1 (2017-07-18 12:21:51 отредактировано Saches)

Тема: Тематические исследования (Контроль встраивания)

Такие вот вопросы в т.ч., в связи с информационным сообщением ФСБ о необходимости проведения тематических исследований по встраиванию СКЗИ - http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html
Кто-то уже занимался этим вопросом? И, есть ли возможность выяснить до приобретения ПО, проводился ли уже такой контроль разработчиком этого ПО или компанией это ПО использующее?

Т.к., в соответствии с ПКЗ2005 и формуляра на СКЗИ, требование актуально не только в  части обработки ПДн, вопрос касается и банковского ПО (АБС, ДБО и т.п.).

Вопрос на этом форуме и в т.ч. к Валидате, т.к., вроде как, в соответствии с ПКЗ2005, контроль встраивания должен проводить разработчик СКЗИ.

2 (2017-07-20 12:13:03 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Похоже, что ожидания полностью оправдались... sad

3

Re: Тематические исследования (Контроль встраивания)

День добрый.

Тематические исследования по встраиванию СКЗИ нашей компанией проводились для Банка России. Для коммерческих производителей ПО (АБС, ДБО и т.п.) такие исследования нашей компанией не производились.

4 (2017-07-21 12:13:20 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Добрый день!
Большое спасибо за предоставленную информацию.
Просто, для понимания ситуации, хотелось бы уточнить следующий момент.
А в принципе, существует какой-либо стандартный документ, подтверждающий факт проведения для какого-либо ПО
т.н. тематических исследований?  В виде сертификата или еще какого-либо иного документа?

5

Re: Тематические исследования (Контроль встраивания)

В нашем случае была выписка из заключения ФСБ.

6 (2017-07-21 18:13:27 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

А не могли бы Вы ответить вот на такой вопрос -
Можно ли с помощью утилиты командной строки (spki1utl или иной ) сформировать ЭП для XML файла и преобразовав её в Base64,
получить ту же последовательность байт, которая получается в ЗК/КА средствами АРМ КБР?
(ЗК и КА, это та же ЭП в терминологии ЦБ, а АРМ КБР некое ПО, использующее Сигнатуру)
Вопросы трансформации XML для формирования ЭП пока опускаем (хотя это может быть темой отдельного обсуждения).
Вопрос  обусловлен тем, что просто хочется понять, существует какая либо возможность  не проходить контроль встраивания не нарушая требования ПКЗ2005. smile

7

Re: Тематические исследования (Контроль встраивания)

При помощи spki1utl выполнить просто, то что Вы хотите, не получится, так как это просто утилита работающая с файлом целиком (формат УФЭБС не разбирает). Процесс работы с форматом УФЭБС, описан на сайте Банка России http://www.cbr.ru/analytics/default.asp … ts&ch=. Теоретически из XML можно создать файл для выполнения ЭП, выполнить ЭП при помощи утилиты и результат перекодировав в BASE64 поместить в нужное поле XML. Но это тоже разработка,  и вероятно  приведет к контролю встраивания, так как утилита возвращает коды выполнения операций.

8

Re: Тематические исследования (Контроль встраивания)

Всё именно так!
Понятно, что в идеале , абсолютно подошла бы утилита полностью выполняющая трансформацию (нормализацию и канонизацию) XML в соответствии с текущим видением ЦБ (УФЭБС) и сохраняет полученную для этого файла ЭП в соответствующих тегах ЗК/КА этого файла. Кстати, Валидата, случайно,  не собирается ли выпустить такую утилиту?
Так же понятно, что при отсутствии единого стандарта для подписания XML ( при текущем безпределе в количестве ведомственных реализаций) тратить ресурсы на выпуск такой утилиты не очень целесообразно.
И что остается? Ждать пока наконец-то появится национальный стандарт? Кстати, случайно не в курсе, кто-нибудь еще не занялся разработкой такого стандарта? Ну, хотя бы XAdES приняли за основу.
А, с другой стороны, написав скрипт например, на PowerShell (или на bash-е, в перспективе) для подписания XML файла с использованием spki1utl, этож формально не противоречит требованиям формуляра. Или все таки не так?

9

Re: Тематические исследования (Контроль встраивания)

Раньше все это выполнял АРМ КБР. Валидата не планировала выпускать утилит для поддержания формата УФЭБС, так как это уже прикладной уровень. Повторюсь, но написание скриптов это тоже разработка,  и вероятно  приведет к контролю встраивания, так как утилита возвращает коды выполнения операций.

10 (2017-07-24 18:19:30 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Т.е., если понимать Ваши слова буквально, то при любом использовании утилиты командной строки spki1utl в .bat (или .cmd) файле, необходим контроль встраивания.
Это Ваше экспертное мнение, или на эту тему есть какая-то нормативка или разъяснение регулятора?

11

Re: Тематические исследования (Контроль встраивания)

Это мое личное мнение. За разъяснениями, скорее всего надо обращаться к регулятору.

