4 июля, суббота 13:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    - канал в СМЭВ - КВ
    На канале так и так будет VipNET (он есть КВ) https://infotecs.ru/product/setevye-...oordinator-kb/
    Менять надо будет VipNET HW1000/HW100 на VipNET.. КВ в существующем СМЭВ-канале?
    Или под ЕБС отдельный СМЭВ-канал делать?
    Тут Приложение 4 Требования к сети передачи данных участников информационного обмена без изменений.

    Комментарий


    • Сообщение от Участник Посмотреть сообщение
      Менять надо будет VipNET HW1000/HW100 на VipNET.. КВ в существующем СМЭВ-канале? Или под ЕБС отдельный СМЭВ-канал делать?
      Провод-то тот же самый останется, а ящик надо будет новый ставить. Причем два ящика.
      Ростелеком всё расскажет, без них всё-равно ящик не купить.

      Комментарий


      • Вот уроды, опять хотят с банков денег побольше стрясти...
        И ведь не отмажешься никак, прекрасно понимая, что мелким и даже средним банкам эта удаленная идентификация нафиг не нужна, а нужна только разным Тиньковам да сберам...
        А приходить и требовать занесения своей биометрии в систему, будут как раз в мелкие и средние банки

        И самое главное - хотят чтобы со 2-го июля уже все заработало, а ни у кого еще и близко нет ни понимания толком, ни решения какого то...

        Комментарий


        • Не надо менять HW1000, если он у вас сертифицирован на КС3. Эта шифрокоробка в сервисах СМЭВ (в ключая ЕСИА и ЕБС) выполняет как раз функцию СКЗИ для обеспечения конфиденциальности. А для целостности в сервисах СМЭВ используется PKCS#7-попдись (XMLDsign). Вот проставлять эту подпись для сервисов ЕСИА и ЕБС придется теперь с помощью СКЗИ, имеющего сертификат KB. Имеющийся для СМЭВ3 клиент Ростелекома (набор библов) пока работает с КриптоПро JCP - и, полагаю, нужно ждать от них отдельного "клиента" именно для этих сервисов. Это что касается сбора БКШ (Банк -> ЕБС).

          По использованию БКШ Банком еще сложнее, потому что квитки протокола OAuth2.0 придется подписывать KB-шной криптой (сейчас вообще RSA там можно использовать):

          ИС получает от ЕСИА маркеры доступа или маркеры аутентификации в виде строк в формате Base64url, состоящие из 3 частей: заголовок, набор утверждений и подпись (HEADER.PAYLOAD.SIGNATURE). В заголовке определяется алгоритм подписи, поддерживается алгоритм электронной подписи RSA SHA-256, рекомендуемый спецификацией (соответствует значению "RS256") и алгоритм электронной подписи ГОСТ Р 34.10-2001 (соответствует значению "GOST3410"). Подпись вычисляется от двух предыдущих частей маркера (HEADER.PAYLOAD) в формате PKCS#7 detached signature в кодировке (UTF-8).

          Комментарий


          • Проясняем ситуацию с ИБ в любом банке.

            1. На рабочем месте оператора, который будет снимать биометрические данные должно быть установлено:

            1.1. Windows 8 и старше
            1.2. Прикладной софт по работе с камерой и микрофоном, написанный для Windows (не Jawa)
            1.3. Криптопак от КриптоПро
            1.4. КриптоПро CSP 4 и выше клиентская
            1.5. Аппаратный Соболь
            Это обеспечение по КС3 как работу оператора, так и поднятие канала до ИС банка (ниже эта ИС в п.2.1) и, собственно, передачу биометрических образцов (подписанных)
            Проблема в том, что это именно PC (может быть и ноут, но главное, чтобы Соболь втыкался куда-то). Т.е. не планшет, уж тем более, не Яблоншет (хотя... Хотя некий большой банк с зелёными тонами в лого закупил именно Яблопады).

