1 (2013-10-07 10:57:49 отредактировано Klimov Mihail)

Тема: Терминалы самообслуживания - защита канала

Возник вопрос. если в терминалах самообслуживания сделать оплату коммуналки например. получается что юзер вбивает свои ПДН в терминале. чтобы терминал отправил информацию на сервер банка нужен как минимум защищенный канал. а так как отправляются ПДН то канал должен строиться на сертифицированном оборудовании- так?
какие мысли? кто что посоветует. может у кого реализованы схемы? есть ли схема обхода без дорогостоящих железяк?

2

Re: Терминалы самообслуживания - защита канала

Исходя из "подробности" технических деталей в вопросе, такой же подробный ответ.
Например, http://cryptopro.ru/products/ipsec .

------------------------------------
Николай Беляков
Начальник Службы ИБ
Банк "Кредит-Москва" (ПАО)

3

Re: Терминалы самообслуживания - защита канала

то есть, получается что шлюзом может быть обычная железяка (например роутер Д-линк), который выпускает терминал в интернет. а на самом терминале уже ставится КриптоПро IPsec, которая создает защищенный "сертифицированный" для ПДН канал связи с сервером банка - я правильно понял?

какие еще варианты развития событий подскажете коллеги?

4

Re: Терминалы самообслуживания - защита канала

Для начала надо написать модель нарушителя для терминала - определить класс СКЗИ (VPN решения)
Далее выбрать VPN решение с заданным классом (КС1/КС2/КС3), если приняли стандарт банка России - то КС1 не применяем. Выбор осуществляется с учетом особенностей построения ключевой системы управления (неоднозначная задача).
После выбора смотрим на выполнимость дополнительных требований и выполняемых их.
Делаем пилот и смотрим как это работает.
Потом уже полноценное разворачивание.
Если нужно более подробно - то можно в личку.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: Терминалы самообслуживания - защита канала

Михаил, самое главное - чей терминальный процессинг используете. Если собственный - у Вас будет пространство для манёвра, если процессинг сторонний, то сможете пользоваться только тем, что предложат.
Вообще для защиты ПДн Вы можете несколько вариантов рассмотреть, в т.ч. и без использования криптографии. Например, использовать обезличивание. Да и с криптографией тоже есть варианты - шифровать канал или пакеты, нужно смотреть, что можно прикрутить к Вашему процессингу.
А вообще, с криптографией я бы подождала окончательной редакции нового приказа ФСБ.

6

Re: Терминалы самообслуживания - защита канала

to Oksana.VB:
ждать можно еще полтора года приказа ФСБ россии, а требования по 382-П уже есть

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

7

Re: Терминалы самообслуживания - защита канала

Dmitry Leviev пишет:

to Oksana.VB:
ждать можно еще полтора года приказа ФСБ россии, а требования по 382-П уже есть

В том числе и поэтому предложила посмотреть на обезличивание, возможно, это окажется проще и дешевле реализовать.

8

Re: Терминалы самообслуживания - защита канала

Господа, о чем вы. я вообще не понимаю, как можно обезличить ФИО и прописку когда ты платишь за газ и воду через терминал. или допустим госпошлину за госуслугу.
понятно что сотовые операторы и всякий интернет по номеру- но коммуналка жеш

9 (2013-10-08 16:04:32 отредактировано Oksana.VB)

Re: Терминалы самообслуживания - защита канала

Обезличивание вполне может быть обратимым (приказ РКН 996). Основная цель - чтобы не заморачиваться с криптой, при передаче данные должны быть обезличенными. Например, при вводе по определённому алгоритму данные заменяются идентификатором, при получении в процессинге по тому же алгоритму идентификатор обратно превращается в ПДн. Как они будут храниться в Вашем процессинге, это уже к теме не относится, процессинг можно и защитить правильно. Можете посоветоваться со своими программистами, смогут ли они какой-либо метод обратимого обезличивания прикрутить.
Да, всё это - если у Вас свой процессинг.

10

Re: Терминалы самообслуживания - защита канала

процессинг свой, в помещении банка. ПО для сервера и терминалов покупное. канал связи.... вот думаю. по поводу алгоритма обезличивания - это согласен, занятно. с другой стороны, что мешает взломать несертифицированный алгоритм и открыть Пдн. опять же не совсем понял связь с обезличиванием и шифрованием, если удаленный ПК вне помещения банка.

