19 октября, пятница 21:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

УАРМ обеспечение безопасности по требованиям ЦБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • УАРМ обеспечение безопасности по требованиям ЦБ

    Добрый день!

    Уважаемые коллеги, поделитесь, как у вас реализованы требования по обеспечению ИБ в соответствии с документом "Автоматизированное рабочее место клиента Банка России. Руководство по обеспечению информационной безопасности." ЦБРФ.61209-01 93 01.
    В частности интересует вот какой момент. Есть желание включить УАРМ в ЛВС банка. Смотрим п.4.2 вышеуказанного документа:

    Необходимо организовать защищенное подключение АРМ КБР в локальную вычислительную сеть (ЛВС) клиента, предполагающее отсутствие технической возможности доступа к АРМ КБР из внешних, по отношению к ЛВС клиента, сетей.
    Указанная задача должна решаться в аспектах:
    - защиты ЛВС клиента от сетевых атак из внешних сетей путем применения межсетевого экрана, который должен осуществлять фильтрацию сетевого трафика и соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности;


    С применением межсетевого экрана все понятно. Но как быть с соответствиями требованиям? Каким образом определить, что МЭ импортного производства или, скажем, OpenSource соответствует требованиям гостехкомиссии? Ссылка на РД: http://www.jetinfo.ru/1997/17-18/1/a...7-18.1997.html

  • #2
    Сообщение от LelikB
    Но как быть с соответствиями требованиям? Каким образом определить, что МЭ импортного производства или, скажем, OpenSource соответствует требованиям гостехкомиссии? Ссылка на РД: http://www.jetinfo.ru/1997/17-18/1/a...7-18.1997.html
    Купить занедорого какой - нибудь сертифицированный ГТК/ФСТЭК VipNet CLIENT на 1 ПК и поставить на комп с АРМ. я бы сделал так.

    Комментарий


    • #3
      у меня тоже есть вопросы - арм кбр работает с сигнатурой, и в документации написано что безопасность арм'а обуславливается так же и требованиями к безопасности сигнатуры. смотрим требования по безопасности сигнатуры -> к локальной сети подключать нельзя, необходимо использовать аккорд и т.д. и т.п.

      Комментарий


      • #4
        Сообщение от keereal
        к локальной сети подключать нельзя, необходимо использовать аккорд и т.д. и т.п.
        У того же сертифицированного VipNET CLIENT есть режим полного блокирования сетевых интерфейсов. Написать "для отмазки" положение, что работа с сигнатурой ведется только при переводе в режим полного блокирования сети.

        Комментарий


        • #5
          Сообщение от vtar
          Купить занедорого какой - нибудь сертифицированный ГТК/ФСТЭК VipNet CLIENT на 1 ПК и поставить на комп с АРМ. я бы сделал так.
          Получается, что требования не выполняются: "задача должна решаться в аспектах защиты ЛВС клиента от сетевых атак из внешних сетей", а не АРМ КБР.

          Сообщение от keereal
          у меня тоже есть вопросы - арм кбр работает с сигнатурой, и в документации написано что безопасность арм'а обуславливается так же и требованиями к безопасности сигнатуры. смотрим требования по безопасности сигнатуры -> к локальной сети подключать нельзя, необходимо использовать аккорд и т.д. и т.п.
          К ЛВС нельзя подключать только в момент генерации ключей. А аккорд использовать рекомендуется. У нас ЦБ разрешает не использовать Аккорд.

          Комментарий


          • #6
            У нас вообще уарм в режиме автомата на виртуальной машине с ключами на виртуальных носителях. Мне бы хотелось вообще сделать так чтобы оператор вообще не мог и не должен был в уарм заглядывать. Чисто как машинка для шифрования.

            Интересно это соответвует требованиям ЦБ?
            С удовольствием делаю только то, что относится на счета доходов... либо на счета 613

            Комментарий


            • #7
              Хотелось бы услышать подсказку от тех, у кого машина с УАРМ включена в сеть банка: как от ЦБшной безопасности отмазывались?
              Руководство по обеспечению ИБ читал. Бред какой-то.
              1. Как доказать, что фаервол, который в головном банке соответствует их требованиям?
              2. Контроль целостности они предлагают проверять при помощи hashfile.exe , который, в свою очередь контролировать при помощи "аккорда" или по-другому: записать эту программулину на CD-R вместе с батником для проверки файлов а сидиром заклеить.
              Кто-то так делал? Или у всех "аккорды" стоят? Других вариантов не предложено
              3. Есть 2 человека: оператор и контролер. У каждого свой ключик.
              Меняться ими низзя Как они ими будут пользоваться?
              Варианты:
              а) Оператор вводит документы в ручном режиме, контролер их еще раз вводит для контроля и отправляет. Прием, видимо должен работать аналогично... Как-то не удалось это победить.
              б) Оператор запускает авт. шлюз и все что нужно уходит и приходит. Контролер может что-то делать в АБС, а может и не делать. В любом случае в УАРМ он не заходит и ключ ему не нужен.
              А теперь вопрос: что делаем, если отсутствует оператор (заболел и т.п.) Его ключом пользоваться нельзя, а контролер со своим ключом его заменить не может Или в этом случае должно быть 2 оператора и ни одного контролера?

