15 октября, вторник 21:55
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Zuz Посмотреть сообщение
    Просто прийти с улицы и сказать, что я мол хочу пройти идентификацию странно. Но вот нас всех убеждают, что нет. Банки обязаны это делать.
    Это публичная позиция надзора, и, кмк, она будет поддерживаться руководством БР.

    Тут просили всю презентацию, выкладываю, смотрите. Но про ЕБС там только один слайд, остальное к ЕБС отношения не имеет.

    Prezentation.zip

    Комментарий


    • Сообщение от UserNick Посмотреть сообщение
      30. Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) ИНДИВИДУАЛЬНОГО пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
      И как это противоречит Облачному сервису? Пользователи в контексте сервиса не хранят (носители, документацию) ничего на стороне ЦОДа.
      Если уж зашла речь о его применимости, то применяются он в общих частях, которые не потеряли (не противоречат новым требованиям, в частности ПКЗ-2005) свою актуальность.

      Сообщение от saches Посмотреть сообщение
      6. Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра. (часть 6 введена Федеральным законом от 30.12.2015 N 445-ФЗ)
      Расскажите как это связано с сервисом?! Речь про работу Аккредитованного УЦ (т.е. в случае с ЕБС - ВОСХОД), и ни кто не собирается создавать квалифицированные ключи от имени восхода! Банк обязан сгенерить лишь запрос на выпуск такого ключа, что он и делает у себя или в облаке...

      п.с. мне кажется Вы путаете просто хранение ключей и использование HSM на не стороне банка с обычной процедурой работы с ЭЦП с новыми "технологиями" и соответствующими проектами изменений в 63ФЗ в виде облачной подписи, которые делаются специально для УЦ. Облачный сервис использующий обычную криптографию и облачная подпись - это не связанные 2 понятия, второго еще и не существует на текущий момент.
      Последний раз редактировалось Cpx; 11.09.2019, 11:34.

      Комментарий


      • Сообщение от Cpx Посмотреть сообщение
        ....и ни кто не собирается создавать квалифицированные ключи от имени восхода! Банк обязан сгенерить лишь запрос на выпуск такого ключа, что он и делает у себя или в облаке...

        п.с. мне кажется Вы путаете ......
        Если говорить про последовательность генерации ключей и запроса на сертификат, то она может быть следующая:
        1. сначала, с помощью ДСЧ генерится закрытый ключ;
        2. потом, на основе закрытого ключа, вычисляется открытый ключ.
        3. затем, генерится запрос на сертификат, подписывается закрытым ключом, и (вместе с открытым ключом) направляется в УЦ на сертификацию.

        Если HSM стоит у 3-го лица в облаке, то именно там генерится закрытый ключ. Именно это и противоречит указанному выше пункту ст. 15, 63-ФЗ.Так понятней?

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          Если HSM стоит у 3-го лица в облаке, то именно там генерится закрытый ключ. Именно это и противоречит указанному выше пункту ст. 15, 63-ФЗ.
          Если посмотреть как сделаны подписи для граждан в ФНС, то увидим ту же картину. И ничего, всё работает уже который год.
          Отсюда вывод, не в законе дело, просто кому-то нужно HSMы продать.

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Если HSM стоит у 3-го лица в облаке, то именно там генерится закрытый ключ. Именно это и противоречит указанному выше пункту ст. 15, 63-ФЗ.Так понятней?
            Нет, не понятно, т.к.:
            - ДСЧ генерирует не ключ, а число!
            По вашей логике тогда и клиент не может генерировать самостоятельно себе ключ, так как в 90% компаний он просит это сделать приходящего администратора.
            Статья, на которую Вы ссылаетесь, говорит только о том, что УЦ не может наделить этим правом третьих лиц. Но это не означает, что клиент УЦ сам не имеет права генерировать ключи. И если он это перепоручает кому-либо, то это ответственность клиента, но никак ни УЦ. Следовательно указанная Вами статья никак к ситуации с HSM не относится!

