16 января, воскресенье 22:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ПС "МИР" и PCI DSS

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ПС "МИР" и PCI DSS

    Здравствуйте. Вопрос по поводу пункта в правилах ПС "МИР" о необходимости Участникам соответствовать требованиям стандартов безопасности PCI DSS; Сами правила ПС "МИР" здесь http://www.nspk.ru/cards-mir/terms-and-tariffs/
    Так вот - непонятно, почему например Российский Банк должен соответсвовать стандартам PCI DSS именно исходя из требований ПС "МИР", ведь возникает коллизия, например: Шифрование каналов связи по требованиям НПА РФ (согласно требованиям ПС "МИР" Банк обязан соответствовать помимо PSI DSS также требованиям законодательства РФ и т.п.) должно осуществляться с применением ГОСТ 28.147-89, а согласно PCI DSS: SSL/TLS, IPSEC и прочие. Да и вообще неясен подход, ведь в правилах ПС "МИР" уже есть определенные требования к обеспечению защиты информации, зачем здесь стандарты заграничные? Нужно ли соответствовать PCI DSS исходя из требований ПС "МИР", и что делать с коллизиями?

  • #2
    Потому что Оператор Платежной Системы устанавливает правила и требования по обеспечению информационной безопасности в платежной системе.
    Вы присоединяетесь к правилам, поэтому обязаны соответствовать установленным требованиям.

    Какие вы видите коллизии?

    Комментарий


    • #3
      Сообщение от ost Посмотреть сообщение
      Потому что Оператор Платежной Системы устанавливает правила и требования по обеспечению информационной безопасности в платежной системе.
      Вы присоединяетесь к правилам, поэтому обязаны соответствовать установленным требованиям.

      Какие вы видите коллизии?
      Шифрование каналов связи по требованиям НПА РФ должно осуществляться с применением ГОСТ 28.147-89, а согласно PCI DSS: SSL/TLS, IPSEC.
      по моему коллизия!

      Комментарий


      • #4
        Сообщение от whirlwind Посмотреть сообщение
        Шифрование каналов связи по требованиям НПА РФ должно осуществляться с применением ГОСТ 28.147-89, а согласно PCI DSS: SSL/TLS, IPSEC.
        по моему коллизия!
        В соответствии с каким именно НПА РФ шифрование каналов должно осуществляться с применением ГОСТ 28.147-89?

        Комментарий


        • #5
          Сообщение от ost Посмотреть сообщение
          В соответствии с каким именно НПА РФ шифрование каналов должно осуществляться с применением ГОСТ 28.147-89?
          Например СТО БР ИББС 1.0-2014

          Комментарий


          • #6
            Сообщение от whirlwind Посмотреть сообщение
            Например СТО БР ИББС 1.0-2014
            Укажите конкретный пункт и цитату из документа.

            Комментарий


            • #7
              Сообщение от ost Посмотреть сообщение
              Укажите конкретный пункт и цитату из документа.
              7.7. Общие требования по обеспечению информационной безопасности
              при использовании средств криптографической защиты информации
              7.7.5. Для обеспечения безопасности необходимо использовать СКЗИ, которые:
              — сертифицированы уполномоченным государственным органом либо имеют разрешение
              ФСБ России.

              Комментарий


              • #8
                Сообщение от whirlwind Посмотреть сообщение
                — сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.
                Вы считаете, что официально ввезенные в РФ устройства, которые применяются в индустрии пластиковых карт, не имеют разрешения ФСБ России?

                Где вы нашли должно ГОСТ 28.147-89?

                Комментарий


                • #9
                  Сообщение от ost Посмотреть сообщение
                  Вы считаете, что официально ввезенные в РФ устройства, которые применяются в индустрии пластиковых карт, не имеют разрешения ФСБ России?

                  Где вы нашли должно ГОСТ 28.147-89?
                  Как СКЗИ конечно нет, как например СЗИ от НСД - да.

                  Комментарий


                  • #10
                    Сообщение от ost Посмотреть сообщение
                    Вы считаете, что официально ввезенные в РФ устройства, которые применяются в индустрии пластиковых карт, не имеют разрешения ФСБ России?

                    Где вы нашли должно ГОСТ 28.147-89?
                    Как СКЗИ конечно нет, как например СЗИ от НСД - да.
                    По поводу ГОСТ - советский и российский стандарт шифрования, иных у нас в стране нет!

                    По этому поводу думаю спорят в другой ветке, подожду мнения других участников форума по существу заданного вопроса!!!

