26 февраля, среда 18:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    будут выдаваться только одним УЦ
    Получение усиленной квалифицированной подписи (УКЭП) у ФГБУ НИИ «Восход» (http://www.uc.voskhod.ru/) Необходимо сделать официальный запрос в удостоверяющий центр ФГБУ НИИ «Восход» на получение сертификата электронной подписи по классу КВ2.
    Регламент использования ЕБС Версия 1.6 - https://bio.rt.ru/upload/iblock/3df/...oy-sistemy.pdf

    Смешно - Сертификат уполномоченного лица удостоверяющего центра НИИ «Восход»

    Код:
    Serial Number:
                11:a5:c2:ce:57:e9:88:a1:40:ce:03:4d:0f:b2:44:4b
        Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001
            Issuer: 1.2.643.100.1 = 1037739290676, 1.2.643.3.131.1.1 = 007704007157, street = ул. Удальцова, 85, emailAddress = uc@nii.voskhod.ru, C = RU, ST = 77 Москва, L = Москва, O = ФГУП НИИ "Восход", CN = УЦ ФГУП НИИ "Восход"
            Validity
                Not Before: Feb 12 08:32:56 2014 GMT
                Not After : Feb 11 08:42:08 2017 GMT

    Комментарий


    • Сообщение от Александр Четвертый Посмотреть сообщение
      на получение сертификата электронной подписи по классу КВ2
      У сертификата есть класс?

      Комментарий


      • Сообщение от ost Посмотреть сообщение
        У сертификата есть класс?
        Есть обычное упоминание КС1/2 только в нем. Это явно не то. Просто выглядит этот УЦ вообще не модно.

        Я вот пока не понимаю, в какой момент у банка появляется обязанность покупать HSM? Для хранения ключей при КВ-подписи?

        Комментарий


        • Сообщение от Александр Четвертый Посмотреть сообщение
          ....Я вот пока не понимаю, в какой момент у банка появляется обязанность покупать HSM? Для хранения ключей при КВ-подписи?
          КВ, это класс СКЗИ (а не подписи или сертификата ЭП), который определяется, в соответствии с Приказом № 378 ФСБ в зависимости от УЗ ИСПДн, определяемым в ПП-1119. И все обработчики ПДн обязаны исполнять требования по защите ПДн, определяемые Оператором ИСПДн.
          Т.е., если бы можно было купить токен (там почти всё то же самое) с действующим сертификатом КВ, можно было бы использовать его.
          Или вопрос был в другом?

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Или вопрос был в другом?
            Вопрос в том, что все тут обсуждают какие то HSM'ы и в регламенте ЕБС тоже о них написано, но я не могу понять, для чего они (не вообще в прнципе, а именно в схеме ЕБС откуда они взялись)? Я понимаю, что указание КС1 и пр. в сертификате технически ничего не значит.

            Комментарий


            • Александр Четвертый
              Тогда я вроде всё уже расписал, т.е. вполне возможно, что т.к. в П-378, в ряде случаев имеется следующее утверждение - [необходимо использовать] СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
              А в ПП-1119 - Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
              Т.е. очень похоже, что наши регуляторы решили, что пока используемое прикладное ПО на отсутствие НДВ не сертифицировано, ставьте-ка вы, ребятки, СКЗИ класса КВ.
              Или что-то в предлагаемом подходе смущает?

              Сообщение от Александр Четвертый Посмотреть сообщение
              ...... Я понимаю, что указание КС1 и пр. в сертификате технически ничего не значит.
              Ну, совсем огульно, я бы с этим не согласился. Поэтому, и получается, что надо использовать HSM, а не токен....
              Последний раз редактировалось saches; 31.07.2018, 13:34.

              Комментарий


              • все УКЭП, которые будут использоваться для размещения биометрических ПДн, будут выдаваться только одним УЦ в стране – УЦ Минкомсвязи.
                Это, кстати, как-то не соответствует 63-ФЗ. Т.е., походу, приказ в этой части не легетимен.....


                Комментарий


                • Сообщение от Александр Четвертый Посмотреть сообщение
                  тут обсуждают какие то HSM'ы и в регламенте ЕБС тоже о них написано, но я не могу понять, для чего они (не вообще в прнципе, а именно в схеме ЕБС откуда они взялись
                  Всё очень просто, у наших производителей плохо идут дела с продажей HSMов, вот и решили им (или они себе) помочь. В 382-П вон тоже вписали требования для НСПК использовать отечественные ХСМы, но там, видимо, ребята доказали, что просто так ХСМ не воткнёшь, для этого надо много сделать, поэтому им сроки подвинули...

