27 ноября, пятница 17:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

План мероприят («дорожная карта») по повышению уровня ИБ от ЦБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • План мероприят («дорожная карта») по повышению уровня ИБ от ЦБ

    Коллеги, добрый день!
    Возник такой вопрос, сегодня было получено письмо от отделения ЦБ по воронежской области, где ссылаются на следующий документ:


    План мероприятий («дорожная карта») по реализации мер, направленных на предотвращение хищений денежных средств на финансовом рынке Российской Федерации, утвержденным Председателем Банка России Э.С. Набиуллиной 6 мая 2016 года.

    В консультанте и на сайте ЦБ документа этого я так и не нашел. В воронежском отделении тоже не дают ответа.
    Коллеги, кто-нибудь знает что это за документ?

  • #2
    Если Воронежское отделение не даёт ответа - может. и нет никакого документа?
    С уважением, Антон

    Комментарий


    • #3
      Есть, конечно, просто он, может быть, не совсем публичный. )
      Необходимую информацию из него до банков ЦБ доводит через письма . В письме сообщили, что нужно делать.
      Хотя в целом на эту дорожную карту взглянуть было бы интересно.

      Комментарий


      • #4
        Это внутренний документ ЦБ, определяющий стратегию развития безопасности, прежде всего, межбанковского платежного процесса. Собственно к банкам там относится небольшая часть (ее и доводят до сведения банков письмами), остальное - внутренняя кухня ЦБ

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          ее и доводят до сведения банков письмами
          Некоторые ТУ рассылают и сам документ, даже два (есть ещё отдельно план по АРМ КБР).

          Комментарий


          • #6
            Я правильно понимаю, что в принципе меняется вектор атаки: раньше это было 1-2-3 АРМа, на которых интернет должен быть отключен, а теперь это over 10-100-1000 АРМ, на которых очень даже часто присутствует доступ к Сети. И да - у всех будет одинаково

            Ну почему нельзя предоставить Банку выбрать "рекомендованный" путь или разработать собственный комплекс мероприятий (компенсирующие меры)?

            Комментарий


            • #7
              Сообщение от magiq_fox Посмотреть сообщение
              Я правильно понимаю, что в принципе меняется вектор атаки: раньше это было 1-2-3 АРМа, на которых интернет должен быть отключен, а теперь это over 10-100-1000 АРМ, на которых очень даже часто присутствует доступ к Сети.
              Нет, т.к. на границы платёжного контура изменение не влияет.

              Сообщение от magiq_fox Посмотреть сообщение
              И да - у всех будет одинаково Ну почему нельзя предоставить Банку выбрать "рекомендованный" путь или разработать собственный комплекс мероприятий (компенсирующие меры)?
              Как раз это позволит изменить схему, т.к. КЗ и КА можно проставлять более гибко на уровне АБС. Но серьёзно на информационную безопасность это с практической точки зрения не повлияет (платежный контур от этого не меняется и угрозы останутся по сути теми же, хотя, есть позитивные изменения) до внедрения ГОСТов по ИБ в финансовой сфере и процедур аттестации / сертификации и что там ещё в "дорожной карте".

              Комментарий


              • #8

                Сообщение от Zuz Посмотреть сообщение
                Нет, т.к. на границы платёжного контура изменение не влияет.
                это влияет на количество строго контролируемых точек. согласись, что следить за на порядки большим количеством АРМ сложнее, чем за 2.
                количество потенциальных точек взлома увеличивается, значит растет вероятность взлома.

