17 февраля, понедельник 21:04
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения


  • Коллеги, прочитав последние комментарии, у меня возник вопрос -
    если АБС (ИСПДн) клиент-серверная и ее используют на доп.офисах через соединение по общедоступным каналам связи, разве мы не обязаны обеспечить шифрование канала с использованием СКЗИ класса КС1 как минимум (по требованиям ФЗ 152)?Все таки по этим каналам и так передается ПДн... Или Вы как-то этот момент обходите определением актуальных угроз (моделью угроз и нарушителя)?

    Комментарий


    • Bezopasnik, а мы не используем общедоступные каналы связи для работы с офисами.



      Комментарий


      • Если мы берем IP VPN от провайдера для точек (в голове центр) - этого достаточно?

        Комментарий


        • Сообщение от ost Посмотреть сообщение
          Bezopasnik, а мы не используем общедоступные каналы связи для работы с офисами.


          Если не секрет, какие каналы Вы используете?

          Комментарий


          • Bezopasnik, я предпочитаю не публиковать подобную информацию в интернете.

            Комментарий


            • Сообщение от Bezopasnik Посмотреть сообщение

              Если не секрет, какие каналы Вы используете?
              а какие в этом отношении есть варианты? общедоступные каналы (интернет например) или выделенные...

              Комментарий


              • Если еще кто-то ответит на мой вопрос, буду премного благодарен...

                Комментарий


                • Сообщение от Bezopasnik Посмотреть сообщение
                  Коллеги, прочитав последние комментарии, у меня возник вопрос -
                  если АБС (ИСПДн) клиент-серверная и ее используют на доп.офисах через соединение по общедоступным каналам связи, разве мы не обязаны обеспечить шифрование канала с использованием СКЗИ класса КС1 как минимум (по требованиям ФЗ 152)?Все таки по этим каналам и так передается ПДн... Или Вы как-то этот момент обходите определением актуальных угроз (моделью угроз и нарушителя)?

                  Если еще кто-то ответит на мой вопрос, буду премного благодарен...
                  Если интересует ответ именно на этот вопрос, то:
                  1. При передаче ПДн по незащищенным каналам связи, класс используемых СКЗИ определяется из ПП-1119 и 378 Приказа ФСБ;
                  2. Никто не требует шифровании всего канала. Достаточно шифровать, например, передаваемый трафик по rdp/ssh/https протоколам (в зависимости от того, что конкретно используется ИСПДн);
                  3. Если в договоре на услуги связи, провайдер возьмет на себя обеспечение конфиденциальности передаваемой информации, п.п. 1 и 2 , формально, можно не замарачиваться, ес-но отразив это в своей модели угроз.

                  Комментарий


                  • Сообщение от MasterKEY Посмотреть сообщение

                    а какие в этом отношении есть варианты? общедоступные каналы (интернет например) или выделенные...
                    Выделенные каналы связи разве не по общедоступным сетям организовываются ?
                    Есть варианты например -
                    1. медный провод и аренда канала у провайдера до офиса с использованием SHDSL модемов
                    2. оптика до офиса
                    3. выделенный канал в голове и офисе с шифрованием трафика ГОСТовым алгоритмом на сертифицированном ФСБ оборудовании.
                    4. GPRS голова и офис
                    Другие варианты которые возможно носят конфиденциальный характер.

                    Я не претендую на истину, просто пытаюсь в вопросе разобраться...

                    Комментарий


                    • Сообщение от Bezopasnik Посмотреть сообщение

                      Выделенные каналы связи разве не по общедоступным сетям организовываются ?
                      Есть варианты например -
                      1. медный провод и аренда канала у провайдера до офиса с использованием SHDSL модемов
                      2. оптика до офиса
                      3. выделенный канал в голове и офисе с шифрованием трафика ГОСТовым алгоритмом на сертифицированном ФСБ оборудовании.
                      4. GPRS голова и офис
                      Другие варианты которые возможно носят конфиденциальный характер.