                  Сообщение от saches Посмотреть сообщение
                  очень похоже, что наши регуляторы решили, что пока используемое прикладное ПО на отсутствие НДВ не сертифицировано, ставьте-ка вы, ребятки, СКЗИ класса КВ. Или что-то в предлагаемом подходе смущает?
                  Смущает. ИМХО, они решили впарить ХСМ во что бы то ни стало, а под это дело подогнали пункт из 378-го приказа. Иначе никак не объяснить тупость цб-шной модели угроз, которая не содержит ничего, кроме ссылок на пункты 378-го приказа. Она даже с ПП-1119 никак не коррелирует, ни тебе про типы угроз, ни про НДВ...

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    с действующим сертификатом КВ
                    Вот опять. Какая разница какой сертификат?
                    КВ это класс защиты СКЗИ, т.е. самой системы, т.е. как надежно она хранит секреты и как качественно генерит случайные числа.
                    А сертификат вообще секретом не является и на защиту никак не влияет.

                    Комментарий


                    • ost
                      Коллега, не надо выдергивать из контекста, ес-но имелся в виду не сертификат КЭП, а сертификат ФСБ на СКЗИ класса КВ.
                      В том же посте ж писал - "...КВ, это класс СКЗИ (а не подписи или сертификата ЭП).."

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение
                        Всё очень просто, у наших производителей плохо идут дела с продажей HSMов, вот и решили им (или они себе) помочь. В 382-П вон тоже вписали требования для НСПК использовать отечественные ХСМы
                        Ну вот первое логичное объяснение, откуда ноги у ХСМов растут. То есть явных законных оснований их использовать пока нет.

                        Комментарий


                        • Кто-то обратил внимание на фразу в письме № ИН-03-13/40, что "... Банк России считает целесообразным воздержаться от применения мер..." (абзац 5 письма). У нас что, регуляторов мало? Остальные то молчат.

                          Или, что хуже, пишут своё, например: приказ Министерства цифрового развития, связи и массовых коммуникаций от 25.06.2018 № 321, Приложение 3, пункт 5

                          ТРЕБОВАНИЯ
                          К ИНФОРМАЦИОННЫМ ТЕХНОЛОГИЯМ И ТЕХНИЧЕСКИМ СРЕДСТВАМ,
                          ПРЕДНАЗНАЧЕННЫМ ДЛЯ ОБРАБОТКИ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
                          ДАННЫХ В ЦЕЛЯХ ПРОВЕДЕНИЯ ИДЕНТИФИКАЦИИ

                          5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер", утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

                          Ладно, что HSM-ы надо ставить, внесли в "Регламент использования Единой биометрической системы", а нам ГОСТ досрочно надо выполнять. Даже по дорожной карте ЦБ - это 1 квартал 2019 года (скорее будет с 01.01.2020). Кто-то уже выполняет?

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            имелся в виду не сертификат КЭП, а сертификат ФСБ на СКЗИ
                            Ну, из вашего предложения очень сложно это понять, там ещё про токен было, который в большинстве случаев просто носитель ключей.

                            Комментарий


                            • Сообщение от EKarpov Посмотреть сообщение
                              5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер", утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
                              В ГОСТ и других документах только общие требования. И там же определяется, что оператор ИС обязан сформировать модель угроз и требования. Их-то и ждём с нетерпением.
                              А этот п.5 вредноносный, ага.

                              Пока пытаемся работать с оператором с тем, чтобы ЧАСТНАЯ модель угроз к ЕБС и ЧАСТНЫЕ требования обеспечили возможность работать с одним, например, HSM, который управляется оператором. А уж банки через свои серверы подписи смотрели на этот HSM. Может и прокатит. Только сначала надо сам сервер подписи разработать...

                              Комментарий


                              • Сообщение от Андрей Федорец Посмотреть сообщение

                                В ГОСТ и других документах только общие требования. И там же определяется, что оператор ИС обязан сформировать модель угроз и требования. Их-то и ждём с нетерпением.
                                А этот п.5 вредноносный, ага.

