10 июля, пятница 06:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Rubaka Посмотреть сообщение
    Не совсем. В 4 МР - УКЭП. В 321 - ПЭП.
    Нет в 4-МР данная чёткая ссылка на 321 приказ Минцифры, где даётся вполне конкретное и даже верное описание технологии ПЭП (см. п. 2.1.4.).
    Поэтому согласно рекомендациям 4-МР необходимо реализовать ПЭП (обязательно, не рекомендация) и в качестве усиления КЭП (по желанию).

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение
      .....Кто Вам это сказал?! Давайте от обратного: а где сказано, что на АРМ банка (оператора),что-то вообще должно быть с классом СКЗИ для подписи? В требованиях ниже указаны требования к каналу и не более....
      Всё ИМХО, т.е. не для дискусии -
      См. п.1.2. 4859-У от ЦБ и Ростелика -

      1.2. при сборе биометрических персональных данных в государственных органах, банках и иных организациях, включая сбор биометрических персональных данных и передачу собранных биометрических персональных данных между структурными подразделениями ...., указанных в пункте 11 приложения к приказу ФСБ России N 378 (в случае применения средств (систем) защиты информации от НСД ....не ниже четвертого класса)....

      Т.е.СКЗИ КС2 + СЗИ от НСД не ниже 4-го класса при сборе(т.е. на АРМ-е) и передаче.
      И весь вопрос, какое СЗИ прокатит? Например, АМДЗ, этож то же СЗИ от НСД - https://www.securitycode.ru/upload/iblock/801/3191.pdf


      Для примера п.1.3. 4859_У, вот здесь речь только про передачу-

      1.3. при передаче собранных биометрических персональных данных между государственным органом, банком, иной организацией и единой биометрической системой:


      Комментарий


      • Сообщение от saches Посмотреть сообщение
        1.3. при передаче собранных биометрических
        Тут как раз про связь между Банком и РТ и тут защита каналов связи.
        Сообщение от saches Посмотреть сообщение
        1.2. при сборе биометрических
        Вы не уловили суть моего вопроса!
        СКЗИ бывают разные (КЭП, МЭ, Антивирусы, Шифраторы, крипто Шлюзы), в пункте 1.2 написано. что угроза целостности актуально, но ее закрыть можно любыми средствами защиты (в т.ч. ФСТЭК - СЗИ от НДС контролирует целостность и мониторит процессы и приложения тем самым гарантирует замкнутую программную среду). Вы же сразу воспринимаете чтение пунктов с актуальными угрозами как необходимость использовать исключительно СКЗИ ФСБ. при этом не понятное какое именно.
        АМДЗ который обсуждается нужен для КЭП, если стоит Крпитопро CSP. Но как вы вышли на необходимость КЭП исходя из пункта 1.2 мне не понятно. а если вышли почему не ПЭП? И почему не другие меры с применением тех же СКЗИ? ))

        п.с. и если внимательно почитать приказ 378, о чем п.11 и п12. а они о том, что у Вас в банке на контролируемой зоне есть внутренний нарушитель способный осуществить подмену! И это вы официально признаете? Если да, конечно выполняете указанные меры.

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          И весь вопрос, какое СЗИ прокатит? Например, АМДЗ, этож то же СЗИ от НСД - https://www.securitycode.ru/upload/iblock/801/3191.pdf
          Дьявол кроется в мелочах!
          Устройство удовлетворяет требованиям к доверенной загрузке и может использоваться для защиты от НСД.
          Не "удовлетворяет требованиям к защите от НСД Х класса", а просто "может использоваться для защиты от НСД"

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение
            Дьявол кроется в мелочах!
            Браво! Не многие улавливают эту разницу. Маркетинг творит чудеса ))
            п.с. не пойму зачем вдруг стали требовать использование сертифицированных средств определённого класса? Когда требовать должны обеспечить требуемый уровень безопасности (1Г, ИСПДн Х, ГИС -Х, ГОСТ Р раз ну то пошло), а эти классы в свою очередь предъявляют требования к СЗИ и их классам...

