15 октября, вторник 21:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Владимир Тимофеев Посмотреть сообщение

    Позиция наших юристов:
    1. Регистрация только клиентов Банка, если человек с улицы, то перед регистрацией должен стать клиентом.
    2. Обязанность при желании клиента, то есть клиент сам должен запросить эту услугу.
    спасибо. я тоже так считаю, а вот бизнес у нас сомневается..
    ***Настроение бодрое, идем ко дну.

    Комментарий


    • Сообщение от iPtich Посмотреть сообщение
      можно в соответствии с 820-ПП.
      Настоящие требования не распространяются на организации, проводящие такую идентификацию в порядке, установленном Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".

      Комментарий


      • Сообщение от Павлоний Посмотреть сообщение

        Настоящие требования не распространяются на организации, проводящие такую идентификацию в порядке, установленном Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
        да, я уже тоже прочитала. просто в начале я это поняла как "не распространяется на случаи проведения идентификации не по 115-ФЗ". а потом поняла, что именно на организации.

        ***Настроение бодрое, идем ко дну.

        Комментарий


        • Сообщение от Владимир Тимофеев Посмотреть сообщение
          Регистрация только клиентов Банка,
          Как они обосновывают такую позицию? Прямое нарушение требований ФЗ, в нем не указаны клиенты, в нем указаны любой гражданин РФ может попросить сделать ему БО в ЕБС...

          Комментарий


          • Сообщение от Cpx Посмотреть сообщение
            Как они обосновывают такую позицию? Прямое нарушение требований ФЗ, в нем не указаны клиенты, в нем указаны любой гражданин РФ может попросить сделать ему БО в ЕБС...
            это где указано, что мы всех желающих должны отправлять???

            именно клиента и это прямо указано в п.5.6 ст7 151-ФЗ
            ***Настроение бодрое, идем ко дну.

            Комментарий


            • Сообщение от Павлоний Посмотреть сообщение

              Встраивание криптосредств класса КВ2 осуществляется организациями, имеющими соответствующую лицензию ФСБ России и только под их контролем.
              Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированными организациями, проводящими тематические исследования криптосредства, и согласовываются с ФСБ России.
              В настоящий момент, по сосоянию на 16.04.2019 г., положительного заключения ФСБ России о соответствии требованиям по безопасности информации типовых решений ЕБС, а также решений поставщиков услуг (облачного решения) на рынке информационных технологий - нет.
              Теперь вопрос - как и что собирают те, кто уже отчитался о внедрении решений? Как доверять тем БО, которые были уже переданы в ЕБС?
              На Уральском форуме такой вопрос (можно ли доверять БО без КВшной подписи, а если можно, то зачем тогда КВшка) был задан в лоб. ЦБ как всегда ушел от ответа. Типа, через 3 года все равно эти БО "протухнут", а новые уже будут с КВшкой. Т.е. в своем ответе ЦБ подразумевал, что идентификация по биометрии ЕБС ранее чем через три года реально не заработает.


              При этом замечу, что в рамках платежных сервисов ЦБ (АРМ КБР, СБП и т.п.), где ходят реальные деньги и угрозы намного выше, все работает без этих ХСМов.

              Комментарий


              • Сообщение от iPtich Посмотреть сообщение

                спасибо. я тоже так считаю, а вот бизнес у нас сомневается..
                Странный у Вас бизнес. Вместо того, чтобы пополнить клиентскую базу и окучить его продуктами банка, он "сомневается"

                Комментарий


                • Сообщение от iPtich Посмотреть сообщение

                  это где указано, что мы всех желающих должны отправлять???

                  именно клиента и это прямо указано в п.5.6 ст7 151-ФЗ
                  Ну да, в п. 5.6 говорится про клиентов. В 115-ФЗ "Клиент - физическое или юридическое лицо, иностранная структура без образования юридического лица, находящиеся на обслуживании организации, осуществляющей операции с денежными средствами или иным имуществом".

                  Но имхо из вышесказанного совершенно не следует, что при сдаче биометрии физлицо обязательно должно получить карту или ему надо обязательно открыть счет. Если это делать, опять же имхо клиент может объявить такой порядок навязыванием услуг со всеми вытекающими и втекающими.
                  WBR, Александр Турчин

                  Комментарий


                  • мы прописываем оказание услуги по сдаче биометрии именно Клиентам Банка. И будем предлагать стать клиентом на первоначальном этапе этой процедуры (на основании тех же пунктов в 115ФЗ), если откажется- нет так нет, биометрию сдать не сможет

                    Комментарий


                    • Сообщение от Массаракш Посмотреть сообщение

                      Странный у Вас бизнес. Вместо того, чтобы пополнить клиентскую базу и окучить его продуктами банка, он "сомневается"
                      бизнес как раз хочет всех, при желании туда направлять, не устанавливая в обязательном порядке договорные отношения
                      но тут возникает 2 проблемы (на мой взгляд):
                      1. на основании чего идентифицировать этого "не Клиента", так как по 115-ФЗ нет оснований, а 820-ПП нам не подходит. а идентифицировать мы его должны.
                      2. увеличение рисков. не смогут наши операционисты со 100% вероятностью определить поддельный паспорт. и если чел наш клиент - риск все равно меньше, чем если мы его видим 1 раз в жизни
                      ***Настроение бодрое, идем ко дну.

