Это указание ссылается на Приказ ФСБ России №378 от 10 июля 2014 г., который устанавливает необходимость использования защиты по классу КС1, а значит, требует использовать российскую криптографию для защиты канала связи между Единой биометрической системой и пользовательским устройством.
Подскажите, не могу найти в перечне средств защиты информации сертифицированных ФСБ России ваше приложение «Ключ Ростелеком», я не туда смотрю или у вас нет сертификата соответствия от ФСБ?
PS: не могли бы вы выложить формуляр и документацию на ваше ПО?
При использовании российской криптографии для сертификации решений положение ПКЗ 2005 ФСБ РФ требует проводить в ФСБ так называемые тематические исследования создаваемых решений.
Согласно ПКЗ-2005:
43. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФСБ России.
44. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется юридическим лицом или индивидуальным предпринимателем, имеющим право на осуществление данного вида деятельности, связанного с шифровальными (криптографическими) средствами.
Добавлю свои 5 копеек, тестировали вышеперечисленные DLP (кроме Device Lock) на протяжении почти года, и опыт в использовании DLP примерно 3 года попытаюсь свести к следующим тезисам:
1) Для тестирования определитесь с требованиями к DLP, в нашем случае тестировали непосредственные сотрудники, а вот выбирало начальство и у него как оказалось свое виденье.
2) Проверяйте есть ли инструменты работы с базой данных. Например сотрудница по почте попыталась отправить файл размером в пару гигабайт, естественно почтовый клиент такой объём не пропустил, но по странным стечениям обстоятельств письмо пыталось отправиться все выходные каждые 10 минут, в результате DLP нагенерировал событий на терабайты, а почистить их невозможно. Техподдержка предложила свою помощь, но не будешь же к ним обращаться каждый раз.
3) В процессе эксплуатации обнаружили, что инциденты имеют свойство разрастаться в геометрической прогрессии. Например происходит сработка на сообщение в скайпе в общем чате на 10 человек (у всех стоит DLP). Так вот каждое последующее сообщение в данном чате может считаться так же инцидентом, и отфильтровать это нельзя.
4) Способов обойти DLP очень много, в процессе тестирования мы нашли примерно 15-20 способов обойти систему, это к вопросу если у вас активная блокировка и злоумышленник получает обратную связь от DLP.
5) В договор включайте пункты про техподдержку. Для вендоров техподдержка это тот крюк, на который они вас подсаживают, изначально заявляют, что никаких штрафных санкций за отказ нет, но при попытке продлить выкатывают сумму в 1.5 раза больше объясняя это тем, что их сотрудники все равно работали хоть вы и не платили. Без оплаты техподдержка отказывается отвечать даже на простые вопросы.
6) DLP даже без функции кейлогера собирает пароли и данные о платежных картах в WEB трафике, поэтому людям которые имеют доступ вы должны доверять очень и очень сильно. Забавный случай вышел: в первые дни тестирования Searchinform в трафике мы нашли данные о кредитной карте руководителя организации, хотя ими пользовался совсем другой человек.
7) Уделите внимание нагрузочному тестированию, правильно отметил MakAlex_35 необходимо нагрузить систему максимально. Например, я по ошибке дал задание об установке агентов всем пользователям. В результате выяснилось что у DLP нет очереди установки и установку отменить нельзя. Агенты ставились на протяжении трех суток, причем иногда по несколько раз, удалялись они еще дольше, система в это время веля себя крайне нестабильно, даже выделение необходимого пункта меню занимало до десятков секунд.
У антифрод-терминалов есть минимум 3 недостатка:
1. Первый и самый очевидный цена, кредитная организация должна закупить и раздать клиентам. Именно раздать так как новый клиент не купит неизвестное ему до сели устройство ценой порядка нескольких тысяч рублей. Плюс ко всему вы должны еще и купить Токен который тоже стоит денег.
2. Как было выше отмечено «Подписывает журнал операций собственной ЭП на этом чипе», это действительно правильная технология, но тут закрадывается нюанс подпись осуществляется ключом сгенерированным банком, и срок этого ключа насколько мне известно от одного года до трех. То есть теперь терминал должен как то перегенерировать свой ключ, что бы банк продолжал ему доверять.
Перегенерация возможна:
— по открытым каналам связи через скомпрометированную ОС клиента. Умеет ли ваш антифрод-терминал подписывать запрос? Каков объём памяти на устройстве отведен под хранение закрытых ключей?
— если устройство не использовалось или при перегенерации возникла ошибка, устройство необходимо вернуть в Банк. Соответственно работа должна быть продолжена без него.
3. Ну и наконец, устройство может просто сломаться, или его использование заблокирует злоумышленник. Ни банк, ни клиент не может полагаться на один вид связи. Соответственно клиент добровольно переключается на использование Токена.