                Комментарий


                • #9
                  Сообщение от magiq_fox Посмотреть сообщение
                  Я правильно понимаю, что в принципе меняется вектор атаки: раньше это было 1-2-3 АРМа, на которых интернет должен быть отключен, а теперь это over 10-100-1000 АРМ, на которых очень даже часто присутствует доступ к Сети. И да - у всех будет одинаково

                  Ну почему нельзя предоставить Банку выбрать "рекомендованный" путь или разработать собственный комплекс мероприятий (компенсирующие меры)?
                  На то есть две причины. Во-первых, у многих регуляторов до сих пор бытует мнение, что потребитель глуп и не может самостоятельно выбирать себе защитные меры и будет занижать требования, чтобы поменьше тратить деньги. А, во-вторых, регулятор не хочет, чтобы его обвиняли в краже денег "со счетов ЦБ", как это было в декабре, когда СМИ исказили слова представителя ЦБ и по их статьям оказалось, что хакеры взломали именно ЦБ. Кому-то мало не показалось.

                  Комментарий


                  • #10
                    Сообщение от magiq_fox Посмотреть сообщение
                    это влияет на количество строго контролируемых точек. согласись, что следить за на порядки большим количеством АРМ сложнее, чем за 2.
                    количество потенциальных точек взлома увеличивается, значит растет вероятность взлома.
                    Как это влияет то? Был у Вас АРМ КБР, на котором вы подписывали и шифровали докумнты, сейчас будет только шифрование там, а подпись на другом, но подделка то документов может произойти только на АРМ, где подпись или в АБС. На АРМ КБР нет возможности подделать в такой схеме. Но там можно будет обнаружить подделку. Раньше такую схему тоже можно было рализовать (развернув два АРМ КБР), но для этого требовалось два комплекта ключей получать (для подписи и шифрования), что нужно будет сделать и сейчас. Более того, лучше и по СКЗИ ключи разнести, что допусается новой схемой.
                    Если вы планируте "подписывать" на каждом компьютере операциониста, то это невозможно, т.к. ключи персонализированнные (хотя может в разных регионах по-разному) и уполномачивать на такую операцию каждого опреациониста странно. В любом случае любой компьютер операциониста, это точка атаки, где может быть введён поддельный документ (искажён реальный). Более того, можно "попросить" вашего операциониста вести в АБС подложный документ и вы потом никогда не докажете, что он это сделал сам, а не вирус, если только специально не прорабатывали защиту от такого сценария.

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      А, во-вторых, регулятор не хочет, чтобы его обвиняли в краже денег "со счетов ЦБ", как это было в декабре, когда СМИ исказили слова представителя ЦБ и по их статьям оказалось, что хакеры взломали именно ЦБ. Кому-то мало не показалось.
                      Вопросы выноса КА за пределы АРМ КБР обсуждались гораздо раньше этих инцидентов. По мне это бытовая какая-то причина и притянутая за уши к ситуации.

                      Комментарий


                      • #12
                        Аккурат когда число упоминаний в СМИ про кражи денег у банков стало расти в прогрессии

                        Комментарий


                        • #13
                          Сообщение от Zuz Посмотреть сообщение
                          до внедрения ГОСТов по ИБ в финансовой сфере
                          И они тоже не повлияют, так как текущий проект ГОСТа существенно меньше защитных мер описывает, чем комплекст СТО/РС

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Аккурат когда число упоминаний в СМИ про кражи денег у банков стало расти в прогрессии
                            Что случилось аккурат после того, как банки перестали заниматься ИБ и начали заниматься писаниной

                            Народ, расслабьтесь!
                            Я уже предлагал внести в свою модель угроз идиотизм ЦБ и относиться к нему так же, как, например, к присылаемым по почте вирусам. Повлиять на реализацию этой угрозы нельзя, можем отрабатывать только последствия - в данном случае в ответе написать, что запрос отправлен разработчику АБС, но сами считаем это не целесообразным, потому что ...
                            Обосновывать своё несогласие и предлагать альтернативное решение обязательно, т.к. иначе это никто читать не будет. Если таких писем писем наберётся хотя бы четверть от общего количества банков, то есть вероятность, что там задумаются.