            "6. Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра";

            - я не понимаю, как нахождение HSM влияет на Ваш пример и на пункт выше? Если следовать Вашей логикой нарушается в любом случае и в не зависимости где установлен HSM (в банке или ЦОД). Так?

            Комментарий


            • Сообщение от Cpx Посмотреть сообщение
              - я не понимаю, как нахождение HSM влияет на Ваш пример и на пункт выше? ....
              ну тогда пишите официальный запрос в ЦБ или еще куда-нибудь

              Сообщение от Cpx Посмотреть сообщение
              - ДСЧ генерирует не ключ, а число!
              Спасибо, кэп! Это просто гениально! И что? Если ключ генерится с помощью ДСЧ на него требования 63-ФЗ не распространяются?

              Последний раз редактировалось saches; 11.09.2019, 13:54.

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                Если посмотреть как сделаны подписи для граждан в ФНС, то увидим ту же картину. И ничего, всё работает уже который год. Отсюда вывод, не в законе дело, просто кому-то нужно HSMы продать.
                Вы лучше скажите, почему тогда все "левые" аккредитованные УЦ, так старательно скрывают (и в договорах в том числе) факт того, что их"агенты" сами генерят "квалифицированные" ключи для клиентов? А в договорах просто пишут, что агенты раздают сертификаты созданные в УЦ (что не противоречит 63-ФЗ). Не иначе от того, что им делать больше нечего...

                Уговаривать не буду, но если бы всё упиралось в продажу HSM, облачное решение просто бы запретили, т.к. оно этому не способствует.
                Последний раз редактировалось saches; 11.09.2019, 14:01.

                Комментарий


                • Сообщение от iPtich Посмотреть сообщение
                  хотим писать официальный запрос. пытаемся продумать формулировки, чтобы получить конкретный ответ, а не как обычно: "милый мой, хороший - догадайся сам"
                  Мы писали, в ответ просто процитировали 115-ФЗ.

                  Сообщение от saches Посмотреть сообщение
                  Ну неужели так сложно дочитать ФЗ до 15-той страницы и статьи?))) 6. Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра. (часть 6 введена Федеральным законом от 30.12.2015 N 445-ФЗ)
                  Ну и что тут такого? ))) Как облачная подпись связана с полномочиями по созданию ключей? Создавать ключи может, УЦ затем передавать их облачному провайдеру или клиент может поручить это облачному провайдеру (ему это не запрещено законом, нужно только конфиденциальность обеспечить).

                  Сообщение от saches Посмотреть сообщение
                  Если HSM стоит у 3-го лица в облаке, то именно там генерится закрытый ключ. Именно это и противоречит указанному выше пункту ст. 15, 63-ФЗ.Так понятней?
                  Это вопрос оформления отношений и технологии реализации процесса (как выше говорил просто можно поручит генерацию ключа облачному провайдеру ЭП). Вообще данная норма не об этом. Она о договорных отношениях, чтобы агент не мог быть стороной по договору (наделение полномочиями), которая якобы делает квалифицированный сертификат и (или) ключи ЭП. Никакого отношения данная эта норма к облачной подписи не имеет. Кто-то просто ищет противоречия там, где их явно нет. )

                  Сообщение от saches Посмотреть сообщение
                  Т.к. по мне, это "порнуха", когда ЭП выдан на "Васю", а подпись ставит "Федя"... ИМХО, конечно.
                  Как это связано с облачной ЭП? О практике передачи по приказу или по доверенности ключей ЭП исполнителям разве не слышали? Повсеместно притеняется. Ещё большая "порнуха". )))

                  Сообщение от saches Посмотреть сообщение
                  КМК, вполне нормально, и без противоречий. Подписать своим ключом можно всё, что угодно, а вот пихать свою "квалифицированную" ЭП куда не поподя, не нужно....
                  КМК, путаете понятия. ) Ключ он для подписи, а если у вас еже есть подпись (реквизит электронного документа), то в этом контексте норма звучит странно. Можно запретить толкьо создание ЭП (сам процесс подписи), но не использование. И нет никакого значения, кто и где подписывает и что и как, не говоря уже о том, как вы используете ключ электронной подписи. Хотите подписываете что угодно, это ваше дело. А вот при проверке подписи нужно проверять ограничения, это очевидно. А в этой норме наоборот, проверять якобы не нужно,а вот "использовать" нельзя.

