23 февраля, воскресенье 23:09
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ShuraSh Посмотреть сообщение
    Соболь или Аккорд
    Абсолютно всё равно. Строго говоря можно доверенную загрузку В ЭТОМ КОМПОНЕНТЕ не применять. Можно ПЭП на оператора кинуть, чтобы кроме логиня/пароля был второй фактор аунтенификации.
    НО!
    Коллеги!
    Нас ждёт увлекательное путешествие в криптографический компонент для работы с HSM.
    Его, пока, НЕ СУЩЕСТВУЕТ. От слов "вообще нет. нигде. ни у кого..."
    Предположительно будет в октябре.
    Вот он должен будет стоять на Астра Линукс Спешиал Эдишн (тоже от слова "Только на этой ОС") и там должен быть модуль доверенной загрузки от слова обязательно. И эта штука должна стоять в закрытом контуре с ХСМ. Крайне желательна отдельная опечатанная стойка.

    Комментарий


    • Сообщение от Андрей Федорец Посмотреть сообщение
      Нас ждёт увлекательное путешествие в криптографический компонент для работы с HSM. Его, пока, НЕ СУЩЕСТВУЕТ. От слов "вообще нет. нигде. ни у кого..."
      О чем и предупреждали большевики.

      При этом совершенно непонятно кто покупает КриптоПРО HSM, если нет криптографического компонента для работы с этим HSM и Во что выльется эта разработка большой вопрос.
      лично против закупки банком HSM прямо сейчас, велика вероятность того, что его потом придется выбросить.

      Комментарий


      • Сообщение от ost Посмотреть сообщение
        лично против закупки банком HSM прямо сейчас, велика вероятность того, что его потом придется выбросить.
        С другой стороны время на его покупку до конца 2018, потом толпа кинется и не хватит на всех. А ЦБ скажет, что предупреждало заранее.

        Комментарий


        • Сообщение от Sat_Kelman Посмотреть сообщение
          С другой стороны время на его покупку до конца 2018, потом толпа кинется и не хватит на всех. А ЦБ скажет, что предупреждало заранее.
          Вы всерьёз думаете, что все прямо таки мечтают выполнить требование по внедрению ЕБС во что бы то ни стало? ИМХО чем больше ОБЪЕКТИВНЫХ трудностей тем выше вероятность того, что появится следующее письмо про перенос сроков ответственности.

          Комментарий


          • Сообщение от UserNick Посмотреть сообщение
            Вы всерьёз думаете, что все прямо таки мечтают выполнить требование по внедрению ЕБС во что бы то ни стало?
            А Вы всерьез думаете, что ЦБ это волнует? Что-то они не думали про мелкие банки. Я помню, что на самом первом месте работы бюджет у ИТ в год был 700 тыс. На всё. От сопровождения ДБО до покупки картриджей. Про иб вообще печально. Для них ЕБС это просто ужас. И что-то нет разговоров чтобы не кошмарить мелочь.

            Комментарий


            • Сообщение от Sat_Kelman Посмотреть сообщение
              С другой стороны время на его покупку до конца 2018, потом толпа кинется и не хватит на всех. А ЦБ скажет, что предупреждало заранее.
              Вы уверены, что вам сильно поможет заранее купленный ХСМ, который будет лежать кирпичом?
              И потом, всегда можно отмазаться, что мы стоим в очереди на покупку, с онлайн кассами такое было.

              Комментарий


              • Выяснилось, что "криптографический компонент для работы с HSM" таки существует (как минимум на бумаге). Зовется Client HSM согласно формуляру ЖТЯИ.00096-01 30 01 (см. письмо Крипто-ПРО во вложении).
                Вложения

                Комментарий


                • Однако не указан уровень защиты собственно Client HSM (см. предпоследний абзац).
                  Также совершенно непонятно что это за зверь - Client HSM

                  Вот тут что-то про это
                  https://www.cryptopro.ru/products/hsm/atlix-hsm/usage
                  https://www.cryptopro.ru/forum2/defa...g=posts&t=8802
                  https://www.cryptopro.ru/products/hsm/cryptopro-hsm

                  Комментарий


                  • Настораживает что есть только ГОСТ Р 34.10-2001

                    Комментарий


                    • Сообщение от w3d Посмотреть сообщение
                      Однако не указан уровень защиты собственно Client HSM (см. предпоследний абзац).
                      Это совершенно справедливо, поскольку он зависит от реализации и исполнения клиентского рабочего места.