            Комментарий


            • Сообщение от Cpx Посмотреть сообщение
              В таком случае прикинутся идиотом и сказать, что у НСД нет 4 класса и каких либо классов (:
              Нам предлагалось пояснить, но очевидно, что какой-то из классов является определяющим и это вероятнее всего класс по СВТ (+ возможно НДВ в нагрузку), т.к. по остальным тоже есть классы и рекомендации к таким СЗИ и классам в 4-МР.
              Из ситуации вышли заменой на Secret Net Studio-С, стоит столько же, лицензии те же, только дистрибутив и формуляр нужно докупить (и Соболь, если его не было).

              Сообщение от Berckut Посмотреть сообщение
              Не "удовлетворяет требованиям к защите от НСД Х класса", а просто "может использоваться для защиты от НСД"
              Именно, из свежего опыта всё это трактуется буквально, т.е. формально не годится. )))

              Сообщение от Cpx Посмотреть сообщение
              и если внимательно почитать приказ 378, о чем п.11 и п12. а они о том, что у Вас в банке на контролируемой зоне есть внутренний нарушитель способный осуществить подмену! И это вы официально признаете? Если да, конечно выполняете указанные меры.
              Это верно, я изначально говорил об этом в этом треде, но есть 4-МР, их буквально трактуют. Указывают, что не соблюдается то-то и всё, не важно, что это рекомендация, можно возразить в возражениях к акту проверки.
              Хотя нечёткость формулировок проверяющих не радует, читаем сертификат на СЗИ и не ясно, какой реально класс защиты от НСД, читаем требование и там не ясно какой класс имеется в виду. )))
              Последний раз редактировалось Zuz; 08.10.2019, 14:18.

              Комментарий


              • Сообщение от Zuz Посмотреть сообщение
                Это верно, я изначально говорил об этом в этом треде, но есть 4-МР, их буквально трактуют. Указывают, что не соблюдается то-то и всё, не важно, что это рекомендация, можно возразить в возражениях к акту проверки.
                Видимо получается, что для закрытия пунктов Указаний ЦБ и приказа ФСБ, Минсвязи нужно писать обоснование, актуальность угроз, и компенсирующие меры
                А по методичке 4МР отдельно "воевать" разными способами..

                п.с. а как они сами работают с противоречием 4МР СЗИ ФСБ согласно формулярам, а не ФСТЭК 4МР - тоже пишут замечания?)) Для них кто главнее формуляр или 4мр?

                Комментарий


                • Сообщение от Cpx Посмотреть сообщение
                  Видимо получается, что для закрытия пунктов Указаний ЦБ и приказа ФСБ, Минсвязи нужно писать обоснование, актуальность угроз, и компенсирующие меры
                  Возможно это решение.
                  Но вот пример: у нас С-терра КС2 для каналов связи между офисами, но там нет средства от НСД 4го класса, да есть Соболь, а он как мы выяснили не совсем СЗИ от НСД, он может, но без класса. ) И всё, не выполняется рекомендация 4-МР и формально даже указание по актуальным угрозам тоже, нужно СЗИ от НСД 4го класса и всё тут. )))
                  Ну и формально при сборе нужно СКЗИ, хотя при сборе СКЗИ вообще может не быть на АРМе (нечего там защищать с помощью СКЗИ в общем случае, если канал защищён).

                  Сообщение от Cpx Посмотреть сообщение
                  с противоречием 4МР СЗИ ФСБ согласно формулярам, а не ФСТЭК 4МР - тоже пишут замечания?))
                  Не совсем понял? Что сертификат от ФСБ на СЗИ, а не ФСТЭК для Соболя? Ну тут 4-МР не требует ничего.
                  Сообщение от Cpx Посмотреть сообщение
                  Для них кто главнее формуляр или 4мр?
                  Главнее документы ЦБ. )
                  Последний раз редактировалось Zuz; 08.10.2019, 19:19.

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    Не совсем понял. Главнее документы ЦБ. )
                    Писали, что формуляры тоже проверяют. Что для них важнее 4мр или формуляр? Или в любом случае будет формальное замечание нарушен формуляр или 4мр т.к. применяется СЗИ ФСТЭК или ФСБ))?

