1 апреля, среда 20:54
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • UserNick
    Участник создал тему Единая биометрическая система (ЕБС)

    Единая биометрическая система (ЕБС)

    Федеральный закон от 31.12.2017 N 482-ФЗ

    Источник: Консультант+

    С 30 июня у банков станет больше возможностей для удаленной идентификации клиентов-физлиц

    Для удаленной идентификации потребуется воспользоваться единой системой идентификации и аутентификации (ЕСИА), а также единой биометрической системой (ЕБС). Если данные о клиентах-физлицах будут соответствовать сведениям, размещенным в этих системах, то банк сможет по их поручению и без личного присутствия:

    открыть и вести счета, вклады таких клиентов;
    выдавать им кредиты;
    переводить по данным счетам деньги.
    При этом банку нужно соблюсти сразу два условия:

    физлицо не включено в перечень лиц, причастных к экстремистской деятельности или терроризму, либо его деньги или иное имущество не заморозил специальный орган;
    у банка нет подозрений, что клиент или его операции связаны с легализацией преступных доходов или финансированием терроризма.
    Таким образом, чтобы идентифицировать физлицо, актуальная информация о нем уже должна быть в ЕСИА и ЕБС. В связи с этим у банков появится обязанность после идентификации гражданина РФ при его личном присутствии, бесплатно и с его согласия размещать или обновлять в данных системах такую информацию. После этого личное присутствие гражданина не потребуется, даже если он решит воспользоваться услугами других банков.

    Реализовать новые возможности идентификации клиентов смогут только те банки, которые одновременно отвечают следующим критериям:

    они участвуют в системе страхования вкладов;
    к ним не применяются меры по предупреждению банкротства;
    ЦБ РФ не запретил банку проводить удаленную идентификацию.
    Каждый месяц ЦБ РФ будет размещать на своем сайте перечень соответствующих указанным критериям банков.

    После идентификации все документы, необходимые для взаимодействия банка и клиента, последний будет вправе заверять простой электронной подписью. Ее ключ должен быть получен при личной явке по правилам создания ключей для госуслуг в электронной форме.

    Сейчас банки могут провести упрощенную идентификацию физлица с помощью ЕСИА. Однако в таком случае устанавливаются и подтверждаются не все сведения о клиенте, а лишь его Ф.И.О., серия и номер документа, удостоверяющего личность. При этом открыть клиенту счет, вклад удаленно можно как минимум, если физлицо или его представитель ранее были идентифицированы этой же кредитной организацией при личном присутствии.

    Рассмотренные положения действуют с 30 июня 2018 года.

  • UserNick
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Может на фоне пандемии вообще прекратить сбор данных в ЕБС?
    А вы в новогодние каникулы обычно биометрию собираете?) Вопрос риторический.)

    Прокомментировать:


  • idelta
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Может на фоне пандемии вообще прекратить сбор данных в ЕБС?
    "Сбора данных" не было и нет.

    Но на этой "фоне" могут стартовать различные идеи/способы "оживления" несуществующего сбора.
    https://www.rbc.ru/technology_and_me...from=from_main

    "Голубиный" уже осознал почти всю серьёзность положения, сам готов сидеть дома, надо только кому-то подвозить чего-то и лучше бесплатно...
    https://www.rbc.ru/economics/31/03/2...from=from_main

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Может на фоне пандемии вообще прекратить сбор данных в ЕБС?

    Прокомментировать:


  • Estekhin
    Участник ответил
    ГК ЦФТ 25.03.2020 согласовала с ФСБ системный проект "Типовое решение для взаимодействия банков с ЕБС"

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Массаракш Посмотреть сообщение
    принимает ли еще Ростелек БО, подписанные не КВ-шной подписью?
    Пока принимает.

    Прокомментировать:


  • Массаракш
    Участник ответил
    Скажите, а дедлайн по запрету применения не КВ-шной подписи в ЕБС еще не наступил?
    Т.е. принимает ли еще Ростелек БО, подписанные не КВ-шной подписью?
    Последний раз редактировалось Массаракш; 27.02.2020, 11:44.

    Прокомментировать:


  • Cpx
    Участник ответил
    Между тем, законопроект все еще живой ))
    https://sozd.duma.gov.ru/bill/613239-7

    Прокомментировать:


  • idelta
    Участник ответил
    Сообщение от iPtich Посмотреть сообщение
    У нас так и реализовано. Все работает.
    Интересное решение и положительный опыт (на заметку).
    Когда мы "реализовывали" "это же", то думали примерно так : как вживить эту штуку в уже существующую инфраструктуру и "чтобы работало..." ?
    Есть очень большая вероятность, что без HSM (физической или облачной) нам не дадут жить.

