Коллеги, добрый день! Выкладываю ответы ТП ЦБ РФ для информации и понимаю общей картины:
Мой вопрос - какая криптография и для чего должна стоять на сервере Дельты.
Ответ :
"Сигнатура используется для отправки по каналу СВК, КриптоПро - для отправки по каналу ЛК.
На портал выложены 3 инструкции.
https://www.cbr.ru/lk_uio/fcsm/?utm_source=w&utm_content=page#t2
-Пилот (тест) ФОР через СВК
-Пилот (тест) ЛК
-Промышленный сбор (через СВК, кроме 310 формы в ЛК)
Сигнатура и КриптоПро устанавливаются на сервер ПП "Дельта". Кроме того на сервере должна быть также установлена "ППИ СКАД «Сигнатура» версия 6 для платформы Java". Данный дистрибутив расположен на официальном сайте Банка России: https://www.cbr.ru/development/mcirabis/itest/prikladnye-programmnye-interfeysy-skzi/
Обращаем внимание, что сначала должна быть установлена Сигнатура, а затем КриптоПро. Последовательность установки важна. В противном случае возможны конфликты двух СКЗИ.
"
Мой вопрос - Правильно ли я понимаю, что сервер Дельты должен смотреть и в открытый интернет и в защищенный сегмент ЦБ РФ ?
Ответ:
"Понимаете правильно.
Однако СВК планируется вывести из эксплуатации с 01.01.2023.
"
Мой вопрос - если СВК (читай сигнатура) будет работать только до 01.01.2023, то можно ли все отчеты, которые мы должны отправлять через СВК, просто выгружать из Дельты в папки, а отправлять "по старинке" ?
Ответ:
"Если под стандартными средствами имеется ввиду отправка через почтовый клиент, настроенный на ящик СВК, (например outlook), то технически все будет работать.
Квитанции придут на тот же ящик. Дальше нужно скачать квитанции из ответных писем распаковать (расшифровать если есть необходимость) и загрузить в ПП Дельта.
В таком случае Сигнатура не нужна на сервере Дельта.
"
-------------------------------------------------------------------------------------------------------------------
Так же запросил у вендоров СКЗИ о возможности реализации схемы, предложенной ЦБ (2 СКЗИ на однои сервере). Ответ от сигнатуры (От криптоПРО пока нет):
"Если Вы зададите это вопрос КриптоПРО, будет стандартный ответ: Использование 2-х СКЗИ на одном компьютере крайне не рекомендуется.
Тем не менее установка и использование двух СКЗИ на одном сервере (или АРМ) возможно. Но с некоторыми ограничениями.
Оба СКЗИ (КриптоПРО и Сигнатура) включают в себя модуль интеграции с ОС. И именно эти модули могут конфликтовать при одновременной установке двух СКЗИ.
Поэтому модуль интеграции с ОС (для КриптоПро это компонент “Криптопровайдер уровня ядра ОС”, для СКЗИ Сигнатура это компонент “СКЗИ СКАД Сигнатура TLS – Интеграция с ОС”) должен быть установлен только в одном из СКЗИ. В противном случае, будет конфликт этих компонент СКЗИ и невозможность загрузки ОС.
Я не знаю какие требования предъявляет ПС Дельта к СКЗИ и его компонентам – мы с не знакомы с этим ПО и не знаем как оно работает. Поэтому мне сложно сказать какие компоненты в каком СКЗИ Вам следует устанавливать. Вам нужно понять для каких целей будет использоваться каждое из СКЗИ и какие из компонентов СКЗИ Вам будут нужны.
При установке двух СКЗИ, также важна последовательность их установки. Мы рекомендуем сначала устанавливать СКЗИ Сигнатура, а потом СКЗИ КриптоПРО CSP
"
-----------------------------------------------------------------------------------------------------------------------
ИМХО мне видится самой красивой схема, вытекающая из 3-го ответа ЦБ. Да это будет чуть более трудозатратнее , но:
1. Это будет правильно с точки зрения фен-шуя
2. Не будет нарушать формуляров СКЗИ (не будет вопросов от ДБ/аудиторов)
3. Будет разрешен удаленный доступ на сервер для администрирования (все помним, что сервер с сигнатурой удаленку запрещает)