                            Комментарий


                            • #15
                              Тоже получили письмо. Только наш ЦБ предусмотрительно убрал из текста («дорожная карта»), а в остальном всё один в один ))))
                              А буквально перед НГ мы ушли от АРМ КБР - передали платежи в голову. Позвонил исполнителю письма, спросил зачем нам скинули. Ответили, что они не разбирались кто есть, кого уже нет, просто тупо всем разослали.
                              Последний раз редактировалось Sat_Kelman; 24.01.2017, 07:30.

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                .... у многих регуляторов до сих пор бытует мнение, что потребитель глуп и не может самостоятельно выбирать себе защитные меры и будет занижать требования, чтобы поменьше тратить деньги.....
                                А нефиг было заставлять потребителя заниматься моделированием угроз, не было бы и повода у потребителя вещмешком прикидываться.

                                Комментарий


                                • #17
                                  Сообщение от Sat_Kelman Посмотреть сообщение
                                  Тоже получили письмо. Только наш ЦБ предусмотрительно убрал из текста («дорожная карта»), а в остальном всё один в один )))) А буквально перед НГ мы ушли от АРМ КБР - передали платежи в голову. Позвонил исполнителю письма, спросил зачем нам скинули. Ответили, что они не разбирались кто есть, кого уже нет, просто тупо всем разослали.
                                  будет неудивительно, если попросят отчитаться о выполнении требований ДО срока, указанного разработчиком АБС. проходили...

                                  Комментарий


                                  • #18
                                    Сообщение от magiq_fox Посмотреть сообщение
                                    будет неудивительно, если попросят отчитаться о выполнении требований ДО срока, указанного разработчиком АБС. проходили...
                                    А вот интересно, по поводу выполнения требований ПКЗ2005, в части встраивания криптографии в АБС, разработчикам можно будет не парится?

                                    Комментарий


                                    • #19
                                      На мой взгляд, такая деятельность, явно подпадает под действие ПП-313, и требует соответствующей лицензии.

                                      Комментарий


                                      • #20
                                        Сообщение от Hedin333 Посмотреть сообщение
                                        На мой взгляд, такая деятельность, явно подпадает под действие ПП-313, и требует соответствующей лицензии.
                                        Однозначно разработчики АБС попадут под 313П (причем с пунктами по разработке и встраиванию СКЗИ). А это человечки с профильным или курсами более 1000 часов и сам процесс получения лицензии. Думаю, ЦБ как всегда погорячился (как минимум - со сроками).

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение

                                          И они тоже не повлияют, так как текущий проект ГОСТа существенно меньше защитных мер описывает, чем комплекст СТО/РС
                                          Алексей, в Плане ЦБ "Дорожная карта" (наше ТУ прислало полный план) есть конкретные сроки принятия банковского ГОСТа в Росстандарте. А вот сам проект ГОСТа я еще не видел. Где можно ознакомиться?

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Аккурат когда число упоминаний в СМИ про кражи денег у банков стало расти в прогрессии
                                            Спорить не буду, но в уральском регионе эту информацию доводили на круглом столе гораздо раньше. В любом случае странно считать эту причину ключевой. Т.е. иных причин нет?

                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            И они тоже не повлияют, так как текущий проект ГОСТа существенно меньше защитных мер описывает, чем комплекст СТО/РС
                                            А разве только этим ГОСТ дело ограничится? Если да, то ой. (((

                                            Комментарий


                                            • #23
                                              Сообщение от Berckut Посмотреть сообщение
                                              Обосновывать своё несогласие и предлагать альтернативное решение обязательно, т.к. иначе это никто читать не будет. Если таких писем писем наберётся хотя бы четверть от общего количества банков, то есть вероятность, что там задумаются.
                                              Тут спорно, т.к. нужна доверенная точка сверки. Сейчас её можно будет реализовать на АРМ КБР, т.к. туда приходят "подписанные" xml. В результате антифрод может сравнить, что пришло на АРМ КБР, что есть в АБС, что есть в ДБО и сделать выводы. Естественно, это должна быть "скрытая" инсталляция антифрода и злоумышленник сходу не найдёт такую сверку, т.е. ему будет очень нелегко её обойти.
                                              С другой стороны, если вы доверяете данным из АБС, которые пришли в АРМ КБР на отправку, то всё это может быть избыточным и стрельбой из пушки по воробьям. )
                                              Интересна ваша точка зрения, чем плоха инициатива ЦБ и как её можно улучшить?

