Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Зарегистрирован
- Активность
Специализация
Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование
Факт 1.
Факт 2.
Вопрос
Cколько кубокиломентров воды «ученые» прогнали с помощью «слабого» течения сквозь пряжу??? Можно но ли считать этот гигантский поток слабым течением?
Если требуется российская криптография, то нужны сертифицированные СКЗИ. Если нужно просто шифрование (любое), то пользуются AES и Co под который миллиард библиотек и примеров.
Тут есть ссылки и про соц. инженерию и про преступные группы. Детальный анализ будет в следующих сериях.
Объем лучше не жать, лучше бить статьи по частям, на мой взгляд… то есть в моем аспекте :)
С одной стороны, вроде бы звучит здорово, но если сделать шаг дальше… Модель данных, обуславливает модели обработки данных: алгоритмы, потоки данных и т.д.
И тут возникает проблема (или вопрос):
Возьмем двух людей:
1-й — знает что форма Земли напоминает шар.
2-й — сторонник плоской Земли.
У первого есть алгоритм — построить путь кругосветного путешествия. Для второго подобный алгоритм не имеет смысла.
Получается что разбивка данных по аспектам, приводит и к последующей разбивки алгоритмов обработки?
То есть получается что на базе одной информационной системы мы получаем, n систем (где n — комбинаторное множество всех возможных аспектов данных)?
Если мое предположение верно то, как поддерживать все это многообразие?
Очень много теоретических понятий, и мало практических примеров раскрывающих их «на пальцах». Желательно, после каждого блока понятий и абстракций приводить пример.
Вопрос по существу: «Кто формирует понятийный слой?»
Большинство людей с трудом формулируют свои мысли устно, не говоря уже о письменной речи. Тут же «модельер», то есть тот, кто формирует модель :) должен залезть в голову каждому конечному пользователю и выявить все нюансы. Если это делать разово — то это получится как обычная БД, если понятийный слой менять регулярно, то возникает вопрос квалификации и решения конфликтов восприятия…
Например,
Percival, 2009: AES-CTR с HMAC.
Latacora, 2018: KMS или XSalsa20+Poly1305
Тут происходит сравнение симметричных шифров с ассиметричной криптографией. AES — рекомендованный стандарт, прошел конкурс и т.д. XSalsa20 — просто «хороший» шифр, быстрый и т. д. Причем тут ассиметричный Poly1305 — непонятно.
Далее автор начинает прыгать через разные криптографические примитивы — шифрование токенов, шифрование API, нонсы и т.д. и пытается нацепить на все это одни требования, хотя задачи-то разные.
Информационная безопасность — это война, бесконечная война.
На ней бывают успехи, бывают неудачи. Когда люди долго занимаются одним и тем же, то многие вещи «замыливаются» и часто не хватает общего взгляда со стороны, для того чтобы объять всю проблему целиком.
Это исследование как раз и задумывалось, чтобы дать такой взгляд.
На ту проблему, что вы указали:
Это уже искусство. «Безопасникам» нужно научиться находить в защитных мерах баланс между достигаемых с их помощью безопасностью и создаваемыми от их реализации помехами в работе. Проблема усложнена тем, что многие специалисты, занимающиеся ИБ, подвержены догмам и пихают одни и те же подходы не учитывая специфики бизнеса, это и приводит к указанным вами конфликтам.
Это неправильно ИБ.
Хорошее ИБ, как антивирус, должно быть невидимым, ловить «гадов», и в любой момент показать отчеты о своей деятельности. Хотя конечно, некоторый «дебаф» своей работой оно создавать будет.
«Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт: ТСП, процессинговых центров, эквайреров, эмитентов и поставщиков услуг, а также всех прочих организаций, которые хранят, обрабатывают или передают ДДК и (или) КАД.
…
Номер карты является определяющим фактором для ДДК» Примечание: ДДК — данные держателя карты.
Таким образом, обработка полного номера платежной карты является определяющим фактором отнесения информационной системы в зону действия стандарта PCI DSS.
Подскажите, проверяли ли вы обнаружение антивирусами «вредоносного кода» упакованного более серьезными утилитами, например msfencode?
Если да, то насколько изменился процент обнаружения?
Поэтому в данном рассуждении я принял, что подписанный бумажный договор = заполненный типовой договор.
(1) Законодательная база
Начнем с того, что разработчик, имеющий лицензию ФСБ России на разработку криптосредств сертифицировать свою продукцию не обязан. Делает это он лишь для того, чтобы его криптосредства могли использоваться в тех случаях, когда есть требование по использованию сертифицированных криптосредств.
Для банка как для коммерческой организации (в случае если он не лицензиат ФСБ) обязательными требованиями ФСБ России будет только Приказ 378. ПКЗ-2005, Приказ ФАПСИ 152 будут носить только рекомендательный характер.
Приказ 378 говорит о том, что если для защиты ПДн применяется СКЗИ, то они должны быть сертифицированы и по соответствующему классу. Таким образом, нормативка ФСБ не обязывает использовать для взаимодействия с ЦБ серт. СКЗИ и тем более СКАД Сигнатуру (требования по обеспечению конфиденциальности ПДн при передаче могут быть закрыты использованием спец. операторов связи).
В тоже время, для банка обязательными будут требования нормативных документов Банка России и договора с МЦИ.