                      Комментарий


                      • w3d
                        Сообщение от w3d Посмотреть сообщение
                        Настораживает что есть только ГОСТ Р 34.10-2001
                        На сайте у них HSM 1, грубо говоря. Предполагается использование HSM 2, про который на сайте не нашёл информации, кроме письма. Судя по всему, он и будет поддерживать 2012.

                        Комментарий


                        • Сообщение от ost Посмотреть сообщение

                          Это совершенно справедливо, поскольку он зависит от реализации и исполнения клиентского рабочего места.
                          Однако на тот же КриптоПро CSP есть отдельный сертификат https://www.cryptopro.ru/certificates?pid=1417 и он никак не связан с реализацией и исполнением клиентского места!

                          Комментарий


                          • Сообщение от w3d Посмотреть сообщение
                            Настораживает что есть только ГОСТ Р 34.10-2001
                            Вот я и говорю, темная лошадка. Сейчас купишь, а он 31-го декабря превратиться в тыкву, и что с ним потом делать непонятно.
                            Я так полагаю, что производителям надо срочно сбыть залежалый товар, вот и подняли кипешь...

                            Комментарий


                            • Сообщение от ost Посмотреть сообщение
                              Выяснилось, что "криптографический компонент для работы с HSM" таки существует (как минимум на бумаге). Зовется Client HSM согласно формуляру ЖТЯИ.00096-01 30 01 (см. письмо Крипто-ПРО во вложении).
                              Если не ошибаюсь, обычно, подобные письма публикуются разработчиками СКЗИ, что бы показать (успокоить общественность), что скоро появится нормальный сертификат на СКЗИ, согласованная с ФСБ документация (если её еще нет) и т.д., и т.п.
                              Кое какие подробности есть на https://www.cryptopro.ru/forum2/defa...=posts&t=14209
                              В частности, что возможно сертификат ФСБ появится в сентябре, а кто купит HSM 1, его грозятся проапгрейдить до 2-ой версии.
                              Ну лучше, конечно, узнавать у вендора.

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                скоро появится нормальный сертификат на СКЗИ
                                Иными словами? КриптоПРО HSM + Client HSM 2.0 сейчас без сертификата, т.е. как апрувленное СКЗИ не существует. Am I right?

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                  А Вы всерьез думаете, что ЦБ это волнует? Что-то они не думали про мелкие банки. Я помню, что на самом первом месте работы бюджет у ИТ в год был 700 тыс. На всё. От сопровождения ДБО до покупки картриджей. Про иб вообще печально. Для них ЕБС это просто ужас. И что-то нет разговоров чтобы не кошмарить мелочь.
                                  За невыполнение требований по подключению к ЕБС еще не одной лицензии не отозвали. Пусть мелкие банки сами решают что выгоднее платить штрафы за не подключение или бежать впереди паровоза.

                                  Комментарий


                                  • Сообщение от UserNick Посмотреть сообщение
                                    За невыполнение требований по подключению к ЕБС еще не одной лицензии не отозвали. Пусть мелкие банки сами решают что выгоднее платить штрафы за не подключение или бежать впереди паровоза.
                                    Правильно ! В смысле я тоже думаю также...
                                    ЁСИА "сделаем" точно - кажется есть вся необходимая инфа...
                                    Но ЁБС-ина же на текущий момент = "поди туда — не знаю куда, сделай то — не знаю что".
                                    Но ужо поступили предложения - все около и рядом с 1млн.рурs....
                                    И это только прямые расходы и только на ПО !!!
                                    ~400КО * ~2-3млн = ~1млрд...
                                    И это насильно, в условиях почти полного стабилизеца...
                                    Думал вот-вот уйду "на заслуженный", но и тута 2-3 годичная *опа...

