26 мая, вторник 13:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Zuz Посмотреть сообщение
    Тем самым понизили класс СКЗИ до КС3 (а то и до КС1, смотря какой дистрибутив установили) и документировали тут этот факт для проверяющих.
    Нет, понижения класса не было - смотрите, специально для вас сделал картинку.






    Комментарий


    • Согласно формуляру, SPR 3.0 поддерживает Windows 10 1511, поддержка которой давно прекратилась.
      Поделитесь опытом, как выходили из этой ситуации?

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        Я внимательно прочитал документацию в Windows используется оснастка КриптоПро PKI для установки сертификата в контейнер. Но, разве, она идёт в составе КриптоПро HSM Client?
        Да, находится в составе дистрибутива КП HSM Client

        Комментарий


        • Сообщение от alebo-88 Посмотреть сообщение
          Нет, понижения класса не было - смотрите, специально для вас сделал картинку.
          Очевидно, что это автоматически не отслеживается. Есть ситуации, когда да, но не тут. Если отматываете тред и прочитаете, то узнаете, что для Windwos cryptcp не поставляется в составе ПАКМ КриптоПро HSM и и отдельно не проходило оценку влияния. Поэтому или вы проводите оценку влияния или будет считаться, что класс понизился до уровня КриптоПро из состава, которого вы использовали cryptcp.

          Сообщение от alebo-88 Посмотреть сообщение
          Да, находится в составе дистрибутива КП HSM Client
          В документации это отражено, что она в составе? При установке КриптоПро CSP тоже такая оснастка устанавливается, вы уверены, что у вас там оснастка из состава HSM Client, а не CSP?
          Последний раз редактировалось Zuz; 01.08.2019, 14:04.

          Комментарий


          • Сообщение от alebo-88 Посмотреть сообщение
            Нет, понижения класса не было - смотрите, специально для вас сделал картинку.
            Вы не ту картинку показываете. И, кроме того, уже писал ранее -

            Если посмотреть на "Порядок выпуска сертификатов ... для ЕБС..." от Минкомсвязи, там конкретная оговорка внизу стр. 5 -

            Файл запроса формируется с использованием средств электронной подписи Органа или организации класса КВ.

            Т.е. для формирования файла запроса, вы должны использовать СКЗИ класса КВ, а под виндой такого нет, в принципе.
            Другой вопрос, что под виндой его можно сгенерить, но формально это будет несоответствие требованиям.
            И зачем вы при этом всем рассказываете название своего банка, то же несколько странно для сотрудника ИБ (ИМХО, конечно)
            Последний раз редактировалось saches; 01.08.2019, 14:36.

            Комментарий


            • Сообщение от saches Посмотреть сообщение
              Файл запроса формируется с использованием средств электронной подписи Органа или организации класса КВ.
              Как они это проверят?

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                Как они это проверят?
                Тут где-то это уже обсуждалось, никак! Они даже никак не проверят, что у вас есть HSM, кроме как по документам о приобретении, а дальше хоть на OpenSSL работайте, криптографические функции ведь реализуются одинаково, не отличить результаты работы.

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  Тут где-то это уже обсуждалось, никак!
                  Тогда и говорить об этом незачем.

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Тогда и говорить об этом незачем.
                    Это почему?

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      А из ФСБ, к примеру, если вы переоформляете лицензию?
                      Они проверяют ту сферу вашей деятельности, которая потребовала лицензии ФСБ (система ДБО / карточный процессинг и т.д.). Сдалась им эта ЕБС или Сигнатура в АРМ КБР.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Это почему?
                        А смысл, если это никак не проверить? Если что, то все будут писать что всё сделано в соответствии с инструкцией/документацией/регламентами/приказами.

                        Комментарий


                        • Сообщение от Александр Четвертый Посмотреть сообщение
                          Они проверяют ту сферу вашей деятельности, которая потребовала лицензии ФСБ (система ДБО / карточный процессинг и т.д.).
                          Я тоже так думал, но опыт подсказывает, что бывает проверяется и общий порядок работы с СКЗИ (зависит от проверяющих, 5 лет назад такое бывало, сейчас не знаю), в т.ч. и СКЗИ для "собственных нужд" (у нас смотрели и АРМ КБР с Сигнатурой и систему отчётности с Вербой, в частности в филиалах, но не по всем территориям, возможно потому что ДБО было в центре и там смотреть-то было больше не на что).