                      Я не претендую на истину, просто пытаюсь в вопросе разобраться...
                      1 и 2 выделенные проводные каналы (как я понимаю, с точки зрения регулятора абсолютно все равно медь оно или оптика), 4 - радиочастотный канал (сомневаюсь, что практически применим ввиду скоростных ограничений). И только 3-й видимо правильный, если обязательно шифрование именно ГОСТом (и как следствие - сертификация ФСБ, тоесть оборудование отечественного производителя).
                      Собственно так же как и Вы, пытаюсь разобраться в вопросе....

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение
                        Думаю, что точки ПОС-кредитования не надо оборудовать.
                        Написал Емелину Андрею из НСФР))) (А что, в презентации же сказано обращаться по вопросам ЕБС)

                        Ответ такой: В письме Тулина говорится про все точки, включая точки кредитования. Но при этом последнюю неделю они ведут интенсивные переговоры с ДФТ ЦБ, чтобы их исключить.
                        Если их предложения примут, то требования по сбору распространяться не будут.

                        Комментарий


                        • Сообщение от Sat_Kelman Посмотреть сообщение
                          В письме Тулина говорится про все точки, включая точки кредитования.
                          Ну, это как-то не очевидно... В письме говорится про "структурные подразделения банка", а на точке зачастую даже не сотрудник банка сидит...
                          Я так полагаю, что они ещё сами не разобрались...
                          Последуем старой мудрости: "не спеши выполнять, отменят", -- подождем до 20-го года, а там, глядишь, и отменят всю эту мутотень.

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            Последуем старой мудрости: "не спеши выполнять, отменят", -- подождем до 20-го года, а там, глядишь, и отменят всю эту мутотень.
                            Получится ли подождать? Но хотя да, по примеру умершего, не родившись, и ныне полуразложившегося ГИС ЖКХ - могут бесконечно отодвигать санкции за невыполнение...

                            WBR, Александр Турчин

                            Комментарий


                            • Сообщение от Александр_Турчин Посмотреть сообщение
                              могут бесконечно отодвигать санкции за невыполнение

                              Есть ещё вариант -- вычеркнуться из ЦБ-шного списка банков, которые соответствуют критериям....

                              Комментарий


                              • Коллеги, добрый день!
                                Мы совместно с «ИнфоТеКС» 12 июля проводим вебинар, посвященный соблюдению требований к информационной безопасности при взаимодействии с Единой биометрической системой.
                                Цель вебинара, по большей части, собрать и частично ответить на вопросы.
                                Приглашены коллеги из Инфотекс, которые на всех мероприятиях ЦБ/ФБС/РТ участвуют и очень близко ко всем вопросам ИБ.

                                Комментарий


                                • Народ, а что мешает хранить биометрию еще и у себя и потом пользоваться ею для идентификации и не платить за это РТК? Получится ИСПДн, но для её защиты оборудование не больше чем для работы с ЕБС понадобится, использовать его же и делу край.

                                  Комментарий


                                  • Сообщение от Sat_Kelman Посмотреть сообщение
                                    что мешает хранить биометрию еще и у себя и потом пользоваться ею для идентификации и не платить за это РТК?
                                    А смысл?
                                    1. Юридическую силу имеет только ответ от ЕБС с подписями электрическими от ЕСИА и ЕБС.
                                    2. Проверять тоже надо "уметь", а это денег стоит
                                    3. Зачем вообще пользовать биометрию, если своему клиенту "проще СМС-ку послать" (это я образно так выражаюсь)

                                    Вот скажите мне, в каких бизнес-процессах вы собираетесь использовать биометрическую идентификацию?

