6 июня, суббота 23:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от diev Посмотреть сообщение
    Про сертифицированные каналы нам одна из прежних проверок заявила: ваши файлы, выходя за периметр контролируемой зоны, содержат ПДн? Дык вот.
    Сообщение от Zuz Посмотреть сообщение
    А у вас нет между офисами хотя бы КС2 (обычно в Банке полно ИСПДн, ну и СТО БР ИББС требовал КС2)? Просто строить отдельно защищённые с помощью СЗКИ каналы на базе аппаратных решений это чересчур, хотя выше вы про TLS указали, это ещё куда ни шло и даже эффективно.
    А я вообще не понял. То есть были сделаны каналы с сертифицирвоанным VPN, которые, собственно говоря, и предназанчены для безопасной передачи информации, но пользоваться ими нельзя? А как тогда вообще обмен вести? Курьерами?

    Комментарий


    • Сообщение от Zuz Посмотреть сообщение
      А подскажите, что именно вы подписываете УКЭП и где это потом храните и на основании чего (таких целей в типовом согласии не вижу)?
      Я понимаю, что есть 4-МР, но 152-ФЗ важнее.
      УКЭП оператора, насколько я понимаю - имеется в виду что у оператора есть учетка на госуслугах и в качестве УКЭП используется СНИЛС оператора.

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        А как вы всем этим управляете?
        Пока никак - расставляем АРМы и думаем как с этим жить дальше.

        Сообщение от Zuz Посмотреть сообщение
        А подскажите, что именно вы подписываете УКЭП и где это потом храните и на основании чего
        Подписываются собранные оператором биометрические образцы. Потом нигде не храним - подпись оператора проверяется на специальном сервере, там же заменяется на КВ2 подпись банка и отправляется в ЕБС.

        Комментарий


        • Сообщение от dredd Посмотреть сообщение
          Пока никак - расставляем АРМы и думаем как с этим жить дальше.
          Нужно же собирать события, обновлять базы для СЗИ, устанавливать обновления для ОС, СЗИ, СКЗИ, прикладного ПО.
          Тот же Secret Net Studio вообще требует включения в домен компьютеров для работы его системы управления (будете делать отдельный домен только для ЕБС?).

          Сообщение от dredd Посмотреть сообщение
          Потом нигде не храним - подпись оператора проверяется на специальном сервере, там же заменяется на КВ2 подпись банка и отправляется в ЕБС.
          Это какая-то профанация... 4-МР рекомендует подпись в целях установления факта подписания электронных сообщений конкретным уполномоченным сотрудником (хотя само подписание всё равно проводится простой ЭП и подтверждается наличием СНИЛС в документе). Если после того, как вы направили данные нет возможности проверить факт подписания электронных сообщений конкретным уполномоченным сотрудником, то ваша схема лишена практического смысла.
          Может в вашем ПО есть функция, что после проверки подписи уполномоченного сотрудника, ПО подписывает результат проверки КВ2 и хранит его? Вот, тогда, это бы ещё имело смысл. Или сохраняет только подпись сообщения, которую потом можно будет использовать для проверки (я не уверен, можно ли как-то будет из ЕСБ / СМЭВ получить тот пакет данных что направлялся, чтобы проверить подпись, но можно сохранять какой-то идентификатор, который будет потом для разбора конфликтных ситуаций применятся).

          Сообщение от w3d Посмотреть сообщение
          УКЭП оператора, насколько я понимаю - имеется в виду что у оператора есть учетка на госуслугах и в качестве УКЭП и
          Нет, УКЭП это 63-ФЗ (обычный квалифицированный сертификат, любой внешний УЦ выдаёт), к Госуслугам никакого отношения не имеет. Эта рекомендация даёт вектор атаки через такой УЦ или лиц, кто имеет доверенности на оформление таких сертификатов в Банке. Зачем тут УКЭП, если как выше коллеги написали, что они не хранят саму подпись не ясно (а ведь реализовала компетентная компания их решение). Ценность УКЭП в том, что она даёт доказательную базу необходимую к примеру суду или следствию, если её удалить, то смысла нет (не доказать ничего тогда).