                          Сообщение от ost Посмотреть сообщение
                          А смысл, если это никак не проверить?
                          Это может проверить внешний аудитор (ежегодный аудит по 321 приказу).
                          Кстати, кто-нибудь получил разъяснения в какие сроки его нужно провести и кому он нужен (ЦБ указывает на Минцифру, в оно на ЦБ).

                          Комментарий


                          • Сообщение от Zuz Посмотреть сообщение
                            Если не идёт, то оценку влияния вы сделали для КриптоПро PKI? )))
                            Вот еще ))
                            Сообщение от Zuz Посмотреть сообщение
                            Суть вопроса в том, что если не нужно блокировать использование, то это означает, что данная утилита может использоваться без согласования? Или оценка влияния всё равно должна быть проведена, если нам нужно обеспечить класс КВ? Как то это не однозначно всё. )
                            Делать только для того, ПО которое обращается в HSM - HSM Client напрямую. Блокировать не нужно остальное ПО и можно использовать.
                            А вот если делать Типовое решение - то нужно описывать весь ландшафт с фиксацией версией.

                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              Это может проверить внешний аудитор (ежегодный аудит по 321 приказу).
                              Как?

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                Насколько я понимаю, "оценку влияния" сейчас нужно делать при встраивании СКЗИ любого класса, например, при "обработке защищаемой по законодательству информации" и т.д
                                Почти, в соответствии с ПКЗ 2005 делать нужно в обязательном поярдке:
                                а) для ОГВ и ГОС целей;
                                б) для классов КВ и КС3;
                                в) если указано в в формуляре (как со СКАД);
                                г) для классов КС1 и КС2 - если обрабатывается информация конфиденциального характера. Тут все не однозначно и проверяющему доказать свою позицию будет крайне сложно и только через суд. Поэтому все обычно забивали и для этих классов можно проводить упрощенную оценку (без привлечения ФСБ).

                                Для возникновения необходимости проведения оценки влияния необходимо выполнение двух условий:
                                • Наличие конфиденциальной информации подлежащей защите в соответствии с законодательством РФ;
                                • Встраивание СКЗИ в прикладные системы.
                                Встраивание СКЗИ в прикладные системы.
                                Понятия "встраивание" действующее законодательство не содержит. Несмотря на отсутствие понятия "встраивание", полагаем, что есть риск признания встраиванием при использовании СКЗИ при любом взаимодействии СКЗИ с прикладными системами. При рассмотрении соответствующего спора в суде решающее значение, полагаем, будет иметь заключение экспертизы.
                                Наличие конфиденциальной информации подлежащей защите в соответствии с законодательством РФ.

                                Понятия "конфиденциальная информация" действующее законодательство также не содержит.
                                В соответствии с пунктом 1 Указа Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" к сведениям конфиденциального характера относятся персональные данные, в соответствии с пунктом 4 Указа к таким сведениям относятся сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами, при этом перечень является открытым. Пункт 2 статьи 857 Гражданского кодекса РФ к таким сведениям относит сведения, составляющие банковскую тайну.
                                Пункт 2.1 Положения Банка России от 09.06.2012 N 382-П в числе прочих прямо относит сведения, касающиеся операций по счетам, самих счетов (по существу – информацию, составляющую банковскую тайну), а также персональные данные – к информации, подлежащей защите (защищаемая информация). Указанная позиция находит свое отражение и в Положении Банка России от 17.04.2019 N 683-П.
                                Несмотря на то, что Гражданский кодекс РФ не содержат указания в явном виде на то, что банковская тайна является защищаемой информацией, а Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности" относит сведения, составляющие банковскую тайну, к защищаемой информации лишь косвенно


                                Сообщение от Zuz Посмотреть сообщение
                                А из ФСБ, к примеру, если вы переоформляете лицензию?
                                в случае с г) им не интересно и врядли они узнаю об этом. И лицензии сейчас бессрочные, а под грубые нарушения это не подходит. Поэтому согласен риск со стороны ФСБ по вопросам оценки для классов КС1-КС2 - сравним с вероятностью выиграть лотерею.