            2. На сервере банка, где установлена ИС, обеспечивающая взаимодействие с ЕБС
            2.1. Сама ИС
            2.2. КриптоПро CSP 4 и выше серверная

            3. HSM, где лежит/лежат сертификат/ы, обеспечивающие обмен по КВ.
            Тут, правда, вопрос - где взять сертификаты, т.к. только УЦ Восход умеет их выдвавать, но не направо и налево

            4. Шифратор канала - VipNet Coordinator KB1/KB2
            Скорее это только они, т.к. на стороне ЕБС уж точно они будут стоять. Поэтому ни Континент, ни Базальт, ни Монолит (названия из головы, а не со знанием рынка) не пойдут.

            ПО 1.1...1.4 в сборе проверяется в Лаборатории ФСБ на соответствие требованиям и на весь комплекс делается заключение о соответствии требованиям. При этом под звездой указывается версия BOIS которая проверялась при взаимодействии аппаратных средств компьютера с Соболем из 1.5.
            (в период действия Меморандума мы это сделаем).

            Как-то так.

            Комментарий


            • Сообщение от Александр Четвертый Посмотреть сообщение
              шифрокоробка в сервисах СМЭВ (в ключая ЕСИА и ЕБС) выполняет как раз функцию СКЗИ для обеспечения конфиденциальности. А для целостности в сервисах СМЭВ используется PKCS#7-попдись (XMLDsign). Вот проставлять эту подпись для сервисов ЕСИА и ЕБС придется теперь с помощью СКЗИ, имеющего сертификат KB.
              Перечитал документ повторно.
              Согласен.
              VipNet КВ не нужен.
              Нужно СКЗИ класса КВ для подписания и проверки подписи. Походу тут HSM нужен.
              И вообще желательно приобретать какой-то готовый сертифицированный АРМ. То, что предлагает IdSys не пойдет.

              Комментарий


              • Был семинар по «биометрии», в рамках 482-ФЗ (ЕБС и удаленная идентификация)
                Видеозапись мероприятия можно посмотреть On-line или скачать здесь - https://yadi.sk/i/BhQSrtQl3Y43Pc
                (во второй части разбирались требования по ИТ безопасности.)

                Комментарий


                • Сообщение от Александр Четвертый Посмотреть сообщение
                  Не надо менять HW1000, если он у вас сертифицирован на КС3. Эта шифрокоробка в сервисах СМЭВ (в ключая ЕСИА и ЕБС) выполняет как раз функцию СКЗИ для обеспечения конфиденциальности. А для целостности в сервисах СМЭВ используется PKCS#7-попдись (XMLDsign).........
                  Тут, наверное, не соглашусь 2 раза:
                  1. Если посмотреть на сертификат HW1000, можно увидеть, что эта железка, помимо шифрования обеспечивает и имитозащиту, т.е. целостность передаваемой информации;
                  2. PKCS#7 ну никак не пересекается с XMLDsig. Посмотрите спеки XAdES (фактически расширенная спецификация XML-Dsig) и CAdES (включающая всякие PKCS).

                  Это только на наших просторах, не известно с какой целью, периодически замешивают всё это в одну субстанцию и абсолютно бессистемно используют в каждом ведомстве на свой лад.

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Тут, наверное, не соглашусь 2 раза:
                    Ну если посмотреть на презентацию РТ Лабс, то там именно как было сказано.

                    Информационная безопасность – основные моменты*

                    1.Необходимо обеспечить защиту каналов связи российскими крипто-маршрутизаторами между КО и СМЭВ 3 / ЕСИА / ЕБС класса защиты КС3 (VipNet Coordinator)
                    2.Необходимо обеспечить защиту каналов связи внутри КО (между оператором КО и ЦОД КО) по ГОСТу. СКЗИ класса КС3 либо КС2 + СЗИ от НСД
                    3.Необходимо обеспечить идентификацию оператора КО (ПЭП ФЗ-63 + ключ на отчуждаемом носителе + СНИЛС оператора) + УКЭП КО для подписи данных биометрических образцов
                    4.Необходимо обеспечить защиту данных при сборе биометрических образцов (контроль целостности) с использованием средств защиты класса КВ2 (КриптоПро HSM 2.0)
                    5.Будет использован протокол авторизации OpenID Connect с поддержкой ГОСТ 2012 в ЕСИА / ЕБС (для верификации) с использованием средств защиты класса КВ2 (КриптоПро HSM 2.0)
                    6.Будет использован ГОСТ при веб верификации – использование гражданами браузеров с поддержкой ГОСТ (Спутник, Яндекс браузер + плагин Криптопро, Криптофокс, IE + плагин Криптопро)
                    * В соответствии с перечнем угроз ЦБ

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      помимо шифрования обеспечивает и имитозащиту
                      Меняйте HW-1000 на KB-девайс - дело Ваше

                      Комментарий


                      • Коллеги, а какой уровень защищенности должны обеспечить банки для ЕБС?
                        Из проекта модели угроз непонятно, актуальны ли для ЕБС угрозы первого типа, но есть подозрение, что да.