              Комментарий


              • #8
                a516 Есть такие термины: основной работник и замещающий.
                С уважением, Антон

                Комментарий


                • #9
                  а516 А теперь вопрос: что делаем, если отсутствует оператор (заболел и т.п.)
                  Когда управляющий в отпуск уходит, банк же не закрывается...
                  "Единственный способ научиться играть лучше - играть с более сильным соперником!"

                  Комментарий


                  • #10
                    Сообщение от a516 Посмотреть сообщение
                    Хотелось бы услышать подсказку от тех, у кого машина с УАРМ включена в сеть банка:
                    по пунктам. Пока больше вопросов.
                    1. Можно попросить головной банк прислать сертификат ГТК на свой файрвол.
                    Но ведь не у всех используется сертифицированный ГТК файрвол. Смотрим требования руководства по обеспечению ИБ: «МЭ… должен соответствовать требованиям руководящего документа Гостехкомиссии России». Но ведь из этого не следует, что он должен иметь сертификат ГТК (вроде-бы). Можно попробовать издать у себя акт, что комиссия в составе определила, что наш МЭ имеет то-то и то-то, что соответствует уровню такому-то документа такого-то. Проверка покажет, кто прав. =)
                    2. Т.к. Аккорд использовать только рекомендуется, то придется пойти другим путем – отобрать у всех пользователей право на изменение файлика с хешами и собственно hashfile.exe. Хотя про CD-ROM мне понравилось. =) Риск лишь в том, чтобы рекомендации не были восприняты обязательными к исполнению.
                    3. Вот тут я тоже не понял. У нас сейчас (АСБР Рязань) есть 2 ответственных и 2 администратора безопасности. Все ОК – кто-то заболел/ушел в отпуск – есть заместитель. Сейчас предлагается оператор/контролер. Но зачем нужен контролер в режиме шлюза? Его тоже назначать? Если да, то ему тоже нужен заместитель? Уже четыре человека?
                    Смотрим дальше. Должен быть администратор и администратор информационной безопасности. Совмещать нельзя, они ходят в отпуска и болеют. Назначать четырех человек?
                    У нас банк маленький.

                    У кого какие соображения по этому поводу?

                    Комментарий


                    • #11
                      Должен быть администратор и администратор информационной безопасности. Совмещать нельзя, они ходят в отпуска и болеют. Назначать четырех человек?
                      нет - проще запретить уходить в отпуск и болеть))) - а еще проще раcкидать все эти обязанности по сотрудникам расчетного подразделения+ автоматизацию))РЕКОМЕНДУЮ))
                      Мы продолжаем делать то, что мы уже много наделали

                      Комментарий


                      • #12
                        Это мысль. попросить у коллег из головы какой-нибудь документик, где написано, каким именно требованиям ФВ удовлетворяет и от чего он защищает. Авось прокатит. А для реальной защиты я бы так сделал: В сетку банка смотрит отдельная сетевуха, на которой только NETBEUI. Расшаренных ресурсов на машине с УАРМ нет. Она коннектится с ресурсом на сервере, через который и обменивается файлами. Можно еще попутно поставить машинку, работающую по IPX, но это уже изврат в духе Сбера...
                        Кстати, в мою бытность там вот как решали задачу несовмещения:
                        Должно быть администраторов серверов - 2 (основной и заместитель)
                        Администраторов серверов БД - 3 (там хитрая система уже не помню зачем именно 3)
                        Администраторов АРМов, которые на этих серверах крутятся - от двух до удвоенного количества АРМов, это по желанию.
                        И еще администратор информационной безопасности - 1.
                        Совмещать ничего между собой нельзя. Совмещать пользователя с администратором - смерти подобно фактически и запрещено теоретически.
                        Итого 8 человек надо. А Автоматизаторов в маленьком филиале - 1
                        Обошлись, однако И при проверках замечаний не было. Так до сих пор человек работает и ничего не совмещает.

                        Вот я и думаю - а как требования ЦБ выполнять и на бумажках и на самом деле.
                        2Алексей: это точно, что админ и админ ИБ должны разные назначаться? А то ведь действительно 4 человека сложновато найти

                        Комментарий


                        • #13
                          Сообщение от LelikB Посмотреть сообщение
                          Добрый день!

                          Уважаемые коллеги, поделитесь, как у вас реализованы требования по обеспечению ИБ в соответствии с документом "Автоматизированное рабочее место клиента Банка России. Руководство по обеспечению информационной безопасности." ЦБРФ.61209-01 93 01.
                          данные требования ЦБ - рекомендованны клиентам, но не продиктованны как условия использования ихнего софта.
                          и соответственно и Администратор и Администратор ИБ - один человек.

                          Комментарий

                          Пользователи, просматривающие эту тему

                          Свернуть

                          Присутствует 1. Участников: 0, гостей: 1.

                          Обработка...
                          X