                    Комментарий


                    • #11
                      Сообщение от ost Посмотреть сообщение
                      В соответствии с каким именно НПА РФ шифрование каналов должно осуществляться с применением ГОСТ 28.147-89?
                      Сообщение от whirlwind Посмотреть сообщение
                      Например СТО БР ИББС 1.0-2014
                      А с чего вдруг СТО БР стал НПА РФ - это во-первых?
                      Во-вторых, СТО БР требует или сертифицированные средства или разрешенные. Запрета использовать иностранные несертифицированные СКЗИ в СТО БР нет.
                      В-третьих, если переживаете из-за использования несертифицированных СКЗИ, почему не смущает использование сейчас карт, банкоматов и терминалов, вовсю использующих иностранную несертифицированную криптографию?

                      Комментарий


                      • #12
                        Сообщение от whirlwind Посмотреть сообщение
                        Почему например Российский Банк должен соответсвовать стандартам PCI DSS именно исходя из требований ПС "МИР"
                        Потому что они разумны, потому что имеется наработанная правктика их выполнения и проверки и, соответственно, потому что оператор счел нецелесообразным изобретать велосипед.
                        В конце конуов, потому что даже ФСТЭК и Росстандарт пошли по пути принятия в качестве национальных рассийских стандартов переводов разумных международных стандартов.

                        Сообщение от whirlwind Посмотреть сообщение
                        ведь возникает коллизия, например: Шифрование каналов связи по требованиям НПА РФ (согласно требованиям ПС "МИР" Банк обязан соответствовать помимо PSI DSS также требованиям законодательства РФ и т.п.) должно осуществляться с применением ГОСТ 28.147-89, а согласно PCI DSS: SSL/TLS, IPSEC и прочие.
                        Ни разу не коллизия. Криптографический алгоритм ГОСТ 28147 - это одно, криптографические протоколы SSL, TLS, IPSEC - совсем другое. В криптографическом протоколе может использоваться любой криптографический алгоритм, причем PCI DSS , насколько я помню, даже не требует, чтобы этот криптографиеский алгоритм соответствовал каким-либо национальным требованиям типа FIPS 140.

                        Примеры действительно коллизий можете привести?

                        Комментарий


                        • #13
                          Tor
                          А где разрешение?

                          Комментарий


                          • #14
                            Исходя из вашей логики, любые СКЗИ можно использовать для обеспечения безопасности информации ограниченного доступа, передаваемой по общедоступным каналам связи, и наверное самописные, не только зарубежные, ведь не запрещено?

                            Комментарий


                            • #15
                              Исходя из моей логики, я не стану использовать самописные СКЗИ, т.к. нет гарантий в том, что эта поделка обеспечит приемлемый уровень безопасности. Но мы же не про мою логику, а про СТО БР, PCI DSS и правила ПС "МИР"?
                              Итак, СТО БР разрешает использовать СКЗИ, разрешенные ФСБ. На ввоз зарубежной криптографии нужно разрешение ФСБ. Собственно именно этого разрешения (на ввоз) достаточно для СТО БР.
                              Но я так и не могу понять, почему Вы СТО БР притягиваете к ПС "МИР" и PCI DSS?

                              Комментарий


                              • #16
                                Сообщение от Tor Посмотреть сообщение
                                Исходя из моей логики, я не стану использовать самописные СКЗИ, т.к. нет гарантий в том, что эта поделка обеспечит приемлемый уровень безопасности. Но мы же не про мою логику, а про СТО БР, PCI DSS и правила ПС "МИР"?
                                Итак, СТО БР разрешает использовать СКЗИ, разрешенные ФСБ. На ввоз зарубежной криптографии нужно разрешение ФСБ. Собственно именно этого разрешения (на ввоз) достаточно для СТО БР.
                                Но я так и не могу понять, почему Вы СТО БР притягиваете к ПС "МИР" и PCI DSS?
                                По сто бр я ставлю континент, обеспечивающий шифрование по госту, по pic dss мне нужно ещё поверх завернуть в l2tp IPSec тоннель, я вот к чему.

                                Комментарий


                                • #17
                                  Все я разобрался,коллизий нет, континент работает по протоколу tls что соответствует psi dss и поддерживает алгоритм гост, что обеспечивает защиту пдн и иной тип защищаемы информационных активов,всем спасибо!

                                  Комментарий


                                  • #18
                                    Сообщение от whirlwind Посмотреть сообщение
                                    По сто бр я ставлю континент
                                    Заметьте, что это даже и не ваше решение, это вам предписано оператором платежной системы.
                                    А вот с ПОС терминалами вам придется самостоятельно принимать решение.