                        В ПП-1119 читаем:

                        9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
                        а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

                        А в том же 378-ом приказе написано про металлические решетки на окнах и дверях:

                        25. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:

                        а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

                        Комментарий


                        • KB-девайс не надо ставить, они решили проблему HSM

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            И вообще желательно приобретать какой-то готовый сертифицированный АРМ. То, что предлагает IdSys не пойдет.
                            В том виде, в котором есть сейчас, конечно не пойдёт. Соответственно в период действия меморандума мы планируем подготовить и сертифицировать (скорее оценить на степень соответствия, а не сертифицировать) готовый АРМ.
                            Так что, пока, ожидаем выхода документов из статуса "Проект", выхода Меморандума (совместных разъяснений ЦБ-ФСБ). Ну и далее в разработку и в центр сертификации.

                            Комментарий


                            • Сообщение от ealx1_D Посмотреть сообщение
                              KB-девайс не надо ставить, они решили проблему HSM
                              Где про это прочитать?

                              Комментарий


                              • Народ, а получается для подключения к ЕБС нужно еще и лецензия ФСБ на работу с криптографией? Нельзя это приплести к собственным нуждам?
                                Кто-то составлял набор необходимого минимума, чтобы соответстовать требованиям по ЕБС если он даром не нужен? То есть Банк принял решение, что на этом не заработать, а посему надо свести зрятраты к минимуму.

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                  То есть Банк принял решение, что на этом не заработать, а посему надо свести зрятраты к минимуму.
                                  Так, а требованиям всё равно придётся ж соответствовать.
                                  Если в пятницу будет готово разъяснение ЦБ-ФСБ, то мы за понедельник-вторник постараемся определиться с мин-макс оборудованием и ОСПО. Тогда можно будет говорить про возможность как применять в бизнесе, так и просто соответствовать. Скорее разлёт будет на порядок (сотни тысяч или мульёны).

                                  Комментарий


                                  • На сколько я понимаю, РТК/РТЛабс собираются выпустить мобильное приложение для биометрической идентификации. Почему тогда это приложение не может и собирать биометрические данные? Тогда банкам нужно было бы всего лишь заиметь смартфон.

                                    Комментарий


                                    • Сообщение от bony599 Посмотреть сообщение
                                      На сколько я понимаю, РТК/РТЛабс собираются выпустить мобильное приложение для биометрической идентификации. Почему тогда это приложение не может и собирать биометрические данные? Тогда банкам нужно было бы всего лишь заиметь смартфон.
                                      Это было бы слишком просто, а простота в деле сбора биометрии хуже воровства. Кстати, про мобильное приложение и сценарий использования биоидентификации кто то уже думал как получить "идентифицированных" и что с ними делать?

                                      Комментарий


                                      • Кто-то начал сегодня регистрировать клиентов в ЕБС по-настоящему?

                                        Комментарий


                                        • Сообщение от Андрей Федорец Посмотреть сообщение
                                          Если в пятницу будет готово разъяснение ЦБ-ФСБ, то мы за понедельник-вторник постараемся определиться с мин-макс оборудованием и ОСПО. Тогда можно будет говорить про возможность как применять в бизнесе, так и просто соответствовать. Скорее разлёт будет на порядок (сотни тысяч или мульёны).
                                          Есть какие-то новости?

                                          Комментарий


                                          • Сообщение от pimpseg Посмотреть сообщение
                                            Кто-то начал сегодня регистрировать клиентов в ЕБС по-настоящему?
                                            РБК ... даже Сбербанк сообщил, что пока не может...
                                            Но наказывать можно уже со вчера.
                                            Сообщение от AnnaWarm Посмотреть сообщение
                                            Есть какие-то новости?
                                            "Есть" - пока небольшой и скорее всего краткосрочный "облом" c этим (сотни тысяч или мульёны).
                                            Попозже "они" всё равно одержат "победу" (потому как мы живём (и работаем тоже) в окончательно победившем "коррупционизме").
                                            Попозже, но не сейчас...