                                    Комментарий


                                    • Сообщение от ost Посмотреть сообщение

                                      А смысл?
                                      1. Юридическую силу имеет только ответ от ЕБС с подписями электрическими от ЕСИА и ЕБС.
                                      2. Проверять тоже надо "уметь", а это денег стоит
                                      3. Зачем вообще пользовать биометрию, если своему клиенту "проще СМС-ку послать" (это я образно так выражаюсь)

                                      Вот скажите мне, в каких бизнес-процессах вы собираетесь использовать биометрическую идентификацию?
                                      Не я, а бизнес. Они предложили биометрию использовать в тех же процессах, что и обычная ЕБС. Но только для своих клиентов получается. Хитрые менеджеры хотят сэкономить.
                                      Если использовать для идентификации ЕБС, то надо ведь платить за каждый факт обращения. Они говорят, раз мы собираем и передаем БКШ, то давайте у себя их еще оставим. И когда наш клиент будет к нам обращаться, то мы его будем по нашему БКШ идентифицировать.

                                      Я сразу сказал, то нам для этого как бы придется делать свой софт для идентификации, для проверки. Те говорят: "Мы посчитаем, мы найдем, всё решим".
                                      Пфф. Ну ОК, я предупредил, что это может выйти дороже и не факт что вам это сделают. Пусть дальше сами решают. Я свое мнение высказал.

                                      Комментарий


                                      • Сообщение от Sat_Kelman Посмотреть сообщение

                                        Не я, а бизнес. Они предложили биометрию использовать в тех же процессах, что и обычная ЕБС. Но только для своих клиентов получается. Хитрые менеджеры хотят сэкономить.
                                        Если использовать для идентификации ЕБС, то надо ведь платить за каждый факт обращения. Они говорят, раз мы собираем и передаем БКШ, то давайте у себя их еще оставим. И когда наш клиент будет к нам обращаться, то мы его будем по нашему БКШ идентифицировать.

                                        Я сразу сказал, то нам для этого как бы придется делать свой софт для идентификации, для проверки. Те говорят: "Мы посчитаем, мы найдем, всё решим".
                                        Пфф. Ну ОК, я предупредил, что это может выйти дороже и не факт что вам это сделают. Пусть дальше сами решают. Я свое мнение высказал.
                                        Да, тяжелый случай.
                                        Подозреваю, что пытаться объяснять, что аутентификация через ЕБС производится в ЕСИА, а банк уже аутентифицирует клиентав в свою очередь через ЕСИА и ЕБС тут не при чём, видимо безполезно. Ведь вы же просто не хотите работать, поэтому активно сопротивлетесь! Сам через это постоянно прохожу. Пока со стороны менеджеру не скажет кто-то другой, что он идиот, он будет считать, что ИТ/ИБ просто не хотят нечего делать из-за лени. И не беда, что куча времени будет потрачена впустую. Это же будет не время менеджера.

                                        Комментарий


                                        • Сообщение от Berckut Посмотреть сообщение
                                          ЕБС
                                          Сообщение от Berckut Посмотреть сообщение
                                          Подозреваю, что пытаться объяснять, что аутентификация через ЕБС производится в ЕСИА, а банк уже аутентифицирует клиентав в свою очередь через ЕСИА и ЕБС тут не при чём, видимо безполезно.
                                          У них другая логика. ЕСИА тут вообще не будет. Будет сравниваться биометрия клиента и биометрический шаблон, который хранится у нас.

                                          Вот как сказал OST выше: "Зачем вообще использовать биометрию, если своему клиенту "проще СМС-ку послать" (это я образно так выражаюсь)".
                                          Ну вот наш бизнес то же самое пытается решить, только с идеей, что смс это не безопасно, а вот биометрию уже сложно подделать. И таким образом мы можем своих клиентов идентифицировать без ЕБС, но с биометрией.

                                          Комментарий


                                          • Sat_Kelman
                                            Правильно понимаю, что вы свою локальную биометрию хотите использовать для удаленной идентификации своих же клиентов?

