Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

ФСБ раскритиковала НСПК за защиту информации иностранным ПО

Аватар пользователя sevik68

ФСБ России не поддерживает решение Национальной системы платежных карт (НСПК), подконтрольной Банку России, использовать в своей работе иностранное программное обеспечение и предлагает заменить его на российское, заявил заместитель начальника отдела Центра защиты информации ФСБ Владимир Простов.

"Вопрос в том, почему НСПК использует не российские аналоги, а иностранные (в своем программном обеспечении — ред.)", — отметил Простов, выступая в среду на VII заседании Уральского форума по информационной безопасности банков.

По его словам, НСПК намерена использовать на своем оборудовании криптографические модули британско-французской компании Thales. "ФСБ понимает позицию НСПК с точки зрения установки оборудования из-за того, что отечественные аналоги еще недостаточно хорошо зарекомендовали себя на рынке. Но они существуют, и лучше использовать их, чтобы снять риски по безопасности", — подчеркнул Простов.

http://ria.ru/economy/20150218/1048454154.html

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя NOT
NOT(6 лет 1 неделя)(20:31:31 / 18-02-2015)

Эдак до того дойдёт, что Microsoft с протянутой рукой пойдёт…

Любо!

Аватар пользователя iskatel istini
iskatel istini(4 года 7 месяцев)(20:51:51 / 18-02-2015)

Странное предложение.

Лучше всего было бы предусмотреть использование наших систем, а в настоящее время использовать импортное оборудование.

Как только отечественное оборудование будет удовлетворять минимальным критериям по защите информации - настаивать на переходе именно на него.

Сейчас же получается, что предлагается "рисковать сейчас" вместо "рисковать потом".

Опять же, кто будет гарантировать, что с [обеспечивающими недостаточную защиту] отечественными криптографическими модулями вся НСПК будет сертифицирована.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(20:56:14 / 18-02-2015)

значит риск закладок превышает риск сбоев

Аватар пользователя RusKaz
RusKaz(3 года 8 месяцев)(21:06:27 / 18-02-2015)

значит риск закладок превышает риск сбоев

Наверное правильнее добавить всего одно слово и ситуация значительно прояснится: "значит риск активации закладок превышает риск сбоев".

Аватар пользователя Muller
Muller(5 лет 11 месяцев)(21:29:54 / 18-02-2015)

Закладки есть везде. Ни один чип, содержащий хотя бы полмиллиона транзисторов, без них не делается. Пихают их на этапе разработки (производитель же наоборот ничего своего всунуть не может).

Аватар пользователя Лектор
Лектор(3 года 6 месяцев)(09:42:47 / 19-02-2015)

Что, есть подтверждение тому? Мне вот интересно, как активируются закладки, например в автономных контроллерах? 

Аватар пользователя zelya
zelya(2 года 11 месяцев)(11:28:44 / 19-02-2015)

автономные контроллеры без связи с внешним миром имеют например закладку - чек-енжин - тупо требует сервисное обслуживание, подключение к диагностическому терминалу с текущей конфигурацией, и скажем там выставляется флаг, а не время. и вуаля.

Аватар пользователя Лектор
Лектор(3 года 6 месяцев)(11:59:21 / 19-02-2015)

Ууу, с уровнем понимания все ясно. Чек энджин вам выдает софт в контроллере, а не сам контроллер. Речь идет о микроконтроллерах - типа Atmel или Texas Instruments MSP430 или всеми любимые PIC. Среди них хватает чипов с более чем полумиллионом транзисторов. Первый такой контроллер я запрограммировал в 1999 году, и мне вот интересно, где же там закладки и как они активируются.

P.S. Эти микроконтроллеры есть в 70% электронных устройств и в большинстве случаев они работают автономно или в составе изолированных сетей.

Аватар пользователя zelya
zelya(2 года 11 месяцев)(15:42:08 / 19-02-2015)

вы можете на плисе аттестовать библиотеки сложных элементов с 100%, ну пусть с 99% точностью?

или на тех же микроконтроллерах, и не обязательно на этих малышах, есть и на сайриксе, сейчас амд х86 большое ПО, и это именно чисто локальный медицинский комплекс, внутри линукс и фирменное по. но Вы за него сможете ответить?

даже за обычный броадкомовский чип с его секюрити модулем, который все внешние коммуникации по сетям (BT,802.11*,ethernet) собой закрывает.

при возможности его работать мастером по pci-e

и это аттестованные компы.

так что не делайте мне смешно. закладка может быть везде. есть возможность только орг и прочими техмерами ограничить возможный ею ущерб.

в этой области презумпции невиновности нет.

Аватар пользователя zelya
zelya(2 года 11 месяцев)(15:47:57 / 19-02-2015)

а по этим - не все ПО пишется тобой, иногда народ просто берет чужой проект и адаптирует под себя. и не обязательно вредоносная, а просто сочетание проблемы компилятора, звезд на небе и просто везения. или случайной эми помехи. вы для дома разрабатывали, а не по гост рв ***** по буквам "с" и "сс"?

там наши пики, т.е. переразведенные по лицензированной карте от производителя.

