12 августа, среда 06:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций....

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от diev Посмотреть сообщение
    Зачем вам все эти новомодные 10-ки, обновляемые дважды в год и с жизненным циклом в 18 месяцев?
    А как вы думаете какой средний срок непрерывной эксплуатации у сертифицированных продуктов до необходимости его переустановки? 18 месяцев это ещё вполне нормально.
    Ну и, если вам не нужно используйте LTSC, а тем кому нужно, наверное, всё же используют фичи, что добавляются в данной ОС.

    Комментарий


    • Если всё, что используется в банке для защиты, переводить на сертифицированные СЗИ (даже если такие аналоги существуют), то это просто слив бабла в унитаз.

      Комментарий


      • Сообщение от Александр Четвертый Посмотреть сообщение
        это просто слив бабла...
        По всей видимости, придётся запрашивать разъяснения на разъяснения. Позиция более чем странная. Вообще этот процес может привести к снижению общей защищённости и замедлению темпов автоматизации отрасли.

        Комментарий


        • Фичи используют программисты. Ответственные исполнители используют закрепленные АРМы, белые списки, изолированные сегменты. При этом проверяющие приходят и требуют по букве регуляторов обновление ОС не реже раза в месяц, а сертифицированного антивируса - не реже раза в две недели - даже в изолированной сети. LTSC требует корпоративной лицензии. Сейчас было бы хорошо и правильно использовать Embedded 8.1 Industry Pro, но кто же даст...

          Про слив... - с другой его стороны выпускники на геликах.

          Комментарий


          • Сообщение от diev Посмотреть сообщение
            Фичи используют программисты.
            Новые фичи Windows 10 это почти целиком про безопасность: Device Guard / Credential Guard / Windows Hello / Windows Defender Application Control / Windows Defender ATP (Exploit Guard, ...) и т.п.
            Правильно настроенная система включая окружение не требует каких-то внешних СЗИ (это если говорить о компьютерах общего назначения).
            С АРМ тоже в целом всё хорошо, встроенные средства шифрования диска и контроля целостности + локальный файрвол закрывают основные угрозы.

            Сообщение от diev Посмотреть сообщение
            Ответственные исполнители используют закрепленные АРМы, белые списки, изолированные сегменты.
            АРМы ясно, а вот как они "белые списки" используют и "изолированные сегменты", не очень понятно? Я не цепляюсь, просто раскройте мысль. )

            Сообщение от diev Посмотреть сообщение
            При этом проверяющие приходят и требуют по букве регуляторов обновление ОС не реже раза в месяц, а сертифицированного антивируса - не реже раза в две недели - даже в изолированной сети.
            С учётом неэффективности в большинстве случаев этих мер (к примеру, современный антивирусный продукт должен быть постоянно онлайн иначе его эффективность резко падает) - это печально, но проверяющие тут не при чём, вопрос к тем кто установил такие требования и почему они до сих пор не учитывают реальную модель угроз.

            Сообщение от diev Посмотреть сообщение
            LTSC требует корпоративной лицензии.
            Очевидно, что без подписки Windows массово вообще использовать не выйдет, ну разве что на на отдельных АРМ. К сожалению, сейчас без облака уже самые вкусные фичи не доступны.

            Сообщение от diev Посмотреть сообщение
            Сейчас было бы хорошо и правильно использовать Embedded 8.1 Industry Pro, но кто же даст...
            Эх, некоторые редакции Windows действительно хороши, но даже их нужно уметь готовить. Квалифицированного специалиста, кто разберётся в тысячах настроек и банальном sysprep не так уже и просто найти.

            Сообщение от diev Посмотреть сообщение
            с другой его стороны выпускники на геликах.
            Это хоть и оффтоп, но интересно, с трудом представляю возможность реализации (открытие конкурсные процедуры, проверки службой безопасности контрактов, ...).


            Комментарий


            • Сообщение от Zuz Посмотреть сообщение
              АРМы ясно, а вот как они "белые списки" используют и "изолированные сегменты", не очень понятно? Я не цепляюсь, просто раскройте мысль. )
              Белый список разрешенного софта и только для целей функционирования данного АРМ (придрались, что за "патч для процессоров"), белые списки проброшенных портов и IP, при этом 3 АРМ (речь про КБР-Н) в цепочке должны быть строго каждый в своем сегменте. И строго с сертифицированными СЗИ от ВВК, отличными на серверах и станциях, осями согласно формуляров... Хорошо пока сертифицированный МЭ отложили потребовать. Еще недавно флэшки нельзя было применять, т.к. они не были прямо перечислены "в белом списке" формуляров, а только флопы, которых нынче и не сыщешь на матерях, а USB-флоп не позволяет переставлять дискеты на лету. Раскрыл мысль?

              Выпускники Академии ФСБ на геликах однажды неприлично нашумели - попалили контору... А с нашей стороны - где-то был подсчет возможной себестоимости HSM, например.