                                            Комментарий


                                            • Сообщение от Sat_Kelman Посмотреть сообщение
                                              Народ, а что мешает хранить биометрию еще и у себя и потом пользоваться ею для идентификации и не платить за это РТК? Получится ИСПДн, но для её защиты оборудование не больше чем для работы с ЕБС понадобится, использовать его же и делу край.
                                              Никто не мешает. Мало того, первые банки, которые завелись с ЕБС так и делают. Другое дело, что там разные бизнес-процессы. Кто-то голос в колл-центр прикручивает, кто-то фото для распознавания на входе в офис. При этом и сотрудники фронта также идентифицированы. Чтобы понимать кто именно общается с клиентом из манагеров. Тут юридической значимости нет. Тут нет вообще никакой юридической обвязки, кроме согласия клиента на обработку ПДн. Но это действительно сокращение вынужденных расходов.
                                              Ровно то, о чём я в другой ветке (автоматизация) пишу. Вы вынужденно получаете в банке систему, с помощью которой можете реализовывать разнообразные сервисы для клиентов и реорганизовывать внутрибанковские процессы.
                                              Вложения

                                              Комментарий


                                              • А вот по поводу затрат на исполнение требований ИБ. Судя по всему, львиная доля затрат будет на закрытие каналов связи. А они, насколько я понимаю, давно должны были быть закрыты по тому же КС3, судя по тому, что там ходят ПДн и должны были быть разработаны соответствующие модели угроз. То, что моделей не было разработано и каналы не закрыты именно ГОСТовыми СКЗИ это, мягко говоря, некое приведение требований к жизненным реалиям и попытка сокращения затрат. Да же?
                                                К сожалению именно сейчас и именно по вынужденному требованию взаимодействия с ЕБС банки будут вынуждены сделать то, что ранее просто не сделали из-за этой попытки экономии. "Ну а что не так?"

                                                Комментарий


                                                • Однако для биометрии уже нужен КВ2, не так ли? - отсюда затраты на новое оборудование.

                                                  Комментарий


                                                  • Сообщение от Андрей Федорец Посмотреть сообщение
                                                    акже идентифицированы
                                                    Сообщение от Андрей Федорец Посмотреть сообщение
                                                    Вы вынужденно получаете в банке систему, с помощью которой можете реализовывать разнообразные сервисы для клиентов и реорганизовывать внутрибанковские процессы.
                                                    Но если мы храним у себя биометрию, то ИСПДн с каким уровнем мы получим? И сможем ли мы эту ИСПДн в облако запихать на хранение кому-нибудь. Ростелекому я так понимаю можно, так как у него и так все выполнено, а есть другие?

                                                    Сообщение от Андрей Федорец Посмотреть сообщение
                                                    То, что моделей не было разработано и каналы не закрыты именно ГОСТовыми СКЗИ это, мягко говоря, некое приведение требований к жизненным реалиям и попытка сокращения затрат. Да же?
                                                    Да, мы это же говорим. Сейчас пока дается определенный период переходной надо в него что-то решить. Пока сделать по минимуму как просят, поставить программные средства на ПК, а в долгосрочной перспективе давайте посчитаем цену модернизации оборудования для взаимодействия между офисами чтобы СКЗИ было ГОСТовское. Решим проблему с ЕБС и заодно 152-ФЗ перекроем. То есть затраты идут не на одну систему, а комплексно. Но пока туго доходит до бизнеса это.

                                                    Комментарий


                                                    • Сообщение от Андрей Федорец Посмотреть сообщение
                                                      Коллеги, добрый день!
                                                      Мы совместно с «ИнфоТеКС» 12 июля проводим вебинар, посвященный соблюдению требований к информационной безопасности при взаимодействии с Единой биометрической системой.
                                                      Цель вебинара, по большей части, собрать и частично ответить на вопросы.
                                                      Приглашены коллеги из Инфотекс, которые на всех мероприятиях ЦБ/ФБС/РТ участвуют и очень близко ко всем вопросам ИБ.

                                                      Андрей, будет ли запись вэбинара?

