16 января, воскресенье 22:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

СКЗИ "Сигнатура"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • СКЗИ "Сигнатура"

    добрый день, коллеги!

    На СКЗИ "Сигнатура" в августе 2015 заканчивается сертификат соответствия...По моей информации на продление не подавали...

    У кого есть какая информация по этому поводу, как жить дальше будем?)

  • #2
    На вербу вон еще 01 июня 2015 закончился и ничего. Звонил безопасникам в свой региональный ЦБ. Меня спросили, что такое сертификат соответствия. Разговор не продолжился.

    Комментарий


    • #3
      Сообщение от Capsik Посмотреть сообщение
      добрый день, коллеги!

      На СКЗИ "Сигнатура" в августе 2015 заканчивается сертификат соответствия...По моей информации на продление не подавали...

      У кого есть какая информация по этому поводу, как жить дальше будем?)
      Мы год назад ровно за это же при проверке получили замечание по системе Анелик. Использовали крипту с просроченным сертификатом.
      Писать письмо официальное письмо в ЦБ с претензией. Проблему это конечно не решит, но можно будет показать, что сделали всё, что могли.
      Ну и ЦБ потролить не помешает Пусть прежде чем требования писать, сами исполнять их начнут.

      Комментарий


      • #4
        Кстати, если новых сертификатов не дадут, это надо будет всем банкам в отчёт по инцидентам включать

        Комментарий


        • #5
          Сообщение от Berckut Посмотреть сообщение
          Кстати, если новых сертификатов не дадут, это надо будет всем банкам в отчёт по инцидентам включать
          и учитывать в соответствующем показателе 382-П

          В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.

          Комментарий


          • #6
            Сообщение от Esin Посмотреть сообщение
            В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.
            Наберусь наглости и поставлю в оценке 1. И Напишу что все СКЗИ имеют сертификат соответствия, правда некоторые просроченный.

            PS: По Вербе сертификат вроде тоже протух?

            Комментарий


            • #7
              Сообщение от Ярослав В. Посмотреть сообщение
              Наберусь наглости и поставлю в оценке 1. И Напишу что все СКЗИ имеют сертификат соответствия, правда некоторые просроченный.

              PS: По Вербе сертификат вроде тоже протух?
              Верба для переводов не используется.
              А так да, можно сказать: В требованиях написано, что "указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа", но нигде не сказано, что сертификат должен быть действующим. С точки зрения закона, требование выполнено

              P.S. Мы год назад при проверке ЦБ замечание получили за неисполнение 382-П (платёжная система, с которой работали, имела просроченный сертификат на СКЗИ).

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                P.S. Мы год назад при проверке ЦБ замечание получили за неисполнение 382-П (платёжная система, с которой работали, имела просроченный сертификат на СКЗИ).
                коллега, можно подробнее, что за система?

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  P.S. Мы год назад при проверке ЦБ замечание получили за неисполнение 382-П (платёжная система, с которой работали, имела просроченный сертификат на СКЗИ).
                  Мдаа... ЦБ в своем репертуаре. система не контакт? А вы письма ОПС писали по этому поводу?

                  Комментарий


                  • #10
                    del

                    Комментарий


                    • #11
                      Сообщение от khusainov rustam Посмотреть сообщение
                      коллега, можно подробнее, что за система?
                      Сообщение от Esin Посмотреть сообщение
                      Мдаа... ЦБ в своем репертуаре. система не контакт? А вы письма ОПС писали по этому поводу?
                      Они исправились, так что светить их в открытом доступе было бы не тактично. А дело было так:
                      В феврале-апреле к нам пришла проверка ЦБ, в рамках которой, в том числе, шерстили и 382-П. Было найдено нарушение - используется СКЗИ отечественного производства с истёкшим сроком сертификата. Данное замечание попало в акт проверки и его требовалось устранить. Само собой, это же замечание и оценку соответствия понизило.
                      Так как проблемы индейцев шерифа не "волнуют", то разбираться с платёжной системой нам предложили самостоятельно, вплоть до "не можете выполнить требования, отказывайтесь от работы с ними". В том числе, была высказана претензия, что мы даже не приняли каких-либо мер (точнее, задокументированных мер), чтобы как-то это исправить. Имелось ввиду, что надо было хоть какое-нить письмо по этому поводу ОПСу отправить.
                      Надо сказать, что мы реально собирались отказываться от работы с ПС, чтобы закрыть замечание ЦБ. Правдами и неправдами удалось протянуть время, перенося сроки устранения замечания до июля, когда ОПС предоставил новое СКЗИ.
                      Так что вывод прост: надо, как минимум, написать письмо в ЦБ и спросить, какого хрена?