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      Возможно это решение.
                      Есть еще один способ - все приказы и указы и 4МР устанавливают требования к обработке БПДн. По факту БПДн банк при сборе не обрабатывает, а обрабатывает лишь БО (обычные ПДн). Можно писать не применяется, т.к. банк не обрабатывает БПДн, определение БПДН есть в законе(:

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        Дьявол кроется в мелочах!.....Не "удовлетворяет требованиям к защите от НСД Х класса", а просто "может использоваться для защиты от НСД"
                        Дык яж, на самом деле, и предлагаю поломать над этим голову проверяющим из ЦБ.... Требования ж бумажные, а в бумаге (сертификате) написано, что может использоваться как СЗИ от НСД, вот мы и используем. Т.е. тут больше вопрос риск-менеджмента.

                        Комментарий


                        • Сообщение от Berckut Посмотреть сообщение
                          На мой взгляд это более правильно - банку не надо не под своим контролем где попало держать свои ключи. Лично я считаю это более правильным. Хотя там кроме этого, в ЦФТ ещё СМЭВовские ключи надо передавать.
                          И почему биометрические образцы не могут быть заверены подписью облачного аутсорсера? Не понимаю. Если бы подпись КВ2 делалась на организацию, то да, но это не разрешили и её приходится делать на представителя организации. Какая разница, представителем организации является её работник или сторонняя организация?
                          Сообщение от Cpx Посмотреть сообщение
                          СМЭВ на стороне банка, там явно указан обратный поток подписанных БО.
                          Что-то они подписывают или отправляют с использованием ключей СМЭВ. Я точно помню, что ключи СМЭВ им надо было передать.

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            Что-то они подписывают или отправляют с использованием ключей СМЭВ. Я точно помню, что ключи СМЭВ им надо было передать.
                            Если это про ЦФТ, то это не так. Последняя версия их решения не предполагает прямого соединения их "облака" со СМЭВ. Подписанные их КВ2-подписью БО идут в СМЭВ обратным ходом через банк.

                            Комментарий


                            • Сообщение от dredd Посмотреть сообщение
                              Подписанные их КВ2-подписью БО идут в СМЭВ обратным ходом через банк.
                              не знаете:
                              - они решение запустили в бой или пока на уровне концепта?
                              - у них свой КВ ключ есть по факту? Есть возможность посмотреть сертификат на подписанных образцах. Получить они его юридически не могут..
                              - РТ каким образом принимает (или будет) и идентифицирует от какого банка пришел подписанный образец и назначать выплату?

                              Комментарий


                              • Сообщение от Cpx Посмотреть сообщение
                                не знаете
                                - на последнем вебинаре они заявили, что около 50-и банков работают в боевом режиме с их облачным решением.
                                - как я понял, своей КВ подписи у них пока нет, но до конца года собираются все банки перевести на схему с ее использованием.
                                - а какие могут быть проблемы с идентификацией? БО передает сам банк со своей мнемоникой ИС,

                                Комментарий


                                • Сообщение от dredd Посмотреть сообщение
                                  что около 50-и банков работают в боевом режиме с их облачным решением.
                                  - чистый маркетинг, а ЦБ на уральском форуме привел цифру, что у ЦФТ всего 6 реально подключенных банков всего.(:
                                  И на сколько мне известно ключи КВ "их банки" не получали, а значит на бою работать не могут имхоо .
                                  - чтожж, флаг в руки (:
                                  - БО не знает ничего о мнемоники и о СМЭВ, отсюда и вопрос...
                                  РТ в ЕБС получает только БО подписанный подписью КВ банки (или "ромашка") и на основании этого понимает от кого пришло и принимает решение кому платить.
                                  Условно пакет состоит из: ( (1. Данные: БО + подпись КВ) + 2. xml файл в формате СМЭВ + подпись КС).
                                  Часть 1 данные, часть 2. это атрибуты, чтобы воспользоваться каналом СМЭВ и получить/отправить по нему данные 1. После их получения в СМЭВ на стороне ЕБС, ЕБС получает только часть 1. А часть 2 - остается в транспорте и ставиться отметка, что данные дошли и КС совпало.

                                  Участники и ИС:
                                  1. Банк;
                                  2. Облако;
                                  3. СМЭВ
                                  4. ЕСИА
                                  5. ЕБС

                                  Разве не так?

                                  п.с. и как же совместимость КВ со СМЭВ? разве нельзя одним ключем подписать и БО и xml для СМЭВ?

