18 февраля, понедельник 21:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Zuz Посмотреть сообщение
    2. Раздел 9 оферты РТК чётко разделяет стороны на равнозначных операторов ПДн, что несколько ломает конструкцию поручения.
    вовсе нет, как раз наоборот пункт не противоречит.
    Сообщение от Zuz Посмотреть сообщение
    А он будет просить по ГОСТ, это очевидно уже. И как проверь будут решать сами аудиторы, они отвечают лицензией, будут делать как скажут в ЦБ (кто-то может письмо напишет, получит разъяснения).
    Мне не очевидно, в скором времени вероятно, но сейчас нет ссылки на применение этого ГОСТ.
    Какие аудиторы и с какой лицензией и перед кем отвечают? Речь про то, что ЦБ либо будет ходить делать проверки и штрафовать либо забьет "болт" как это было ранее (прежде всего на счет СКЗИ).



    Комментарий


    • Сообщение от Массаракш Посмотреть сообщение
      Напомните, по-моему, в рамках регистрации БО в ЕБС учетка в ЕСИА создается клиенту только конкретно для данной задачи- регистрации БО в ЕБС. Если клиент, потом захочет с этой учеткой работать на портале Госуслуг, ему нужно еще какие-то мероприятии проделать.
      Если у клиента нет УЗ на Госуслугах в статусе "подтверждённая", то ему создаётся подтверждённая учетная запись (выполняется подтверждение для "упрощенной" или "стандартной" или создаётся целиком новая, если вообще не было), это обычная УЗ Госуслуг, то есть клиенту потом доступны все услуги, которые портал предоставляет для УЗ в статусе "подтверждённая". Выполняется это при помощи взаимодействия с обычными сервисами ЕСИА в СМЭВ 3.

      Комментарий


      • Сообщение от Cpx Посмотреть сообщение
        вовсе нет, как раз наоборот пункт не противоречит.
        По тексту чётко звучит отдельная информационная система у банка, установлено, что банк должен выполнять требования регламента ЕБС, и банк чётко выделяется в отдельного оператора ПДн. Понятно, что и в этом случае может быть поручение, но такой случай не интересен. Интересен случай, когда обработка ведётся по поручению РТК и он чисто обработчик ПДн, а так банк обязан сам всё делать (как полноценный оператор ПДн и сопровождать "свою ИСПДн" ждя сбора) + ещё и требования РТК выполнять иначе ему доступ заблокируют.
        Нет нигде понятия "компоненты ГИС ЕБС, которые принадлежат банкам", есть всякие конструкции типа "Информационная система Участника БВ", "Поставщик БДн". Вот если бы было где-то это определено... В общем ваша позиция ясна, но проверяющие будут "компоненты ГИС ЕБС, которые принадлежат банкам" считаьть отдельной ИСПДн. (

        Сообщение от Cpx Посмотреть сообщение
        Какие аудиторы и с какой лицензией и перед кем отвечают? Речь про то, что ЦБ либо будет ходить делать проверки и штрафовать либо забьет "болт" как это было ранее (прежде всего на счет СКЗИ).
        Аудит по ГОСТ будет обязательным. В состав аудита по ГОСТ входят отдельные контуры типа ЕБС (приказ 321), АРМ КБР (см. проект 552-П), не пройдя аудит по каждому контуру общую оценку не получить. ЦБ будет запрашивать результаты аудита как это оно сейчас делает по 382-П.
        ЦБ будет требовать привести в соответствие как это сейчас происходит для 382-П. Если не будут выполняться предписания будут штрафы.
        Как заработает новое указание по операционным рискам всё это ещё как-то будет влиять на создание резервов по капиталу, но это не точно. )
        Последний раз редактировалось Zuz; 08.02.2019, 11:14.

        Комментарий


        • Такой вот вопрос:

          В оферте на сбор:
          5.1. Исполнитель обязан обеспечить взаимодействие ИС Исполнителя с ЕБС согласно требованиям, указанным в Регламенте.
          5.7. Заказчик имеет право приостановить Исполнителю предоставление удаленного доступа к ЕБС в случаях:
          а) невыполнения Исполнителем положений Регламента;


          В регламенте использования ЕБС:
          Закупка и настройка средств криптографической защиты HSM класса КВ2
          Необходимо направить в техническую поддержку ЕБС копию гарантийного письма в адрес лицензиата ФСБ РФ или скан-копию предписанного договора о закупке оборудования у лицензиата ФСБ РФ.


          Если не выполнять регламент РТК отключит вас от системы.
          Т.е. сейчас все банки могут быть отключены ("вставание" не обеспечено ни у кого, пока никто об этом не заявлял), ладно.
          А вот, что делать тем кто клиенты ЦФТ к примеру? Они, что тоже должны купить HSM? Или РТК сразу говорит, что HSM в облаке не будет и таких ждёт отключение? )
          Последний раз редактировалось Zuz; 08.02.2019, 11:32.

          Комментарий


          • Сообщение от Zuz Посмотреть сообщение
            ...., но проверяющие будут "компоненты ГИС ЕБС, которые принадлежат банкам" считаьть отдельной ИСПДн. (
            Не очень понятна на основании чего, и откуда такая уверенность в позиции проверяющих.

            Сообщение от Zuz Посмотреть сообщение
            ....Аудит по ГОСТ будет обязательным. В состав аудита по ГОСТ входят отдельные контуры типа ЕБС (приказ 321), АРМ КБР (см. проект 552-П), ...
            В целом, аудит по ГОСТ, вроде как, планировалось (соответствующее положение, пока еще на согласовании) сделать обязательным для банков каждые 2 года (для сегмента ЕБС, по 321 приказу - ежегодно), и не факт, что все поголовно банки будут обязаны этот аудит проходить. Например, для небанковских финансовых организаций, у ЦБ были планы по проведению аудита только для значимых фин организаций, а остальных ЦБ планировал проверять, вроде как, самостоятельно.


            Комментарий


            • Сообщение от Zuz Посмотреть сообщение
              общую оценку не получить. ЦБ будет запрашивать результаты аудита как это оно сейчас делает по 382-П.
              ЦБ будет требовать привести в соответствие как это сейчас происходит для 382-П. Если не будут выполняться предписания будут штрафы.
              BTW красивый "паучок" по 382-П:
              Нажмите на изображение для увеличения.·  Название:	382-П карта.jpg· Просмотров:	2· Размер:	345.3 Кб· ID:	4873967
              WBR, Александр Турчин

              Комментарий


              • Сообщение от Zuz Посмотреть сообщение
                В общем ваша позиция ясна, но проверяющие будут "компоненты ГИС ЕБС, которые принадлежат банкам" считаьть отдельной ИСПДн. (
                я не понимаю, откуда такая информация? Пока деюре не задекларировано, проверяющие вправе считать как угодно, но требовать и штрафовать они не смогут.
                Также вопрос - а кто такие проверяющие? На основании 149-Фз по вопросам защите в рамках ГИС ЕБС - это ЦБ, но не по вопросам определения оператора ПДн на "эти компоненты", т.к. это "будет" простая ИСПДн и на нее распространяются требования ФСТЭК, ФСБ в обычном виде. А еще же у нас есть РКН, который будут проверять эту законность обработки, передачи, поручение и явная проблема с целями и хранением этих Пдн в банке, как и статус оператора компоненты ИСПДн.
                Мне кажется, при все желании РТ сделать банки "операторами" идея не жизнеспособная...

                Комментарий


                • Опять же btw пример разумной и полезной реализации биометрии (распознавание лица) в сочетании с AI. Demo from YunPeng, a Chinese AI automated canteen solution vendor. The machine recognizes both the customer's face & the food on their tray before facilitating the payment. И никаких вам этих КВ2 там, думается мне, нет...
                  WBR, Александр Турчин

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    А вот, что делать тем кто клиенты ЦФТ к примеру? Они, что тоже должны купить HSM? Или РТК сразу говорит, что HSM в облаке не будет и таких ждёт отключение? )
                    У ЦФТ в планах разные варианты типового решения для ЕБС:
                    - до конца февраля 2019 ЦФТ планирует согласовать с ФСБ как облачное решение, так и типовое решение для регистрации БДн в ЕБС
                    - до конца августа 2019 ЦФТ планирует получить подтверждение ФСБ о корректности встраивания как по облачному решению, так и по типовому решению для удаленной идентификации в ЕБС.
                    Но облачное решение может быть только несколько дешевле для банка, т.к. сервер БД и сервер приложения можно будет аутсортить у ЦФТ, либо значительнее дешевле (регуляторы в лице ЦБ и ФСБ должны решить допустимость такой реализации), если еще HSM аутсортить у ЦФТ (но этот вариант вряд ли будет согласован регуляторами).

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение

                      Типовая схема РТК:
                      АРМ Сбора посылает HTTPS запрос (КриптоПро КС2) через VPN туннель (S-terra VPN клиент / КС1 ) -> (S-terra шлюз / КС3) -> ЦОД РТК (RS-Connect). Далее несколко упрощая пакет с биометрией идёт обратно в банк из ЦОДа РТК (через канал на базе S-terra / КС3), подписывается в банковском HSM (там целый контур безопансости стомость с HSM порядка 8 млн.), а потом обратно в ЦОД РТК, но уже через канал VipNet (что для СМЭВ).
                      И заметьте мы дважды передали данные с биометрией через Интернет, но почему то не нужно КВ2 было для целсотности (КС3 было достаточно на урвоне имитовставки в протоколе IPSec), а вот когда уже в ЕБС отпраивли, там стало нужно КВ2.
                      Очевидный вывод: решение не сбалансированное, и оно будет согасовано сами знаете где и его купят и будут использовать в банках.
                      Если у РТК такая кривая схема в ПО - это его проблема разработчика.
                      Передача в нормальной схеме согласно ТЗ:
                      АРМ СБора ЕБС - канал КС2/КС3 - сервер формирования пакета - Сервер подписи (с HSM) - сервер формирования пакета - шлюз СМЭВ 3 - СМЭВ - База ЕБС

                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        Я трактую как раз в год с даты введения "вашей ИСПДн" в эксплуатацию. Самый строгий срок с даты вступления в силу 321 приказа + 1 год.
                        До момента ввода в промышленную эксплуатацию. т.е. до момента первого снятия биообраза

                        Комментарий


                        • Сообщение от Cpx Посмотреть сообщение
                          это какой? Та мысль, что помимо ГИС ЕБС, есть еще иная ИС? При этом в этой иной ИС запрещается хранение ПДн и у банка нет основания по ее созданию.
                          Вам не кажется, что также под ИСПДн можно подвести все системы: сдачи отчености в гос органы, клиент банк (для юр лиц), СМЭВ, ЕСИА и др, которыми операторы не владеют? Я бы не делал лишние ИСПДн, есть ГИС ЕБС, иные ИС по факту компоненты ГИС ЕБС, которые принадлежат банкам. Надо в это сторону уходить...
                          ЕБС не является ГИС - это официальный ответ ФСТЭК России.

                          Комментарий


                          • Сообщение от Dmitry Leviev Посмотреть сообщение
                            ЕБС не является ГИС - это официальный ответ ФСТЭК России.
                            Вы сейчас пошутили? 149-ФЗ перечитайте внимательно и кто такой ФСТЭК чтобы утверждать ГИС или не ГИС?
                            Вы перечислите для начала критерии отнесения к ГИС, а потом продолжим разговор...

                            Комментарий


                            • Сообщение от Cpx Посмотреть сообщение
                              .....Мне кажется, при все желании РТ сделать банки "операторами" идея не жизнеспособная...
                              В принципе, любой банк и так ОПДн, а делиться своими лаврами с каждым банком, Ростелик точно не собирается...

                              И, кроме того, что-то мне кажется, что Вы углубляетесь в ту область, на которую регуляторы уже забили - https://emeliyannikov.blogspot.com/2018/11/ix-2.html
                              А. Сычев (Банк России)
                              Кредитно-финансовое учреждение может самостоятельно определять, относить ли конкретную информационную систему банка к ИСПДн или нет.
                              Ю. Контемиров прокомментировал, что вопросы отнесения или неотнесения к ИСПДн конкретных систем Роскомнадзор не проверяет.
                              Последний раз редактировалось saches; 08.02.2019, 16:11.

                              Комментарий


                              • Сообщение от Estekhin Посмотреть сообщение
                                У ЦФТ в планах .......
                                Помнится, у Ростелика в планах было провести оценку влияния то ли за 1 или 2 месяца в октябре-ноябре, а до сих пор ТЗ не согласовали.
                                Прежде, чем проводить контроль встраивания для облачного решения, нужно HSM сертифицировать на КВ при использовании в облаке, а пока он тянет только на КС1-КС3.

                                Сообщение от Estekhin Посмотреть сообщение
                                .....облачное решение может быть только несколько дешевле для банка, т.к. сервер БД и сервер приложения можно будет аутсортить у ЦФТ, ......
                                Что дешевле, это да....Но вот интересно, как реагируют и будут реагировать всяческие проверяющие по 152-ФЗ на аутсорсинговые решения ЦФТ в части АБС и прочего, связанного с обработкой ПДн клиентов?
                                Последний раз редактировалось saches; 08.02.2019, 16:19.

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение
                                  .......Вы перечислите для начала критерии отнесения к ГИС, а потом продолжим разговор...
                                  Я бы так не горячился. http://forum.npsib.org/viewtopic.php?id=1716
                                  Возможно, какая-то неопределенность в этом вопросе и имеется, но думаю, что если бы ЕБС, изначально, все считали бы за ГИС, нормативные требования были бы совсем другие, включая, например, необходимость аттестации лицензиатом ФСТЭК. Так что, если не считается ГИС, то и спасибо регуляторам на этом....

                                  Комментарий


                                  • Сообщение от Dmitry Leviev Посмотреть сообщение
                                    До момента ввода в промышленную эксплуатацию. т.е. до момента первого снятия биообраза
                                    А это исходя из каких именно требований? Или всё гаечки закручивате, Дмитрий Олегович?
                                    Да и как проводить аудит до..., если на рынке нет ни одного решения, соответствующего требованиям действующей нормативки?
                                    Это ж сплошная подстава получается, что для банков, что для аудиторов....
                                    Последний раз редактировалось saches; 08.02.2019, 16:31.

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      Я бы так не горячился. http://forum.npsib.org/viewtopic.php?id=1716
                                      не нужно путать термины и понятия! Также и выдерать, что-то из контекста - там речь про аттестацию "АРМ или сегмента некой ИСПДн Банка, которая отсылает в ГИС ЕБС". Да и пруфа нет - скан письма, соотв. на заборе много чего написано....
                                      Там речь про "По вопросу обязательности проведения аттестационных мероприятий автоматизированных рабочих мест для размещения в единой биометрической системе сообщаем следующее.", а не про ГИС ЕБС.
                                      ГИС ЕСБ является ГИС, перечитайте и выучите ст. 14 и 14.1 149-ФЗ!!! А также ПП555

                                      Комментарий


                                      • Сообщение от Cpx Посмотреть сообщение
                                        Пока деюре не задекларировано, проверяющие вправе считать как угодно, но требовать и штрафовать они не смогут.
                                        Сообщение от saches Посмотреть сообщение
                                        Не очень понятна на основании чего, и откуда такая уверенность в позиции проверяющих.
                                        Ну, интересовался у дружественных аудиторов (те кто когда-то будет по ГОСТ проводить внешний аудит). Есть личный опыт прохождения проверок ЦБ по СТО БР ИББС в части ПДн (некоторое субъективное понимание того, как думают проверяющие).
                                        Касательно требовать могут, просто пишут в акт проверки и всё, дальше только план устранения, без вариантов, тратить ресурсы на суды и прочие варианты не имеет практического смысла. Не выполнили предписание штраф. Работает как часы эта система.


                                        Предполагаемая логика пока такая: это отдельная информационная система? - да, ПДн обрабатывает ? - да, система ваша - да => это "ваша ИСПДн". Пока ищем аргументы против. Из основных, что сами данные не у нас хранятся, у нас только обработка, а базы данных нет, база в ЕБС.
                                        Тут напрашивается вопрос, если у нас не ИСПДн, то почему мы защищаем эту систему как ИСПДн? Так то 378 приказ ФСБ про ИСПДн и указание 4859-У тоже. Зачем не к ИСПДн применять требования для ИСПДн? )))
                                        4859-У вообще шедевр, особенно пункт, где для угрозы ограничиваются способы её реализации через применение средств защиты от НДС (сертифицированных по определённому классу) при сборе биометрии.
                                        Кстати, в данном указании говорят о передаче данных между банком и ЕСБ. Вот реально: между организацией и системой?!! Тут нужно было говорить тогда между организациями (банками и пр.) и оператором ЕБС или всё же об передаче между компонентами ЕБС (частями ЕСБ, что постоят банки) или отдельными ИСПДн.

                                        Вот ещё из 152-ФