ЕБС: от регламентов к исполнению (слухи, домыслы, версии)

ЕБС: от регламентов к исполнению (слухи, домыслы, версии)

Когда б был выбор из решений,
Да знать несказанное вслух,
То мы бы: "Эх, бы!" Мы бы: "Ох, бы!"
Да что стесняться! Мы бы Ух!

Почему у нас всё превращается в бег наперегонки?
Почему внедрение платформы удаленной идентификации (Единая биометрическая система - ЕБС) насильно навязывается регулятором в условиях технологической неготовности банков, технической неподготовленности поставщиков решений для ЕБС и в сроки (до 31.12.2019 [1] ), в которые невозможно уложиться с учётом подготовки конкурсных процедур для закупки соответствующих отечественных, сертифицированных решений, а также при формировании технических заданий в рамках проектов по реализации технологии сбора биометрии?
Допустим, при выборе межсетевого экрана (далее – МЭ) и системы обнаружения вторжений (далее – СОВ), сертифицированных по требованиям российского законодательства (в частности, необходимости защиты каналов связи с использованием алгоритмов ГОСТ [2] ), банк по соотношению цена/качество/сертификация решил закупить аппаратно-программный комплекс шифрования «Континент» (далее - АПКШ «Континент»).
Встаёт вопрос, какую версию АПКШ «Континент» из представленных в настоящее время на рынке производителем выбрать: 3.7 или 3.9 – с учетом необходимости наличия действующих сертификатов ФСБ на СКЗИ по классу КС3 и МЭ 4-го класса и сертификатов ФСТЭК на СОВ 3-его класса и МЭ типа “А” 3-его класса, сертификация которых позволяла бы эксплуатировать эти решения в течение ближайших нескольких лет.
Смотрим на сайте описание АПКШ «Континент» 3.7. Наличие сертификата ФСБ на СКЗИ класса КС2/КС3 и межсетевой экран класса 4 позволяет использовать АПКШ «Континент» 3.7 для защиты данных, передаваемых по открытым каналам связи. Наличие сертификата ФСТЭК на МЭ типа «А», 3-й класс защиты, и СОВ уровня сети, 3-й класс защиты, позволяет использовать АПКШ «Континент» 3.7 в качестве межсетевого экрана и системы обнаружения вторжений в системах, аттестуемых по требованиям законодательства.
Но одна маленькая деталь: выясняется, что 1 ноября 2019 года истекает срок действия сертификата ФСТЭК России на АПКШ «Континент» 3.7 и СОВ «Континент» (АПКШ «Континент» версия 3.7 (исполнение 2). Продление сертификата не планируется. АПКШ «Континент» 3.7 будет отгружаться только с сертификатом ФСБ.
Ладно, посмотрим на сайте описание АПКШ «Континент» 3.9. АПКШ «Континент» 3.9 получил соответственно сертификаты ФСБ на СКЗИ класса КС2 и ФСТЭК России на МЭ типа «А», 4-й класс защиты, и СОВ уровня сети, 4-й класс защиты. Получение сертификатов ФСБ: на СКЗИ по классу КС3 и межсетевые экраны 4-го класса планируется к концу 2019 года.
Для решения вопроса перехода пользователей АПКШ «Континент» 3.7 и СОВ «Континент» на АПКШ «Континент» 3.9 на сайте производителя приводится следующая памятка.
Из памятки следует: если необходимо сделать выбор прямо сейчас (до 31.10.2019), то производитель рекомендует купить соответствующие модели Континент 3.7, а потом обновить их до Континент 3.9 (и дополнительно потратиться на ЦУС 3.9 - единую консоль управления Континентами).
Что имеем? С учетом скорого наступления даты 31.12.2019 банки в поисках решений для защиты каналов связи и конечных точек сбора биометрических данных в рамках ЕБС опять охвачены приступами шопинга “товаров народного потребления”: сертифицированных российских средств шифрования с поддержкой ГОСТ. Но таких решений на рынке немного, они не дёшевы, у ряда отечественных решений имеются проблемы с сертификацией ФСБ и ФСТЭК.
Или, например, такой момент. В рамках использования механизма удалённой идентификации необходимо реализовать протокол OpenID Connect с поддержкой ГОСТ с использованием СКЗИ класса КС1/КС2 и провести тематические исследования реализации протокола. Но что-то пока не слышно про завершение сертификации протокола Open ID Connect в ФСБ России.
О какой рациональности и оправданности выбора приходиться говорить?
Имея некий свод правил от регулятора, исполнитель работ по реализации технологии сбора биометрии – банк, в неоправданно сжатые сроки вынуждено реализует у себя проект типа «пальцем в небо».



[1] Согласно положениям Информационного письма Банка России от 28.06.2018 № ИН-03-13/40 банки обязаны выполнять регистрацию клиентов — физических лиц в ЕБС и обеспечивать внутренние структурные подразделения (ВСП) банка в каждом субъекте РФ необходимым, отвечающим всем требованиям законодательства, оборудованием и программным обеспечением:
— не менее чем в 20% ВСП — по состоянию на 31 декабря 2018 г.;
— не менее чем в 60% ВСП — по состоянию на 30 июня 2019 г.;
— во всех ВСП — по состоянию на 31 декабря 2019 г.
[2] Защита персональных данных и другой конфиденциальной информации без использования сертифицированных российских средств шифрования с поддержкой ГОСТ может привести к взысканиям со стороны проверяющих органов.

Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)