          Сообщение от Berckut Посмотреть сообщение
          И на периодическую смену паролей придётся забить.
          Почему?

          Сообщение от Berckut Посмотреть сообщение
          Касперский вполне нормально живёт автономно. Один раз настроил и забыл. Нечего там администрировать.
          Нужно базы обновлять и мониторинг событий и сам софт иногда обновлять. Хотя это решается некоторой настройкой и скриптами.
          Последний раз редактировалось Zuz; 20.12.2019, 12:02.

          Комментарий


          • Сообщение от Zuz Посмотреть сообщение
            Нужно же собирать события, обновлять базы
            Не сыпьте мне соль на сахар... Говорю же думаем.

            Сообщение от Zuz Посмотреть сообщение
            Это какая-то профанация
            А это Вы зря. Это не "профанация", а "типовое решение" от более чем известного поставщика - в полном соответствии с п.2.1.7 МР-4.


            Комментарий


            • Сообщение от dredd Посмотреть сообщение
              в полном соответствии с п.2.1.7 МР-4.
              Есть ещё второй абзац у пункта 2.1.4, который ключевой: там речь о фактах подписания, по вашем пояснениям, пока это не реализовано (а это ровно такая же рекомендация как и любая другая).
              А 2.1.7 вообще не ясно для чего сделан: УКЭП для контроля целостности и подтверждения электронных сообщений (когда в 63-ФЗ речь об электронных документах), это как из пушки по воробьям. С кем там документооборот у уполномоченного сотрудника? С вашим HSM?

              Комментарий


              • Ну вот снова неподключившимся пришло письмо по списку - доложить до 27.12.19

                Комментарий


                • Сообщение от Chugun Посмотреть сообщение
                  неподключившимся пришло письмо
                  Обратите внимание на
                  Нажмите на изображение для увеличения. 

Название:	0,1.jpg 
Просмотров:	1 
Размер:	121.7 Кб 
ID:	4969889


                  таперича за неподключение штраф от размера капитала (не минимального, а реального) до 0,1%.

                  Например, при капитале 3 млрд. штраф ТРИ мульона
                  Вложения

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    Почему?
                    Потому что в Сибири расстояния большие и постоянно всех зарегистрированных админов гонять по удалённым офисам для смены паролей не получится.

                    Сообщение от Zuz Посмотреть сообщение
                    Нужно базы обновлять и мониторинг событий и сам софт иногда обновлять. Хотя это решается некоторой настройкой и скриптами.
                    У нас же есть сертифицированный, а значит суперзащищённый и непробиваемый (несмотря на то, что устаревший и давно не обновляемый) межсетевой экран! Можно настрить на нём NAT и пусть Каспер обновляет базы с официального ресурса.
                    Кроме того, никто не мешает пустить компьютеры операторов в сеть банка (опять же через МЭ), чтобы они обновляли базы с корпоративного сервера. Для этого нет необходимости подключать их на управление этим самым сервером.
                    Про централизованный мониторинг придётся забыть. У меня (да и у многих) нет возмонжости в каждый изолированный сегмент пихать несколько инфраструктурных серверов.
                    Обновлять антивирусное ПО (само ПО, а не базы) так и так придётся руками. Так как ставится сертифицированный экземпляр да ещё и на таких важных всёчтоможноинельзяактируемых машинах, то надо срубить небольшую рощицу, переработать её в бумагу, заполнить формуляр, собрать комиссию по приёмке, проверить контрольные суммы и сформировать тонну бумаги. Проще отправить в офис новую машину, а эту вернуть на "переработку".

                    Комментарий


                    • Сообщение от Berckut Посмотреть сообщение
                      Можно настрить на нём NAT и пусть Каспер обновляет базы с официального ресурса.
                      Можно, только завтра базы на другом IP стали и что вы будите делать? Да и любое подключение к сети Интернет, это дыра.
                      Сообщение от Berckut Посмотреть сообщение
                      Для этого нет необходимости подключать их на управление этим самым сервером.
                      Это да, но тогда нужны ручные процедуры по контролю и в удалённом офисе далеко не всегда будет кому их сделать.

