19 ноября, вторник 03:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Berckut Посмотреть сообщение
    В случае облака надо смотреть, что заявил поставщик облачного решения:
    Зачем и для каких целей? Очевидно, что это будет требования вытекающие из формуляров.
    п.с. т.к. 4МР не имеет статуса нормативного (ЦБ с этим согласен), можно использовать любое решение по сбору БО закрывающая угрозы Указания ЦБ и выполняющие требования формуляра на HSM. А именно согласовывать "системные проекты" не нужно - это придумка 4МР того же автора, который вписал требования МЭ под ГТ.

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение

      ЦБ дает такие устные разъяснения:
      - 4МР не нормативный документ ЦБ, а методический с рекомендациями, т.е. проверять по нему и наказывать не собирается;
      .
      наказывать во всяком случае пока вряд ли...
      а вот проверять будут. как минимум формулировки звучат примерно так: "что у вас сделано по ЕБС в соответствии с 4-МР"
      ***Настроение бодрое, идем ко дну.

      Комментарий


      • Касательно МЭ сертифицированного ФСТЭК по 3 классу - была шальная мысль, что это требование взяли из Приказа ФСТЭК №21 (п. 12): "а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются: ... межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена; б) для обеспечения 3 уровня защищенности персональных данных применяются: ... межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;" Но почему только на участке перед "собственным/типовым решением"? А откуда растут ноги СОВ, сертифицированного ФСТЭК по 3 классу - вообще не понятно.. К слову, ЦФТ "мягко" намекает, что для их "типового решения" тоже нужны МЭ и СОВ, сертифицированного ФСТЭК по 3 классу.. Правда бумажку, где это прописано, пока не показывают.

        Комментарий


        • Сообщение от Cpx Посмотреть сообщение

          п.с. т.к. 4МР не имеет статуса нормативного (ЦБ с этим согласен), можно использовать любое решение по сбору БО закрывающая угрозы Указания ЦБ и выполняющие требования формуляра на HSM.
          Дополню, что если 4МР рекомендации, то Приказ ФСБ 378 и Приказ ФСТЭК 21 уже не рекомендации, а требования для нейтрализации указанных ЦБ угроз.
          А также требования оператора ЕБС.
          "сила в правде: у кого правда, тот и сильней!"

          Комментарий


          • Сообщение от Массаракш Посмотреть сообщение
            Дополню, что если 4МР рекомендации, то Приказ ФСБ 378 и Приказ ФСТЭК 21 уже не рекомендации, а требования для нейтрализации указанных ЦБ угроз. А также требования оператора ЕБС.
            А что, например, вы бы добавили из 378-П ФСБ к 4859-У ЦБ?

            Комментарий


            • Сообщение от Массаракш Посмотреть сообщение
              Дополню, что если 4МР рекомендации, то Приказ ФСБ 378 и Приказ ФСТЭК 21 уже не рекомендации, а требования для нейтрализации указанных ЦБ угроз.
              А также требования оператора ЕБС.
              В Приказе 378 исключительно про СКЗИ и их угрозы, которые можно не рассматривать т.к. ЦБ выпустил 4859-У, которые необходимо закрыть.
              Приказ 21 - Оператору ПДн нужно делать МУ и актуальные угрозы, и не факт, что по итогу нужно будет что-то ставить. т.к. что приказа 21 это не существенный и легкий в выполнении документ. Тут скорее смотреть нужно на требования формуляров на СКЗИ и ГОСТР 57580, по которому ЦБ будет проверять...
              Сообщение от Beckett Посмотреть сообщение
              Правда бумажку, где это прописано, пока не показывают.
              Так нет у них положительного заключения от ФСБ... Поэтому и не показывают..


              Комментарий


              • Сообщение от saches Посмотреть сообщение
                А что, например, вы бы добавили из 378-П ФСБ к 4859-У ЦБ?
                Ничего не хочу добавить. Я лишь хочу сказать, что в 4859-У почти в каждом пункте есть отсылка 378-П.
                Кстати, от сюда и КВш-ка возникает. Так в 4859-У много отсылок к п.13. 378-П. А п.13 378-П предписывает использовать СКЗИ класса KB для нейтрализации атак.