                      Комментарий


                      • #12
                        Berckut, технически они это как выявили?

                        Комментарий


                        • #13
                          Сообщение от khusainov rustam Посмотреть сообщение
                          Berckut, технически они это как выявили?
                          Попросили показать и предоставить информацию, где и какое ПО используется. Потом попросили предоставить сертификаты.

                          Комментарий


                          • #14
                            Для желающих присоединиться

                            Руководствуясь п.6.1.4 и п.6.2.3 Договора №... от ...г. об обмене электронными сообщениями при переводе денежных средств в рамках Платёжной системы Банка России (далее Договор №...) сообщаем о риске возможного несоблюдения требований к защите информации при осуществлении обмена электронными сообщениями в Платёжной системе Банка России.
                            Согласно п.2.9.1 Положения Банка России №382-П от 09.06.2012г. (далее Положение №382-П) если оператор по переводу денежных средств применяет средства криптографической защиты информации российского производителя, указанные средства криптографической защиты информации должны иметь сертификаты уполномоченного государственного органа. В настоящее время для обмена электронными сообщениями и осуществления переводов денежных средств в Платёжной системе Банка России нами используются средства криптографической защиты информации, срок действия сертификатов которых истекает 10.08.2015г.:
                            - Аппаратно-программный комплекс Средство криптографической защиты информации СКАД «Сигнатура» версии 3.6 (Сертификат соответствия ФСБ РФ №СФ/124-1900 от 10.08.2012г.);
                            - Аппаратно-программный комплекс «Сигнатура-клиент» версии 3.6 (Сертификат соответствия ФСБ РФ №СФ/124-1901 от 10.08.2012г.).
                            Указанные выше средства криптографической защиты информации согласно п.3.2.1 Договора №... Банк России передаёт ООО "Банк". Использовать иные средства ООО "Банк" не может, так как это будет противоречить условиям договора и не гарантирует бесперебойную работу автоматизированных систем, посредством которых осуществляется перевод денежных средств.
                            В связи с вышесказанным просим предоставить информацию о продлении сертификатов используемых средств криптографической защиты информации.

                            Комментарий


                            • #15
                              Здравствуйте, коллеги.
                              Все получили письмо про переход на Сигнатуру вер.5 и Янтарь вер.5.0.
                              Есть соображения по этому поводу?
                              Кто-нибудь их в глаза видел? Что по сертификатам? В списке за июль не увидела их ни по той, ни по другой программе.

                              Комментарий


                              • #16
                                Сообщение от SibInna Посмотреть сообщение
                                Здравствуйте, коллеги.
                                Все получили письмо про переход на Сигнатуру вер.5 и Янтарь вер.5.0.
                                Есть соображения по этому поводу?
                                Кто-нибудь их в глаза видел? Что по сертификатам? В списке за июль не увидела их ни по той, ни по другой программе.
                                Все ли получили? До меня пока такое письмо не дошло, отпишитесь кто еще получал.

                                Комментарий


                                • #17
                                  Нам тоже пришло

                                  Комментарий


                                  • #18
                                    Не видел.
                                    Скиньте номер и дату письма.

                                    Комментарий


                                    • #19
                                      получили от своего местного отделения ЦБ письмо с вопросом об использовании собственного ПО со встроенной сигнатурой и уведомление о запуске с 17/08 стенда совмещенного тестирования. о тиражировании новых сигнатур пока не слышали

                                      Комментарий


                                      • #20
                                        Мы тоже от местного получили, оно ссылается на письмо ДИТ БР от 22.07.2015 №16-3-2-2/6455

                                        Комментарий


                                        • #21
                                          Сообщение от SibInna Посмотреть сообщение
                                          ДИТ БР от 22.07.2015 №16-3-2-2/6455
                                          Это ваше местное, видимо. Не гуглится

                                          Комментарий


                                          • #22
                                            Сообщение от donZhukan Посмотреть сообщение
                                            получили от своего местного отделения ЦБ письмо с вопросом об использовании собственного ПО со встроенной сигнатурой и уведомление о запуске с 17/08 стенда совмещенного тестирования. о тиражировании новых сигнатур пока не слышали
                                            вот и нам пришло

                                            Комментарий


                                            • #23
                                              Сообщение от Berckut Посмотреть сообщение
                                              P.S. Мы год назад при проверке ЦБ замечание получили за неисполнение 382-П (платёжная система, с которой работали, имела просроченный сертификат на СКЗИ).
                                              У нас под это дело притянули ещё и требование из СТО БР, и прямо так и написали, что мы использовали несертифицированные СКЗИ (это был обмен с одним из контрагентов по картам не помню, кто уже, НКО ОРС вроде). Т.е. отсутствие действующего сертификата = СКЗИ не сертифицированное для проверяющих.