                                                      Комментарий


                                                      • Сообщение от Sat_Kelman Посмотреть сообщение
                                                        когда наш клиент будет к нам обращаться, то мы его будем по нашему БКШ идентифицировать.
                                                        Сначала паспорт проверили (ибо обязаны), потом ещё решили время потратить, заставили клиента в камеру посмотреть и цифирки прочитать в микрофон, да всё это за свой счёт, на свой страх и риск, ибо не обязаны и можете это делать только с согласия клиента (т.е. втихую поставить камеру и чекать входящих по морде лица это незаконно), результаты без подписей ЕСИА и ЕБС никакой силы не имеют. В чём профит?

                                                        И ещё пара вопросов. К вам очередь страждущих сдать биометрию стоит, отбоя нет? Аналогично, много ли страждущих проверяться по биометрии?

                                                        Комментарий


                                                        • Сообщение от ost Посмотреть сообщение
                                                          ... ибо не обязаны...
                                                          Вообще-то обязаны, см. статья 7 пункт 5 115-ФЗ и Письмо №ИН-03-13/40 от 28.06.2018 от ЦБ
                                                          Но да - только с согласия клиента.
                                                          Поэтому получается странная коллизия.

                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение
                                                            И ещё пара вопросов. К вам очередь страждущих сдать биометрию стоит, отбоя нет? Аналогично, много ли страждущих проверяться по биометрии?
                                                            Очереди возможно и будут в Почта Банк, но верится с трудом...
                                                            Да и разве это сейчас важно ?
                                                            Посмотрите какая началась "движуха", пошла волна и банкет уже почти неминуем...
                                                            Берём 438 КОшечек (сегодня уже 437) и умножаем на хотя бы 1 млн или даже 500тыр и становится ясно, за чей счёт банкет...
                                                            Всё чем-то сильно похоже на 2013-й год : помните... HW1000 или всё-таки можно и HW100(ABC)... потом наш скромный РТ и вот ужо 5 лет текут деньги...
                                                            Перепрошили мы эти HW-шки в этом году почти за первоначальную цену... но чую уже недолго им осталось жить...
                                                            История повторяется, но по-моему слишком быстро.
                                                            Почему "они" обязательно желают потренироваться на нас (КО) за наши же деньги ?
                                                            Почему бы "им" не вложить СОБСТВЕННЫЕ (и/или ЗАЕМНЫЕ) средства, то есть рискнуть и разработать чудо ЁБС-ную систему,
                                                            найти опытно-экспериментальные площадки (государственные и(или) негосударственные) и потренироваться на них.
                                                            Банки, узнав о положительных результатах, сами (ДОБРОВОЛЬНО) выстроятся в очередь к разработчикам таких систем, если
                                                            они того стоят.
                                                            А пока, что мы слышим (в середине 2018-го года) :... пошла журналистка в ..банк и сдала БО и ей напоследок сказали :
                                                            "...теперь, но где-то с начала следующего года вы сможете, лежа на диване у себя дома, "заходить" в почти любой банк и пробовать взять кредит...".



                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение
                                                              Сначала паспорт проверили (ибо обязаны), потом ещё решили время потратить, заставили клиента в камеру посмотреть и цифирки прочитать в микрофон, да всё это за свой счёт, на свой страх и риск, ибо не обязаны и можете это делать только с согласия клиента (т.е. втихую поставить камеру и чекать входящих по морде лица это незаконно), результаты без подписей ЕСИА и ЕБС никакой силы не имеют. В чём профит?
                                                              Конечно согласие на биометрию добровольное. Логика такая - есть возможность снять биометрию и далее по ней идентифицироваться. Решение за клиентом.
                                                              Юридическая сила тут причем? Идея же не в том чтобы любого человека идентифицировать, только своих. Но не в обязательном порядке конечно, если Клиент захочет.
                                                              Но я вообще не хочу с этим связываться. Начиная от проблем с ИСПДн и завканчивая тем, что для идентификации надо какое-то приложение писать, или например интернет банк дорабатывать.
                                                              Я вообще считаю это невыгодно получится в итоге. Но считают пусть другие.

                                                              Комментарий

                                                              Обработка...
                                                              X