                      Сообщение от Berckut Посмотреть сообщение
                      Потому что в Сибири расстояния большие и постоянно всех зарегистрированных админов гонять по удалённым офисам для смены паролей не получится.
                      А это и ответ на вопрос:
                      Сообщение от Berckut Посмотреть сообщение
                      Проще отправить в офис новую машину, а эту вернуть на "переработку".
                      Ротация АРМов - идея, которая мне кажется жизнеспособной.
                      Последний раз редактировалось Zuz; 23.12.2019, 16:13.

                      Комментарий


                      • Сообщение от Chugun Посмотреть сообщение
                        Ну вот снова неподключившимся пришло письмо по списку - доложить до 27.12.19
                        А номер не подскажете или письмо сюда не выложите ли? У нас пока нет ничего такого
                        WBR, Александр Турчин

                        Комментарий


                        • Сообщение от Александр_Турчин Посмотреть сообщение
                          номер не подскажете
                          от 20.12.2019 № 13-2-2/202 за подписью И.В. Зимина

                          Комментарий


                          • И вот еще
                            Информационное письмо об особенностях оказания кредитными организациями услуг по сбору и размещению биометрических данных граждан от 13.12.2019 № ИН-06-59/91

                            Комментарий


                            • Сообщение от Chugun Посмотреть сообщение
                              И вот еще
                              Огонь! Концепция банков разрушена!
                              Сколько слышал от банков: "работаем только с ЮЛ", "мы не участвуем в системе страхования вкладов", "мы не обслуживаем с улицы физиков (не наши клиенты)"

                              Комментарий


                              • 5.7. Банк, указанный в пункте 5.6 настоящей статьи, должен соответствовать одновременно следующим критериям:

                                банк участвует в системе страхования вкладов;

                                к банку не применяются меры по предупреждению банкротства в соответствии с Федеральным законом от 26 октября 2002 года N 127-ФЗ "О несостоятельности (банкротстве)", если иное не установлено Центральным банком Российской Федерации;

                                в отношении банка Центральным банком Российской Федерации не принято решение, предусмотренное пунктом 5.11 настоящей статьи.

                                Комментарий


                                • На сайте разработчика SPR инфы про обновления сертификатов нет.
                                  https://cansec.ru/spr/sertificate_FSB_windows

                                  Но зато на сайте КриптоПро нашёл, что выпустили новые сертификаты для SPR:
                                  https://www.cryptopro.ru/certificates?pid=2069

                                  Это сюрреализм какой-то:
                                  1. Разработчику (SPR) на клиентов пох. Хотя я это давно уже понял, пытаясь завязать с ними переписку.
                                  2. Сертификаты новые, а не обновления старых. Для SPR появились новые исполнения 7 и 8. Раньше было только 1-6. Это значит что ещё раз опять покупаем SPR, возвращаем из всех офисов компы и делаем их заново.
                                  3. Win 7 восстала из могилы! На неё тоже новые сертификаты (а не обновление старых) и они до 2024 года. Win 10 версии 1809 вместо древней и кривой 1511 (алилуйя!). По идее, у нас также есть требования о том, что мы не должны использовать не обновляемые ОС и потому использовать Win 7 вроде как нельзя, но мы и Win 10 обновлять не можем, т.к. на SPR надо накатывать только сертифицированные обновления, а их всё равно нет и не будет (по крайней мере ни разу не было). Но те, кто внедряют решение ЦФТ всё равно Win 7 использовать не смогут, т.к. для их решения нужен Edge, причём старой версии (движок не хромиум).
                                  Последний раз редактировалось Berckut; 10.01.2020, 06:42.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    На сайте разработчика SPR инфы про обновления сертификатов нет. https://cansec.ru/spr/sertificate_FSB_windows
                                    Так все верно, они же продали свой продукт Криптопро. теперь разраб это Криптопро.


