18 октября, пятница 13:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Cpx Посмотреть сообщение
    Кто нибудь получал ключ Восхода КВ2? Он совместим в СМЭВ? Т.е. его можно зарегистрировать в СМЭВ и одновременно использовать для подписи пакетов в СМЭВ?
    Уже многие. Совместим, всё работает, но были сложности ещё месяц назад (т.е. совсем на работали сертфикаты от Восхода в СМЭВ). Говорят работает раздедление контуров для запросов в СМЭВ в ЕСИА по КС2, а для биометрии по КВ2. Не работает микс алгоритмов сертфикатов по ГОСТ 2001 и 2012 годов.

    Сообщение от dredd Посмотреть сообщение
    Интересно, а чего он в этом месте может обнаружить? Атаки со стороны РТ?
    Он видит весь трафик, там зеркалирование всего от коммутатора (т.е. это и атаки из офисов и из сети управления, всё в общем).

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение
      Кто нибудь получал ключ Восхода КВ2? Он совместим в СМЭВ? Т.е. его можно зарегистрировать в СМЭВ и одновременно использовать для подписи пакетов в СМЭВ?
      да, совместим. у нас работает для ИС, которая зарегистрирована в ЕСИА и ЕБС. регистрировала в проде СМЭВ 3.
      ***Настроение бодрое, идем ко дну.

      Комментарий


      • Вот и письмо счастья:
        В соответствии с абзацем четвертым пункта 1 Указания Банка России от 17.10.2018 № 4933-У1 просим в срок не позднее 16.04.2019 представить информацию о планируемом выборе одного из вариантов реализации способа подписания электронных сообщений, содержащих собранные биометрические персональные данные физических лиц с целью их передачи в единую биометрическую систему, и электронных сообщений, содержащих результаты идентификации физического лица (степени соответствия), указанных в подпункте 2.3.8 пункта 2.3 Методических рекомендаций Банка России от 14 февраля 2019 года № 4-МР2 (далее – Методические рекомендации № 4-МР), и сроках его реализации.

        Комментарий


        • 2.3.8.2. В случае функционирования объектов информационной инфраструктуры с использованием типового решения для выполнения действий, указанных в подпункте 2.3.7 настоящего пункта, рекомендуется обеспечить:
          применение типового решения, разработанного на основе системного проекта, согласованного с ФСБ России, имеющего положительное заключение ФСБ России о соответствии типового решения требованиям по безопасности информации и включающего комплект разрешительной документации, утвержденный и (или) согласованный ФСБ России;
          взаимодействие между информационными системами банка и типовым решением по прикладным программным интерфейсам (API), в соответствии с документацией на типовое решение;
          эксплуатацию в соответствии с документацией на типовое решение.

          И где эти положительные заключения?

          Комментарий


          • Сообщение от w3d Посмотреть сообщение
            И где эти положительные заключения?
            Купите и получите!

            Комментарий


            • Сообщение от w3d Посмотреть сообщение

              И где эти положительные заключения?
              У нас решение от ЦФТ. Они сказали, что в июне должно быть у них заключение ФСБ.
              Нас ведь в письме не просят все документы предоставить, а спрашивают какое решение выбрали.
              Написать, что типовое решение от ЦФТ, и всё.

              Комментарий


              • Sat_Kelman
                еще сроки просят занести в табличку

                Комментарий


                • Каковы признаки "типового" решения?
                  Если мы купили стороннее решение без "системного проекта, согласованного с ФСБ России, имеющего положительное заключение ФСБ России о соответствии типового решения требованиям по безопасности информации и включающего комплект разрешительной документации, утвержденный и (или) согласованный ФСБ России" - оно превращается в собственное?

                  Комментарий


                  • Сообщение от w3d Посмотреть сообщение
                    Если мы купили стороннее решение без "системного проекта, согласованного с ФСБ России, имеющего положительное заключение ФСБ России о соответствии типового решения требованиям по безопасности информации и включающего комплект разрешительной документации, утвержденный и (или) согласованный ФСБ России" - оно превращается в собственное?
                    Оно изначально собственное, т.к. собирается в "собственное решение" из "пазлов". А "Типовое решение" - имеет конкретную реализацию и состав СрЗИ, СКЗи и реализацию + взаимодействует через API.

