ЕБС: от регламентов к исполнению (слухи, домыслы, версии)

Когда б был выбор из решений,

Да знать несказанное вслух,

То мы бы: "Эх, бы!" Мы бы: "Ох, бы!"

Да что стесняться! Мы бы Ух!

Почему у нас всё превращается в бег наперегонки?

Почему внедрение платформы удаленной идентификации (Единая биометрическая система - ЕБС) насильно навязывается регулятором в условиях технологической неготовности банков, технической неподготовленности поставщиков решений для ЕБС и в сроки (до 31.12.2019[1]), в которые невозможно уложиться с учётом подготовки конкурсных процедур для закупки соответствующих отечественных, сертифицированных решений, а также при формировании технических заданий в рамках проектов по реализации технологии сбора биометрии?

Допустим, при выборе межсетевого экрана (далее – МЭ) и системы обнаружения вторжений (далее – СОВ), сертифицированных по требованиям российского законодательства (в частности, необходимости защиты каналов связи с использованием алгоритмов ГОСТ[2]), банк по соотношению цена/качество/сертификация решил закупить аппаратно-программный комплекс шифрования «Континент» (далее - АПКШ «Континент»).

Встаёт вопрос, какую версию АПКШ «Континент» из представленных в настоящее время на рынке производителем выбрать: 3.7 или 3.9 – с учетом необходимости наличия действующих сертификатов ФСБ на СКЗИ по классу КС3 и МЭ 4-го класса и сертификатов ФСТЭК на СОВ 3-его класса и МЭ типа “А” 3-его класса, сертификация которых позволяла бы эксплуатировать эти решения в течение ближайших нескольких лет.

Смотрим на сайте описание АПКШ «Континент» 3.7. Наличие сертификата ФСБ на СКЗИ класса КС2/КС3 и межсетевой экран класса 4 позволяет использовать АПКШ «Континент» 3.7 для защиты данных, передаваемых по открытым каналам связи. Наличие сертификата ФСТЭК на МЭ типа «А», 3-й класс защиты, и СОВ уровня сети, 3-й класс защиты, позволяет использовать АПКШ «Континент» 3.7 в качестве межсетевого экрана и системы обнаружения вторжений в системах, аттестуемых по требованиям законодательства.

Но одна маленькая деталь: выясняется, что 1 ноября 2019 года истекает срок действия сертификата ФСТЭК России на АПКШ «Континент» 3.7 и СОВ «Континент» (АПКШ «Континент» версия 3.7 (исполнение 2). Продление сертификата не планируется. АПКШ «Континент» 3.7 будет отгружаться только с сертификатом ФСБ.

Ладно, посмотрим на сайте описание АПКШ «Континент» 3.9. АПКШ «Континент» 3.9 получил соответственно сертификаты ФСБ на СКЗИ класса КС2 и ФСТЭК России на МЭ типа «А», 4-й класс защиты, и СОВ уровня сети, 4-й класс защиты. Получение сертификатов ФСБ на СКЗИ по классу КС3 и межсетевые экраны 4-го класса планируется к концу 2019 года.

Для решения вопроса перехода пользователей АПКШ «Континент» 3.7 и СОВ «Континент» на АПКШ «Континент» 3.9 на сайте производителя приводится следующая памятка.

Из памятки следует: если необходимо сделать выбор прямо сейчас (до 31.10.2019), то производитель рекомендует купить соответствующие модели Континент 3.7, а потом обновить их (небесплатно) до Континент 3.9 (и дополнительно потратиться на ЦУС 3.9 - единую консоль управления Континентами).

 

Что имеем? С учетом скорого наступления даты 31.12.2019 банки в поисках решений для защиты каналов связи и конечных точек сбора биометрических данных в рамках ЕБС опять охвачены приступами шопинга “товаров народного потребления”: сертифицированных российских средств шифрования с поддержкой ГОСТ. Но таких решений на рынке немного, они не дёшевы, у ряда отечественных решений имеются проблемы с сертификацией ФСБ и ФСТЭК.

Или, например, такой момент. В рамках использования механизма удалённой идентификации необходимо реализовать протокол OpenID Connect с поддержкой ГОСТ с использованием СКЗИ класса КС1/КС2 и провести тематические исследования реализации протокола. Но что-то пока не слышно про завершение сертификации протокола Open ID Connect в ФСБ России.

О какой рациональности и оправданности выбора приходится говорить?

Имея некий свод правил от регулятора, исполнитель работ по реализации технологии сбора биометрии – банк, в неоправданно сжатые сроки вынуждено реализует у себя проект типа «пальцем в небо».

Ещё про закупки оборудования и ПО для внедрения решений по сбору биометрии в банках здесь.
Предыстория вопроса здесь.
Новость про Континент 3.9 от "Кода безопасности" от 10 января 2020 года.

---

[1] Согласно положениям Информационного письма Банка России от 28.06.2018 № ИН-03-13/40 банки обязаны выполнять регистрацию клиентов — физических лиц в ЕБС и обеспечивать внутренние структурные подразделения (ВСП) банка в каждом субъекте РФ необходимым, отвечающим всем требованиям законодательства, оборудованием и программным обеспечением:

— не менее чем в 20% ВСП — по состоянию на 31 декабря 2018 г.;

— не менее чем в 60% ВСП — по состоянию на 30 июня 2019 г.;

— во всех ВСП — по состоянию на 31 декабря 2019 г.

[2] Защита персональных данных и другой конфиденциальной информации без использования сертифицированных российских средств шифрования с поддержкой ГОСТ может привести к взысканиям со стороны проверяющих органов.