                                              Комментарий


                                              • #24
                                                Сообщение от surfer Посмотреть сообщение

                                                Однозначно разработчики АБС попадут под 313П (причем с пунктами по разработке и встраиванию СКЗИ). А это человечки с профильным или курсами более 1000 часов и сам процесс получения лицензии. Думаю, ЦБ как всегда погорячился (как минимум - со сроками).
                                                КМК, в данном случае, речь идет о п.п. 2, 8, 13,17 Приложения ПП-313, т.е. разработка и производство ИС, защищенных криптографией. А это все те же 500 часов переподготовки.
                                                И, насколько я представляю(надеюсь), у всех нормальных поставщиков АБС лицензия ФСБ на такие работы уже есть. У нашего есть, уже проверил .
                                                Другое дело, процедура проверки корректности встраивания криптографии в АБС (в соответствии с ПКЗ2005), что ИМХО может занять гораздо дольше времени, чем получение лицензии ФСБ.
                                                А с другой стороны, кто из наших разработчиков ДБО для ЮЛ проходил такую проверку? И чем они это могут подтвердить?
                                                Последний раз редактировалось saches; 25.01.2017, 14:09.

                                                Комментарий


                                                • #25
                                                  Сообщение от surfer Посмотреть сообщение
                                                  ......А вот сам проект ГОСТа я еще не видел. Где можно ознакомиться?
                                                  Я брал отсюда -
                                                  http://tk122.ru/pk1/private/docs/

                                                  ЗЫ:Насколько я понимаю, драфт ГОСТа общедоступен, что бы скачать достаточно указать ФИО, почтовый адрес и название организации
                                                  Последний раз редактировалось saches; 25.01.2017, 13:15.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Zuz Посмотреть сообщение
                                                    А разве только этим ГОСТ дело ограничится? Если да, то ой. (((
                                                    Ну других пока не разрабатывается. Если только в дальней перспективе

                                                    Комментарий


                                                    • #27
                                                      saches
                                                      Спасибо за ссылку, я там пока не авторизован ))

                                                      Комментарий


                                                      • #28
                                                        Виды работ, включающие "встраиванию СКЗИ в свою АБС для формирования КА, снабжения ими электронных сообщений (пакетов электронных сообщений), для формирования ЗК, включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС", при доработке АБС силами самой кредитной организации (для собственных нужд кредитной организации), обязывает кредитную организацию переоформлять лицензию ФСБ на доп-ные виды работ, такие как 2,8, 13, 17 и т.д. в соответствие с 313-ПП?

                                                        Комментарий


                                                        • #29
                                                          TanyaOBR, да верно! Более того ЦБ при проверке могут это проверить, в рамках исполнения того же 382-П или СТО БР ИББС. Чисто теоретически можно апеллировать к позиции ФСТЭК, но в данном случае перечень лицензируемых видов деятельности (приложение к 313-П) содержит только одно исключение. Т.е. можно теоретически принять риск, не получать лицензию, но потом могут быть проблемы.

                                                          Комментарий


                                                          • #30
                                                            Получается, что средства от НСД на АРМ КБР станут не нужны и вместо "одного торта с 12-ю свечами" (например 1 Соболь на АРМ КБР) получаем "12 тортов с одной свечой" (Соболя на каждой АРМ с АБС где присутствует КА\КЗ), это не считая стоимости доработки АБС, ну а уж если и требования по физическому доступу выполнить - то вообще немало денежек получится.

                                                            Комментарий

                                                            Обработка...
                                                            X