                    Комментарий


                    • Все видели, что в "Порядок выпуска сертификатов ключей проверки электронной подписи кредитным организациям для использования в Единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных" в список документов для предоставления в Минсвязи добавились:
                      1. Заверенные Органом или организацией копии документов, выдаваемых федеральным органом исполнительной власти в области обеспечения безопасности, подтверждающие соответствие используемых Органом или организацией средств электронной подписи требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности
                      2. Заверенные Органом или организацией копии документов, подтверждающие право собственности Органа или организации либо иное законное основание использования им средств электронной подписи;

                      В первом случае я так понимаю имеется в виду то самое злосчастное заключение ФСБ на соответствие, а во втором случае вообще чудеса какие-то. 63-ФЗ недостаточное основание для использования ЭЦП в организации?

                      Как бы то ни было, какое вообще дело УЦ и Минсвязи до данных документов? Защита каналов связи и обеспечение надежности передачи, хранения и использования информации - это исключительно головная больно организации, не?

                      P.S. кстати, звонили в Минсвязи касательно нарушения сроков регламента на решение по выпуску, там сослались на то, что заявок миллион и разбирает их всего один работник. Красота конечно

                      Комментарий


                      • Сообщение от randvell Посмотреть сообщение
                        Все видели, что в "Порядок выпуска сертификатов ключей проверки электронной подписи кредитным организациям для использования в Единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных" в список документов для предоставления в Минсвязи добавились:
                        1. Заверенные Органом или организацией копии документов, выдаваемых федеральным органом исполнительной власти в области обеспечения безопасности, подтверждающие соответствие используемых Органом или организацией средств электронной подписи требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности
                        2. Заверенные Органом или организацией копии документов, подтверждающие право собственности Органа или организации либо иное законное основание использования им средств электронной подписи;


                        В первом случае я так понимаю имеется в виду то самое злосчастное заключение ФСБ на соответствие, а во втором случае вообще чудеса какие-то. 63-ФЗ недостаточное основание для использования ЭЦП в организации?

                        Как бы то ни было, какое вообще дело УЦ и Минсвязи до данных документов? Защита каналов связи и обеспечение надежности передачи, хранения и использования информации - это исключительно головная больно организации, не?

                        P.S. кстати, звонили в Минсвязи касательно нарушения сроков регламента на решение по выпуску, там сослались на то, что заявок миллион и разбирает их всего один работник. Красота конечно
                        Это:
                        1) Копии сертификатов на ваш HSM.
                        2) Копии товарных накладных о покупке HSM.

                        Комментарий


                        • Сообщение от Владимир Тимофеев Посмотреть сообщение
                          1) Копии сертификатов на ваш HSM.
                          Не ясно зачем они нужны. Сами по себе такие документы ничего не подтверждают. УЦ должен проверять СЭП и его исполнение по реестру сертифицированных средств, а не по нашим заверенным копиям. Макулатура в общем, на которую будут тратиться деньги на хранение, учёт и пр.

                          Сообщение от Владимир Тимофеев Посмотреть сообщение
                          2) Копии товарных накладных о покупке HSM.
                          Вот что они доказывают то? Кстати, там есть ПДн сотрудников, и, разве, у УЦ есть право эти ПДн обрабатывать и на каком основании? )))

                          В общем ничего не мешает получить сертификат в УЦ Восход и без HSM: запрос сформировать с необходимыми данными не сложно, равно как и бумажки заверить (кстати, можно получить HSM, а потом вернуть). Данные процедуры бюрократия направленная на продвижение HSM (чтоб стимулировать банки покупать, а то видимо, кто-то без HSM хотел сертификат).

                          Комментарий


                          • Сообщение от Zuz Посмотреть сообщение
                            В общем ничего не мешает получить сертификат в УЦ Восход и без HSM: запрос сформировать с необходимыми данными не сложно, равно как и бумажки заверить (кстати, можно получить HSM, а потом вернуть). Данные процедуры бюрократия направленная на продвижение HSM (чтоб стимулировать банки покупать, а то видимо, кто-то без HSM хотел сертификат).
                            Сейчас самое веселье начинается на фоне того, что запрос мы направили 13го марта, а положение вступило в силу 15го. Будет весело если откажут по причине отсутствия этих бумажек. Снова полная процедура еще на месяц

                            Комментарий


                            • Сообщение от randvell Посмотреть сообщение
                              запрос мы направили 13го марта, а положение вступило в силу 15го.
                              Это обычное дело в УЦ, ни раз такое проходили, к примеру в УЦ Федерального Казначейства.