12 (2017-07-28 17:56:06 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Уважаемый Administrator!
Т.к. у нас тут возникла небольшая дискуссия, большая просьба ответить на следующие вопросы.
Исходя из формулировки на http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html
Ответственным, за проведение тематических исследований, является Оператор персональных данных.
А т.к., исходя из общепринятой практики, Оператором ПДн, является банк, получается, что за проведение тематических исследований такого ПО как АРМ КБР-Н, является банк, это ПО использующее.
Собственно, сами вопросы:
Как может быть организовано проведение тематических исследований АРМ КБР-Н, т.к. у нас нет исходников ПО?
Сколько времени это может занять?
И нужно ли будет проводить повторные исследования при появлении новых версий или обновлений данного ПО?
Заранее спасибо!

13

Re: Тематические исследования (Контроль встраивания)

Добрый день.
По моему мнению, тематические исследования без исходных текстов провести не получится, а ЦБ не отдаст Вам исходных текстов от АРМ КБР-Н, следовательно корректность встраивания СКЗИ в АРМ КБР-Н должен проводить Банк России.
Я думаю, будет корректно задать данный вопрос Банку России.

14

Re: Тематические исследования (Контроль встраивания)

ant пишет:

В нашем случае была выписка из заключения ФСБ.

ДД, а эта выписка общедоступна? или есть какое-то информационное письмо для клиентов например? (как например у криптопро https://cryptopro.ru/sites/default/files/docs/letter_6905.pdf)

15

Re: Тематические исследования (Контроль встраивания)

https://cryptopro.ru/sites/default/file … r_6905.pdf
Это информационное письмо от КриптоПро, там только указано что выписка получена.
Так как заказчиком исследования выступал Банк России, то обращаться за информацией необходимо к ним.

16 (2017-09-06 23:52:59 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Добрый день!
Для примера, в документе "КриптоПро CSP. Правила пользования", имеется такой раздел - "Перечень вызовов, использование которых при разработке систем на основе СКЗИ «КриптоПро CSP» возможно без дополнительных тематических исследований".
Вопрос, доступен ли некий аналогичный перечень вызовов для Сигнатуры, и если да:
- как его можно увидеть/получить?;
- что может являться подтверждением, что разработчик в своем ПО не использовал иные вызовы(подпрограммы)?
Заранее спасибо!

17

Re: Тематические исследования (Контроль встраивания)

День добрый!

Такого списка у нас нет, так как ядро СКЗИ сертифицировано в составе СКАД-Сигнатура.

18

Re: Тематические исследования (Контроль встраивания)

Добрый день!

А вы планируете проводить контроль встраивания СКАД "Сигнатура" в банковское ПО, если разработчик этого ПО к вам обратится в индивидуальном порядке?

19 (2017-09-08 11:15:53 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Не являюсь сотрудником кампании Валидата, но, насколько я понимаю, в соответствии с ПКЗ2005, это прямая обязанность разработчика СКЗИ "совместно со специализированной организацией".
О чем, собственно, и говорится в информационном сообщении ФСБ - http://www.fsb.ru/fsb/science/single.ht … chart.html

А о каком ПО идет речь, если не секрет?

20

Re: Тематические исследования (Контроль встраивания)

Добрый день!
Речь идет о банковской системе

21 (2017-09-11 11:39:07 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

Похоже, вы первые, кто из разработчиков АБС озаботился контролем встраивания.
Возможно ошибаюсь, но если бы кто-то разработал некую утилитку (или даже отдельный арм) для формирования ЗК/КА в соответствии с УФЭБС и выполнил контроль встраивания для неё, большое количество банков  рассмотрели бы вопрос о  её приобретении. Вопрос цены, конечно имел бы место))

22

Re: Тематические исследования (Контроль встраивания)

Так вот у нас в АБС есть такая утилитка и банк рекомендовал вас для проведения процедуры встраивания.  В течение недели я посылал в вашу компанию письма с просьбой объяснить мне проводите ли вы контроль встраивания + здесь задаю такой же вопрос. А в ответ ............................................... Так кто же будет проводить контроль встраивания?

23 (2017-09-11 16:25:28 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

По итогам общения с представителями компании Валидата:
1. По вопросу проведения контроля встраивания обращаться нужно к разработчику СКЗИ.
2. Компания Валидата, в настоящий момент, не занимается оказанием услуг по проведению контроля встраивания,
т.к. в т.ч. (если я правильно понял) не понятны границы их ответственности в случае несанкционированных списаний в банках. Пока взяли тайм-аут.

Re: Тематические исследования (Контроль встраивания)

Получили официальный ответ Банка России по поводу встраивания. В общем и целом ничего нового, но вот этот абзац интересен
http://s019.radikal.ru/i619/1710/de/ee10291bbdcb.jpg
До исполнителя, указанного в письме дозвониться не получается.
Общались с УБиЗИ в нашем ТУ, они сами этого письма ФСБ не видели и сами не в курсе как и что. просили дать почитать ответ

Saches пишет:

Не являюсь сотрудником кампании Валидата, но, насколько я понимаю, в соответствии с ПКЗ2005, это прямая обязанность разработчика СКЗИ "совместно со специализированной организацией".