              Комментарий


              • Сообщение от diev Посмотреть сообщение
                Раскрыл мысль?
                В целом да, я просто в прошлый раз контекст не уловил. )

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  ... вопрос к тем кто установил такие требования и почему они до сих пор не учитывают реальную модель угроз.
                  Эксперты уверяют, что они придумывали и записывали возможные защитные меры через ИЛИ!
                  Кто согласовывал - везде исправил на И.
                  Кто подписал(а) - Департаментов (внутренне конкурирующих в том числе) много, а он(а) одн(а).
                  Кто проверяет - (мы всё понимаем, но) подписано - делайте!

                  Комментарий


                  • Мнение Алексея Лукацкого на тему обязательности применения разработанных ЦБ ГОСТ. https://lukatsky.blogspot.com/2020/01/blog-post.html

                    Комментарий


                    • Сообщение от UserNick Посмотреть сообщение
                      Мнение Алексея Лукацкого
                      Забавно, только опыт 4Мр - говорит, что банки не пойдут на такой риск (отстаивать позицию).
                      По 4Мр благодаря давлению, ЦБ заявил, что это рекомендации и не более (проверять и наказывать по ним не будут).

                      Комментарий


                      • Сообщение от Cpx Посмотреть сообщение
                        Забавно, только опыт 4Мр - говорит, что банки не пойдут на такой риск (отстаивать позицию).
                        Верно, банковский надзор просто спустил предписание и указал устранить нарушения рекомендаций.
                        Сообщение от Cpx Посмотреть сообщение
                        (проверять и наказывать по ним не будут)
                        Пока только просят устранить, если не сделать, то накажут.

                        Сообщение от UserNick Посмотреть сообщение
                        а тему обязательности применения разработанных ЦБ ГОСТ.
                        Есть положения ЦБ (672-П, 683-П, 684-П, новый 382-П, которые согласованы или будут согласованы с регуляторами) и их применять и выполнять обязательно, а там требуется реализовать определённый уровень соответствия по ГОСТ.
                        Всё, не важно где и как там ГОСТ зарегистрирован, если не соответствуешь как в положениях, то нарушение.

                        А сам по себе ГОСТ и не обязательный, разве это где-то заявлялось?

                        Комментарий


                        • ГОСТу быть в любом случае (:

                          Комментарий


                          • Коллеги, доброго времени суток. А каким образом сводится оценка по различным контурам безопасности? К примеру, поделили мы весь банк на несколько контуров. К ним применяются различные наборы базовых мер. Где-то одни показатели не актуальны (не применимы), где-то другие. Получается по каждому контуру оценка разная. Как ее свести воедино?
                            Lyudmila

                            Комментарий


                            • Сообщение от Lusik Посмотреть сообщение
                              Как ее свести воедино?
                              Проводите оценку каждого контура отдельно. Можно в рамках одного аудита.
                              Но внешний аудит у нас только для для 683-П контура. В 672-П нет требования внешнего аудита. Новый 382-П примерно на 23 год.
                              Про приказ минцифры проводить оценку для ЕБС можно забить, они не наш регулятор, а ЦБ на это глубоко пофиг.

                              Комментарий


                              • dnebyshe
                                Добрый день. Спасибо за отклик.
                                То есть по 683-П определяем единый контур?
                                Но учитывая, что область применения 683-П также довольно широка - в ней ведь тоже могут существовать отдельные контуры...Как тогда оценивать их единой оценкой?

                                А все, что не входит в сферу применения 683-П считаем не входящим в область применения ГОСТа? К примеру, могу я выкинуть wi-fi, как не связанный с предоставлением банковских услуг? Тут большой вопрос что связано с предоставлением услуг, а что нет - существует куча процессов типа отчетности и т.п., которые непосредственно с предоставлением услуг не связаны... Их тоже можно повыкидывать?
                                Lyudmila

                                Комментарий


                                • Сообщение от Lusik Посмотреть сообщение
                                  Их тоже можно повыкидывать?
                                  я взял за правило: сегмент 683-П это там где проходят банковские операции связанные с осуществлением переводов, которые могут привести к переводу без согласия клиента.
                                  У меня это все ОПЕРО у которых есть АБС и ДБО.
                                  Засуну их в отдельную подсеть и так. далее..
                                  С аудитором своим согласовал, что именно они будет проверять по 683-П.
                                  Остальное меня не волнует. Сами ЦБ тут толком не могут сказать, что включать, а что нет.

                                  С 672-П проще.
                                  321-Приказ пока забил на него.

                                  Но пока этот карантин, не до 683-П. Мониторим удаленку усиленно..

                                  Комментарий


                                  • А вообще, требование проводить аудит раз в 2 года вступит в силу в 21 году, так что от 21 года отсчитайте 2 года.
                                    А то,что мы должны обеспечить 2 УЗ по 28580.1 в 21 году - нигде не сказано, что только внешний аудитор может это определить.
                                    Внешний нужен для аудита выполнения по методике в 27580.2.