                              Комментарий


                              • Сообщение от randvell Посмотреть сообщение

                                Сейчас самое веселье начинается на фоне того, что запрос мы направили 13го марта, а положение вступило в силу 15го. Будет весело если откажут по причине отсутствия этих бумажек. Снова полная процедура еще на месяц
                                Аналогично.
                                Только отправил 14-го
                                Жду отказ.

                                Комментарий


                                • Сообщение от w3d Посмотреть сообщение
                                  Каковы признаки "типового" решения?
                                  Вот хороший вопрос. У нас решение от ЦФТ, но HSM мы купили сами и стоит он у нас. Это типовое решение?
                                  Позвонил по номеру исполнителя письма, тот не смог ответить ))) Говорит: "эммм, у вас какое-то гибридное решение"

                                  Комментарий


                                  • Сообщение от Sat_Kelman Посмотреть сообщение
                                    Вот хороший вопрос. У нас решение от ЦФТ, но HSM мы купили сами и стоит он у нас. Это типовое решение?
                                    Позвонил по номеру исполнителя письма, тот не смог ответить ))) Говорит: "эммм, у вас какое-то гибридное решение"
                                    Исполнители письма очень далеки от реалии. Какая разница кто купил ХСМ, межсетевой экран, Соболь и т.п.
                                    Главное, какая архитектура и кто делает интеграцию. Если архитектура соответствует тому или иному типовому решению, значит вы делаете типовое решение. Если изобретаете что-то свое, значит - собственное.
                                    Ну, а интеграцию с ХСМ имеет право делать те, кто имеет соответствующие лицензии ФСБ. В типовом решение это уже сделано, проведены соотвествующие ТИ и т.п.
                                    П.С. как по мне, так это глупость. Зачем выпускать на рынок СКЗИ, которое можно использовать если, только согласовав ТЗ с ФСБ и проведя ТИ на интеграционное решение.


                                    Это если кратно и грубо.
                                    Последний раз редактировалось Массаракш; 08.04.2019, 14:16.

                                    Комментарий


                                    • Сообщение от Массаракш Посмотреть сообщение

                                      Главное, как архитектура и кто делает интеграцию. Если архитектура соответствует тому или иному типовому решению, значит вы делаете типовое решение.
                                      Кстати да, а что мешает взять картиночку с ростелекомовской архитектурой, купить самим что нужно, сделать систему в соответствии с картиночкой и далее наслаждаться жизнью?
                                      WBR, Александр Турчин

                                      Комментарий


                                      • Сообщение от Александр_Турчин Посмотреть сообщение
                                        Кстати да, а что мешает взять картиночку с ростелекомовской архитектурой, купить самим что нужно, сделать систему в соответствии с картиночкой и далее наслаждаться жизнью?
                                        Для этого понадобиться как минимум софт от РТК, кроме того есть сомнения, что по картиночке получится сделать так, как положено.
                                        Скорее всего будет как в том анекдоте про украденные чертежи советского истребителя...

                                        Комментарий


                                        • Сообщение от Александр_Турчин Посмотреть сообщение
                                          Кстати да, а что мешает взять картиночку с ростелекомовской архитектурой, купить самим что нужно, сделать систему в соответствии с картиночкой и далее наслаждаться жизнью?
                                          она черезчур усложнена и избыточна

                                          Комментарий


                                          • Сообщение от Массаракш Посмотреть сообщение
                                            Зачем выпускать на рынок СКЗИ, которое можно использовать если, только согласовав ТЗ с ФСБ и проведя ТИ на интеграционное решение.
                                            Ещё большая "глупость" само типовое решение — фактически согласованая прослойка между HSM и ИС Банка для ЕБС. Но, если размышлять, то не может прослойка (сервисное ПО от РТК) подменять процесс оценки влияния. В типовое решение (его ТЗ и скоуп испытаний) должны были входить как элементы все решения от вендоров, кто делает коробочные решения для ЕБС. Вот тогда оценку влияния можно было бы считать корректной, а решение типовым.