                                  Комментарий


                                  • Сообщение от Cpx Посмотреть сообщение
                                    чистый маркетинг
                                    Я так не думаю. И это из чего следует, что без КВ-подписи работать не могут?
                                    А про тонкости реализации лучше непосредственно к ним (я не вникал).
                                    И вебинар их вроде доступен для скачивания.

                                    Комментарий


                                    • Сообщение от dredd Посмотреть сообщение
                                      И это из чего следует, что без КВ-подписи работать не могут?
                                      В продуктивном-боевом контуре - да, нужен ключ КВ. Регламент РТ по подключению советую почитать.
                                      Сообщение от dredd Посмотреть сообщение
                                      А про тонкости реализации лучше непосредственно к ним (я не вникал). И вебинар их вроде доступен для скачивания.
                                      Увы, никто не вникает, даже они. Вебинар видел, одна вода, схема вода.
                                      На указанный мною вопрос технологического взаимодействия ни один вендор не отвечает. А думаете почему? Правильно они еще не реализовали и не работают так как заявляют и вряд ли смогут (:
                                      Часть СМЭВ же теперь не их озона ответственности, а банка. И в это они не вникают, однако пытаются менять согласованный процесс взаимодействия (подпись КВ не банка и т.п.). А когда много участников банкета, что общее - общая безответственность! И каждый участник будет свои права и требования выдвигать (Минсвязь, Восход, Вендор ЕБС, Ростелек - ЕБС, СМЭВ, ЕСИА) в каждом из этих участков/участников свои требования и свои отдельные люди. И Банку нужно будет пройти их все, чтобы система в итоге заработала и участники не стали обмениваться стрелками. когда что-то пойдет не так...

                                      Комментарий


                                      • Сообщение от Cpx Посмотреть сообщение
                                        В продуктивном-боевом контуре - да, нужен ключ КВ. Регламент РТ по подключению советую почитать.
                                        Спасибо, читал. И Вы конечно уверены, что класс ЭП реально проверяется на стороне РТ?

                                        Комментарий


                                        • Сообщение от dredd Посмотреть сообщение
                                          И Вы конечно уверены, что класс ЭП реально проверяется на стороне РТ?
                                          Конечно уверен, проверять Класс ЭП должен автоматически проверяться в ЕБС как только подписанный БО попал в ЕБС и только после это проходит математические операции по преобразованию в биометрический шаблон. Это все должно быть описано и реализовано исходя из согласованного проекта на ЕБС (если оно конечно прошло такое согласование и согласуется, мы опять ничего об этом не знаем и не узнаем). Регулятор ФСБ просто не пропустить такой ляп на стороне ГИС ЕБС - поверьте на слово.

                                          И это вопрос времени, рубильник повернут и перейдут на БО подписанные КВ! Сейчас же нужно было отчитаться, что система работает в полный рост! Не принято расстраивать руководство страны. И все текущие собранные образцы, которые не соотв требованиям очевидно будут признаны не валидными и будут удалены, т.к .от них зависит юридические последствия для граждан и поверьте РТ это хорошо осознает и юристы у него хорошие работают.

                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            оторые не соотв требованиям очевидно будут признаны не валидными и будут удалены, т.к .от них зависит юридические последствия для граждан и поверьте РТ это хорошо осознает и юристы у него хорошие работают.
                                            КМК, так не будет иначе это будет иметь последствия, т.е. можно будет считать, что идентификация не была проведена как следует, т.е. нарушен 115-ФЗ.

                                            Комментарий


                                            • Сообщение от Cpx Посмотреть сообщение
                                              И все текущие собранные образцы, которые не соотв требованиям очевидно будут признаны не валидными и будут удалены, т.к .от них зависит юридические последствия для граждан и поверьте РТ это хорошо осознает и юристы у него хорошие работают.
                                              На прямой вопрос заданный на встрече с ЦБ, было сказано, что забейте - эти образцы останутся. А через 3 года их все равно надо будет обновить.
                                              ***Настроение бодрое, идем ко дну.