                      Комментарий


                      • Подскажите, какие документы должны быть у банка, после прохождения аттестации ебс по иб?
                        Делать будем через стороннюю фирму, а понимание картины не полное.
                        Спасибо

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          Вот и письмо счастья:
                          В соответствии с абзацем четвертым пункта 1 Указания Банка России от 17.10.2018 № 4933-У1 просим в срок не позднее 16.04.2019 представить информацию о планируемом выборе одного из вариантов реализации способа подписания электронных сообщений, содержащих собранные биометрические персональные данные физических лиц с целью их передачи в единую биометрическую систему, и электронных сообщений, содержащих результаты идентификации физического лица (степени соответствия), указанных в подпункте 2.3.8 пункта 2.3 Методических рекомендаций Банка России от 14 февраля 2019 года № 4-МР2 (далее – Методические рекомендации № 4-МР), и сроках его реализации.
                          Коллеги, добрый день!

                          Где-то проскочила информация, что из-за того, что выполнение данных работ сопряжено с большими финансовыми и временными затратами, ЦБ дал банкам время до конца текущего года. А нет ли у вас ссылки на данное "разрешение".

                          Комментарий


                          • Сообщение от Vil_Ka Посмотреть сообщение
                            мы прописываем оказание услуги по сдаче биометрии именно Клиентам Банка. И будем предлагать стать клиентом на первоначальном этапе этой процедуры (на основании тех же пунктов в 115ФЗ), если откажется- нет так нет, биометрию сдать не сможет
                            А не секрет если, "стать клиентом" - что это означает? Открыть счет\получить карту? Или что-то другое?
                            WBR, Александр Турчин

                            Комментарий


                            • Сообщение от Александр_Турчин Посмотреть сообщение
                              Но имхо из вышесказанного совершенно не следует, что при сдаче биометрии физлицо обязательно должно получить карту или ему надо обязательно открыть счет. Если это делать, опять же имхо клиент может объявить такой порядок навязыванием услуг со всеми вытекающими и втекающими.
                              +100500
                              Самое оно. Навязывание услуг, причем если платных, то вообще плохо. А чтобы "огрести" за это, достаточно жалобы обиженного хоть на что нибудь клиента в РПН или в ЦБ или проверки "службы тайного покупателя" ЦБ.

                              Комментарий


                              • Сообщение от za_ebs Посмотреть сообщение
                                Подскажите, какие документы должны быть у банка, после прохождения аттестации ебс по иб?
                                Делать будем через стороннюю фирму, а понимание картины не полное.
                                Логично предположить, что это должен быть аттестат соответствия ИС чему надо.
                                Наиболее оптимально официально перезадать этот вопрос ЦБ.

                                Комментарий


                                • Сообщение от kbvlb Посмотреть сообщение

                                  Коллеги, добрый день!

                                  Где-то проскочила информация, что из-за того, что выполнение данных работ сопряжено с большими финансовыми и временными затратами, ЦБ дал банкам время до конца текущего года. А нет ли у вас ссылки на данное "разрешение".
                                  Чтобы появилось такое "разрешение", ЦБ должен поставить себя выше федерального закона.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    Чтобы появилось такое "разрешение", ЦБ должен поставить себя выше федерального закона.
                                    Не обязательно. Достаточно просто не применять санкции за нарушения, как уже неоднократно бывало.

                                    Комментарий


                                    • Ну что, дорогие мои, давненько я вас не баловал несуразностями про сертифицирванные средства защиты информации!
                                      Сегодня предлагаю вашему вниманию Соболь, который как оказалось, похоже нельзя использовать для доверенной загрузки!

                                      Открываем документ «Программно-аппаратный комплекс "Соболь". Версия 3.2. Правила применения (исполнение 1). RU.88338853.501410.021 ПП 1».
                                      Согласно пункту 2.3 для реализации контроля целостности программной среды «не допускается использование символических ссылок в файловой системе NTFS (NTFS Symbolic Link), точек соединения ОС Windows (Windows Junction Point) и жёстких ссылок NTFS (NTFS Hardlink)».
                                      Начиная с Windows Vista от использования точек соединения отказаться невозможно (ссылки «Documents and Settings», «Application Data» и т.д.). Получается, что с точки зрения бумажной безопасности, Соболь версии 3.2 нельзя использовать для контроля целостности, а значит и для доверенной загрузки в Windows!