                                            Комментарий


                                            • Сообщение от pimpseg Посмотреть сообщение
                                              Кто-то начал сегодня регистрировать клиентов в ЕБС по-настоящему?
                                              Почта банк. Остальные ещё в процессе.
                                              Почта использует наше решение. Ну как и те, которые в самом разгаре процесса

                                              Комментарий


                                              • Сообщение от AnnaWarm Посмотреть сообщение
                                                Есть какие-то новости?
                                                Только информационное письмо ЦБ о том, что не будут наказывать за неисполнение требований по ИБ (которых, правда, и нет, пока) по всему, что касается сбора и обработки.
                                                2018-06-28. Информационное письмо.pdf
                                                НО!!!
                                                Про передачу в ЕБС... Нет никаких упоминаний о том, что взаимодействие не должно быть не по КВ...
                                                Ждём согласованной и опубликованной модели угроз.

                                                Комментарий


                                                • 29.06 ЦБ разместил "новость", и конечно в "Перечне" есть "ВСЕ"))
                                                  http://www.cbr.ru/fintech/remote_authentication/

                                                  Комментарий


                                                  • Сообщение от Андрей Федорец Посмотреть сообщение
                                                    Если в пятницу будет готово разъяснение ЦБ-ФСБ, то мы за понедельник-вторник постараемся определиться с мин-макс оборудованием и ОСПО. Тогда можно будет говорить про возможность как применять в бизнесе, так и просто соответствовать. Скорее разлёт будет на порядок (сотни тысяч или мульёны).
                                                    Нам пришло письмо от ЦБ "О реализации положений 482-ФЗ".
                                                    Суть - перечень угроз согласовывается, в порядке информирования высылаем перечень.
                                                    Текст такой же как и в проекте был.

                                                    Комментарий


                                                    • Народ, а каналы до офисов должны быть зашифрованы тоже российской криптографией? Те же циски обычные уже не подойдут?
                                                      На работу по установке и настройке нужны лицензии ФСБ?

                                                      Комментарий


                                                      • Сообщение от Sat_Kelman Посмотреть сообщение
                                                        Народ, а каналы до офисов должны быть зашифрованы тоже российской криптографией?
                                                        Если файлики шифровать непосредственно на АРМ биометрии, то каналы можно не шифровать. Я неправ?
                                                        Не, я конечно понимаю аппетиты производителей всяких там континентов и випнетов, но банкам эта биометрия и так в копеечку встанет, проще будет позакрывать все отделения и уйти в онлайн онли, как велосипедист.

                                                        Комментарий


                                                        • Сообщение от ost Посмотреть сообщение

                                                          Если файлики шифровать непосредственно на АРМ биометрии, то каналы можно не шифровать. Я неправ?
                                                          Не, я конечно понимаю аппетиты производителей всяких там континентов и випнетов, но банкам эта биометрия и так в копеечку встанет, проще будет позакрывать все отделения и уйти в онлайн онли, как велосипедист.
                                                          Было бы прекрасно, если бы можно было шифровать на АРМ биометрии с помощью ПО по ГОСТу, без сквозного шифрования канала до ДО по тому же ГОСТу (проект такой VPN-сети стоит несколько миллионов для маленького банка). Можно даже былобы на эти АРМы Соболя повесить для соответствия уровню...

                                                          Комментарий


                                                          • А если у банка 2 офиса, но под сотню точек кредитования (когда в салонах стоит девочка и принимает документы для кредита), то получается надо оборудовать место под сбор биометрии во всех этих точках???

                                                            Комментарий


                                                            • Сообщение от Sat_Kelman Посмотреть сообщение
                                                              А если у банка 2 офиса, но под сотню точек кредитования (когда в салонах стоит девочка и принимает документы для кредита), то получается надо оборудовать место под сбор биометрии во всех этих точках???
                                                              Думаю, что точки ПОС-кредитования не надо оборудовать.

                                                              Комментарий

                                                              Обработка...
                                                              X