                                Комментарий


                                • Сообщение от ost Посмотреть сообщение

                                  Как?
                                  Документы на покупку HSM запросят, к примеру

                                  Комментарий


                                  • Сообщение от alebo-88 Посмотреть сообщение
                                    Согласно формуляру, SPR 3.0 поддерживает Windows 10 1511, поддержка которой давно прекратилась. Поделитесь опытом, как выходили из этой ситуации?
                                    накатывать ее и не обновлять, либо нарушать требования формуляра.
                                    Сообщение от alebo-88 Посмотреть сообщение
                                    Нет, понижения класса не было - смотрите, специально для вас сделал картинку.
                                    Коллеги, класс зависит не от СКЗИ или навязанных "актуальных угроз" спасибо ЦБ (Указание Банка России № 4859-У/01/01/782-18) , а от реальных актуальных угроз и возможностей нарушителя, давайте об этом не забывать.
                                    Сообщение от saches Посмотреть сообщение
                                    для формирования файла запроса, вы должны использовать СКЗИ класса КВ
                                    Именно


                                    Комментарий


                                    • Сообщение от Rubaka Посмотреть сообщение
                                      Документы на покупку HSM запросят, к примеру
                                      Причём тут документы на покупку HSM?
                                      Речь про то как был сгенерён CSR, кошерно или не кошерно.

                                      Комментарий


                                      • Сообщение от Rubaka Посмотреть сообщение
                                        Документы на покупку HSM запросят, к примеру
                                        Так можно HSM купить/продать/арендовать/сервис услуги(:

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          Речь про то как был сгенерён CSR, кошерно или не кошерно.
                                          Если Восход его примет и выпустить серт - всем все равно (как, где был сделан запрос).
                                          Задача ЦБ - отчитаться, что ЕБС работает, ФСБ - как меньше времени этим заниматься (в рамках оценок), Банку - обеспечить возможность сдачи БО минимальными затратами и рисками.
                                          Я тоже не понимаю, как проверяющие узнают, что запросы генеряться другими средствами.

                                          Комментарий


                                          • Кто по этому пункту 4-МР что-то делал? Проконсультируйте правильный подход.

                                            2.3.8.1 ... использованием прикладного программного обеспечения, применяемого в доверенной среде, прошедшего проверку на отсутствие недекларированных возможностей и соответствующего 4-ому уровню контроля отсутствия недекларированных возможностей согласно Руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», утвержденному приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114, или сертифицированного в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Росстандарта от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее – ГОСТ Р ИСО/МЭК 15408-3-2013);
                                            "сила в правде: у кого правда, тот и сильней!"

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              ....Кстати, кто-нибудь получил разъяснения в какие сроки его нужно провести и кому он нужен (ЦБ указывает на Минцифру, в оно на ЦБ).
                                              Неа. Я спрашивал Ростелик, они то же перевели стрелки на Минцифневраз

                                              Комментарий


                                              • Сообщение от Массаракш Посмотреть сообщение
                                                Кто по этому пункту 4-МР что-то делал? Проконсультируйте правильный подход.....
                                                Насколько я понимаю, все, в общем и целом, в а..уе от этого требования, т.к. ФСТЭК поменял свою нормативку и лицензиаты несколько не понимают, как теперь по правильному его реализовать.
                                                К тому же, нужны некие профили защиты, которые ЦБ грозится сделать к концу года (но это не точно).
                                                Т.е. рекомендации лицензиатов выглядят примерно так - найдите какую-нибудь левую ИЛ (нормальные не возьмутся) и попросите их выдать нужную бумажку на ваше ПО.
                                                Я пока не планирую ничего делать (хотя, нашим разрабам его озвучил. чтоб знали...)), посмотрим, как ЦБ будет это требования проверять. Ну и внешних разработчиков буду периодически шпынять по этой теме....
                                                Как-то так. Всё имхо, конечно.