                П.С. в прочем я не очень силен в казуистике нормативки по ИБ. Да и данная площадка не для этих дискуссий.
                Задача всех сделать это (внедрить биометрию) с минимальными затратами, чтобы избежать"регуляторной гильотины", т.к. всем, по-моему, ясно, что актуальность угроз, указанных ЦБ в 4859-У, подлежит сомнению.
                "сила в правде: у кого правда, тот и сильней!"

                Комментарий


                • Сообщение от Cpx Посмотреть сообщение
                  В Приказе 378 исключительно про СКЗИ и их угрозы, которые можно не рассматривать т.к. ЦБ выпустил 4859-У, которые необходимо закрыть.
                  Так ЦБ и предписывает в 4859-У для нейтрализации обозначенных угроз использовать СКЗИ!
                  "сила в правде: у кого правда, тот и сильней!"

                  Комментарий


                  • Массаркаш, "что актуальность угроз, указанных ЦБ в 4859-У, подлежит сомнению. " Безусловно, но не подлежит пересмотру.

                    Комментарий


                    • Читаю изменения в 321 приказе...

                      То ли лыжи у меня не катабельные, то ли пятница на дворе...

                      п.16 приложения 1. не понимаю 3:
                      "16. В единой биометрической системе переданные биометрические образцы проходят контроль качества с использованием программного обеспечения указанной системы.
                      В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено не соответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, в единой биометрической системе, создание биометрического контрольного шаблона не осуществляется.
                      В случае если в процессе прохождения контроля качества, осуществляемого в соответствии с абзацем первым настоящего пункта, установлено несоответствие биометрических образцов требованиям, указанным в пунктах 12, 13 настоящего Порядка, органы и организации, осуществляющие размещение в единой биометрической системе биометрических персональных данных субъекта, обязаны направить информацию об указанных событиях в единую биометрическую систему в автоматизированном режиме с использованием единой системы межведомственного электронного взаимодействия, а также принять все возможные организационно-технические меры по повышению качества сбора параметров биометрических персональных данных."

                      Мы отправили в ЕБС образцы. ЕБС на своей стороне провела контроль качества. Образцы контроль не прошли и..? Не понимаю, что мы должны направить в автоматическом режиме? ЕБС же сама выявила несоответствие?
                      Или я неверно понимаю. Кто-то разбирался уже с этим?

                      ***Настроение бодрое, идем ко дну.

                      Комментарий


                      • Контроль качества делает СПО по сбору, ЕБС этим не занимается (на сколько мне известно, об ЕБС вообще ничего не известно).

                        Комментарий


                        • Сообщение от Массаракш Посмотреть сообщение
                          Тогда объясните почему производитель разделяет оборудование с сертификатом ФСБ и ФСТЭК?
                          Потому что есть требования формуляров на СКЗИ, к примеру КрпитоПро требует сертификат ФСБ на средство от НСД.
                          Почему одно устройство не поставляется сразу с двумя сертификатам у них мне не ведомо. К примеру у Каперского поставляется сразу с пакетом сертификатов продукт.
                          Может какие-то особенности распространения, уточните у производителя и нам расскажи.
                          Кстати сам по себе Соболь не средство от НСД, но он может как средство защиты от несанкционированного доступа использоваться.


                          Сообщение от Cpx Посмотреть сообщение
                          - 4МР не нормативный документ ЦБ, а методический с рекомендациями, т.е. проверять по нему и наказывать не собирается;
                          Только проверяющие об этом не знают. Пишут нарушено требование методических рекомендаций. (
                          Устные разъяснения кто давал?
                          А ещё все требования 382-П тоже отнесли к ЕБС, якобы это тоже объекты информационной инфраструктуры в терминах 382-П.
                          .

