1 (2017-07-18 12:21:51 отредактировано Saches)

Тема: Тематические исследования (Контроль встраивания)

Такие вот вопросы в т.ч., в связи с информационным сообщением ФСБ о необходимости проведения тематических исследований по встраиванию СКЗИ - http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html
Кто-то уже занимался этим вопросом? И, есть ли возможность выяснить до приобретения ПО, проводился ли уже такой контроль разработчиком этого ПО или компанией это ПО использующее?

Т.к., в соответствии с ПКЗ2005 и формуляра на СКЗИ, требование актуально не только в  части обработки ПДн, вопрос касается и банковского ПО (АБС, ДБО и т.п.).

Вопрос на этом форуме и в т.ч. к Валидате, т.к., вроде как, в соответствии с ПКЗ2005, контроль встраивания должен проводить разработчик СКЗИ.

2 (2017-07-20 12:13:03 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Похоже, что ожидания полностью оправдались... sad

3

Re: Тематические исследования (Контроль встраивания)

День добрый.

Тематические исследования по встраиванию СКЗИ нашей компанией проводились для Банка России. Для коммерческих производителей ПО (АБС, ДБО и т.п.) такие исследования нашей компанией не производились.

4 (2017-07-21 12:13:20 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Добрый день!
Большое спасибо за предоставленную информацию.
Просто, для понимания ситуации, хотелось бы уточнить следующий момент.
А в принципе, существует какой-либо стандартный документ, подтверждающий факт проведения для какого-либо ПО
т.н. тематических исследований?  В виде сертификата или еще какого-либо иного документа?

5

Re: Тематические исследования (Контроль встраивания)

В нашем случае была выписка из заключения ФСБ.

6 (2017-07-21 18:13:27 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

А не могли бы Вы ответить вот на такой вопрос -
Можно ли с помощью утилиты командной строки (spki1utl или иной ) сформировать ЭП для XML файла и преобразовав её в Base64,
получить ту же последовательность байт, которая получается в ЗК/КА средствами АРМ КБР?
(ЗК и КА, это та же ЭП в терминологии ЦБ, а АРМ КБР некое ПО, использующее Сигнатуру)
Вопросы трансформации XML для формирования ЭП пока опускаем (хотя это может быть темой отдельного обсуждения).
Вопрос  обусловлен тем, что просто хочется понять, существует какая либо возможность  не проходить контроль встраивания не нарушая требования ПКЗ2005. smile

7

Re: Тематические исследования (Контроль встраивания)

При помощи spki1utl выполнить просто, то что Вы хотите, не получится, так как это просто утилита работающая с файлом целиком (формат УФЭБС не разбирает). Процесс работы с форматом УФЭБС, описан на сайте Банка России http://www.cbr.ru/analytics/default.asp … ts&ch=. Теоретически из XML можно создать файл для выполнения ЭП, выполнить ЭП при помощи утилиты и результат перекодировав в BASE64 поместить в нужное поле XML. Но это тоже разработка,  и вероятно  приведет к контролю встраивания, так как утилита возвращает коды выполнения операций.

8

Re: Тематические исследования (Контроль встраивания)

Всё именно так!
Понятно, что в идеале , абсолютно подошла бы утилита полностью выполняющая трансформацию (нормализацию и канонизацию) XML в соответствии с текущим видением ЦБ (УФЭБС) и сохраняет полученную для этого файла ЭП в соответствующих тегах ЗК/КА этого файла. Кстати, Валидата, случайно,  не собирается ли выпустить такую утилиту?
Так же понятно, что при отсутствии единого стандарта для подписания XML ( при текущем безпределе в количестве ведомственных реализаций) тратить ресурсы на выпуск такой утилиты не очень целесообразно.
И что остается? Ждать пока наконец-то появится национальный стандарт? Кстати, случайно не в курсе, кто-нибудь еще не занялся разработкой такого стандарта? Ну, хотя бы XAdES приняли за основу.
А, с другой стороны, написав скрипт например, на PowerShell (или на bash-е, в перспективе) для подписания XML файла с использованием spki1utl, этож формально не противоречит требованиям формуляра. Или все таки не так?

9

Re: Тематические исследования (Контроль встраивания)

Раньше все это выполнял АРМ КБР. Валидата не планировала выпускать утилит для поддержания формата УФЭБС, так как это уже прикладной уровень. Повторюсь, но написание скриптов это тоже разработка,  и вероятно  приведет к контролю встраивания, так как утилита возвращает коды выполнения операций.

10 (2017-07-24 18:19:30 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Т.е., если понимать Ваши слова буквально, то при любом использовании утилиты командной строки spki1utl в .bat (или .cmd) файле, необходим контроль встраивания.
Это Ваше экспертное мнение, или на эту тему есть какая-то нормативка или разъяснение регулятора?