                  Сообщение от saches Посмотреть сообщение
                  ИМХО, в чем-то, мне даже импонирует позиция ФСБ, в том, что они не строчат нормативку, постоянно выпуская новую и переделывая старую, например, как ЦБ.
                  Жёстко тролите. ))) Упоминание документа в контексте защиты ПДн на сайте ФСБ, не означает подтверждения его правового статуса и вообще практической возможности применения после 14 лет с момента издания. Очевидно, что нужно переиздавать документ после смены названия ведомства, если он нужен в работе, тем боле когда меняется документ во исполнение, которого был разработан уточняющий документ. (ПКЗ-99 -> ПКЗ-2005).

                  Кстати, есть ещё и Указ Президента РФ от 03.04.1995 № 334, там, вообще, даже физическим лицам запрещена эксплуатация СКЗИ без лицензии. Выполняете?

                  Сообщение от ost Посмотреть сообщение
                  Если посмотреть как сделаны подписи для граждан в ФНС, то увидим ту же картину.
                  А разве там сертификаты квалифицированные?

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    А разве там сертификаты квалифицированные?
                    Какая разница, какие там сертификаты? В законе же не написано, что только КЭП нельзя делать на стороне.

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      Вы лучше скажите, почему тогда все "левые" аккредитованные УЦ, так старательно скрывают (и в договорах в том числе) факт того, что их"агенты" сами генерят "квалифицированные" ключи для клиентов?
                      Там ситуация ровно наоборот, агенты генерят так в нарушение договора, потому что это удобнее и стандартный неподготовленный клиент с улицы сам правильно сделать не сможет.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        облачное решение просто бы запретили, т.к. оно этому не способствует.
                        Так его никто и не разрешил пока. А что там будет дальше непонятно, КриптоПРО также хочет свой DSS продавать, скорее всего его внедрением в облачный ЕБС дело и закончится.

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          ну тогда пишите официальный запрос в ЦБ или еще куда-нибудь
                          Вопрос первый - при чем тут вообще ЦБ? ЦБ выпускал 63ФЗ или ЦБ отвечает за шифрование? ЦБ еще меньше понимает в этом вопросе.

                          Сообщение от saches Посмотреть сообщение
                          Это просто гениально! И что? Если ключ генерится с помощью ДСЧ на него требования 63-ФЗ не распространяются?
                          Какое именно требовнаия 63ФЗ? Если указанное Вами выше - нет, при формирования запроса на выпуск сертификата в формате #pcs генерится пара не квалифицированных ключей (пара просто ключей), квалифицированным ключом он становиться только после того как УЦ выпустить квалифицированный сертификата .
                          Не распространяется в том виде как Вы его себе надумали и он исключительно как требования к УЦ, в частности прочтите жирное внимательно и после ответьте на вопросы:

                          Сообщение от Cpx Посмотреть сообщение
                          "6. Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных электронных подписей и квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра"
                          1. "Банк при генерации запроса на выпуск сертификата и отправки его в УЦ (Восход) на своем HSM генерит УКЭП от имени восхода?"
                          2. "тоже самое, что пункт 1 только HSM в сервисе (аренде), что то поменялось?"

                          Вы как законы читаете? Где написано, что запрещено:
                          1. банку генерит себе ключи на своем оборудовании?
                          2. банку генерит себе ключи на чужом оборудовании (считай аренда)?
                          3. по договору банк поручает третьему лицу сгенерить себе ключ на своем (или чужом - в аренда)?
                          4. Банку хранить и использовать свои УКЭП не в банке при соблюдении конциденциальности и пр. требований ИБ?

