17 октября, четверг 09:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • В отделениях почты начали собирать биометрию

    «Стоимость оборудования непосредственно для сбора биометрии составляет около 4 тыс. руб. за комплект (камера, микрофон, тренога, переходники).
    Ха-Ха А они учитывали затраты на безопасность компа в месте сбора (замок, НСД, ГОСТ-VPN, кашерный антивирь и прочие). Если все это подсчитать, то легко тысяч этак на 15-20 выйдем только по СЗИ.

    Комментарий


    • Сообщение от Массаракш Посмотреть сообщение
      В отделениях почты начали собирать биометрию
      Так не почта, а Банк (почтабанк), у них свое типовое решение и есть шанс, что на местах не нужно ставить лишнее СЗИ (:
      за 4тр не купить камеру и микрофон из белого списка...

      Комментарий


      • Сообщение от Массаракш Посмотреть сообщение
        Ха-Ха А они учитывали затраты на безопасность компа в месте сбора (замок, НСД, ГОСТ-VPN, кашерный антивирь и прочие). Если все это подсчитать, то легко тысяч этак на 15-20 выйдем только по СЗИ.
        Считали стоимость одного рабочего места для среднего облачного решения на рынке (пофиг законно оно или нет, сопровождать (технически и организационно) странный HSM внутри Банка не рассматривается) - железо, ОС, СЗИ: не менее 60к. Ну т.е. $1000 (вместе с ценой Windows 10 - она же типа самая защищенная, потому что сертификаты ФСТЭК на СЗИ только под нее пока действуют). Толку от такого рабочего места конечно нет за его цену. А рядом стоит рабочее место на Linux за $200, приносящее прибыль, и не сливающее данные "на родину Windows 10".. Так и живем.

        Комментарий


        • Сообщение от Cpx Посмотреть сообщение
          Так не почта, а Банк (почтабанк), у них свое типовое решение и есть шанс, что на местах не нужно ставить лишнее СЗИ (:
          за 4тр не купить камеру и микрофон из белого списка...
          А что под типовое решение не нужно СЗИ на рабочее место? А как же КС3 и НСД и требования 4-МР?

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Так себе криативчик, а HSM вообще позволяет импорт/экспорт закрытых ключей на индивидуальной основе?))
            Речь была не об этом. HSM, к примеру, может эксплуатироваться УЦ, а доступ к нему иметь оператор инфраструктуры облачной ЭП. Вообще, в любом случае не увидел прямого запрета в 63-ФЗ или каких-то проблем для реализации облачной ЭП. Технологии есть, реализация есть, но почему-то говорят нельзя, хотя не приводят каких-то основанных на нормах права аргументов.

            Сообщение от Berckut Посмотреть сообщение
            Как вам такой до сих пор действующий документ: Временное положение Банка России от 10.02.1998 N 17-П "О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями"
            Этот документ, кстати, вполне себе нормальный, он про аналоги собственноручной подписи, чётко по ГК.

            Комментарий


            • Сообщение от Массаракш Посмотреть сообщение
              А что под типовое решение не нужно СЗИ на рабочее место?
              зависит от типового решения.
              Сообщение от Массаракш Посмотреть сообщение
              А как же КС3 и НСД и требования 4-МР?
              при чем тут 4МР? В 4Мр нет рекомендаций по составу СЗИ к типовому решению или облачному, все отдано на откуп ФСБ...

              Комментарий


              • Добрый день! Коллеги подскажите кто нибудь из вендеров уже продает сертифицированные облачное решение по биометрии?

                Комментарий


                • Сообщение от Cpx Посмотреть сообщение
                  Представители ЦБ на форуме заявили, что не будут лезть в требования ФСТЭК и ФСБ и пусть они их проверяют. Понятно, что это только слова, но все же тенденция положительная.
                  Кстати, проверки ЦБ стартонувшие во многих банках в конце августа проверяют по ЕБС всё: какие СЗИ используются и где (АРМы, серверы приложений и пр.), логические схемы компонентов (информационные потоки, шифрование каналов и пр.), внутренние документы регламентирующее всё это, приказы, должностные и пр. 4-МР тоже смотрят, нужно фактически дать пояснения по каждому пункту, как реализован (какие СЗИ используются и пр.).
                  Но формулировки относительно мягкие пока, в частности указано отразить текущее состояние с планируемыми сроками завершения работ.