                                Пока пытаемся работать с оператором с тем, чтобы ЧАСТНАЯ модель угроз к ЕБС и ЧАСТНЫЕ требования обеспечили возможность работать с одним, например, HSM, который управляется оператором. А уж банки через свои серверы подписи смотрели на этот HSM. Может и прокатит. Только сначала надо сам сервер подписи разработать...
                                Особенно, если прочитать пункт 6.8 ГОСТ-а, возникает стойкое впечатление, что автор этого приказа сам ГОСТ читал невнимательно или имеет свою твердую позицию по защите ПДн. Кому то будет легче, а кому-то тяжелее.

                                Крамольный вопрос № 1: а можем ли мы в соответствии с пунктом 8.3.2 ГОСТ Р 57580.1-2017, а именно примечанием к таблице 49 съехать с сертификации (пусть даже и частично)?

                                И сочетание требований по сертификации или анализу уязвимостей для ППО АС по 382-П и ГОСТу (с 01.01.2020, угрозы 2-го типа по Постановлению № 1119) тоже в связке с ЕБС и очень интересно выглядит для тех, кто Интернет-банк будет с ЕБС сопрягать - сразу будет 2-й уровень.

                                Крамольный вопрос № 2: а мы можем у них ещё не изданные документы ЦБ РФ по ГОСТу 57580.1-2017 (что куда относить, рекомендации и указания по применению) запросить? Ссылаются - значит они их читали!

                                Комментарий


                                • Сообщение от Андрей Федорец Посмотреть сообщение
                                  пытаемся работать с оператором с тем, чтобы ЧАСТНАЯ модель угроз к ЕБС и ЧАСТНЫЕ требования обеспечили возможность работать с одним, например, HSM, который управляется оператором
                                  Шикардос.
                                  Предлагаю ещё более шикарную схему, банки у себя не делают ничего, от слова совсем, всё отправляют оператору по https, а уж там оператор это шифрует и подписывает сам от имени и по поручению банка. Ключи ему банки так и быть сдадут, пусть пользуется, не жалко.

                                  Нечто подобное Инфотекс уже пытался продвигать.

                                  Комментарий


                                  • Сообщение от ost Посмотреть сообщение
                                    Ну, из вашего предложения очень сложно это понять, там ещё про токен было, который в большинстве случаев просто носитель ключей.
                                    Да не, ес-но, речь шла о токенах, которые сами по себе умеют шифровать и содержат дсч. А такие бывают только до КС3, если не ошибаюсь.
                                    Кстати, захотел тут посмотреть на свежий перечень сертифицированных ФСБ СЗИ/СКЗИ, а файла нету...((( http://clsz.fsb.ru/certification.htm


                                    Комментарий


                                    • Коллеги, мне тут представить Инфотекса сказал, что мол схема, указанная в Регламенте использования ЕБС невалидна, так как не была согласована с ФСБ. "Где правда, брат?"

                                      Комментарий


                                      • Сообщение от amarhgil Посмотреть сообщение
                                        мне тут представить Инфотекса сказал
                                        Да сейчас пойдут холивары, только держись.
                                        По большому он где-то прав, разработка велась до появления требований по безопасности и, следовательно, без их учета. А сейчас софт уже сделан, чё ж теперь переделывать?

                                        Комментарий


                                        • Сообщение от EKarpov Посмотреть сообщение
                                          Крамольный вопрос № 1: а можем ли мы в соответствии с пунктом 8.3.2 ГОСТ Р 57580.1-2017, а именно примечанием к таблице 49 съехать с сертификации (пусть даже и частично)? И сочетание требований по сертификации или анализу уязвимостей для ППО АС по 382-П и ГОСТу (с 01.01.2020, угрозы 2-го типа по Постановлению № 1119) тоже в связке с ЕБС и очень интересно выглядит для тех, кто Интернет-банк будет с ЕБС сопрягать - сразу будет 2-й уровень.
                                          Тут, к сожалению, можно только ожидать Частных требований к ЕБС от РТ

                                          Сообщение от EKarpov Посмотреть сообщение
                                          Крамольный вопрос № 2: а мы можем у них ещё не изданные документы ЦБ РФ по ГОСТу 57580.1-2017 (что куда относить, рекомендации и указания по применению) запросить? Ссылаются - значит они их читали!
                                          Боюсь, что нет. Я их видел только в распечатанном виде без возможности переписать/скопировать. И то - это драфт проекта проекта...