                          Комментарий


                          • Сообщение от Cpx Посмотреть сообщение
                            Контроль качества делает СПО по сбору, ЕБС этим не занимается (на сколько мне известно, об ЕБС вообще ничего не известно).
                            контроль качества как раз проводится 2 раза - первый у Банка перед отправкой и второй на стороне ЕБС при приеме, до создания уже эталонного шаблона (свечку не держала, но так должно быть)

                            дело не в этом. я не могу понять смысл обязанности из третьего абзаца этого дурацкого пункта))

                            P.S. может они этот абзац в п.14 должны были засунуть? тогда сходится.
                            Собрали образцы - проверили - контроль не пройдет - сообщили в ЕБС, что мы тут плохо фоткаем- исправляем ситуацию.
                            Последний раз редактировалось iPtich; 25.10.2019, 17:29. Причина: мысль появилась...
                            ***Настроение бодрое, идем ко дну.

                            Комментарий


                            • Zuz, Выборнов Андрей и его коллеги неоднократно(:

                              Комментарий


                              • Сообщение от Zuz Посмотреть сообщение
                                Потому что есть требования формуляров на СКЗИ, к примеру КрпитоПро требует сертификат ФСБ на средство от НСД.
                                Почему одно устройство не поставляется сразу с двумя сертификатам у них мне не ведомо. К примеру у Каперского поставляется сразу с пакетом сертификатов продукт.
                                .
                                Код безопасности говорил, что у ФСБ и ФСТЭК немного разнятся сами требования к Соболю и поэтому устройства 2 (насколько я помню, была разница в объеме журнала, который Соболь хранит. может еще что-то отличается).


                                Сообщение от Zuz Посмотреть сообщение
                                А ещё все требования 382-П тоже отнесли к ЕБС, якобы это тоже объекты информационной инфраструктуры в терминах 382-П.
                                .
                                как-то очень странно. может 683-П?
                                а то где они там переводы денежных средств при сборе и размещении нашли...
                                хотя, они, конечно, все могут) жираф большой))
                                ***Настроение бодрое, идем ко дну.

                                Комментарий


                                • Сообщение от iPtich Посмотреть сообщение
                                  как-то очень странно. может 683-П? а то где они там переводы денежных средств при сборе и размещении нашли... хотя, они, конечно, все могут) жираф большой))
                                  Да, речь шла о 683-П. НО...
                                  Т.к. планируется, что идентификация по биометрии ЕБС будет в ДБО, в рамках которой выполняются в том числе и переводы ДС, то 382-П тоже будет причем.
                                  Последний раз редактировалось Массаракш; 28.10.2019, 13:25.
                                  "сила в правде: у кого правда, тот и сильней!"

                                  Комментарий


                                  • если подключить в контур ЕБС еще и перевод ДС, то согласно приказу 321 - необходимо проводит аудит раз в год. А это значит, что ебс+абс каждый год. А это больше денег на аудит и больше времени на все.

                                    Комментарий


                                    • Сообщение от vinograss Посмотреть сообщение
                                      если подключить в контур ЕБС еще и перевод ДС, то согласно приказу 321 - необходимо проводит аудит раз в год. А это значит, что ебс+абс каждый год. А это больше денег на аудит и больше времени на все.
                                      ЦБ намекнули на эту не стыковку в требованиях. Обещали выровнять требования по аудиту и подогнать аудит по ЕБС под единый аудит в рамках 683-П, т.е. раз в два года
                                      "сила в правде: у кого правда, тот и сильней!"

                                      Комментарий


                                      • Хороший ответ. Особенно если он сказан в Ассоциации Россия. Одно но. приказ не цб - и выровнить они смогут , но не сами. Поэтому живем мы сейчас - и выполнять надо сейчас.

                                        Комментарий


                                        • А зачем? Минсвязь не уполномочена ходить с проверками в ЦБ. С учетом того, что в 149Фз ясно написано, что только ЦБ имеет на это право в рамках ЕБС. А ЦБ не уммет право проверять не свои нормативные документы и требования. Вывод: проблема больше надуманная самими банками, чем реальные риски о не выполнении данного приказа.