11

Re: Тематические исследования (Контроль встраивания)

Это мое личное мнение. За разъяснениями, скорее всего надо обращаться к регулятору.

12 (2017-07-28 17:56:06 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Уважаемый Administrator!
Т.к. у нас тут возникла небольшая дискуссия, большая просьба ответить на следующие вопросы.
Исходя из формулировки на http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html
Ответственным, за проведение тематических исследований, является Оператор персональных данных.
А т.к., исходя из общепринятой практики, Оператором ПДн, является банк, получается, что за проведение тематических исследований такого ПО как АРМ КБР-Н, является банк, это ПО использующее.
Собственно, сами вопросы:
Как может быть организовано проведение тематических исследований АРМ КБР-Н, т.к. у нас нет исходников ПО?
Сколько времени это может занять?
И нужно ли будет проводить повторные исследования при появлении новых версий или обновлений данного ПО?
Заранее спасибо!

13

Re: Тематические исследования (Контроль встраивания)

Добрый день.
По моему мнению, тематические исследования без исходных текстов провести не получится, а ЦБ не отдаст Вам исходных текстов от АРМ КБР-Н, следовательно корректность встраивания СКЗИ в АРМ КБР-Н должен проводить Банк России.
Я думаю, будет корректно задать данный вопрос Банку России.

14

Re: Тематические исследования (Контроль встраивания)

ant пишет:

В нашем случае была выписка из заключения ФСБ.

ДД, а эта выписка общедоступна? или есть какое-то информационное письмо для клиентов например? (как например у криптопро https://cryptopro.ru/sites/default/files/docs/letter_6905.pdf)

15

Re: Тематические исследования (Контроль встраивания)

https://cryptopro.ru/sites/default/file … r_6905.pdf
Это информационное письмо от КриптоПро, там только указано что выписка получена.
Так как заказчиком исследования выступал Банк России, то обращаться за информацией необходимо к ним.

16 (2017-09-06 23:52:59 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Добрый день!
Для примера, в документе "КриптоПро CSP. Правила пользования", имеется такой раздел - "Перечень вызовов, использование которых при разработке систем на основе СКЗИ «КриптоПро CSP» возможно без дополнительных тематических исследований".
Вопрос, доступен ли некий аналогичный перечень вызовов для Сигнатуры, и если да:
- как его можно увидеть/получить?;
- что может являться подтверждением, что разработчик в своем ПО не использовал иные вызовы(подпрограммы)?
Заранее спасибо!

17

Re: Тематические исследования (Контроль встраивания)

День добрый!

Такого списка у нас нет, так как ядро СКЗИ сертифицировано в составе СКАД-Сигнатура.

18

Re: Тематические исследования (Контроль встраивания)

Добрый день!

А вы планируете проводить контроль встраивания СКАД "Сигнатура" в банковское ПО, если разработчик этого ПО к вам обратится в индивидуальном порядке?

19 (2017-09-08 11:15:53 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Не являюсь сотрудником кампании Валидата, но, насколько я понимаю, в соответствии с ПКЗ2005, это прямая обязанность разработчика СКЗИ "совместно со специализированной организацией".
О чем, собственно, и говорится в информационном сообщении ФСБ - http://www.fsb.ru/fsb/science/single.ht … chart.html

А о каком ПО идет речь, если не секрет?

20

Re: Тематические исследования (Контроль встраивания)

Добрый день!
Речь идет о банковской системе

21 (2017-09-11 11:39:07 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Похоже, вы первые, кто из разработчиков АБС озаботился контролем встраивания.
Возможно ошибаюсь, но если бы кто-то разработал некую утилитку (или даже отдельный арм) для формирования ЗК/КА в соответствии с УФЭБС и выполнил контроль встраивания для неё, большое количество банков  рассмотрели бы вопрос о  её приобретении. Вопрос цены, конечно имел бы место))

22

Re: Тематические исследования (Контроль встраивания)

Так вот у нас в АБС есть такая утилитка и банк рекомендовал вас для проведения процедуры встраивания.  В течение недели я посылал в вашу компанию письма с просьбой объяснить мне проводите ли вы контроль встраивания + здесь задаю такой же вопрос. А в ответ ............................................... Так кто же будет проводить контроль встраивания?

23 (2017-09-11 16:25:28 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

По итогам общения с представителями компании Валидата:
1. По вопросу проведения контроля встраивания обращаться нужно к разработчику СКЗИ.
2. Компания Валидата, в настоящий момент, не занимается оказанием услуг по проведению контроля встраивания,
т.к. в т.ч. (если я правильно понял) не понятны границы их ответственности в случае несанкционированных списаний в банках. Пока взяли тайм-аут.