Нормативка ЦБ (552-П) не определяет конкретное СКЗИ, а говорит лишь о том, что оно должно правильно использоваться.
Договор в свою очередь уточняет какое конкретно СКЗИ должно использоваться.
(2) Технические возможности.
Говоря о совместимости сертифицированных СКЗИ, помимо реализации базовых рекомендованных криптоалгоритмов (ГОСТ Р 34.10-2012 и т.д.) следует также учитывать то, каким рекомендациям ТК26 СКЗИ соответствует. Например, как вырабатываеться общий ключ при шифровании файлов при передаче между абонентами (например, СХЕМЫ ВЫРАБОТКИ ОБЩЕГО КЛЮЧА С АУТЕНТИФИКАЦИЕЙ
НА ОСНОВЕ ОТКРЫТОГО КЛЮЧА). Если СКЗИ используют разные схемы, то они будут между собой не совместимы.
Говорить о совместимоти только на основании обработки «хитрого» OID на мой взгляд не совсем корректно. Так как OID это всего лишь параметр в сертификате.
Но скорее всего, учитывая то, что Валидата КС и СКАД Сигнатура одного производителя, то они предположительно совместимы между собой.
И еще, если мы говорим про альтернативы, почему бы тогда не рассмотреть VIPNET CSP? Он тоже сертифицированный, да и к тому же бесплатный. Ну или например, КриптоПРО HSM — он секъюрный.
(3) Альтернативы ЦБ
Договор, есть договор. Чем руководствовалось ЦБ при его написании известно только ЦБ. Предлагаю исключить это из дальнейшего рассуждения.
Если Валидата КС станет называться СКАД Сигнатура, то ЦБ должен будет ее всем раздать и получить взамен Акты готовности с новыми хэщ-суммами.
Если измениться название СКЗИ, то вносить изменение в договор, а ЦБ может это сделать в одностороннем порядке со всему дальнейшими процедурами — организацией перехода, раздачи СКЗИ и т.д.
Да, должно быть. Зона ответственности ЦБ. Поскольку именно он делал встраивание.
Договор определяет на какое конкретно СКЗИ необходимо пользоваться документацией.
Если посмотреть на данный вопрос по другому. К вам пришла проверка и говорит (гипотетически): «Почему при работе АРМ КБР вы не соблюдаете требования док-ции СКЗИ „Вебра-OW?“. Ваш резонный ответ будет: „Договором обмена ЭС с МЦИ ЦБ РФ предусмотрено применение СКАД Сигнатура, а не Верба-OW“
Смотря для каких целей. Если для реализации обмена ЭС с МЦИ ЦБ РФ, то соответствующему договору. Для других целей пожалуйста.
Приведу свои аргументы за то, что использование стороннего СКЗИ может послужить поводом к расторжению договора и отзыву лицензии.
Итого по расторжению договора:
1. Согласно договору СКЗИ — СКАД Сигнатура
2. Согласно Приложению 3 — Расчет хэш-сумм идет для СКАД Сигнатура
4. Согласно Приложению 6 — Банк оформляет сертификаты ключей для СКАД Сигнатура
3. Согласно Приложению 7 — СКЗИ должно устанавливать в соответствии с документацией на СКАД Сигнатуру
Таким образом, считаю что использование другого СКЗИ может быть основанием для Расторжения договора по пункту 9.5.4. или на основании п. 2.1. ст. 450 ГК РФ
Итого по отзыву лицензии:
Использование другого СКЗИ, вместо СКАД Сигнатуры будет нарушением п.2.4 552-П, в котором закреплено что банк должен соблюдать техническую документацию на СКЗИ, а в качестве СКЗИ договором закреплена СКАД Сигнатура.
Нарушение нормативных документов ЦБ, согласно п.6 ст. 20 Закона о банках и банковской деятельности может являться основанием для отзыва лицензии.
Действительно в подписанном ЭС нет сведений о том, с помощью какого СКЗИ оно подписано и соответственно теоретически можно использовать любое другие средства подписи, хоть даже написать самому.
НО регуляторный риск (нарушение договора, нарушение 552-П) ставит на всем этом крест, слишком дорогие возможные последствия — расторжение договора с МЦИ / нарушение требований ЦБ -> отзыв лицензии.
Пока это только «идеи» ЦБ. Для их реализации нужно перезаключать договор между Банком и ЦБ.
В своих презентациях ЦБ упоминал про сервер «Валидаты», для того, чтобы его использовать нужно пере заключать договор.
Банки не ставят ЗК, идет только простановка КА. ЗК — это технологическая мера, в то время как КА — электронная подпись. См. Альбом УФЭБС и договор с ЦБ.
Для шифрования должна использоваться только СКАД Сигнатура.
Я думаю проблема в том, что мы сейчас стали заложниками подхода ФСБ в части регулирования криптографии.
Сертифицированное криптоядро, например СКАД Сигнатура, это довольно «тяжелое» ПО, которое не может работать с другими криптоядрами и довольно глубоко встраиваться в систему (по крайней мере в ОС Windows). Сейчас нельзя например реализовать сертифицированное шифрование на том, же SQL, или скриптовых языках. Если бы это можно было могли бы появиться довольно элегантные решения, когда бы ЭП осуществлялась прямо SQL сервером, без лишних навесок.
Но что есть, то есть. Наверно решения ФСБ основываются на той информации и тех подходах которые нам неизвестны.