                                                ЗЫ: и, кстати, по "контролю встраивания" СКЗИ подход примерно аналогичен, хотя там всё ясно, что делать и куда бечь....
                                                Последний раз редактировалось saches; 02.08.2019, 12:13.

                                                Комментарий


                                                • Сообщение от Массаракш Посмотреть сообщение
                                                  Кто по этому пункту 4-МР что-то делал? Проконсультируйте правильный подход.
                                                  Забейте на эти рекомендации.
                                                  ЦБ эту свою "не актуальную тему с сертификацией по не существующим НДВ4 и без утвержденного профиля защиты ЦБ" сует в каждый новый документ. Выполнить как есть не возможно! Пусть сначала сами определяться по каким требованиям делать, а потом будем делать.

                                                  Пойти по новым требованиям сертификации во ФСТЭК (ОУД4, ТУ) - это бюджет от 5млн и 10 месяцев, или "анализ уязвимостей" в виде заключения от лаборатории (или лицензиата ФСТЭК), по своим ПИМИ, которые в рамках сертификации делают) 0,5-0,8 млн и 1-2 месяца. Анализ уязвимостей по ГОСТ Р ИСО/МЭК - это что-то новое, пусть ЦБ пойдет на обучение в ЦБИ по этому древнему стандарту.

                                                  Как совсем формальный - попросите свое лицензиата сделать формальное заключение (прогнать сканер, написать что-то в МИП и заключение).
                                                  П.С. Я бы не стал заниматься этим в рамках ЕБС, Оператор системы Ростелеком - пусть он и пишет требования, при чем тут ЦБ?
                                                  Аналогичная тема всплыла в 382П, 552П, 683П, 672П и ГОСТ Р 75780 - вот там реально жопа, АБС, ДБО и все банковские ИС к 2020-2021 году.
                                                  в рамках офисных По - переходим все на мой офис с сертификатом ФСТЭК))
                                                  https://myoffice.ru/security/protectedcloud/
                                                  Последний раз редактировалось Cpx; 02.08.2019, 12:59.

                                                  Комментарий


                                                  • Сообщение от ost Посмотреть сообщение
                                                    Как?
                                                    Ну исследовать как именно вы можете создать запрос на сертификат, если у вас нет АРМ Администратора с Linux, то очевидно, что вы его сделали с нарушениями.
                                                    Вопрос в том, зачем ему это... очевидно, что копать так они не будут.

                                                    Комментарий


                                                    • Сообщение от Cpx Посмотреть сообщение
                                                      переходим все на мой офис с сертификатом ФСТЭК))
                                                      "сила в правде: у кого правда, тот и сильней!"

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        посмотрим, как ЦБ будет это требования проверять.
                                                        А чего смотреть-то:
                                                        1. в 70-й форме банки будут обязаны отразить наличие проведенного анализа на отсутствие уязвимостей по ОУД
                                                        2. все получат запрос ...предоставить сертификат на ДБО или заключение о проведении анализа на отсутствие уязвимостей по ОУД, либо предоставить объяснения почему это отсутствует...

                                                        Готовить объяснения можно уже начинать.

                                                        Комментарий


                                                        • Сообщение от Zuz Посмотреть сообщение
                                                          если у вас нет АРМ Администратора с Linux, то очевидно, что вы его сделали с нарушениями.
                                                          Типа в шеле набрать руками команду низзя, не кошерно? А если помолясь?

                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение
                                                            1. в 70-й форме банки будут обязаны отразить наличие проведенного анализа на отсутствие уязвимостей по ОУД
                                                            Какой форме? Чёт я упустил похоже...

                                                            Сообщение от ost Посмотреть сообщение
                                                            Типа в шеле набрать руками команду низзя, не кошерно? А если помолясь?
                                                            В шеле где? На самом HSM?

                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение
                                                              А если помолясь?
                                                              Если ваши молитвы прошли оценку соответствия уполномоченным органом (РПЦ? - никого не хочу обидеть из верующих), то да. А если нет - то безопасность информации не обеспечена.

                                                              Комментарий

                                                              Обработка...
                                                              X