                                            Сообщение от ost Посмотреть сообщение
                                            Для этого понадобиться как минимум софт от РТК,
                                            А он отдельно не продаётся, только в составе решения целиком! )))

                                            Комментарий


                                            • По законопроекту об отсрочке для базовой лицензии что нибудь слышно? а то он висит без изменений уже долго
                                              в 173-Т слово комплаенс встречается 206 раз.

                                              Комментарий


                                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                                Вот хороший вопрос. У нас решение от ЦФТ, но HSM мы купили сами и стоит он у нас. Это типовое решение? Позвонил по номеру исполнителя письма, тот не смог ответить ))) Говорит: "эммм, у вас какое-то гибридное решение"
                                                У Вас очевидно, что собственное решение, т.к .решение Вы сами собираете и выполняете согласно рекомендациям.
                                                Я не понимаю, почему под собственным решением стали понимать только то, кто вендор софта? Софт по сбору эта малая часть входящая в состав собственного решения.
                                                Под собственное решение попадает как раз все то, что не является готовым коробочным решением под ключ (в виде типового решения или сервиса).
                                                Решение Типовое от РТ - оно типовое только в части терминов ФСБ на СКЗИ, а не 4МР и является собственным, т.к. требуют сторонних компонент (софт от Ртлабс). При этом не понятно, а не надо ли будет делать еще тематику на этот софт.

                                                Комментарий


                                                • просим в срок не позднее 16.04.2019 представить информацию о планируемом выборе одного из вариантов реализации способа подписания электронных сообщений
                                                  У кого есть какие мысли по глубинному смыслу запроса? Что скрывается под громкими ссылками на ФЗ, Указания и пр. Какие выводы могут родиться после анализа этой инфо в светлых умах сотрудников БР?

                                                  Комментарий


                                                  • Сообщение от Павлоний Посмотреть сообщение

                                                    У кого есть какие мысли по глубинному смыслу запроса? Что скрывается под громкими ссылками на ФЗ, Указания и пр. Какие выводы могут родиться после анализа этой инфо в светлых умах сотрудников БР?
                                                    мне видится так:
                                                    1. когда банки реально начнут выполнять требования по использованию СКЗИ класса КВ, возможно для того, чтобы можно было в дальнейшем дать отмашку Ростелеку на "неприем" сообщений подписанных не так
                                                    2. посмотреть окупаемость ПО Ростелека))))
                                                    ***Настроение бодрое, идем ко дну.

                                                    Комментарий


                                                    • Сообщение от Павлоний Посмотреть сообщение
                                                      У кого есть какие мысли по глубинному смыслу запроса?
                                                      1. Собрать инфу, какое решение банки собираются юзать
                                                      2. Напомнить банкам, что надо уже внедрять решение по ИБ

                                                      Сообщение от Павлоний Посмотреть сообщение
                                                      Какие выводы могут родиться после анализа этой инфо в светлых умах сотрудников БР?
                                                      Не знаю, но думаю, что только нехорошие. :-(

                                                      Комментарий


                                                      • Сообщение от iPtich Посмотреть сообщение
                                                        когда банки реально начнут выполнять требования по использованию СКЗИ класса КВ
                                                        Встраивание криптосредств класса КВ2 осуществляется организациями, имеющими соответствующую лицензию ФСБ России и только под их контролем.
                                                        Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированными организациями, проводящими тематические исследования криптосредства, и согласовываются с ФСБ России.
                                                        В настоящий момент, по сосоянию на 16.04.2019 г., положительного заключения ФСБ России о соответствии требованиям по безопасности информации типовых решений ЕБС, а также решений поставщиков услуг (облачного решения) на рынке информационных технологий - нет.
                                                        Теперь вопрос - как и что собирают те, кто уже отчитался о внедрении решений? Как доверять тем БО, которые были уже переданы в ЕБС?

                                                        Учитывая, что применение биометрических персональных данных для предоставления финансовых услуг подразумевает принятие в том числе автоматического принятия решения основанного исключительно на результатах степени совпадения биометрических образцов и попадает в зону риска с непонятным механизмом управления, может попросить ЦБ исключить Банки из перечня кредитных организаций, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе, по основанию не связанному с несоответствием критериям, установленным пунктом 5.7 статьи 7 Федерального закона от 07.08.2001 № 115-ФЗ., а исходя из формальной логики.... Может надо написать им правду?