                  В этом году проверки очень детальные, смотрят всё (запрашивают все схемы как по ИТ так и по ИБ, списки ПО, АБС, ИТ объектов, СЗИ, доступы во все системы), в т.ч. проводят осмотры на месте всего этого (к примеру, банкомат или файрвол для DMZ, как настроен, что реально работает, а не на бумаге).
                  Последний раз редактировалось Zuz; 17.09.2019, 18:34.

                  Комментарий


                  • Сообщение от serschurf Посмотреть сообщение
                    А подскажите ламерам, помнится год назад был проект со сроками внедрения ЕБС (к 31.12.2018 минимум в одном офисе в регионе, к 31.12.2018 везде), сейчас искали это положение и или указание, ничего найти не удаётся. Чем сейчас регламентируются сроки, или ничем?)
                    Еще вот, но прошло только 1-е чтение
                    WBR, Александр Турчин

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение

                      Кстати, проверки ЦБ стартонувшие во многих банках в конце августа проверяют по ЕБС всё: какие СЗИ используются и где (АРМы, серверы приложений и пр.), логические схемы компонентов (информационные потоки, шифрование каналов и пр.), внутренние документы регламентирующее всё это, приказы, должностные и пр. 4-МР тоже смотрят, нужно фактически дать пояснения по каждому пункту, как реализован (какие СЗИ используются и пр.).
                      Но формулировки относительно мягкие пока, в частности указано отразить текущее состояние с планируемыми сроками завершения работ.

                      В этом году проверки очень детальные, смотрят всё (запрашивают все схемы как по ИТ так и по ИБ, списки ПО, АБС, ИТ объектов, СЗИ, доступы во все системы), в т.ч. проводят осмотры на месте всего этого (к примеру, банкомат или файрвол для DMZ, как настроен, что реально работает, а не на бумаге).

                      Интересно кто это делает и на основании каких методик?
                      Если посмотреть 4-МР, то они имеют статус "рекомендаций", т.е. если у банков есть веские аргументы, то с теми же проверяющими можно оспорить обосновать применения отдельных "рекомендаций". Тот же ЦБ сейчас уклоняется от вопросов по части требования 2.1.7 - применение УКЭП для подписи снятых БО. Мало того, Ассоциация банков Россия обращалась в ЦБ с просьбой рассмотреть возможность отказа необходимости иметь подтвержденную учетку в ЕСИА, т.к. у многих АРМ сбора встроен в фронтальные АБС. ЦБ обещал проработать этот вопрос совестно с Минцыфрой.

                      Комментарий


                      • Сообщение от serschurf Посмотреть сообщение
                        А подскажите ламерам, помнится год назад был проект со сроками внедрения ЕБС (к 31.12.2018 минимум в одном офисе в регионе, к 31.12.2018 везде), сейчас искали это положение и или указание, ничего найти не удаётся. Чем сейчас регламентируются сроки, или ничем?)
                        Ищите Письмо ЦБ от 28.06.2018 №ИН-03-13/40. Там все сроки указаны

                        Комментарий


                        • Сообщение от Norc Посмотреть сообщение
                          Добрый день! Коллеги подскажите кто нибудь из вендеров уже продает сертифицированные облачное решение по биометрии?
                          Сертифицированными бывают СЗИ, СКЗИ, отдельные версии операционок и т.д. Не факт, что кто-то захочет потратить кучу денег и времени на полную сертификацию всего решения, да и нет такого требования.
                          Существует мнение, вроде как регуляторов (которое я так же разделяю), что на текущий момент, любое облачное решение противоречит 63-ФЗ. Возможно, в связи с этим, осенью ждут принятия поправок в этот ФЗ.
                          Последний раз редактировалось saches; 18.09.2019, 11:55.

