофиг на эти формуляры и документацию на СКЗИ всем, даже ЦБ (кроме Сигнатуры может).
                      В отношении внешних аудиторов у меня нет такой уверенности. Они своей лицензией ФСТЭК рискуют.

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        4859-У как-то очень странно трактует 378-й приказ и различает пункты 11, 12 по использованию или не использованию СЗИ.
                        Думаю, у многих в мелких доп. офисах не получится выделить под этот комп отдельное помещение. Можно конечно пытаться доказывать, что доступ в помещение банка ограничен, все работники следят, чтобы к компу никто посторонний не подошёл, а на ночь помещение сдаётся под охрану, но эта отмазка будет зависеть от благосклонности проверяющего - среди работников всегда найдётся тот, кто не должен иметь доступа к компу.
                        Отвечу самому себе
                        А с другой стороны, какая нам разница, как они его трактуют!
                        Оператором системы является РТ и согласно 152-ФЗ именно они определяют требования и порядок обработки ПДн. Мы же обязаны выполнять их требования. Если приходит проверка и говорит, что всё не так, то мы им показываем договор с РТ (который оферта) и говорим: а мы тут не причём, мы обязаны делать то, что сказал оператор ИСПДн, так что идите к ним и все претензии там предъявляйте.

                        Комментарий


                        • Кто уже отправлял список камер и микрофонов в Минкомсвязи, что написать по абзацу 3 пункта 5?
                          документы, подтверждающие право собственности заявителя либо иное законное основание использования информационных технологий и технических средств, предназначенных для обработки изображения лица и данных голоса;
                          Счет на покупку камер? То что его на баланс поставили инвентаризовали?

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            Отвечу самому себе А с другой стороны, какая нам разница, как они его трактуют! Оператором системы является РТ .......
                            Совершенно правильный подход! Насколько я представляю, в соответствии с так называемыми "юридическими техниками", статус 4859-У (при всей его кривости) в части, касающейся ЕБС, будет повыше, чем у 378 приказа ФСБ.

                            Если заморачиваться, возможно, имеет смысл повесить камеру в ДО, что бы было видно рабочее место, используемое для съема БО.
                            А если расписать в очередном положении и регламентах, что-нибудь, типа того, что АМДЗ + пароль на БИОСе не позволяют незаметно вскрыть ПК и подменить устройство загрузки, а контроль целостности средствами АМДЗ и СКЗИ препятствует подмене исполняемых модулей, то может и камеру вешать не надо. Ну и по возможности убрать с этого ПК доступ в и-нет, почту и весь лишний софт...

                            Комментарий


                            • Сообщение от Berckut Посмотреть сообщение
                              мы им показываем договор с РТ (который оферта) и говорим
                              Там есть засада, следующего содержания:

                              Заказчик вправе в одностороннем порядке изменять условия Соглашения
                              путем опубликования на портале ЕБС нового текста Публичной оферты или внесения
                              изменений в действующую редакцию Публичной оферты. Изменения вступают в силу по
                              истечении 5 (пяти) рабочих дней с момента размещения измененного текста Публичной
                              оферты на сайте Заказчика. Исполнитель обязуется самостоятельно ознакомиться с новыми
                              редакциями и соблюдать условия новых редакций Публичной оферты.

                              Комментарий


                              • https://events.webinar.ru/iDSystems/1890653

                                Я так понимаю, КРОК будет "нести в массы" решение iD Systems.

                                29 января компания КРОК совместно с iDSystems проведут вебинар для банков, посвященный обеспечению информационной безопасности при взаимодействии с Единой биометрической системой.

                                Специалисты компаний и участники обсудят основные аспекты типовой схемы подключения, текущий статус сертификации решения iDSystems в ФСБ, а также особенности встраивания в существующую инфраструктуру банка с учётом соблюдения текущих требований регуляторов в части защиты ПДн.

                                Также вебинар будет полезен специалистам банков для того, чтобы понять, какой состав работ необходимо будет выполнять на регулярной основе с введённой в эксплуатацию инфраструктурой ИБ. Кроме этого участники вебинара получат информацию для последующего принятия решений о модификации остальной части информационной инфраструктуры банка с тем, чтобы начать процедуры по приведению её в соответствии с ГОСТ Р 57580.1.