ПКЗ-2005 регламентирует разработку, производство и тиражирование СКЗИ. Про встраивание речи там нет. Есть только требование эксплуатации в соответствии с формуляром.

Специалисты КриптоПро комментируют вопрос встраивания так:

Встраивание СКЗИ и проведение контроля - это разные, практически не связанные вещи. Имея лицензию ФСБ Вы имеете ПРАВО на встраивание. Встраиваете и эта процедура не требует контроля. Получилась в итоге защищенная с использованием СКЗИ система (программа, комплекс программ). Потом Вы продаёте систему. Одному заказчику, другому, третьему. Какой либо заказчик в некоторых случаях (см. п.3 ПКЗ-2005 или по собственному желанию) может потребовать проведение контроля встраивания. ВОт тогда Вы начинаете процедуру контроля встраивания. А может не потребовать. Это его право и ответственность.

25 (2017-10-16 12:37:53 отредактировано Saches)

Re: Тематические исследования (Контроль встраивания)

КрасКрипт пишет:

Получили официальный ответ Банка России по поводу встраивания. В общем и целом ничего нового, ......
До исполнителя, указанного в письме дозвониться не получается.
Общались с УБиЗИ в нашем ТУ, они сами этого письма ФСБ не видели и сами не в курсе как и что. просили дать почитать ответ

Задал вопрос на форуме bankir.ru видел(получал) ли кто это или иное разъяснение от ЦБ/ФСБ.
И, конечно, несколько странно, что ссылка дана на письмо ФСБ 2007-го года.

КрасКрипт пишет:
Saches пишет:

Не являюсь сотрудником кампании Валидата, но, насколько я понимаю, в соответствии с ПКЗ2005, это прямая обязанность разработчика СКЗИ "совместно со специализированной организацией".

ПКЗ-2005 регламентирует разработку, производство и тиражирование СКЗИ. Про встраивание речи там нет. Есть только требование эксплуатации в соответствии с формуляром.

Специалисты КриптоПро комментируют вопрос встраивания так:

Встраивание СКЗИ и проведение контроля - это разные, практически не связанные вещи. Имея лицензию ФСБ Вы имеете ПРАВО на встраивание. Встраиваете и эта процедура не требует контроля. Получилась в итоге защищенная с использованием СКЗИ система (программа, комплекс программ). Потом Вы продаёте систему. Одному заказчику, другому, третьему. Какой либо заказчик в некоторых случаях (см. п.3 ПКЗ-2005 или по собственному желанию) может потребовать проведение контроля встраивания. ВОт тогда Вы начинаете процедуру контроля встраивания. А может не потребовать. Это его право и ответственность.

Собственно используемый Вами мой посыл был несколько о другом. О том, что для проведения контроля встраивания разработчик или эксплуатант системы должен напрямую обратится именно к разработчику СКЗИ, а  не куда-то еще.
И, собственно, все компании -разработчики СКЗИ, с которыми я общался на эту тему, подтвердили этот факт.

Что касается ответа КриптоПро - то, что разработка и инспекционный контроль вещи разные, никто не спорит. Это, например, прошу простить за упрощенную аналогию, как оказание сексуальных услуг и необходимость регулярного медицинского контроля для всех кто подобные услуги оказывает. Т.е. вещи абсолютно разные, но первое без второго не может обеспечить отсутствие в перспективе возможных побочных эффектов. (Еще раз прошу извинить за, может, не самый удачный пример).

По личному опыту общения с разработчиками СКЗИ могу сказать, что на вопрос, о проведении контроля встраивания, практически всегда получаю ответ о том, что это не нужно всем и всегда. Но стоит упомянуть пару ссылок на:
- то самое разъяснение на сайте ФСБ http://www.fsb.ru/fsb/science/single.ht … hart.html;
- строку из формуляра о том что контроль  необходим если СКЗИ используется для защиты информации, конфиденциальной в соответствии с законодательством

тут же все разговоры о том, что контроль не нужен прекращаются.
Жаль, конечно, что крайними оказываются эксплуатанты систем, а не разработчики, как, например, в Белоруссии для систем ДБО. Где, если не ошибаюсь, любая система ДБО должна пройти соответствующую сертификацию до того, как её выведут на рынок. И, вроде как, BSS такую сертификацию в Белоруссии проходили.

Т.е. примерно так:
- смотрим 382-П и 552-П в той части, где перечисляется информация подлежащая защите;
- читаем разъяснение ФСБ и формуляр.

А вот тут бы очень полезны были бы разъяснения ЦБ и ФСБ для банков, которые пока никто не видел, как я понимаю.
И, конечно же, очень бы хотелось видеть  хотя бы содержательную часть ответа ЦБ на Ваш запрос.

И, да, несмотря на то, что в ПКЗ2005 нет ни слова про контроль встраивания, всегда и все ссылаются именно на этот документ, когда речь идет о названии нормативного документа, из которого следует необходимость проведения тематических исследований.


Может быть представители Валидаты как-то прокомментируют своё видение  на необходимость контроля встраивания при использовании, например, банками ПО со встроенным СКЗИ?