                                          Комментарий


                                          • Сообщение от amarhgil Посмотреть сообщение
                                            Коллеги, мне тут представить Инфотекса сказал, что мол схема, указанная в Регламенте использования ЕБС невалидна, так как не была согласована с ФСБ. "Где правда, брат?"
                                            Она валидна до тех пор, пока нет Частных требований от оператора ЕБС. Так что, пока, всё честно.
                                            Но потом...
                                            Потом исчезнет (должна исчезнуть) возможность использования мобильных устройств для формирования биометрических образцов, т.к. появится КС2 от линзы фотоаппарата/вебкамеры до сервера банка.
                                            Потом появится универсальный сервер подписи, который взаимодействует с вашим HSM и который можно будет использовать с ВАШЕЙ (той, которую уже купили, разработали) системой, работающей с ЕБС. Мы-то это сделаем в рамках саппорта. А вот не мы... Ну тут к ним вопрос.

                                            Комментарий


                                            • Сообщение от ost Посмотреть сообщение
                                              Да сейчас пойдут холивары, только держись. По большому он где-то прав, разработка велась до появления требований по безопасности и, следовательно, без их учета. А сейчас софт уже сделан, чё ж теперь переделывать?
                                              Я ещё прошлым летом по банкам рассылал письмо. Если кто хочет в ЕБС при недостатке технических и юридических документов - пошли с нами. Сделаем всё по мере появления требований.
                                              Соответственно подтверждающее письмо готовим, что те, кто пошел с нами (в прошлом ли году, в этом ли), получат в итоге весь необходимый набор софта, который соответствует требованиям, которые будут появляться по ходу пьесы. В рамках саппорта!
                                              Другое дело, что для исполнения всех требований надо будет и оборудование докупать. И сети внутрибанковские доводить до КС2/3 и аттестацию рабочих мест делать.
                                              Но тут мы обвязались партнёрскими соглашениями и готовы продавать весь комплекс программно-технических средств по ИБ и вообще. Апгрейд випнетов, HSM, защита/организация сети, готовые к аттестации ПК или аттестованные випнет терминалы. Даже фотокабины готовы продавать в офисы.

                                              Комментарий


                                              • Сообщение от Андрей Федорец Посмотреть сообщение
                                                Но тут мы обвязались партнёрскими соглашениями и готовы продавать весь комплекс программно-технических средств по ИБ и вообще. Апгрейд випнетов, HSM, защита/организация сети, готовые к аттестации ПК или аттестованные випнет терминалы. Даже фотокабины готовы продавать в офисы.
                                                Вот вы продадите, а нам с этим жить и работать.

                                                Вводная: глубинка, область. Менеджер в одном доп.офисе заболел (лежит пластом и ходить не может). Ему на замену из другого доп.офиса переводят менеджера (1,5 часа на автобусе) ... До Головного офиса 200 км умеренной паршивости дороги, к примеру. Терминал, с предложенным одним подрядчиком АПМДЗ типа "Соболь" (не поддерживает удаленной настройки). Квалифицированных администраторов информационной безопасности нет.
                                                Вопрос № 1: сколько времени надо, чтобы зарегистрировать его в АПМДЗ, чтобы он мог работать? (Собрать инженера, выбить машину в АХО, доехать, зарегистрировать в АПМДЗ, вернуть инженера обратно).

                                                Вопрос № 2. Дополнительные офисы такого же типа как в водной. Windows обновилась "неудачно", изменив файл из числа контролируемых АПМДЗ (мы же по взрослому поставили?). Сколько времени и инженеров надо чтобы обновить десяток таких терминалов (по одному в дополнительном офисе) в "районах"?

                                                Андрей Федорец, можете предложить что-то удобное для решения ТАКИХ жизненных проблем?
                                                P.S.: не все из нас в Москве работают...

                                                Комментарий


                                                • Сообщение от EKarpov Посмотреть сообщение
                                                  Вопрос № 1: сколько времени надо, чтобы зарегистрировать его в АПМДЗ, чтобы он мог работать? (Собрать инженера, выбить машину в АХО, доехать, зарегистрировать в АПМДЗ, вернуть инженера обратно).
                                                  Регистрировать изначально 2-3 в допофисе. А нового менеджера реистрировать как дорога будет.