                                    Комментарий


                                    • #19
                                      Сообщение от malotavr Посмотреть сообщение
                                      В конце конуов, потому что даже ФСТЭК и Росстандарт пошли по пути принятия в качестве национальных рассийских стандартов переводов разумных международных стандартов.
                                      Это да, эти не очень умные господа промтом понапереводили, и даже падежи 7не исправили, нам эти "переводы" долго ещё аукаться будут.

                                      Сообщение от malotavr Посмотреть сообщение
                                      Ни разу не коллизия. Криптографический алгоритм ГОСТ 28147 - это одно, криптографические протоколы SSL, TLS, IPSEC - совсем другое. В криптографическом протоколе может использоваться любой криптографический алгоритм, причем PCI DSS
                                      Это точно, вот только я так ни одного нормального решения под ССЛ и прочее так и не увидел (с нашей криптой) всюду там подставки и оговорки.

                                      Я так понимаю, коллега опасается (вполне кстати справедливо) осложнений, в случае притензий в судебном порядке, здесь можно посоветовать только одно, внимательно ознакомиться с лицензией на данное ПО (корректность встравивания и прочее если оно есть конечно) и прочие бумаги.
                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                      Комментарий


                                      • #20
                                        Сообщение от akitukitua Посмотреть сообщение
                                        Это точно, вот только я так ни одного нормального решения под ССЛ и прочее так и не увидел (с нашей криптой) всюду там подставки и оговорки.
                                        Чем плох КриптоПро-шный TLS?
                                        Я словно лист на ветру, посмотри как я лечу...

                                        Комментарий


                                        • #21
                                          Сообщение от Mc`Sim Посмотреть сообщение
                                          Чем плох КриптоПро-шный TLS?
                                          Плох не КроиптоПрошный TLS, а CryptoAPI, через который он работает с CSP. Бывает, что есть совершенно правильный код, который использует TLS с правильными параметрами.. Начинают тестировать - выясняется, что он, несмотря на правильно заданные параметры, обращается не к КприптоПро CSP, а к встроенным криптоядрам винды. И когда это выясняется на стадии тематических исследований на корректность встраивания, бывает очень неудобно.

                                          Насколько я понимаю, это не особенность КриптоПро CSP, а общая проблема криптоядер с кастомными OID, связанная с рукожопостью разработчиков виндового CryptoAPI. Винда умеет работать с любыми криптоядрами, но только при условии, что эти криптоядра реализуют криптоалгоритмы с определенными OID. Чтобы "прописать" в криптосистему винды "нестандартный" алгоритм, приходится патчить библиотеку crypt32.dll. При обновлении она заменяется, и винда "забывает" про существование ГОСТовых криптоядер. При этом ошибку CryptoAPI не выдает (или раработчики прикладного софта не обрабатывают эту ошибку, таких деталей я не знаю), и в итоге вместо ГОСТ 28147 используется AES или что там прописано по умолчанию.

                                          Мопед не мой, пересказываю со слов бывших коллег

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            Начинают тестировать - выясняется, что он, несмотря на правильно заданные параметры, обращается не к КприптоПро CSP, а к встроенным криптоядрам винды. И когда это выясняется на стадии тематических исследований на корректность встраивания, бывает очень неудобно.
                                            Абсолютно точно, не зря все "сертифицированные" версии сделаны "хитрым движением рук"


                                            Сообщение от malotavr Посмотреть сообщение
                                            общая проблема криптоядер с кастомными OID, связанная с рукожопостью разработчиков виндового CryptoAPI.
                                            Скорее здесь кроется "намеренная ошибка" и сильное нежелание пускать "чужие" криптоалгоритмы



                                            Сообщение от malotavr Посмотреть сообщение
                                            и в итоге вместо ГОСТ 28147 используется AES или что там прописано по умолчанию.
                                            А иногда и банальный DES



                                            Сообщение от malotavr Посмотреть сообщение
                                            пересказываю со слов бывших коллег
                                            Подтверждаю слова "бывших"

                                            И плюсом, нормальных тестов ассиметричных алгоритмов в отрытой печати не было с 2001 года, в "закрытой" были, но результаты там такие, что уже 2 раза (или 3?) переписывали гост на подпись и имитовставку и как я понимаю вишенкой на торте надо признать полный отказ ФСБ от ЭП, да и на западе ЭП скорее дополнительная плюшка, чем реальный атрибут электронного документа а это многое обьясняет.
                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                            Комментарий

                                            Обработка...
                                            X