                                      1. ВВЕДЕНИЕ
                                      Ответственность за выполнение предварительных (подготовительных) работ (разделы 3.1, 3.2), предусмотренных Правилами на этапах подготовки к эксплуатации изделия и ввода его в эксплуатацию, несет специализированная организация, проводящая тематические исследования автоматизированной системы (комплекса или отдельного РМ, в состав которых включается изделие), совместно с разработчиком данной системы (комплекса или отдельного РМ).
                                      Ответственность за соблюдение Правил (разделы 3.3, 3.4, 3.5, 3.6) на местах эксплуатации несет администратор или другой сотрудник эксплуатирующей организации, на которого установленным порядком возложена эта обязанность, если техническим заданием на создание автоматизированной системы (комплекса или отдельного РМ), договором или другим документом не установлено иное.

                                      2. УСЛОВИЯ ПРИМЕНЕНИЯ ИЗДЕЛИЯ
                                      2.4. Функциональные ограничения изделия
                                      При встраивании изделия должны учитываться перечисленные ниже функциональные ограничения и технические характеристики, указанные в п. 1.2 паспорта изделия.
                                      1) Возможности механизма контроля целостности программной среды:
                                      – не допускается использование символических ссылок в файловой системе NTFS (NTFS Symbolic Link), точек соединения ОС Windows (Windows Junction Point) и жестких ссылок NTFS (NTFS Hardlink);
                                      Максимум, что он может закрыть, так это требование о том, что для КриптоПро КС3 надо использовать аппаратный датчик случайных чисел. Всё, больше не на что он не способен. Контроль целостности использовать нельзя, а как средство защиты от НСД не имеет смысла - всё равно ставить Secure Pack Rus, который тоже имеет сертификат, как средство защиты от НСД. Соответственно, и весь этот функционал настраивать не надо.

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение
                                        Максимум, что он может закрыть, так это требование о том, что для КриптоПро КС3 надо использовать аппаратный датчик случайных чисел.
                                        Вы какой именно соболь смотрели ФСТЭК или ФСБ? Смотреть и использовать нужно с сертификатом ФСБ, дилетанты (интеграторы, производители По Сбора для ЕБС) смотрят Соболь ФСТЭК и всех требований 4МР.

                                        У ФСБ соболь kb-sobol 3.1 k54 v1-SP1Y.
                                        Все верно, соболь нужен исключительно исходя из формуляров и правил пользования на СКЗИ (в частности HSM, Secure pack, Crypto pro CSP. Требования приказа 21, 4МР закрывают др. СрЗИ ФСТЭК

                                        p.s. Соболь давно используется исключительно для защиты от НСД и как датчик случайных чисел. Целостность проверятся программными средствами защиты по классу 1Г.

                                        Комментарий


                                        • Сообщение от Cpx Посмотреть сообщение
                                          Вы какой именно соболь смотрели ФСТЭК или ФСБ? Смотреть и использовать нужно с сертификатом ФСБ, дилетанты (интеграторы, производители По Сбора для ЕБС) смотрят Соболь ФСТЭК и всех требований 4МР.

                                          У ФСБ соболь kb-sobol 3.1 k54 v1-SP1Y.
                                          Все верно, соболь нужен исключительно исходя из формуляров и правил пользования на СКЗИ (в частности HSM, Secure pack, Crypto pro CSP. Требования приказа 21, 4МР закрывают др. СрЗИ ФСТЭК

                                          p.s. Соболь давно используется исключительно для защиты от НСД и как датчик случайных чисел. Целостность проверятся программными средствами защиты по классу 1Г.
                                          Это взято из документов Соболя с сертификатом ФСБ.
                                          Так как в требованиях на КриптоПро написано, что надо использовать именно с сертификатом ФСБ.
                                          Версия 3.2 (исполнение 1). Сертификат СФ/527-3192.

                                          В сертификате, кстати, прямо прописано, что "безопасность информации обеспечивается при... выполенении требований правил применения RU.88338853.501410.021 ПП 1". Именно на этот этот документ я и сослался.

                                          Комментарий


                                          • Сообщение от Berckut Посмотреть сообщение
                                            похоже нельзя использовать для доверенной загрузки!
                                            Можно, т.к. соболь интегрируется с биосом и работает до него. Соответственно обеспечивает доверенную загрузка исключая возможности загрузки с флешки, или др носителей информации. Целостность контролировать для этого на уровне файловой системы не нужно.
                                            КЦ на уровне файловой системы делать можно при помощи ФИКС или СЗИ Секрент студио или аналоги.