смотри например есть миландр, нииэт, некоторое количество других.

но с ПО сейчас плохо.

ни матбиблиотек, ни компиляторов. в этой области есть аттестованное западное по или перелицеваное тем же вниинс.

Аватар пользователя iskatel istini
iskatel istini(4 года 7 месяцев)(15:56:43 / 19-02-2015)

Спасибо.

Аватар пользователя anbir
anbir(2 года 12 месяцев)(21:11:52 / 18-02-2015)

Из доступной элементной базы можно собрать ЭВМ, которая будет лишена "закладок", вопрос только в том, что цена данной системы возрастает практически на порядок. Софт тоже имеется. Встречал название такой системы - "Обруч", но сейчас ссылок на нее не нашел, в общем это и не удивительно. А что касается отечественных разработок в области криптозащиты платежных систем, тут наработки тоже есть, к примеру, компания "Компас Плюс", по-моему именно они первыми создали карточку с чипом (Золотая Корона), которая на несколько лет опередила рынок. Не особо публичная контора, но она есть. 

Аватар пользователя iskatel istini
iskatel istini(4 года 7 месяцев)(21:25:16 / 18-02-2015)

Я в курсе, спасибо.

Но в данном-то конкретном случае предлагается использовать малоизвестные криптографические модули отечественного производства, а не просто криптографические модули отечественного производства.

Чем это может грозить? Повышенной уязвимостью. Когда проявится этот риск? Сразу же после запуска НСПК.

Я ж не говорю, что хорошо использовать иностранные компоненты. Но использовать заведомо недотягивающие по качеству отечественные - просто глупо.

Правильным было бы обращение внимания на это и указанием на обязательную возможность безболезненной замены модулей "если что".

Сейчас же (не только на основании этой заметке) у меня складывается впечатление, что некоторых совершенно не интересует качество продукта, лишь бы было написано "сделано в России". Тогда продукт, якобы, сразу защищен от "закладок".

Аватар пользователя anbir
anbir(2 года 12 месяцев)(22:40:08 / 18-02-2015)

В любом случае дается сертификат ФСБ. Там тоже спецы не пальцем деланы, скажут "нет" - значит "нет". Сроки определены, закон есть, значит люди работают. 

Аватар пользователя Xexen
Xexen(4 года 2 недели)(09:00:31 / 19-02-2015)

Чем это может грозить? Повышенной уязвимостью. Когда проявится этот риск? Сразу же после запуска НСПК.

Появится.

Но риск есть в обоих вариантах: закладки в чужих модулях и ошибки в наших.

Такие вещи страховать надо (или договор с поставщиком должен предусматиривать компенсации за убытки из-за этих модулей.

По моему, лучше дать работу нашим фирмам и подтягивать их, чем работать с чужим "черным ящиком".

Комментарий администрации:  
*** Мистер "Сомнительная Копипаста" ***
Аватар пользователя fukidid
fukidid(3 года 4 месяца)(21:00:56 / 18-02-2015)

заявил ... Владимир Простов.


а я бы не удивился, если б у него фамилия Легков была

Аватар пользователя jamaze
jamaze(5 лет 11 месяцев)(21:25:04 / 18-02-2015)

Компания Thales занимает третье место в мире по производству бортовых РЛС и систем радиоэлектронной борьбы (РЭБ). Она

производит значительную часть компонентов БРЭО для военной авиации. Через фирму Elettronica (в которой Thales имеет 33 % акций) поставляется электроника для истребителя Eurofighter и вертолета NH90. Системы РЭБ, производимые компанией Thales, включают постановщики помех и оборудование радиотехнической разведки (РТР), а также интегрированные комплексы самозащиты для самолетов и вертолетов.

Фирма производит контейнеры с аппаратурой лазерной подсветки целей (второе место по объемам продаж после Lockheed Martin), обзорно-прицельные системы для самолетов, кораблей и танков, разведывательные дневные и ночные ТВ-камеры (в том числе в контейнерных вариантах), комплексы оптико-электронного противодействия. 100 % этой продукции производится Pilkington Optronics, входящей в состав Thales.

Основные акционеры:

- Правительство Франции: 27.1 %
- Dassault Group: 25.9%

Никогда Штирлиц не был так близок к провалу.

Аватар пользователя Advocatus Diaboli
Advocatus Diaboli(3 года 4 месяца)(21:34:46 / 18-02-2015)

Думаю, тут всё просто: кто-то из ФСБ старается навязать таким образом продукцию своей родственной конторки.

Аватар пользователя sevik68
sevik68(5 лет 7 месяцев)(21:42:09 / 18-02-2015)

толсто

Аватар пользователя Савва
Савва(6 лет 1 неделя)(21:58:22 / 18-02-2015)

Типа, фрэнчи в коррупции по отношению к туземным чиновникам замечены не были?!Да я уверен, что специальные ребята днем и ночью толклись у дверей НСПК с мечтой кому бы всунунть взятку, чтобы их криптографические модули использовали.

А если НСПК деньги отдаст французам - нам своих криптографических содулей не видать никогда. А вот расстрелять пару-тройку радетелей французских модулей - ой, как все сразу изменится

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...