                                Ведущие вебинара
                                • Андрей Федорец, генеральный директор iDSystems
                                • Алексей Александров, директор по информационной безопасности iDSystems
                                • Евгений Дружинин, ведущий эксперт направления информационной безопасности КРОК

                                Напоминаем, что вебинар "ЕБС. Инфраструктура ИБ и её обслуживание" состоится 29 января в 11-00 на площадке Webinar.ru

                                Для представителей банков участие в мероприятии бесплатное.
                                Пройдите обязательную регистрацию, отправив запрос с корпоративной почты банка.

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение
                                  .....Я так понимаю, КРОК будет "нести в массы" решение iD Systems.
                                  Спасибо за наводку! Послушаем, может чего нового скажут. Хотя, всегда был в некотором "шоке" от ценообразования Крок-а....

                                  Комментарий


                                  • "Свыше 150 банков уже начали собирать биометрические данные граждан." https://bankir.ru/novosti/20190121/r...ntov-10153679/
                                    Какие молодцы!

                                    Комментарий


                                    • Сообщение от Berckut Посмотреть сообщение

                                      Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
                                      125375, г. Москва, ул. Тверская, д. 7

                                      О выпуске сертификатов для работы с Единой биометрической системой

                                      В соответствии с п. 5.6. ст. 7 Федерального закона от 07.08.2001 N 115-ФЗ <Банк> обязан размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента - физического лица, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица (далее - Единая биометрическая система), его биометрические персональные данные.
                                      В связи с этим направляем документы, необходимые для выпуска сертификата ключа проверки электронной подписи для Единой биометрической системы.
                                      Приложения: 1. Заявление на создание квалифицированного сертификата ключа проверки электронной подписи
                                      2. Доверенность
                                      3. Копия паспорта
                                      4. Выписка из Единого государственного реестра юридических лиц
                                      А можно ссылку на первоисточник?

                                      Сообщение от Berckut Посмотреть сообщение
                                      Если я правильно понимаю, то согласно Временному порядку надо сначала получить согласование в Минкомсвязи

                                      Аналогично, где почитать этот Временный порядок?

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение

                                        Отвечу самому себе
                                        А с другой стороны, какая нам разница, как они его трактуют!
                                        Оператором системы является РТ и согласно 152-ФЗ именно они определяют требования и порядок обработки ПДн. Мы же обязаны выполнять их требования. Если приходит проверка и говорит, что всё не так, то мы им показываем договор с РТ (который оферта) и говорим: а мы тут не причём, мы обязаны делать то, что сказал оператор ИСПДн, так что идите к ним и все претензии там предъявляйте.
                                        А что делать тем, кто внедряет решение не от РТ? Ведь РТ не заявляет, что их типовое решение по ИБ единственное. Вот и ID System делает свое решение, и ЦФТ, и другие.

                                        Комментарий


                                        • Сообщение от Массаракш Посмотреть сообщение
                                          А можно ссылку на первоисточник?
                                          Аналогично, где почитать этот Временный порядок?
                                          https://sc-new.minsvyaz.ru/web/guest...m-organizaciam

                                          Комментарий


                                          • Сообщение от Массаракш Посмотреть сообщение

                                            А что делать тем, кто внедряет решение не от РТ? Ведь РТ не заявляет, что их типовое решение по ИБ единственное. Вот и ID System делает свое решение, и ЦФТ, и другие.
                                            Так мы тоже на ЦФТ ушли. Оферта, под которой банк подписывается, своего рода поручение РТ банку на обработку ПДн. В соответствии со 152-ФЗ оператор обязан установить требования к такой обработки, что он и сделал, выпустив совместно с ЦБ 4859-У. Я пока такую логику вижу.
                                            Почему РТ, а не банк является оператором? Да потому что согласно 152-ФЗ оператор это то лицо, которое организует обработку ПДн, определяет цели обработки, состав ПДн и действия, совершаемые с ПДн, а банк даже форму согласия свою составить не может.
                                            Кстати, по такой логике, если банк закосячит, то отвечать за это будет РТ, а уже потом РТ может подать в суд на банк и пытаться возместить свой ущерб.