С другой стороны если клиент все же хочет антифрод-терминал, его можно использовать, но на практике таких очень мало.
PS: А какой Гост поддерживает это устройство? И что делать, когда через несколько лет начнут требовать Гост 2012?
А как вы проводили контроль встраивания?
Подскажите, не могу найти в перечне средств защиты информации сертифицированных ФСБ России ваше приложение «Ключ Ростелеком», я не туда смотрю или у вас нет сертификата соответствия от ФСБ?
PS: не могли бы вы выложить формуляр и документацию на ваше ПО?
Согласно ПКЗ-2005:
43. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФСБ России.
44. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется юридическим лицом или индивидуальным предпринимателем, имеющим право на осуществление данного вида деятельности, связанного с шифровальными (криптографическими) средствами.
Как вы обошли требования документа?
1) Для тестирования определитесь с требованиями к DLP, в нашем случае тестировали непосредственные сотрудники, а вот выбирало начальство и у него как оказалось свое виденье.
2) Проверяйте есть ли инструменты работы с базой данных. Например сотрудница по почте попыталась отправить файл размером в пару гигабайт, естественно почтовый клиент такой объём не пропустил, но по странным стечениям обстоятельств письмо пыталось отправиться все выходные каждые 10 минут, в результате DLP нагенерировал событий на терабайты, а почистить их невозможно. Техподдержка предложила свою помощь, но не будешь же к ним обращаться каждый раз.
3) В процессе эксплуатации обнаружили, что инциденты имеют свойство разрастаться в геометрической прогрессии. Например происходит сработка на сообщение в скайпе в общем чате на 10 человек (у всех стоит DLP). Так вот каждое последующее сообщение в данном чате может считаться так же инцидентом, и отфильтровать это нельзя.
4) Способов обойти DLP очень много, в процессе тестирования мы нашли примерно 15-20 способов обойти систему, это к вопросу если у вас активная блокировка и злоумышленник получает обратную связь от DLP.
5) В договор включайте пункты про техподдержку. Для вендоров техподдержка это тот крюк, на который они вас подсаживают, изначально заявляют, что никаких штрафных санкций за отказ нет, но при попытке продлить выкатывают сумму в 1.5 раза больше объясняя это тем, что их сотрудники все равно работали хоть вы и не платили. Без оплаты техподдержка отказывается отвечать даже на простые вопросы.
6) DLP даже без функции кейлогера собирает пароли и данные о платежных картах в WEB трафике, поэтому людям которые имеют доступ вы должны доверять очень и очень сильно. Забавный случай вышел: в первые дни тестирования Searchinform в трафике мы нашли данные о кредитной карте руководителя организации, хотя ими пользовался совсем другой человек.
7) Уделите внимание нагрузочному тестированию, правильно отметил MakAlex_35 необходимо нагрузить систему максимально. Например, я по ошибке дал задание об установке агентов всем пользователям. В результате выяснилось что у DLP нет очереди установки и установку отменить нельзя. Агенты ставились на протяжении трех суток, причем иногда по несколько раз, удалялись они еще дольше, система в это время веля себя крайне нестабильно, даже выделение необходимого пункта меню занимало до десятков секунд.
1. Первый и самый очевидный цена, кредитная организация должна закупить и раздать клиентам. Именно раздать так как новый клиент не купит неизвестное ему до сели устройство ценой порядка нескольких тысяч рублей. Плюс ко всему вы должны еще и купить Токен который тоже стоит денег.
2. Как было выше отмечено «Подписывает журнал операций собственной ЭП на этом чипе», это действительно правильная технология, но тут закрадывается нюанс подпись осуществляется ключом сгенерированным банком, и срок этого ключа насколько мне известно от одного года до трех. То есть теперь терминал должен как то перегенерировать свой ключ, что бы банк продолжал ему доверять.
Перегенерация возможна:
— по открытым каналам связи через скомпрометированную ОС клиента. Умеет ли ваш антифрод-терминал подписывать запрос? Каков объём памяти на устройстве отведен под хранение закрытых ключей?
— если устройство не использовалось или при перегенерации возникла ошибка, устройство необходимо вернуть в Банк. Соответственно работа должна быть продолжена без него.
3. Ну и наконец, устройство может просто сломаться, или его использование заблокирует злоумышленник. Ни банк, ни клиент не может полагаться на один вид связи. Соответственно клиент добровольно переключается на использование Токена.
С другой стороны если клиент все же хочет антифрод-терминал, его можно использовать, но на практике таких очень мало.
PS: А какой Гост поддерживает это устройство? И что делать, когда через несколько лет начнут требовать Гост 2012?