    Прокомментировать:


  • iPtich
    Участник ответил
    Сообщение от idelta Посмотреть сообщение
    Пробуйте... может и получится...
    У нас так и реализовано. Все работает. Просто в СМЭВ у нас зарегистрировано 2 ИС. запретов на это нигде нет.
    В каждой ИС есть подключения к ВС ЕСИА.
    В ЕБСной - те которые нужны для ЕБС, во второй, те ВС, которые там необходимы.
    По ЕБСной ЕСИА работает с КВ сертификатом.

    Прокомментировать:


  • idelta
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    Как насчет того, что контур ЕБС не должен пересекаться с контуром ЕСИА?
    "Нормально" - также как и всё остальное, что связано с ЁБС-ой, СБП-пой и др.
    Почему ?
    Прежде чем ЕБС-ить клиента, банк обязан довести его до состояния = "есть ПУЗ".
    Это делается с использованием ЕСИА !
    Ставить рядом с АРМ-ЁБС еще 1 АРМ-ЕСИА ?
    После того как есть ПУЗ, можно оцифровать клиента и передать полученное в СМЭВ3 !
    Контур СМЭВ (которому уже 7 лет) со с кем-нибудь пересекнуть можно или нет ?!
    Добавьте сюда еще 1 рекомендацию (или требование) оттудова же :
    для ускорения обслуживания клиента по ЁБС-ной линии, ЕСИА-обслуживание также производите там же !?
    (не дословно...)
    Сообщение от Cpx Посмотреть сообщение
    есть сертифицированные МЭ и VLAN...

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    то контур ЕБС не должен пересекаться с контуром ЕСИА?
    Вы путаете понятие контур это раз.
    Два - его нет за пределами банка и это не проблема уже банка.
    три - контру не обязательно должен быть на физички разделен, для это есть сертифицированные МЭ и VLAN...

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    Как насчет того, что контур ЕБС не должен пересекаться с контуром ЕСИА?
    Откуда такое требование? Что значит не должен?
    При сборе данных для ЕБС с начало ищется УЗ в ЕСИА и только потом идет сбор.

    Прокомментировать:


  • w3d
    Участник ответил
    Так и работаем.
    Как насчет того, что контур ЕБС не должен пересекаться с контуром ЕСИА?

    Прокомментировать:


  • idelta
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    Делаем одну ИС для ЕБС, другую для ЕСИА. На каждой свой собственный сертификат.
    Пробуйте... может и получится...
    Для меня картина такая :

    Есть СМЭВ3.
    ЕСИА - это 8 штук ВС в СМЭВ3.
    ЁБС - это 1 штука ВС в СМЭВ3.
    Банк регистрирует 1 ИС в СМЭВ3 и работает со всеми ВС в нем (в т.ч. и с ЁБС-ой и ЕСИА).

    Прокомментировать:


  • w3d
    Участник ответил
    Сообщение от idelta Посмотреть сообщение
    Ведь с момента зацепления весь (совсем весь !!!) трахик между вашим банком и СМЭВ должен будет подписываться сквозь (и через)
    эту околодвухмиллионную бандуру...
    Почему вы так считаете?
    Делаем одну ИС для ЕБС, другую для ЕСИА.
    На каждой свой собственный сертификат.

    Прокомментировать:


  • idelta
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    На зарегистрированную в СМЭВ ИС цепляете Восходовский ключ на техпортале, и работаете...
    Вы представляете какой объем работы (непростой) за этими "цепляете" и "работаете" ?!
    Зацепить можно за пару минут.
    Но что дальше ???
    Ведь с момента зацепления весь (совсем весь !!!) трахик между вашим банком и СМЭВ должен будет подписываться сквозь (и через)
    эту околодвухмиллионную бандуру...
    Попутно, в режиме обезьяноподобных действий, ваши коллеги будут жпегить и вавить друг дружку, изображая работающую ЁБС
    и тоже как-бе пользуя ту бандуру (так давно уже делают многие, но не все признаются).
    >5млн руб за такое подобие кекса, этого нигде нет и быть не может.
    Шайбу, шайбу... МФЦ !!!

    ЁБС уже изделали и запуздили. Исключительно насильно и очень незадешево...
    Но на горизонте зазвиздела новая звизда - СБП ! Тоже совсем недобровольная.
    Из ПС БР надо бы рвануть, да сроки новые до "заслуженного".
    Надежды на добровольный уход самих насильников умерли много лет назад...

    Прокомментировать:


  • w3d
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    в ХСМ должны быть два ключа, и Восходовский, и СМЭВовский.
    Не совсем понял, какой "СМЭВ-овский" ключ имеется в виду?
    На зарегистрированную в СМЭВ ИС цепляете Восходовский ключ на техпортале, и работаете...