                          Комментарий


                          • Сообщение от Zuz Посмотреть сообщение
                            Речь была не об этом. HSM, к примеру, может эксплуатироваться УЦ, а доступ к нему иметь оператор инфраструктуры облачной ЭП. Вообще, в любом случае не увидел прямого запрета в 63-ФЗ или каких-то проблем для реализации облачной ЭП. Технологии есть, реализация есть, но почему-то говорят нельзя, хотя не приводят каких-то основанных на нормах права аргументов.......
                            Ну да, закон у нас, как известно,"что дышло"....и зачем в европах напридумывали всяких trust srvice providers, наверное просто от нечего делать.....
                            Последний раз редактировалось saches; 18.09.2019, 11:52.

                            Комментарий


                            • Сообщение от saches Посмотреть сообщение
                              на полную сертификацию всего решения, да и нет такого требования.
                              А как на счет "проекта, согласованного с ФСБ" или как там в 4-МР - хоть одно решение на рынке получило такую писульку?

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                А как на счет "проекта, согласованного с ФСБ" или как там в 4-МР - хоть одно решение на рынке получило такую писульку?
                                Насколько я понимаю, МР-4 в принципе противоречит 86-ФЗ "О ЦБ РФ", в части случаев, когда ЦБ может устанавливать какие-либо требования по ИБ и с кем он должен их согласовывать. Хотя, конечно понятно, что, для большинства банков, спорить с ЦБ дело не самое перспективное и целесообразное...

                                КМК, в целом, от формализации требования выпуска типового решения(ТР) на основе некого согласованного "системного проекта"(СП) с ФСБ, для банков больше вреда, чем пользы, т.к. функциональная наполненность ТР/СП никак не регламентирована и каждый вендор сам определяет, какой именно там будет функционал и какие СЗИ он туда напихает.
                                В результате:
                                - все банки сами должны определяться (возможно с помощью интеграторов) как доукомплектовать ими выбранное ТР, для реализации полного функционала по сбору БО (хотя бы);
                                - банки ничего не могут выкинуть из согласованного ТР, даже если какие СЗИ им, по каким-то причинам, не нужны, т.к. теряется "бумажка";
                                - с точки зрения действующей нормативки ФСБ - "контроль встраивания" проводится только для ТР. Как минимум, на АРМ-ах, никто "контроль встраивания" проводить не собирается.
                                Т.е. формально, банки остаются уязвимы для претензий со стороны ФСБ, да и ЦБ, который требование по "оценке влияния" сейчас пихает во все свои нормативные документы;
                                В итоге, данное требование только добавляет бардака и удорожает решение для банков.

                                На счет того. кто чего получил. Четкой информации у меня нет, но, насколько я представляю, решение от Инфотекса получило выписку из заключения ФСБ по оценке влияния на свое типовое решение, но не получило согласование ФСБ на соответствующий СП. Вроде бы, решения от IDSys и Ростелика согласовали с ФСБ свои СП, но еще не получили те самые выписки из заключения ФСБ по "оценке влияния". КМК, всё это можно уточнить у вендоров.

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение

                                  А как на счет "проекта, согласованного с ФСБ" или как там в 4-МР - хоть одно решение на рынке получило такую писульку?
                                  Ответ РТ:
                                  - Информационное письмо о согласовании системного проекта типового решения ПАО «Ростелеком» https://bio.rt.ru/upload/iblock/6a8/...glasovanii.pdf Номер письма указан, при наличии необходимых допусков, заказчик может запросить текст письма у ФСБ.
                                  - Информационное письмо о завершении тематических исследований типового решения ПАО «Ростелеком» https://bio.rt.ru/upload/iblock/33b/...ostelekom_.pdf

                                  Комментарий


                                  • Сообщение от w3d Посмотреть сообщение
                                    ....- Информационное письмо о завершении тематических исследований типового решения ПАО «Ростелеком» https://bio.rt.ru/upload/iblock/33b/...ostelekom_.pdf
                                    Формально, это как бы, неочем. Требуется выписка из заключения ФСБ, а не разработчика СКЗИ.