                          Сообщение от ost Посмотреть сообщение
                          В законе же не написано, что только КЭП нельзя делать на стороне.
                          Там не так написано, читайте внимательно! там написано, что КЭП кроме как УЦ делать никто не имеет право (не банк, не третье лицо) к сервису и облачной подписи этот пункт отношения не имеет.

                          Сообщение от ost Посмотреть сообщение
                          Так его никто и не разрешил пока. А что там будет дальше непонятно, КриптоПРО также хочет свой DSS продавать, скорее всего его внедрением в облачный ЕБС дело и закончится.
                          Воу, какая же подмена понятий... Как связаны между собой:
                          - DSS от Крипто про;
                          - облачная подпись (изменения которые сейчас хотят сделать в 63ФЗ), но они не пройдут и термина "облачной подписи" не существует;
                          - сервис ЕБС (облако), в котором есть общая ИТ инфраструктура с 1 HSM для многих банков?






                          Последний раз редактировалось Cpx; 11.09.2019, 16:39.

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            В законе же не написано, что только КЭП нельзя делать на стороне.
                            Ну как же, тут выше коллеги апеллировали к цитате про аккредитованный УЦ, а он, конечно, может делать не только квалифицированные сертификаты, но в основном их.

                            Комментарий


                            • Сообщение от Cpx Посмотреть сообщение
                              Там не так написано, читайте внимательно! там написано, что КЭП кроме как УЦ делать никто не имеет право (не банк, не третье лицо) к сервису и облачной подписи этот пункт отношения не имеет.
                              Вы куда-то в сторону уехали. Что значит в данном контексте "КЭП" и как понимать "КЭП кроме как УЦ делать никто не имеет право"? Пункт заодно укажите, плиз.

                              Сообщение от Cpx Посмотреть сообщение
                              Как связаны между собой:
                              - DSS от Крипто про;
                              - облачная подпись (изменения которые сейчас хотят сделать в 63ФЗ), но они не пройдут и термина "облачной подписи" не существует;
                              - сервис ЕБС (облако), в котором есть общая ИТ инфраструктура с 1 HSM для многих банков?
                              Они связаны
                              [финансовыми интересами одной известной компании] (зачеркнуто)
                              заботой о благе народа.

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                заботой о благе народа.


                                Комментарий


                                • Сообщение от Zuz Посмотреть сообщение
                                  А зачем Secure Pack, если есть Secret Net. В этом случае же КС2 достаточно (см. 4859-У п.1.2)?
                                  Для управления машинами с помощью Secret Net Studio нужно чтобы они были в домене Windows, а это фактически множит на ноль изоляцию этого сегмента.
                                  Сообщение от Berckut Посмотреть сообщение
                                  Мы на облачном решении ЦФТ. Нам надо либо защищать каналы по классу КС3, либо сами соединения на уровне браузера. Решили, что реализовать КС3 на компе и защищать TLS-соединения проще и дешевле, чем строить КС3-VPN-сеть между офисами.
                                  А почему это надо делать, быстро не смог найти. Помню, что это касалось вопросов удалённого подключения к КриптоПро HSM и чего-то ещё. А вот это самое "чего-то ещё" найти не могу.
                                  Сообщение от Zuz Посмотреть сообщение
                                  Т.е. у вас трафик сразу в ЦФТ идёт из офисов напрямую? Минуя ЦОД Банка? Если так, то да, КС3 онли.
                                  Иначе можно было в ЦОДе установить один КС3 шлюз, а до него КС2 + СЗИ от НСД 4.
                                  Сообщение от Berckut Посмотреть сообщение
                                  Между нами и ЦФТ VPN на ViPNet координаторах и там да, КС3. Но не между нашими офисами. И двое из тех, кому над иметь доступ к HSM, находятся не в том же здании, где установлен HSM.
                                  Но вообще, ЦФТ говорил, что КС3 нужен на всех компах, включая операторов, осуществляющих сбор. Я их долго пытал по этому поводу и они давали разъяснения. Помню только, что я с ними согласился, но почему-то найти я их не могу. Видимо, оперативки в мозгу уже нехватает из-за всего этого треша с требованиями.
                                  Сообщение от Zuz Посмотреть сообщение
                                  Ну очевидно (Если логически рассуждать, по самому слабому звену), что если есть требование из центра в СМЭВ / ЕБС передавать по КС3, то между офисами тоже должно быть не меньше. Но формально можно КС2 + СЗИ от НДС 4 (это проще чем Secure Pack).
                                  Для доступа к HSM не знаю, там, возможно, только КС3, не меньше, я не погружался в требования к HSM.
                                  В общем нашёл я концы!
                                  Всё упирается в 4-МР.