    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    А нам они сказали, что не надо такого.
    Сообщение от Cpx Посмотреть сообщение
    Вы их согласованный "типовой проект" и документации к нему читали (формуляр и правила пользования?!) Там все написано как можно и нужно. Если нет, запросите и делайте в строгом соответствии.
    господа, я же не с потолка беру все это, не леплю отсебятину
    все указания даны их инженерами в процессе тестирования. Ну если в вашем случае все прекрасно работает - я искренне рад за вас, у нас вот пока нет, возникают сложности различного характера.
    Еще раз всем спасибо за советы и разъяснения.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    по их архитектуре в ХСМ должны быть два ключа
    Вы их согласованный "типовой проект" и документации к нему читали (формуляр и правила пользования?!) Там все написано как можно и нужно.
    Если нет, запросите и делайте в строгом соответствии.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    IDSYS я же говорю, по их архитектуре в ХСМ должны быть два ключа, и Восходовский, и СМЭВовский
    А нам они сказали, что не надо такого.

    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    это, что за такое интересное решение?
    IDSYS
    я же говорю, по их архитектуре в ХСМ должны быть два ключа, и Восходовский, и СМЭВовский. Если это дин ключ - ок, но на данный момент у нас это два разных.
    Сообщение от Cpx Посмотреть сообщение
    тоже не понятно, нет запрета выделать отдельные подсети.
    да дело не в запрете, а в тех рисках, которые мы определяем при такой реализации

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    ок, пусть это будет "компрометацией" СКЗИ. )))
    Вы как всегда слишком детально все описали, в целом все именно так. Я сознательно это назвал одним пугающим словом, чтобы было понятно - делать не надо.
    Сообщение от junglets Посмотреть сообщение
    Согласно архитектуре того решения, которое мы внедряем, в ХСМ должны быть установлены ключи помимо выпущенного НИИ Восход еще и ключе, предназначенный для аутентификации в СМЭВ.
    это, что за такое интересное решение? На сколько мне известно, ни у одного вендора нет "должны", есть "допускается". И тем более допускается использовать один и тот же ключ КВ2 при условии проведения оценки.
    Сообщение от junglets Посмотреть сообщение
    это обусловлено архитектурой нашей сети. Не хотелось бы в участок ЕБС прокидывать маршруты от тех сегментов, которые взаимодействуют со СМЭВ,
    тоже не понятно, нет запрета выделать отдельные подсети. Если конечно у Вас решение не от Идсистемс - они там переборщили со своим проектом (отказ от АД, отдельная сеть)….


    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А вы пробовали и у производителя HSM уточняли?
    нет, не уточняли. Ориентировались на указания поставщика решения для ЕБС, который говорил, что это возможно.

    Сообщение от Zuz Посмотреть сообщение
    В большинстве случаев в формуляре на СКЗИ указано, что допускается эксплуатация только с сертификатами с классом не ниже чем класс СКЗИ. Т.е. даже, если технически это будет работать, вы не сможете проводить эксплуатацию без нарушения документации на СКЗИ, что может быть не приемлемо.
    о чем и речь, это я и выяснял тут на форуме. Конкретный ответ получен - нельзя.

    Сообщение от Zuz Посмотреть сообщение
    Встречный вопрос, зачем вам HSM, если вам такой класс для работы со СМЭВ не требуется? У вас есть своя модель угроз, где нужно иное? Не усложняйте себе жизнь! )))
    я писал об этом. Согласно архитектуре того решения, которое мы внедряем, в ХСМ должны быть установлены ключи помимо выпущенного НИИ Восход еще и ключе, предназначенный для аутентификации в СМЭВ.

    Сообщение от Cpx Посмотреть сообщение
    Зачем выпускать еще ключ?! Регистрируете текущий КВ в СМЭВ в соотв с текущим порядком, противоречий не должно быть и банки уже так делали... 2 ключа зачем иметь?
    отвечу в общем, скажем так, это обусловлено архитектурой нашей сети. Не хотелось бы в участок ЕБС прокидывать маршруты от тех сегментов, которые взаимодействуют со СМЭВ,

    Прокомментировать:


  • w3d
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Регистрируете текущий КВ в СМЭВ
    Совершенно верно, берете сертификат от КВ и заменяете в СМЭВ для своей ИС
    Все работает.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    Итак, если в HSM стоит ЭП выпущенная по классу КВ, мы можем в HSM загрузить еще один сертификат ниже классом?
    А вы пробовали и у производителя HSM уточняли? Не факт, что это технически вообще работает, может быть реализован запрет, как минимум, для администрирования это так:
    Вот к примеру из доки:
    Внимание! ПАКМ «КриптоПро HSM» формирует ключи, соответствующие классу защиты до КВ. СКЗИ «КриптоПро CSP», используемое на рабочем месте администратора, реализовано по классу защиты КС1/КС2/КС3, поэтому при первом использовании ключа аутентификации, сформированном на смарт-карте в ПАКМ, будет выдано соответствующее предупреждение о понижении класса защиты ключа. Необходимо иметь в виду, что данной картой впоследствии нельзя будет воспользоваться для аутентификации администратора в ПАКМ при входе через LCD панель. Поэтому необходимо для каждого привилегированного пользователя (члена группы администраторов ПАКМ) создать две учетные записи, и, соответственно, 2 карты доступа: одну использовать для локального входа через LCD панель ПАКМ, а вторую (с пониженным классом защиты) для доступа с удаленного рабочего места.