                                    Комментарий


                                    • Обновлена форма согласия на обработку персональных данных, необходимых для регистрации гражданина РФ в ЕСИА и ЕБС.
                                      http://www.consultant.ru/law/hotdocs...utm_medium=rss

                                      Комментарий


                                      • Сообщение от w3d Посмотреть сообщение
                                        Номер письма указан, при наличии необходимых допусков, заказчик может запросить текст письма у ФСБ.
                                        Нельзя, это ДСП инфа и ФСБ ею делиться не с заявителем или Лабой не будет и не имеет право.
                                        Только вендор имеет право предоставить выписку из положительного заключения, но ему тоже не доступны материалы заключения. Как Вариант просит вендора попросить лабу, но это тяжелый путь...
                                        Номера писем ничего не дают и ни чего не подтверждают...
                                        Сообщение от saches Посмотреть сообщение
                                        В итоге, данное требование только добавляет бардака и удорожает решение для банков.
                                        Не ожидал такое услышит от Вас (: Полностью поддерживаю мнение.

                                        Комментарий


                                        • ЦБ сейчас работает над внедрением обслуживания юрлиц с помощью биометрии, сообщил в интервью "Коммерсанту" директор департамента финансовых технологий Банка России Иван Зимин.

                                          "В настоящее время речь идет о продуктах для физлиц, но мы планируем внести изменения, чтобы сервис был доступен и для юридических лиц. В этом сегменте, особенно в сегменте малого и среднего бизнеса, крайне важно обеспечить доступность банковских услуг, в том числе с помощью удаленной биометрической идентификации", — заявил он.

                                          По словам Зимина, для банков с универсальной лицензией планируется ввести обязанность предоставлять с помощью удаленной идентификации три ключевых продукта (открытие счетов и вкладов , получение розничных кредитов и денежные переводы) в сентябре 2020 года, а с базовой — с июля 2021-го. Проект закона уже прошел первое чтение в Госдуме.

                                          "Рассчитываем, что он будет принят в ближайшие два месяца. Ко второму чтению законопроект планируется дополнить обязанностью предоставления сервисов через ЕБС для трех видов операций, а также возможностью расширения использования биометрической системы на все банковские операции и на все операции, которые осуществляются некредитными финансовыми организациями (НПФ, профучастники фондового рынка, МФО и другие)", — пояснил Иван Зимин.

                                          Комментарий


                                          • Сообщение от Mr Посмотреть сообщение
                                            Обновлена форма согласия на обработку персональных данных, необходимых для регистрации гражданина РФ в ЕСИА и ЕБС.
                                            Имею вопрос по пункту 3 обновленного согласия. Каких таких лиц, которым будет поручена обработка ПДн, надо вписывать в пункте 3 этого согласия, откуда я могу знать, кому минцифра и ростелек захотят поручить обработку ПДн? И опять же, если банк никому не планирует поручать обработку, там так и оставлять пустое место в согласии?

                                            Комментарий


                                            • Сообщение от idelta Посмотреть сообщение
                                              Если Вы пишете о "Приложении-М...", то я указывал :
                                              1. 115-ФЗ от 7 августа 2001г, 110-ФЗ от 5 мая 2014г, 482-ФЗ от 31 декабря 2017г.
                                              2. openid, bio, ext_auth_result.
                                              Ещё вопрос - в заявке указывается перечень целей со ссылками на пункты нормативного акта. Там что указывать надо?