                                  2.1. В целях обеспечения информационной безопасности на технологическом участке сбора биометрических персональных данных физических лиц банкам рекомендуется следующее.
                                  2.1.7. Рекомендуется осуществлять контроль целостности и подтверждение подлинности электронных сообщений, содержащих собранные биометрические персональные данные физических лиц, путем их подписания усиленной квалифицированной электронной подписью (далее – УКЭП), реализуемой средствами электронной подписи класса не ниже КС2 в случае применения средств защиты информации от несанкционированного доступа не ниже 4-ого класса защищенности, сертифицированных по системе сертификации ФСТЭК России, или путем их подписания УКЭП, реализуемой средствами электронной подписи класса не ниже КС3 в иных случаях.

                                  2.2. В целях обеспечения информационной безопасности на технологическом участке передачи биометрических персональных данных физических лиц между структурными подразделениями банка банкам рекомендуется следующее.
                                  2.2.1. Рекомендуется1 обеспечивать конфиденциальность передаваемой информации, содержащей биометрические персональные данные физических лиц, на технологическом участке передачи собранных биометрических персональных данных физических лиц между структурными подразделениями банка с применением СКЗИ класса не ниже КС2 в случае применения средств защиты информации от несанкционированного доступа не ниже 4-ого класса защищенности, сертифицированных по системе сертификации ФСТЭК России, или с применением СКЗИ класса не ниже КС3 в иных случаях.

                                  2.3. В целях обеспечения информационной безопасности на технологическом участке обработки собранных биометрических персональных данных физических лиц с целью передачи в ЕБС с использованием СМЭВ банкам рекомендуется следующее.
                                  2.3.8.3. В случае функционирования объектов информационной инфраструктуры с использованием поставщика услуг (облачного решения) для выполнения действий, указанных в подпункте 2.3.7 настоящего пункта, рекомендуется обеспечить:
                                  - криптографическую аутентификацию банка при осуществлении доступа к информационной инфраструктуре решения поставщика услуг (облачного решения) с применением СКЗИ класса не ниже КС3;
                                  - эксплуатацию в соответствии с документацией на решение поставщика услуг (облачное решение).

                                  2.4. В целях обеспечения информационной безопасности на технологическом участке передачи биометрических персональных данных физических лиц в ЕБС с использованием СМЭВ банкам рекомендуется следующее.
                                  2.4.1. Рекомендуется3 обеспечивать конфиденциальность передаваемой информации, содержащей биометрические персональные данные физических лиц, на технологическом участке передачи биометрических персональных данных физических лиц в ЕБС с использованием СМЭВ, с применением СКЗИ класса не ниже КС3.
                                  Пункты 2.1.7 и 2.2.1 мы действительно легко закрываем SecretNet. Причём, как бы смешно это не звучало, но хотя Соболь уже имеет сертификат НСД, его мы заявить не можем, потому что для КриптоПро мы поставим Соболь с сертификатом ФСБ, а в 4-МР написано, что нужен с сертификатом ФСТЭК )))

                                  Пункт 2.4.1 закрывается автоматически, потому что для связи работы со СМЭВ уже стоят координаторы, а они КС3.