    В большинстве случаев в формуляре на СКЗИ указано, что допускается эксплуатация только с сертификатами с классом не ниже чем класс СКЗИ.
    Т.е. даже, если технически это будет работать, вы не сможете проводить эксплуатацию без нарушения документации на СКЗИ, что может быть не приемлемо.

    Как тут уже предлагали варант зарегистрировать в СМЭВ ваш сертификат от ЕСБ, но в любом случае ваше ПО для работы с СМЭВ должно входить в скоуп процедуры оценки влияния при проведении работ по "корректности встраивания СКЗИ".

    Встречный вопрос, зачем вам HSM, если вам такой класс для работы со СМЭВ не требуется? У вас есть своя модель угроз, где нужно иное? Не усложняйте себе жизнь! )))

    Сообщение от saches Посмотреть сообщение
    Если требуется СКЗИ более низкого класса, как для ЕСИА, нигде не запрещено использовать железку КВ, а сертификат от УЦ того класса, который требуется...
    Запрещено в формуляре, к примеру ПАКМ «КриптоПро HSM:
    1.4. При эксплуатации ПАКМ ЖТЯИ.00096-01 должны использоваться сертификаты открытых ключей, выпущенные Удостоверяющим центром, сертифицированным ФСБ России по классу защиты не ниже класса защиты используемого СКЗИ.
    Т.е., если вы будете делать по иному, то будет формальное нарушение правил эксплуатации СКЗИ. Вообще бессмысленно использовать КВ, там где он не нужен, поэтому и нет такого применения.

    Сообщение от Cpx Посмотреть сообщение
    это сразу "компрометация" СКЗИ.
    Такого термина нет, да, я вижу кавычки, но не понимаю зачем это тут? ))) Формально это будет нарушение требований формуляра на СКЗИ, т.е. правил эксплуатации СКЗИ. Но даже это к компрометации ключей более высокого класса не приведёт, такого события нет в документации в разделе, где описаны события компрометации ключевой информации (как минимум, у ПАКМ «КриптоПро HSM»), но это не точно, см. следующую мысль.
    Загрузка такой информации в HSM (если это вообще технически возможно), КМК, никак не влияет на класс HSM, как СКЗИ (хотя нужно читать, что там при создании СКЗИ было, может там есть атаки через такую ключевую информацию на СКЗИ более высокого класса, не знаю, я не видел ни разу ТЗ на СКЗИ такого уровня), но повторюсь в любом случае это будет явным нарушением правил эксплуатации СКЗИ.
    Если такие "атаки" при загрузке ключевой информации более низкого класса имеют место быть, ок, пусть это будет "компрометацией" СКЗИ. )))

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    а по вопросу выпуска ЭП класса КВ для работы со СМЭВ
    Зачем выпускать еще ключ?! Регистрируете текущий КВ в СМЭВ в соотв с текущим порядком, противоречий не должно быть и банки уже так делали...
    2 ключа зачем иметь?
    п.с. не забудьте также про дополнительную оценку не влияния для транспорта сделать, иначе нарушите требований формуляра (:

    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    советы про письма Восход и Минсвязи порадовали, пишите еще... особенно писать в Ростелеком и ЦБ... Дур дом не надо разводить! регулятор по СКЗИ один! = ФСБ
    напишу еще, с удовольствием
    посоветовали писать в Минсвязь не по поводу возможности закгрузки ЭП более низкого класса на ХСМ, а по вопросу выпуска ЭП класса КВ для работы со СМЭВ

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Можно ссылку на документ, где это написано. Особенно про компрометацию.
    Ссылку на формуляр дали Ваше, я перевел на дилетантский язык.
    Кто сомневается - пишите официальный запрос в ФСБ или обратитесь в любую лабораторию сертифицирующая Ваш ХСМ! Там Вам дадут развернутый ответ, что нельзя.
    п.с .советы про письма Восход и Минсвязи порадовали, пишите еще... особенно писать в Ростелеком и ЦБ... Дур дом не надо разводить! регулятор по СКЗИ один! = ФСБ.

    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Согласен, что есть некоторая вольность трактовки. Но, с другой стороны, неплохо выглядит, а может еще и сработает...)))
    Как вариант, может получится ЦБ или Ростелику подкинуть вопросик...
    Восход посоветовал написать в Минсвязь, но можно попробовать и этот вариант)

    Прокомментировать:

Обработка...
X