                                            Комментарий


                                            • Сообщение от Berckut Посмотреть сообщение
                                              Так как в требованиях на КриптоПро написано, что надо использовать именно с сертификатом ФСБ. Версия 3.2 (исполнение 1). Сертификат СФ/527-3192.
                                              Так у них есть 3 версии с ФСБ:
                                              ФСБ РоссииСФ/527-3191 RU.88338853.501410.020ПАК "Соболь" версия 3.1 (исполнение 1)
                                              ФСБ РоссииСФ/527-3192 RU.88338853.501410.021ПАК "Соболь" версия 3.2 (исполнение 1)
                                              ФСБ РоссииСФ/527-3335 RU.88338853.501410.020ПАК "Соболь" версия 3.1 (исполнение 2)
                                              ФСБ РоссииСФ/527-3336 RU.88338853.501410.021ПАК "Соболь" версия 3.2 (исполнение 2)

                                              К сожалению документ правила пользования у них на сайте нету и нужно запрашивать.

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                К сожалению документ правила пользования у них на сайте нету и нужно запрашивать.
                                                Только тсссссс, никому не говори!
                                                Вложения

                                                Комментарий


                                                • Сообщение от Cpx Посмотреть сообщение
                                                  Можно, т.к. соболь интегрируется с биосом и работает до него. Соответственно обеспечивает доверенную загрузка исключая возможности загрузки с флешки, или др носителей информации. Целостность контролировать для этого на уровне файловой системы не нужно.
                                                  А можно Соболь работает с uefi? интересно вдруг стало

                                                  Комментарий


                                                  • Сообщение от Berckut Посмотреть сообщение
                                                    Только тсссссс, никому не говори!
                                                    Спасибо. А это последняя версия соболя?

                                                    не поддерживается контроль целостности файлов, расположенных
                                                    на разделах (томах) с файловой системой NTFS, для которых установленная
                                                    и настроенная операционная система поддерживает возможность различения
                                                    регистра символов имен файлов;

                                                    – поддерживаются таблицы разделов НЖМД только формата Master
                                                    boot record (MBR);
                                                    – обеспечивается контроль целостности объектов файловых систем
                                                    EXT2, EXT3, EXT4 с именами, содержащими символы кириллицы, только в
                                                    кодировке UTF8 (KOI8-R, используемая по умолчанию в ОС МСВС не
                                                    поддерживается);
                                                    – размеры блока (кластера) данных всех разделов НЖМД, на которых
                                                    находятся контролируемые объекты, должны совпадать, при этом, каждый
                                                    раздел НЖМД должен начинаться на границе блока данных, а номер сектора
                                                    его начала должен быть кратен размеру блока данных (номер первого
                                                    сектора должен заканчиваться нулями);
                                                    – не поддерживается контроль целостности разделов НЖМД формата
                                                    Guid Partition Table (GPT);

                                                    Комментарий


                                                    • Сообщение от doubleside Посмотреть сообщение

                                                      Спасибо. А это последняя версия соболя?
                                                      Самая последняя с сертификатом ФСБ, имевшаяся в продаже в декабре 2018.

                                                      Комментарий


                                                      • Сообщение от doubleside Посмотреть сообщение

                                                        А можно Соболь работает с uefi? интересно вдруг стало
                                                        Вроде только 4.0 это может, но на него нет сертификатов ФСБ, только ФСТЭК.

                                                        Комментарий


                                                        • Коллеги, приветствую! А есть ли новости по согласованию типовых решений? Кроме Ростелекома кто нибудь еще получил одобрение ФСБ?

                                                          Комментарий


                                                          • Сообщение от Berckut Посмотреть сообщение
                                                            Вроде только 4.0 это может, но на него нет сертификатов ФСБ, только ФСТЭК.
                                                            ахахах

                                                            Сообщение от Berckut Посмотреть сообщение
                                                            А можно Соболь работает с uefi? интересно вдруг стало Вроде только 4.0 это может, но на него нет сертификатов ФСБ, только ФСТЭК.

                                                            Комментарий


                                                            • Сообщение от Berckut Посмотреть сообщение
                                                              Вроде только 4.0 это может, но на него нет сертификатов ФСБ, только ФСТЭК.
                                                              коллеги планируют его получат в этом году
                                                              Сообщение от kirill_1985 Посмотреть сообщение
                                                              А есть ли новости по согласованию типовых решений? Кроме Ростелекома кто нибудь еще получил одобрение ФСБ?
                                                              У РТ тоже не одобрено, пока нет выписки из заключения. Писать письма самому себе все могут, только данное письмо ничего не значит.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X