                                  А вот 2.3.8.3 - непреодолим. В отношении первого перечисления ещё можно поспорить, что речь идёт о канале связи от банка до аутсорсера, который реализован через координатор, а не о том, что внутри этого канала (подключения пользователей, которые могу сидеть в других офисах, а не там, где стоит координатор). Со вторым же перечислением спорить сложно - если организатор сервиса прописал в спецификации, что надо использовать КС3 и согласовал своё решение именно в таком в виде в ФСБ, то придётся использовать КС3.

                                  Можно, конечно поспорить о статусе 4-МР и необходимости его исполнения, всё таки это рекомендации да и ещё и методический документ, но это не освободит нас от обязанности выполнять технические условия облачного решения.

                                  Комментарий


                                  • Сообщение от Cpx Посмотреть сообщение
                                    И как это противоречит Облачному сервису? Пользователи в контексте сервиса не хранят (носители, документацию) ничего на стороне ЦОДа.
                                    Наиболее существенная часть требования п. 30 приказа ФАПСИ № 152 от 13.06.2001 это хранение ключевых документов в хранилищах ИНДИВИДУАЛЬНОГО пользования. Буквально это можно трактовать как запрет использовать HSM для оказания посредством него услуг связанных с коллективным хранением ключевых документов в одном HSM.
                                    Хоть здравому смыслу такая трактовка безусловно противоречит, при желании создать кому-либо трудности, использование такой трактовки считаю вполне возможным.

                                    Комментарий


                                    • Сообщение от Zuz Посмотреть сообщение
                                      .....Как облачная подпись связана с полномочиями по созданию ключей? Создавать ключи может, УЦ затем передавать их облачному провайдеру или клиент может поручить это облачному провайдеру (ему это не запрещено законом, нужно только конфиденциальность обеспечить).
                                      Так себе криативчик, а HSM вообще позволяет импорт/экспорт закрытых ключей на индивидуальной основе?))
                                      Но есть и другие версии - https://pki-forum.ru/files/files/PKI...shlyaev_27.pdf
                                      https://www.cryptopro.ru/blog/2014/1...ke-kak-ona-est


                                      Комментарий


                                      • Сообщение от ost Посмотреть сообщение
                                        Там ситуация ровно наоборот, агенты генерят так в нарушение договора, потому что это удобнее .....
                                        А вы это сами так решили, или вам рассказал кто? Ладно еще если бы вы в УЦ работали и были бы заинтересованы в рассказывании подобных сказок с целью перевода стрелок....
                                        И вы реально допускаете что "агент" может сгенерить ключи клиенту без ведома УЦ?))


                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          https://pki-forum.ru/files/files/PKI...shlyaev_27.pdf
                                          там как раз слайды 13 и 14 по нашему вопросу, и это от КриптоПро еще в прошлом году было можно, а теперь нельзя:?
                                          Т.е. HSM специально для этого сделали, реализация под класс КВ с сервером подписи возможна (нужно лишь согласовать ТЗ и пройти оценку в ФСБ.
                                          ДСС это тот же HSM только программный и для низких классов, при этом Сертифицировано ФСБ.

                                          Сообщение от UserNick Посмотреть сообщение
                                          30 приказа ФАПСИ № 152 от 13.06.2001
                                          т.е. ФСБ и Крипто про со своими решениями нарушают и ФСБ их поддерживает? Так что ли, очень интересно...?

                                          Регулятор в лице ФСБ - согласовал такой подход (выпусти сертифицированные решения HSM и DSS, а значит подтвердил возможность использования и это не противоречит его требованиям (в частности приказу ФАПСИ и другим его документам).

                                          P.S. если есть желание искать законных запретов по использованию "облачных сервисов", в которых используются ключи - ищите точно не по линии ФСБ. Забавно, что антилоббисты развития технологий теперь не регулятор ИБ, а сами Банка и ЦБ =)) Не думал, что такое возможно у нас в стране.