                                              По СКЗИ на самом деле лучше меньше показывать чем больше, вот у нас было всё учтено, вплоть до OpenSSL (например, для взаимодействия с МПС, в Системе REX400, через, которую многие банки к ЦБ подключены и ещё много где) и после анализа предоставленных данных проверяющим сказано и записано было, что необходимо устранить несоответствие, все СКЗИ должны быть сертифицированы, я и убрал из учёта и все СКЗИ стали сертифицированными. ))) Самое интересное, что делать для случаев архивного хранения платежных документов, бывают ситуации, когда СКЗИ уже не имеют действующего сертификата, а нужно проверить подпись и пр., формально использовать нельзя. )))

                                              В общем все кто пишут требования не пытались сами их выполнить. Считаю, что ЦБ по мимо самих требований и рекомендаций, должно давать методические рекомендации, где чётко расписывать как то или иное требование должно быть выполнено, документировано и т.п. тогда не будет недопонимания и можно будет чётко спросить за каждое требование, а не как проверяющий посчитает.

                                              Комментарий


                                              • #24
                                                Сообщение от giroskop Посмотреть сообщение
                                                вот и нам пришло
                                                Сегодня уже ответить на него нужно было.

                                                Комментарий


                                                • #25
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  Сегодня уже ответить на него нужно было.
                                                  срок до 4 сент

                                                  Комментарий


                                                  • #26
                                                    Сообщение от giroskop Посмотреть сообщение
                                                    срок до 4 сент
                                                    Интересно, у нас дословно так написано: "Просим Вас, не позднее 29 июля 2015 года направить...", само письмо пришло 27.07.2015.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      Интересно, у нас дословно так написано: "Просим Вас, не позднее 29 июля 2015 года направить...", само письмо пришло 27.07.2015.
                                                      та же фраза, только дата другая.
                                                      У нас срок окончания тестового обмена и направления ответного письма совпадают.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от SibInna Посмотреть сообщение
                                                        Все получили письмо про переход на Сигнатуру вер.5 и Янтарь вер.5.0.
                                                        Есть соображения по этому поводу?
                                                        Кто-нибудь их в глаза видел? Что по сертификатам? В списке за июль не увидела их ни по той, ни по другой программе.
                                                        А какие сроки у вас перехода в письме?
                                                        Звонил в ЦБ сказали, как будет так будет, узнаете, по письму сказали перешлют его в Мск, если напишем, сами отвечать не будут. ) Решил пока просто зафиксировать в служебной записке риски.

                                                        2 All: По Вербе-OW сейчас второй месяц уже нет сертификата? На сайте производителя пустота http://www.security.ru/com_article/article.php?id=70 в реестре ФСБ аналогично. Временного разрешения на эксплуатацию нет какого-нибудь?

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          А какие сроки у вас перехода в письме?
                                                          Звонил в ЦБ сказали, как будет так будет, узнаете, по письму сказали перешлют его в Мск, если напишем, сами отвечать не будут. ) Решил пока просто зафиксировать в служебной записке риски.
                                                          28 сентября

                                                          Комментарий


                                                          • #30
                                                            Немного офтопик, но тут обсуждалось, пришло пояснение из ЦБ по Вербе-OW:

                                                            В связи с поступающими запросами в адрес Управления безопасности и защиты информации
                                                            Уральского главного управления Центрального банка Российской Федерации,
                                                            сообщаем о продлении срока использования СКЗИ «Верба-OW» версии 6.1.2 до 31 декабря 2015 года.
                                                            Основание – письмо Центра защиты информации и специальной связи Федеральной службы безопасности
                                                            Российской Федерации от 09.06.2015 № 149/3/2/2-860.

                                                            Официальное письмо пришлем позднее.


                                                            Мне всегда было не понятно на какой правовой основе держатся такие письма ФСБ? Каким образом они заменяют процедуру сертификации?

                                                            Комментарий

                                                            Обработка...
                                                            X