                                          Комментарий



                                          • Сообщение от iPtich Посмотреть сообщение
                                            как-то очень странно. может 683-П?
                                            Сообщение от Массаракш Посмотреть сообщение
                                            Т.к. планируется, что идентификация по биометрии ЕБС будет в ДБО, в рамках которой выполняются в том числе и переводы ДС, то 382-П тоже будет причем.
                                            Да, похоже связь именно в этом (почему 382-П привязали). Хотя я считаю, что на ЕБС даже 683-П не распространяется.
                                            Задача ЕБС уделённая идентификация (115-ФЗ), а не переводы денежных средств (см. https://www.cbr.ru/fintech/remote_authentication/). После идентификации можно осуществлять, к примеру, дистанционное открытие счёта. 382-П и 683-П тут не причём. Конечно, идентификация требуется и для некоторых переводов денежных средств, но я так не погружался ещё. Кто-то может пояснит в каких случаях она необходима? И разве является процесс такой удалённой идентификации связанным с переводом? По мне нет. Это отдельный процесс.

                                            Есть в 683-П ссылка на информацию необходимую для авторизации клиентов, но это идентификация, не авторизация.
                                            Более того, в 683-П отдельно дана норма о защите ПДн, к которым и относится биометрия.

                                            Сообщение от vinograss Посмотреть сообщение
                                            если подключить в контур ЕБС еще и перевод ДС
                                            А что ЕБС может применяться ещё и для подтверждения каждого перевода? И экономически оно не может быть выгодно (200 рублей стоит проверка).

                                            Сообщение от Cpx Посмотреть сообщение
                                            Вывод: проблема больше надуманная самими банками, чем реальные риски о не выполнении данного приказа.
                                            Вероятно какое-то время это будет так. Но это воля случая. Сейчас смотрят указание 4859-У и 4-МР (данные из последних проверок 5 банков).

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              ......Кто-то может пояснит в каких случаях она необходима? И разве является процесс такой удалённой идентификации связанным с переводом? По мне нет. Это отдельный процесс.......
                                              Как по мне, биометрическая идентификация нужна только для того, что бы физик мог стать клиентом банка без его посещения ногами.
                                              Всё остальное притянуто за уши и используется продавцами биометрических решений, Ростеликом и ЦБ, что биометрия много, где может быть использована в банке и, вообще, это круто!

                                              Комментарий


                                              • Одно дело стать клиентом, другое предоставить доступ по биометрии к его счетам и проведении операции по ним. Здесь не только идентификация, но и аутентификация, т.е. ЕБС подтверждает, что перед нами именно тот субъект, которому эти БиоПдн относятся. И риск НСД третьих лиц к данным гражданина присутствует. Отсюда и вытекают все эти П-шки и У-шки ЦБ.
                                                "сила в правде: у кого правда, тот и сильней!"

                                                Комментарий


                                                • Сообщение от Массаракш Посмотреть сообщение
                                                  т.е. ЕБС подтверждает, что перед нами именно тот субъект, которому эти БиоПдн относятся
                                                  ЕБС нам выдаёт только процент соответствия морды лица и голоса шаблонам, которые хранятся в ЕБС, и он никогда не будет равен 100%.
                                                  Так что ничего ЕБС не подтверждает, она только советует...

                                                  Комментарий


                                                  • Предпоследнее китайское предупреждение, письмо Скоробогатовой 04-13-2/8492 от 12.11.2019

                                                    Комментарий


                                                    • Что за письмо, где вы его получили? Можете вложить?

                                                      Комментарий


                                                      • Форум глючит неподецки, вложить не могу. Короче: кто до 31.12.19 не подклют все 100% офисов где есть операции с ФЛ - тому прилетит по 86-ФЗ

                                                        Комментарий


                                                        • Chugun, А можете на почту его прислать? это касается банков с базовой лицензией? мы тут закон ждем об отсрочке до 21 года
                                                          в 173-Т слово комплаенс встречается 206 раз.

                                                          Комментарий


                                                          • Почитайте, комменты огонь https://play.google.com/store/apps/d...llReviews=true
                                                            WBR, Александр Турчин

                                                            Комментарий


                                                            • А новость про ВТБ и проход в метрополитене читали?)

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X