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                - чистый маркетинг, а ЦБ на уральском форуме привел цифру, что у ЦФТ всего 6 реально подключенных банков всего.(:
                                                И на сколько мне известно ключи КВ "их банки" не получали, а значит на бою работать не могут имхоо .
                                                - чтожж, флаг в руки (:
                                                - БО не знает ничего о мнемоники и о СМЭВ, отсюда и вопрос...
                                                РТ в ЕБС получает только БО подписанный подписью КВ банки (или "ромашка") и на основании этого понимает от кого пришло и принимает решение кому платить.
                                                Не знаю как у "облачных" клиентов, а реально подключенный клиент с типовым решением, получивший подпись КВ ещё в начале года, у них есть

                                                И да, боевая ЕБС сейчас вполне нормально работает без использования КВ подписи. По крайней мере пока

                                                Комментарий


                                                • Сообщение от Beckett Посмотреть сообщение
                                                  И да, боевая ЕБС сейчас вполне нормально работает без использования КВ подписи
                                                  Скажу больше, нормально работает вообще безо всякой подписи на БО.

                                                  Комментарий


                                                  • Сообщение от Beckett Посмотреть сообщение

                                                    И да, боевая ЕБС сейчас вполне нормально работает без использования КВ подписи. По крайней мере пока
                                                    А что значит нормально работает? Принимает БО? Что-то я отстал от жизни. Есть хоть один сервис\бизнес-процесс, который использует биометрию ЕБС?
                                                    Дайте ссылку.
                                                    "сила в правде: у кого правда, тот и сильней!"

                                                    Комментарий


                                                    • Вот это понятно (по-моему) :
                                                      Сообщение от Beckett Посмотреть сообщение
                                                      И да, боевая ЕБС сейчас вполне нормально работает без использования КВ подписи. По крайней мере пока
                                                      Можно только уточнить, что это "пока" длится со(с) рождения ЕБС и нихто не знает, когда вырубят рубильник...

                                                      Но этого я совсем не понял :
                                                      Сообщение от dredd Посмотреть сообщение
                                                      Скажу больше, нормально работает вообще безо всякой подписи на БО.
                                                      СМЭВ3-конверт с биоданными уходит от сборщика с 3-мя подписями !
                                                      1-й это тот самый ЭП-ОВ (всегда был есть и ...) на сам конверт-тело.
                                                      2-й это подпись на фото.жопг.
                                                      3-й это подпись на звук.вава.
                                                      Битва (HSM-зация и KB-зация) идёт за судьбу 2-й и 3-й... но и их в процессе плавно слили (мысленно) сначала в одну,
                                                      потом ... разрешили обходиться вообще только ЭП-ОВ. Но только "временно"...

                                                      Отдельно от конверта (и до его отсылки) фото и звук (в голом виде, но по СМЭВному VPN-у) ftp-закачиваются туда куда надо...
                                                      На том конце кто-то (мне показалось это СМЭВ, но не ЕБС) проверяет хэши и подписи...

                                                      Комментарий


                                                      • Сообщение от Массаракш Посмотреть сообщение

                                                        А что значит нормально работает? Принимает БО? Что-то я отстал от жизни. Есть хоть один сервис\бизнес-процесс, который использует биометрию ЕБС?
                                                        Дайте ссылку.
                                                        Сам спросил - сам отвечу - первый биометрический платеж!
                                                        Отчитались о запуске "космодрома Восточный"
                                                        "сила в правде: у кого правда, тот и сильней!"

                                                        Комментарий


                                                        • Сообщение от idelta Посмотреть сообщение
                                                          Но этого я совсем не понял :
                                                          Ну я так и сказал без ЭП на БО (Ваши 2-я и 3-я). А СМЭВ-овский сертификат да, используется, конечно.

                                                          Комментарий


                                                          • коллеги, подскажите. Общались на днях с ЦФТ по их 'облачному' решению. Они говорят, что КВ подпись будет использоваться их, а не банка. Не понятно, на каком основании им выдадут эту подпись?

                                                            Комментарий


                                                            • Сообщение от Rubaka Посмотреть сообщение
                                                              коллеги, подскажите. Общались на днях с ЦФТ по их 'облачному' решению. Они говорят, что КВ подпись будет использоваться их, а не банка. Не понятно, на каком основании им выдадут эту подпись?
                                                              Вроде как они пытаются согласовать такое изменение в их решение и какие-то изменения в законодательстве грядут

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X