                                            Комментарий


                                            • Сообщение от saches Посмотреть сообщение
                                              "Свыше 150 банков уже начали собирать биометрические данные граждан." https://bankir.ru/novosti/20190121/r...ntov-10153679/
                                              Какие молодцы!
                                              Особенно это умиляет если прочитать вот эту статью, там феерия: "Фото было сделано на веб-камеру, а голос пришлось записывать на терминал для приема карт."
                                              https://www.vedomosti.ru/finance/art...91285-sberbank

                                              Комментарий


                                              • Сообщение от Berckut Посмотреть сообщение
                                                Так мы тоже на ЦФТ ушли. Оферта, под которой банк подписывается, своего рода поручение РТ банку на обработку ПДн. В соответствии со 152-ФЗ оператор обязан установить требования к такой обработки, что он и сделал, выпустив совместно с ЦБ 4859-У. Я пока такую логику вижу.
                                                Почему РТ, а не банк является оператором? Да потому что согласно 152-ФЗ оператор это то лицо, которое организует обработку ПДн, определяет цели обработки, состав ПДн и действия, совершаемые с ПДн, а банк даже форму согласия свою составить не может.
                                                Кстати, по такой логике, если банк закосячит, то отвечать за это будет РТ, а уже потом РТ может подать в суд на банк и пытаться возместить свой ущерб.
                                                По такой логике и контролировать, что у банка все нормально с обработкой БПдН, должен РТ, а не ЦБ.

                                                Комментарий


                                                • Сообщение от Массаракш Посмотреть сообщение

                                                  По такой логике и контролировать, что у банка все нормально с обработкой БПдН, должен РТ, а не ЦБ.
                                                  В отношении ПДн - да.
                                                  В отношении всего остального нет.

                                                  Комментарий


                                                  • Сообщение от Nawter Посмотреть сообщение
                                                    Особенно это умиляет если прочитать вот эту статью, там феерия: "Фото было сделано на веб-камеру, а голос пришлось записывать на терминал для приема карт." https://www.vedomosti.ru/finance/art...91285-sberbank
                                                    Все в россии тлен

                                                    Комментарий


                                                    • Сообщение от iPtich Посмотреть сообщение

                                                      Я дозванивалась по общему телефону Минкомсвязи, меня переключали на отдел.
                                                      Еще через личный кабинет ситуационного центра можно запросить - тоже отвечали.
                                                      я так до поддержки пытался дозвонится/ турбки не брали тогда я нажал цифру там борьба с коррупцией мне там ответили и я саппросил почему поддержка трубки не берет она вымерла чтоли
                                                      меня перевели на них сразу и они ответили

                                                      Попробуйте также

                                                      Комментарий


                                                      • ...Комиссия, руководствуясь частью 20 ст. 18.1 Федерального закона «О защите конкуренции»,

                                                        РЕШИЛА:

                                                        1. Признать жалобу ПАО «Ростелеком» (ИНН 7707049388 , ОГРН 1027700198767) необоснованной...
                                                        http://solutions.fas.gov.ru/to/altay...ssii/124-ov-18
                                                        http://solutions.fas.gov.ru/to/altay...ssii/123-ov-18

                                                        Комментарий


                                                        • Сообщение от svarog.coop Посмотреть сообщение
                                                          .
                                                          "Кроме того, АО «Современные системы» не имеют подтверждения соответствия требованиям, установленным действующим законодательствам."

                                                          интересно о каких требованиях идет речь? Также интересно, как можно продавать решение -облачный сервис для взаимодействия с Единой биометрической системой»-, если оператор ЕБС такое решение не акцептует? Это похоже на мошенничество со стороны ЦФТ!
                                                          Последний раз редактировалось Массаракш; 22.01.2019, 17:03.

                                                          Комментарий


                                                          • Подскажите пожалуйста, появилось ли какое то облачное решение, которое позволяет на месте не городить все эти дела с HSM и так далее, и если да то выгодней ли это чем делать у себя на месте система сбора и передачи биометрии? Еще такой вопрос минимально возможная цена для того чтобы полноценно подключиться к ЕБС примерно сколько с учетом HSM?
                                                            в 173-Т слово комплаенс встречается 206 раз.

                                                            Комментарий


                                                            • Сообщение от Массаракш Посмотреть сообщение

                                                              "Кроме того, АО «Современные системы» не имеют подтверждения соответствия требованиям, установленным действующим законодательствам."
                                                              интересно о каких требованиях идет речь? Также интересно, как можно продавать решение -облачный сервис для взаимодействия с Единой биометрической системой»-, если оператор ЕБС такое решение не акцептует? Это похоже на мошенничество со стороны ЦФТ!
                                                              ЦФТ клянется - божится, что уже в этом месяце выйдет документ, дающий облачному решению право на существование. Поглядим, хоть я и не фанат ЦФТ, но желаю им успеха в продвижении своего продукта.
                                                              WBR, Александр Турчин

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X