                                    Комментарий


                                    • На самом деле ситуация с попыткой выполнить требования выглядит как-то не очень посильной всем.

                                      Звучало в протоколах совещаний и прочего КС2+АМДЗ/КС3 и КВ2 на подписание. Под КС2+АМДЗ или КС3 найти решение можно, но...

                                      Данные, отправляемые в ЕБС требуется подписывать по уровню КВ2.
                                      Открываем список сертификатов ФСБ, поиск по КВ2: «Швейцар-Я», М-687В, ViPNet HSM, «КриптоПро HSM» (варианты, истекающие через месяц с кепкой отбросил).

                                      По факту: ViPNet или КриптоПро, получается... Ничего не имею против АО «Пензенский научно-исследовательский электротехнический институт», но не слышал до этого о них.
                                      У КриптоПро версия 1.0 умеет только ГОСТ Р 34.10-2001, без ГОСТ Р 34.10-2012 - соответственно в 2019 году пользоваться нельзя. Версия 2.0 умеет, но сертификат на неё не получен пока.

                                      Да и встраивание у нас криптографии в КС3 и КВ2 надо делать "только под контролем" - т.е. процесс небыстрый. А подписывать в решениях для биометрии надо.

                                      В итоге предлагают для этого "кота в мешке" в плане ИБ, которого потом надо ещё доводить до требуемого уровня защиты. Сначала деньги, потом "кот", а потом уже из "кота" тигра самим выращивать...

                                      Может кто-то уже видел решения, где это уже реализовано? Или что-то ещё добавить к сказанному?

                                      Комментарий


                                      • Сообщение от EKarpov Посмотреть сообщение
                                        Сначала деньги, потом "кот", а потом уже из "кота" тигра самим выращивать...
                                        Да какой тигр, пока что хромая уточка в лучшем случае получится. Коммерческие выгоды от этого наспех слепленного Франкенштейна для мелких и средних банков скорее глубоко отрицательные на горизонте 1-2 лет как минимум.

                                        Миссию же по первоначальному принесению биометрических чудес цивилизации в алтайские леса, амурские болота и в город Кунцево далёкий - пусть сначала выполнят крупные банки, что получают от государства дешевые ресурсы.

                                        WBR, Александр Турчин

                                        Комментарий


                                        • Сообщение от Александр_Турчин Посмотреть сообщение
                                          пусть сначала выполнят крупные банки, что получают от государства дешевые ресурсы.
                                          Не-не-не... так не пойдёт... (330 каждому - вспомните легендарную 3-ку...)
                                          Ну кто будет связываться с этим : 5(6)госКО * 5(6)млн = ~ 33млн, это же мелочь...
                                          Охватить нас надо как можно ширше и как можно глубже, вот тада и будет ~1млрд.

                                          Комментарий


                                          • Сообщение от Александр_Турчин Посмотреть сообщение
                                            выгоды от этого наспех слепленного Франкенштейна для мелких и средних банков скорее глубоко отрицательные
                                            С учетом того, что вероятность публикации мобильного приложения для биометрии в гугле и аппле крайне низкая, то вся эта задумка с ЕБС стала совсем непривлекательной.
                                            Похоже ФинТех это уже понял и переориентировался на другие подходы. см. https://www.kommersant.ru/doc/3696039

                                            Есть неплохие шансы, что банкам не придется поднимать ЕБС .

                                            Комментарий


                                            • ost, кажется что-то +-е "там" действительно есть (обсуждается)...
                                              Правда некоторые вещи (выезды и подобное..) мне кажутся странными.
                                              Для "меня" главное не платить млн-ы за нечто, которое (субъективно и возможно ошибочно) считаю совершенно ненужным и гиблым...
                                              Если у них уже есть готовое решение, то по договору мы готовы :
                                              - установить эту хрень во всех точках присутствия
                                              - обеспечить все условия для хранения (а может и для эксплуатации)
                                              - обучить своих операционистов(ок) работе с энтим чудом...
                                              ... только бы не чувствовать себя ограбленными своим же иррегулятором...
                                              То есть разделить идиотизм хотя бы наполовину...
                                              Сообщение от ost Посмотреть сообщение
                                              Есть неплохие шансы, что банкам не придется поднимать ЕБС .
                                              Эти бы слова да в ухи регулятору-рабовладельцу...