                                    Комментарий


                                    • dnebyshe
                                      Подход смелый, но он мне нравится
                                      Спасибо
                                      Lyudmila

                                      Комментарий


                                      • Добрый день. У меня несколько вопросов.

                                        По какому принципу определять Контуры безопасности?

                                        По какому стандарту или ГОСТу готовить документы (ТЗ, ТП, итд) по данному ГОСТу?

                                        По каким требованиям мы выбираем технические средства (может я недоглядел в ГОСТе) Где найти описание какие классы защиты ТС нужно применять для определенного Уровня защиты информации описанного в ГОСТе? (например в ФСТЭК 21 четко написано для какие уровней защищенности какие нужно применять ТС)

                                        Комментарий


                                        • Сообщение от Ar4i Посмотреть сообщение
                                          По какому принципу определять Контуры безопасности?
                                          Контур - это абстрактное понятие, а не сегментация сети.
                                          Поэтому, я выбираю по УЗ.
                                          672-П и 683-П пока требуют один и тот же УЗ - по этому для меня это один контур безопасности.

                                          Комментарий


                                          • Сообщение от dnebyshe Посмотреть сообщение
                                            Контур - это абстрактное понятие, а не сегментация сети. Поэтому, я выбираю по УЗ. 672-П и 683-П пока требуют один и тот же УЗ - по этому для меня это один контур безопасности.
                                            ок, это я понял, а по остальным вопросам не подскажешь?))

                                            Комментарий


                                            • Коллеги, кто нибудь уже начал предварительную оценку соответствия по 672-П и 683-П согласно ГОСТу?

                                              Комментарий


                                              • Мне аудитор говорит, делай сначало модель нарушителя-угроз. выбирай решения из пула ГОСТА, обовновуй их а потом только аудит.
                                                Делать в лоб, по перечисленным требованиям - не очень удачное решение.
                                                Вот я и думаю, а нужна ли эта модель? В классическом варианте бесспорно нужна, но для регионального банка. шо штатом ИБ 2 человека, как правильно построить такую мождель?

                                                Комментарий


                                                • Из ГОСТ я вижу что без полноценного DLP, SIEM, IDS, MDM, Change management и контроля виртуальной среды нам не обойтись, а это значит приобретение не только продуктов и серверов, а расширение штата ИБ. Другими словами создание полноценного SOCa в банка.

                                                  Возможно будет дешевле передать SOC на аутсорц. В зависимости от того, что будет выгодней, то и можно будет применить. Аутсорс - это определённые операционные расходы и всё, а своё подразделение - это капиталка плюс, опять же, операционные расходы на персонал с учётом его текучки, т.к. профессионалов тут держать дорого, а остальные - подрос и убежал дальше.

                                                  Думаю, что наиболее правильным вариантом будет комплексный подход: аудитор проводит GAP-анализ (диагностический аудит) по ГОСТ 57580, подготавливает план приведения в соответствие, мы его реализуете (аудиторы окажут консультации), потом окончательный аудит и составление отчёта.
                                                  В процессе предаудита аудитору надо постаратся минимизировать область действия, а именно обосновать исключение каких-либо мер защиты либо применение компенсационных мер.

                                                  В общем опять платить.

                                                  Комментарий


                                                  • Сообщение от dnebyshe Посмотреть сообщение
                                                    Мне аудитор говорит, делай сначало модель нарушителя-угроз
                                                    Купите ее у аудитора - он же "сертифицированный" Когда штат ИБ 2 человека сидеть писать какие-то абстрактные модели явно времени не будет.

                                                    Сообщение от dnebyshe Посмотреть сообщение
                                                    выбирай решения из пула ГОСТА, обовновуй их а потом только аудит.
                                                    Вроде сам аудитор этим и должен заниматься в ходе работы (с вашим участием).

                                                    Сообщение от dnebyshe Посмотреть сообщение
                                                    Думаю, что наиболее правильным вариантом будет комплексный подход: аудитор проводит GAP-анализ (диагностический аудит) по ГОСТ 57580, подготавливает план приведения в соответствие, мы его реализуете (аудиторы окажут консультации), потом окончательный аудит и составление отчёта.
                                                    Мы так и "заказываем" (предварительная оценка -> рекомендации -> итоговая оценка).

                                                    Комментарий


                                                    • Сообщение от Александр Четвертый Посмотреть сообщение

                                                      Мы так и "заказываем" (предварительная оценка -> рекомендации -> итоговая оценка).
                                                      Какая компания делает вам аудит?

                                                      Комментарий


                                                      • Сообщение от roma Посмотреть сообщение
                                                        Какая компания делает вам аудит?
                                                        Любая с лицензией на ТЗКИ, а еще лучше чтобы они не приезжали вообще, а делали все удаленно.

                                                        Комментарий

                                                        Обработка...
                                                        X