                                    Комментарий


                                    • Сообщение от Cpx Посмотреть сообщение
                                      Так все верно, они же продали свой продукт Криптопро. теперь разраб это Криптопро.
                                      Не знал. Тогда логично, что они делали новые сертификаты. Компания ведь уже другая.
                                      Но нам от этого не легче: всё заказывать, делать и переоформлять заново. Тут только поставка месяц-два займёт.

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение
                                        Но нам от этого не легче: всё заказывать, делать и переоформлять заново. Тут только поставка месяц-два займёт.
                                        Заказывать что? сертификат продлен можно ничего не делать..

                                        Комментарий


                                        • Сообщение от Berckut Посмотреть сообщение
                                          ... Win 7 восстала из могилы! .......
                                          Насколько я понимаю, у кого есть платная поддержка Win7 от Некрософт, т.е. тем, кто продолжает получать обновления безопасности для этой ОС, ничего не мешает, её использовать еще какое-то время...))
                                          Последний раз редактировалось saches; 10.01.2020, 12:47.

                                          Комментарий


                                          • Сообщение от Berckut Посмотреть сообщение
                                            т.к. на SPR надо накатывать только сертифицированные
                                            Мы пока КС3 пытаемся обойти стороной, но, возможно, придётся погружаться.
                                            Глянул сертификат на это СЗИ, я не совсем понимаю: на несертифицированный экземпляр ОС можно установить этот SecurePack и после ОС станет сертифицированным СЗИ?
                                            Или нужно для КС3 ещё и ОС сертифицированную брать (специальный дистрибутив)?

                                            Сообщение от Berckut Посмотреть сообщение
                                            т.к. для их решения нужен Edge, причём старой версии (движок не хромиум).


                                            Сообщение от Cpx Посмотреть сообщение
                                            сертификат продлен можно ничего не делать..
                                            Сертификат на другое исполнение СЗИ. Обычно в таких случаях нужно покупать продукт заново или как минимум дистрибутив получить и переустановить.

                                            Сообщение от saches Посмотреть сообщение
                                            . тем, кто продолжает получать обновления безопасности для этой ОС, ничего не мешает, её использовать еще какое-то время...))
                                            Да, ещё можно за 25-50 баксов за первый год продлить удовольствие по прогрессирующему тарифу на 3 года: https://habr.com/ru/post/439598/

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              на несертифицированный экземпляр ОС можно установить этот SecurePack и после ОС станет сертифицированным СЗИ?
                                              так точно, магия от ФСБ (: Аналог Secret net ))
                                              Сообщение от Zuz Посмотреть сообщение
                                              Сертификат на другое исполнение СЗИ. Обычно в таких случаях нужно покупать продукт заново или как минимум дистрибутив получить и переустановить.
                                              Действительно, пардон не заметил, нужен новый диск с макулатурой.

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                так точно, магия от ФСБ (: Аналог Secret net ))
                                                Не уверен, Secret Net сам по себе СЗИ, а тут прочтите сертификат, там указано что ОС является СЗИ после установки СЗИ. Т.е. сертификат не на СЗИ SecurePack, а на ОС. Это интересно, можно получается встроенные возможности ОС использовать.

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  Не уверен, Secret Net сам по себе СЗИ, а тут прочтите сертификат, там указано что ОС является СЗИ после установки СЗИ. Т.е. сертификат не на СЗИ SecurePack, а на ОС. Это интересно, можно получается встроенные возможности ОС использовать.
                                                  Можно, только толку от этого не много. Во-первых, сертификат ФСБ, а есть ещё требования ФСТЭК и для них нужно средство сертифицированное ФСТЭК. Во-вторых, этот сертификат только на НСД.
                                                  Необходимость использования SPR продитктована тем, что в формуляре на КриптоПро КС3 он заявлен, как обязательное условие применения КриптоПро для обеспечения уровня АК3. По идее можно взять SNS, который тоже недавно получил сертификат ФСБ АК3, но против документа не попрёшь - надо чтобы сначала КриптоПро в формуляр изменения внесла.