                                              Комментарий


                                              • В гипотетическом случае пары десятков филиалов и при наличии подключения к СМЭВ 3: 2 млн. за ПО + 3 млн за ИБ + 1 млн Пусконаладка = многовато для маленького/среднего банка. И это не считая аудитов, сертификаций и деклараций соответствия.

                                                Комментарий


                                                • Сообщение от EKarpov Посмотреть сообщение
                                                  случае пары десятков филиалов
                                                  Здесь надо отметить, что было письмо ЦБ, в котором оно как-бы разбавило эту полную муть
                                                  небольшим послаблением... до 31.12.2018 нужно (можно) хотя бы 1 охфис...
                                                  Или нечто похожее на это...

                                                  Комментарий


                                                  • Что скажете по поводу такой железки https://infotecs.ru/product/vipnet-hsm-1-0.html ? ViPNet HSM

                                                    Комментарий


                                                    • Сообщение от w3d Посмотреть сообщение
                                                      Что скажете по поводу такой железки https://infotecs.ru/product/vipnet-hsm-1-0.html ? ViPNet HSM
                                                      ПАК ViPNet HSM (вариант исполнения 1) разрешается эксплуатировать до 31.10.2021
                                                      Успеете до конца 2019-го поставить, а в 2021-м он превратиться в тыкву.

                                                      Срок годности у консервов говяжей тушенки гораздо больше.

                                                      Комментарий


                                                      • Срок годности HSM, в отличии от говяжей тушенки, вполне могут и продлить. Из плюсов его: нет требований по защите по цепям питания, более гуманные требования по контролируемой зоне (все равно отдельная комнатушка). Пока противопоказаний не увидел.

                                                        По результатам прочтения документации - команда администраторов для него требуется 8-10 человек: (3-5-6 администраторов инициализации, 1-2 администратора безопасности, 1 администратор аудита, 2 администратора резервного копирования, 1-2 администратора прикладных сервисов). Да, что-то можно совместить без риска, но все равно толпа с талмудами будет. И сладкие слова "комиссионная работа", "кворум", "при отсутствии несогласных"... И написание инструкций для всех.

                                                        Комментарий


                                                        • Сообщение от EKarpov Посмотреть сообщение
                                                          Пока противопоказаний не увидел
                                                          А что из софта умеет с ним работать? Сам по себе HSM вещь в себе, надо чтобы сервер, обрабатывающий данные для ЕБС умел с ним работать.

                                                          И если посмотреть сюда http://bankir.ru/dom/forum/департаме...52#post4850252 то можно увидеть, что софта нет от слова совсем. (Мы же знаем, с кем iD Systems кооперируется в этой части).

                                                          Комментарий


                                                          • Пока одна линия: КС2+АМДЗ или КС3 - требуется, а HSM КВ2 - должен появиться, правда непонятно как и когда. При этом по ГОСТу 57580.1-2017 можно от сертифицированного отойти, т.к. оговорка там есть. Проектируем/строим остальную защиту пока нам доделывают интеграцию с HSM. Криптошлюз всё же в одном экземпляре, просто откладываем покупку до момента готовности ПО от поставщика решения для ЕБС и ясности по этому вопросу... Больше вопросов с аттестацией АРМ для ЕБС - как заявить/подтвердить уровень защиты.

                                                            Комментарий


                                                            • Кстати, тут http://rusrim.blogspot.com/2018/07/blog-post_27.html человек заметил существенную деталь в приказе Минкомсвязи № 321.

                                                              все УКЭП, которые будут использоваться для размещения биометрических ПДн, будут выдаваться только одним УЦ в стране – УЦ Минкомсвязи.

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X