                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            ДСС это тот же HSM только программный и для низких классов, при этом Сертифицировано ФСБ.
                                            В комплекте с DSS идет HSM. Вместо HSM, конечно можно использовать CSP, но это нештатный режим работы DSS.
                                            Для работы с квалифицированной подписью DSS и раньше не катила из-за действующего законодательства, с чем КриптоПро не спорит, как и любое другое ЮЛ или его официальные представители.))
                                            И, кстати, связка HSM + DSS сертифицированы только на КС1-КС3, в связи с чем, не очень понятно, каким образом получится подтвердить класс КВ для HSM при облачных реализаций по биометрии.

                                            Комментарий


                                            • Сообщение от saches Посмотреть сообщение
                                              каким образом получится подтвердить класс КВ для HSM при облачных реализаций по биометрии
                                              Только в результате Оценки в ФСБ соответствующего ПО (сервере подписи как все называют), которое работает с HSM" и если в нем реализованы соотв. функции как в DSS по работе с удаленной подписью, но задачи DSS шире обсуждаемого сабжа). Это как раз не проблема технически и юридически сделать в ФСБ.
                                              В своей же статьи и на уральском форуме, коллеги - разработчики СКЗИ не говорили, что нельзя применять. Они говорил, что есть сложности по применению СКЗИ на мобильных устройствах (особенно классов выше кс1). И только это накладывает соответствующие ограничения на применение облачных подписей.
                                              Не понятно, что надумали себе ИД-систем, ЦБ или кто-то им эту мысль вложил. Тот же РТ готовит облачное решение, но они же точно не дебилы делать с нарушениями в Вашей логике?

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                Не понятно, что надумали себе ИД-систем, ЦБ или кто-то им эту мысль вложил. Тот же РТ готовит облачное решение, но они же точно не дебилы делать с нарушениями в Вашей логике?
                                                А почему вас так смущает нарушение 63-ФЗ? Сколько банков уже заплатили деньги (возможно еще не все) и развернули у себя решения по съему биометрии?
                                                Хоть одно это решение соответствует требованиям ПКЗ2005? Насколько я понимаю, только решение от Инфотекса и то частично. И что, кто-то по этому поводу переживает?
                                                А ЦБ требует, давайте ставьте и отчитываетесь о начале съема! И всем регуляторам похоже по барабану....

                                                Комментарий


                                                • Сообщение от saches Посмотреть сообщение
                                                  Хоть одно это решение соответствует требованиям ПКЗ2005?
                                                  Решение ЕБС или любой другое и не должно соотв требованиям ПКЗ, т.к. ПКЗ только для СКЗИ и устанавливает для них требования.
                                                  Сообщение от saches Посмотреть сообщение
                                                  решение от Инфотекса и то частично
                                                  Полностью в части требований ФСБ, если получило положительное заключение на оценку (я лично документы ТЗ, Формуляр, правила пользования и заключение не видел), но видел письмо с отсылкой на какие-то номера писем от ФСБ (поверю на слова, что у них все хорошо).
                                                  И не соотв только в 4МР, т.к. у них не согласован проект с ФСБ, согласование только в виде письма, которое тоже мало кто видел (: Но Имхоо, это требование не выполнимое, т.к. отв дополнительного регулятора ФСТЭК. ЦБ видимо не захотел брать на себя и придумать требования сам для таких решения и тупо переложил.

                                                  Сообщение от saches Посмотреть сообщение
                                                  А почему вас так смущает нарушение 63-ФЗ?
                                                  Я с коллегами. в т.ч. ФСБ не вижу нарушений 63ФЗ и не понимаю откуда ветер дует...
                                                  Сообщение от saches Посмотреть сообщение
                                                  Сколько банков уже заплатили деньги (возможно еще не все) и развернули у себя решения по съему биометрии?
                                                  это вы намекаете, что все нарушают 63-ФЗ и всем пофиг на это и все довольны?)

                                                  Про ЦБ к счастью у всех участников форму едина позиция на их счет (:

                                                  Комментарий


                                                  • Сообщение от Cpx Посмотреть сообщение
                                                    т.е. ФСБ и Крипто про со своими решениями нарушают и ФСБ их поддерживает? Так что ли, очень интересно...?

                                                    Регулятор в лице ФСБ - согласовал такой подход (выпусти сертифицированные решения HSM и DSS, а значит подтвердил возможность использования и это не противоречит его требованиям (в частности приказу ФАПСИ и другим его документам).
                                                    Как раз таки противоречит. Прежде чем официально согласовывать возможность использования HSM ФСБ было обязано выполнить ревизию своих нормативных документов, но по каким то причинам этого не сделало, что вызывает неоднозначности при использовании HSM.

                                                    Сообщение от Cpx Посмотреть сообщение
                                                    P.S. если есть желание искать законных запретов по использованию "облачных сервисов", в которых используются ключи - ищите точно не по линии ФСБ. Забавно, что антилоббисты развития технологий теперь не регулятор ИБ, а сами Банка и ЦБ =)) Не думал, что такое возможно у нас в стране.
                                                    Опасения возникают наличие неоднозначностей и противоречивости в подходах и в нормативных документах двух регуляторов. Думаю, что само ФСБ своих нарушений не обнаружит, но официально контролировать выполнение требований в ЕБС поручено ЦБ. Поэтому имеется риск, что контролер от ЦБ прочтет 152 Приказ и в силу недостаточной компетентности, не зная всех прочих особенностей связанных с темой применения HSM "обнаружит" нарушение, которое надзор заставит устранить.

                                                    Комментарий


                                                    • Последний тренд от правительства - ослабить "регуляторную гильотину". ЦБ присоединился
                                                      Может ФСБ и ФСТЭК и выгребут мусор у себя, в т.ч приказ ФАПСИ № 152 от 13.06.2001, о котором выше говорили. Жду скрестив пальцы.
                                                      Хотя на хайпе санкций может быть обратная сторона медали.

                                                      Комментарий


                                                      • Сообщение от Массаракш Посмотреть сообщение
                                                        Последний тренд от правительства - ослабить "регуляторную гильотину". ЦБ присоединился
                                                        Может ФСБ и ФСТЭК и выгребут мусор у себя, в т.ч приказ ФАПСИ № 152 от 13.06.2001, о котором выше говорили. Жду скрестив пальцы.
                                                        Хотя на хайпе санкций может быть обратная сторона медали.
                                                        Спасибо поржал.
                                                        Как вам такой до сих пор действующий документ: Временное положение Банка России от 10.02.1998 N 17-П "О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями"

                                                        Комментарий


                                                        • Сообщение от UserNick Посмотреть сообщение
                                                          но официально контролировать выполнение требований в ЕБС поручено ЦБ
                                                          Представители ЦБ на форуме заявили, что не будут лезть в требования ФСТЭК и ФСБ и пусть они их проверяют. Понятно, что это только слова, но все же тенденция положительная.

                                                          Комментарий


                                                          • Сообщение от UserNick Посмотреть сообщение
                                                            ФСБ было обязано выполнить ревизию своих нормативных документов
                                                            Увы, но они вообще никому не обязаны, они закрытая структура... У них до сих пор документы на основе которых проходит оценка, все модели и классы нарушителей в т.ч. по конфиденциальным классам под грифом "секретно" и это повезло, т.к. недавно был гриф "СС". Как можно увидеть у них тоже есть тенденция идти ближе к народу =))

                                                            Комментарий


                                                            • Сообщение от UserNick Посмотреть сообщение
                                                              контролировать выполнение требований в ЕБС поручено ЦБ
                                                              А вот из-за этого имеем все беды,которые имеем. Почему так вышло никому не понятно.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X