11

Re: Терминалы самообслуживания - защита канала

to Klimov Mihail:
Коллеги имеют в виду замену данных полей плательщика (ФИО, Адрес и т.д.) на некий идентификатор который считается по определенному алгоритму, а на стороне процессинга  это обратно разворачивать, но здесь есть проблема при оплате платежей через ГИС ГМП - система должна также разворачивать информацию и на стороне терминала.
Вопрос стоимости решения. Если процессинг свой - может проще взять обычный VPN и сказать что канал доверенный в терминах ФСТЭК России (21 приказ и 382-П)?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

12

Re: Терминалы самообслуживания - защита канала

"с другой стороны, что мешает взломать несертифицированный алгоритм и открыть Пдн. " - не думаю, что кого-то так сильно заинтересуют платежи по квартплате, что для этого взломщиков будут искать...
По поводу предложения Дмитрия - тоже интересный вариант, сотовые операторы вроде за какое-то количество денег могут VPN организовать, терминалы ж на GPS или 3G наверняка?

13

Re: Терминалы самообслуживания - защита канала

возможно и на 3 Г. но в большинстве на витухе

14 (2013-10-09 10:00:12 отредактировано Oksana.VB)

Re: Терминалы самообслуживания - защита канала

А терминалы случайно не в помещениях банка? Может и в сети банка? Тогда для них и придумывать отдельно ничего не нужно.

15

Re: Терминалы самообслуживания - защита канала

которые в отделениях банка будут, конечно будут работать через сеть, но естественно не через локальную а отдельно маршрутизированную, с VPN по ФСТЭК. а вот что делать с теми, которые будут стоять незнамо где? )

16

Re: Терминалы самообслуживания - защита канала

VPN по ФСТЭК от провайдера конечно дороговато наверно получится. Как насчёт ПО для шифрования пакетов, а не канала? Это наверняка дешевле железки получится

17

Re: Терминалы самообслуживания - защита канала

Oksana.VB пишет:

VPN по ФСТЭК от провайдера конечно дороговато наверно получится. Как насчёт ПО для шифрования пакетов, а не канала? Это наверняка дешевле железки получится

не, VPN по ФСТЭК между отделениями банка есть на программно аппаратном уровне. просто к нему по отдельному влан терминалы будут бегать. поэтому затрат 0. а вот гне нить вне офиса- вопрос. ПО для шифрования канала было предложено выше. вопрос в том что железка роутер на терминал получается сильная должна быть, для защиты ерминала от внешних угроз.

18

Re: Терминалы самообслуживания - защита канала

А взять слабенькое для банкоматов?
Есть же готовые решения и не очень дорогие: роутер, МЭ и VPN в одно флаконе

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

19

Re: Терминалы самообслуживания - защита канала

Dmitry Leviev пишет:

А взять слабенькое для банкоматов?
Есть же готовые решения и не очень дорогие: роутер, МЭ и VPN в одно флаконе

я понимаю, но подскажите не очень дороге, да еще и сертифицированное..

20

Re: Терминалы самообслуживания - защита канала

бюджет батенька плиз в студию и кол-во закупки в партии

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

21

Re: Терминалы самообслуживания - защита канала

Dmitry Leviev пишет:

бюджет батенька плиз в студию и кол-во закупки в партии

по деньгам не знаю. по количеству еще тем более.

22

Re: Терминалы самообслуживания - защита канала

Уважаемые форумчане, подскажите как работает СКЗИ "Dallas Lock", какие преимущества и недостатки от "Панцирья", и пожалуйста опишите всевозможные глюки. Спасибо.

23

Re: Терминалы самообслуживания - защита канала

to ddbalchiy
Вы ничего не путаете? Может все таки СЗИ Dallas Lock (Конфидент)?
Какую версию и под какую ОС Вы собираетесь использовать?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

24 (2013-10-10 08:57:15 отредактировано Медведев Андрей)

Re: Терминалы самообслуживания - защита канала

если использовать DL версии 7.7 то может глючить, крайне нестабильно работает.  а DL 8.0 К вполнене работоспособна, главное правильно настроить, правда тестировал только без сетевого управления.

25

Re: Терминалы самообслуживания - защита канала

ddbalchiy пишет:

Уважаемые форумчане, подскажите как работает СКЗИ "Dallas Lock", какие преимущества и недостатки от "Панцирья", и пожалуйста опишите всевозможные глюки. Спасибо.

по идее да, это СЗИ. криптография no detected...