                                                  Сообщение от EKarpov Посмотреть сообщение
                                                  Вопрос № 2. Дополнительные офисы такого же типа как в водной. Windows обновилась "неудачно", изменив файл из числа контролируемых АПМДЗ (мы же по взрослому поставили?). Сколько времени и инженеров надо чтобы обновить десяток таких терминалов (по одному в дополнительном офисе) в "районах"?
                                                  Сертифицированные решения не должны обновляться в принципе

                                                  Комментарий


                                                  • Сообщение от w3d Посмотреть сообщение
                                                    Регистрировать изначально 2-3 в допофисе. А нового менеджера реистрировать как дорога будет.
                                                    Вот и зарегистрируем 2-3. Хорошо, но иногда отпуска/болезнь/командировка имеют тенденцию совпадать...


                                                    Сертифицированные решения не должны обновляться в принципе
                                                    Даже не обновлять? Даже обновления безопасности на ОС не накатывать? Можно, но это будет как-то не очень... Или ОС из контроля исключать.

                                                    Вопрос удаленного управления типа Аккорд-РАУ - нам не показали поставщики. А значит придется ездить или мудрить что-то.

                                                    Комментарий


                                                    • Сообщение от EKarpov Посмотреть сообщение
                                                      Андрей Федорец, можете предложить что-то удобное для решения ТАКИХ жизненных проблем?
                                                      Я не Федорец, хоть и работал в почившем Банк Алемаре, но попробую подсказать. Есть схема без КриптоПро и без соболей с аккордами. Всё на инфотексовских випнетах

                                                      Комментарий


                                                      • Сообщение от amarhgil Посмотреть сообщение
                                                        Я не Федорец, хоть и работал в почившем Банк Алемаре, но попробую подсказать. Есть схема без КриптоПро и без соболей с аккордами. Всё на инфотексовских випнетах
                                                        В том то и дело, что если потребуется управлять аутентификацией на терминалах, то будет печально и муторно. Вот и смотрим что-то не привязанное к аутентификации на терминалах. Может что-то типа TLS или ещё чего-то похожего.

                                                        Комментарий


                                                        • Сообщение от amarhgil Посмотреть сообщение
                                                          Я не Федорец, хоть и работал в почившем Банк Алемаре, но попробую подсказать. Есть схема без КриптоПро и без соболей с аккордами. Всё на инфотексовских випнетах
                                                          Привет!
                                                          Тут да, на вскидку решения достаточно дурацкие, но работающие.
                                                          Вариант 1 - Випнет Терминал 4, смотрит на РДП/Цитрикс ТС через випнет дешевый
                                                          Вариант 2 - РС с Гослинукс (ФСТЭК) не обновляемая, смотрит в випнет дешевый
                                                          Вариант 3 - ничего не делать, дождаться частной модели угроз от РТ

                                                          Комментарий


                                                          • Сообщение от EKarpov Посмотреть сообщение
                                                            В том то и дело, что если потребуется управлять аутентификацией на терминалах, то будет печально и муторно. Вот и смотрим что-то не привязанное к аутентификации на терминалах. Может что-то типа TLS или ещё чего-то похожего.
                                                            Статья на хабре про прелести администрирования kraftway credo vv18, который используется в железном VipNet Terminal. Я собственно привел эту ссылку не с целью кинуть камень в крафтвей или випнет, но с тем, чтобы было понятно, насколько сложен и тернист процесс администрирования такого защищенного хозяйства.
                                                            WBR, Александр Турчин

                                                            Комментарий


                                                            • С учетом опыта использования Аккорда: ключей для администратора лучше 2, с разными паролями. Таблетки имеют тенденцию быть "внезапно" перезаписываться. Пароли забываются и т.п...

                                                              Главная проблема - именно управление пользовательскими записями на терминале.

                                                              Отпайка микросхемы - это всё же требует вскрытия корпуса. Аккорд-АМДЗ тоже можно отключить, даже не вскрывая корпус. Но Аккорд поставленный "правильно" без оглядки на удобство ИТ (с разрывом питания ЖД) всё же заставит вскрыть корпус для обеспечения доступа. Задача ИБ - выявить такое вскрытие и разобраться.

                                                              Комментарий

                                                              Обработка...
                                                              X