                                                  Комментарий


                                                  • Сообщение от Berckut Посмотреть сообщение
                                                    Во-первых, сертификат ФСБ, а есть ещё требования ФСТЭК и для них нужно средство сертифицированное ФСТЭК. Во-вторых, этот сертификат только на НСД.
                                                    Нужно будет анализировать, возможно, и этого во многих случаях будет достаточно (не в контексте ЕБС). Сам факт того, что ОС становится СЗИ интересен. А НСД очень широкое понятие.

                                                    Сообщение от Berckut Посмотреть сообщение
                                                    По идее можно взять SNS, который тоже недавно получил сертификат ФСБ АК3, но против документа не попрёшь - надо чтобы сначала КриптоПро в формуляр изменения внесла.
                                                    Не знаю, возможно, для унификации это было бы проще, но почему-то не делают исполнений, которые сразу два сертификата имеют ФСТЭК / ФСБ, что приводит к тому, что нужно применять разные СЗИ фактически дублирующие по функциональности друг друга.

                                                    Комментарий


                                                    • Сообщение от Zuz Посмотреть сообщение
                                                      Сам факт того, что ОС становится СЗИ интересен.
                                                      Эта магия ФСБ, должна заниматься криптографией,а по факту дублирует требования ФСТЭК под своим сосусом.
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      оторые сразу два сертификата имеют ФСТЭК / ФСБ
                                                      Как Вы это представляете? 2 воюющих органа, чтобы договорились??? ЦБ ни с одним из них не может...

                                                      Комментарий


                                                      • Законопроект по биометрии приостановили в Госдуме https://www.banki.ru/news/lenta/?id=10914747
                                                        Только из новости не понятно что именно приостановили, но новость позитивная.

                                                        Комментарий


                                                        • О законопроекте



                                                          Госдума 16 июля 2019 г. приняла в первом чтении законопроект, разрешающий банкам собирать биометрические данные клиентов. Соответствующе поправки вносятся в закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Документ был инициирован группой депутатов и членов Совета Федерации во главе с председателем комитета Госдумы по финрынку Анатолием Аксаковым.

                                                          Сбор биометрических данных будут осуществлять банки и филиалы при открытии счетов и вкладов. Законопроектом предлагается конкретизировать виды внутренних структурных подразделений, в которых банки обязаны обеспечить сбор биометрических персональных данных, исходя из осуществляемых ими функций. Банки получат право использовать информацию, полученную из единой биометрической системы, для осуществления любых банковских операций и сделок с клиентами-физлицами.

                                                          Авторы законопроекта отмечают, что крупные банки - банки с универсальной лицензией уже приступили к внедрению необходимых инфраструктурных решений. Банкам с базовой лицензией в силу их меньшего размера требуется больше времени для подготовки и внедрения механизма удаленной идентификации. В этой связи предлагается установить для таких банков срок по подключению к Единой биометрической системе для сбора биометрических персональных данных до 1 января 2021 года. При этом в случае готовности банки с базовой лицензией смогут на добровольной основе подключаться к системе и осуществлять сбор биометрических персональных данных до наступления этого срока.

                                                          Правительство РФ в своем отзыве поддержало законопроект при условии его существенной доработки.

                                                          Комментарий


                                                          • Сообщение от UserNick Посмотреть сообщение
                                                            но новость позитивная
                                                            в чем? Ничего нового, нужно покупать не нужное барахло и класть на полку.

                                                            Комментарий


                                                            • Сообщение от Cpx Посмотреть сообщение
                                                              Как Вы это представляете? 2 воюющих органа, чтобы договорились??? ЦБ ни с одним из них не может...
                                                              Это уже сейчас есть, есть программная база единая у продуктов, только поставка разная или с одним или с другим сертификатом. Не ясно, что мешает поставлять с двумя, сам продукт идентичный.

                                                              Комментарий

                                                              Обработка...
                                                              X