                                                        Комментарий


                                                        • Сообщение от Павлоний Посмотреть сообщение

                                                          Встраивание криптосредств класса КВ2 осуществляется организациями, имеющими соответствующую лицензию ФСБ России и только под их контролем.
                                                          Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированными организациями, проводящими тематические исследования криптосредства, и согласовываются с ФСБ России.
                                                          В настоящий момент, по сосоянию на 16.04.2019 г., положительного заключения ФСБ России о соответствии требованиям по безопасности информации типовых решений ЕБС, а также решений поставщиков услуг (облачного решения) на рынке информационных технологий - нет.
                                                          Теперь вопрос - как и что собирают те, кто уже отчитался о внедрении решений? Как доверять тем БО, которые были уже переданы в ЕБС?

                                                          Учитывая, что применение биометрических персональных данных для предоставления финансовых услуг подразумевает принятие в том числе автоматического принятия решения основанного исключительно на результатах степени совпадения биометрических образцов и попадает в зону риска с непонятным механизмом управления, может попросить ЦБ исключить Банки из перечня кредитных организаций, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе, по основанию не связанному с несоответствием критериям, установленным пунктом 5.7 статьи 7 Федерального закона от 07.08.2001 № 115-ФЗ., а исходя из формальной логики.... Может надо написать им правду?
                                                          они в принципе на внедрение всего этого безобразия дали очень мало времени. переносить сроки не хотят, но и не лютуют (и там спасибо).
                                                          ПО нет, тематических исследований нет. 2 варианты дуры (хсм) на все РФ, при условии хранения всего 1 !!!!! сертификата и т.п. я молчу, про отсутствие окупаемости (может быть, когда-нибудь...)
                                                          я тоже не понимаю как так можно: до 01.01.19г. можно отправлять биометрию без ХСМ, а после 01.01.19 -это небезопасно - ай-ай. тоже с каналами связи. какие-то двойные стандарты.

                                                          как тут уже было сказано: строгость наших законов компенсируется их необязательностью.
                                                          хотели как лучше, только с реальной жизнью забыли посоветоваться. вот и страдаем теперь, блин. год уже! мне этот ЕБС уже снится со всеми ее валентинками, хсм и прочей красотой!
                                                          ***Настроение бодрое, идем ко дну.

                                                          Комментарий


                                                          • знаю, что вопрос не совсем по адресу, но учитывая, что информационная безопасность часто исполняет обязанности отдела по непонятным вопросам, может кто в курсе:
                                                            в 5.6 ст.7 115-ФЗ написана обязанность регистрировать Клиентов.
                                                            с другой стороны, это не запрещает регистрировать "не Клиентов". идентифицировать "не Клиента" можно в соответствии с 820-ПП.
                                                            вопрос: кто-нибудь собирается отправлять в ЕБС любого желающего?
                                                            и что у вас думают про одноразовые операции, по которым обязательна идентификация (не упрощенная, а полная) - таких клиентов мы обязаны отправить или можем отправить?
                                                            ***Настроение бодрое, идем ко дну.

                                                            Комментарий


                                                            • Сообщение от iPtich Посмотреть сообщение
                                                              знаю, что вопрос не совсем по адресу, но учитывая, что информационная безопасность часто исполняет обязанности отдела по непонятным вопросам, может кто в курсе:
                                                              в 5.6 ст.7 115-ФЗ написана обязанность регистрировать Клиентов.
                                                              с другой стороны, это не запрещает регистрировать "не Клиентов". идентифицировать "не Клиента" можно в соответствии с 820-ПП.
                                                              вопрос: кто-нибудь собирается отправлять в ЕБС любого желающего?
                                                              и что у вас думают про одноразовые операции, по которым обязательна идентификация (не упрощенная, а полная) - таких клиентов мы обязаны отправить или можем отправить?
                                                              Позиция наших юристов:
                                                              1. Регистрация только клиентов Банка, если человек с улицы, то перед регистрацией должен стать клиентом.
                                                              2. Обязанность при желании клиента, то есть клиент сам должен запросить эту услугу.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X