                                              Комментарий


                                              • Сообщение от ost Посмотреть сообщение

                                                Имею вопрос по пункту 3 обновленного согласия. Каких таких лиц, которым будет поручена обработка ПДн, надо вписывать в пункте 3 этого согласия, откуда я могу знать, кому минцифра и ростелек захотят поручить обработку ПДн? И опять же, если банк никому не планирует поручать обработку, там так и оставлять пустое место в согласии?
                                                Туда надо вписывать, например, облачного провайдера, если используется облачное решение.
                                                А вот надо ли туда вписывать Ростелеком, как оператора ЕБС - ХЗ. Я так и не понял. По идее, это должен именно Ростелеком сказать, но он упорно открещивается от звания оператора ПДн.

                                                Комментарий


                                                • Сообщение от Berckut Посмотреть сообщение
                                                  Туда надо вписывать, например, облачного провайдера, если используется облачное решение.
                                                  Верно!

                                                  Сообщение от Berckut Посмотреть сообщение
                                                  А вот надо ли туда вписывать Ростелеком, как оператора ЕБС - ХЗ. Я так и не понял.
                                                  Нет не нужно, они же выше уже есть в пунктах.

                                                  Сообщение от Berckut Посмотреть сообщение
                                                  о идее, это должен именно Ростелеком сказать, но он упорно открещивается от звания оператора ПДн.
                                                  Это интересный вопрос: "оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;"

                                                  Т.е. ни банки, ни РТК не определяют цели обработки, состав ПДн (это сделало Правительство и государство в законе и подзаконных актах), то формально следуя определению в законе считать их операторами ПДн не корректно. )))

                                                  Комментарий


                                                  • Сообщение от Zuz Посмотреть сообщение
                                                    Т.е. ни банки, ни РТК не определяют цели обработки, состав ПДн (это сделало Правительство и государство в законе и подзаконных актах), то формально следуя определению в законе считать их операторами ПДн не корректно. )))
                                                    Это с одной стороны, но как раз РТК банку поручает по своему договору (сбор и идентификация) оферты обрабатывать ПДн и от этого есть прибыль.
                                                    С одной стороны в соотв 149ФЗ это ГИС с ПДн (БПДн) с со всеми вытекающими требования по ЗИ, но и 152ФЗ нужно не забыть. И выходит, что РТК как опретаор ГИС, является автомтаически оператором ПДн.

                                                    Комментарий


                                                    • Сообщение от Berckut Посмотреть сообщение
                                                      Туда надо вписывать, например, облачного провайдера, если используется облачное решение.
                                                      А если не используется, что пустое место оставлять?
                                                      Как-то это некрасиво...

                                                      Комментарий


                                                      • Сообщение от ost Посмотреть сообщение
                                                        Как-то это некрасиво...
                                                        Прочерк ставить. Все поля в любых подобных формах должны быть заполнены иначе могут быть дописки.

                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          является автомтаически оператором ПДн.
                                                          Оператором ЕБС, как ИСПДн и в теории ГИС безусловно, но вот оператором ПДн с натяжкой. Явного договора поручения нет. Косвенно да поручает.
                                                          Видимо РТК такая размытость в формулировках выгодна, раздел 9 оферты прочитайте, это на поручение обработки никак не тянет. )))

                                                          Комментарий


                                                          • Сообщение от Zuz Посмотреть сообщение
                                                            Явного договора поручения нет. Косвенно да поручает.
                                                            Сообщение от Zuz Посмотреть сообщение
                                                            Видимо РТК такая размытость в формулировках выгодна, раздел 9 оферты прочитайте, это на поручение обработки никак не тянет. )))
                                                            Читал, видимо пока не случиться инцидента всех такой статус "без оператора Пдн" устраивает...
                                                            Нужно РКН подключать к пьянке вокруг ЕБС=))

                                                            Комментарий


                                                            • Сообщение от Berckut Посмотреть сообщение
                                                              ...... По идее, это должен именно Ростелеком сказать, но он упорно открещивается от звания оператора ПДн.
                                                              И давно открещивается?

                                                              Распоряжение Правительства РФ от 22.02.2018 N 293-р <О возложении на публичное акционерное общество междугородной и международной электрической связи "Ростелеком" функций оператора единой информационной системы персональных данных>

                                                              http://www.consultant.ru/law/hotdocs/53136.html/

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X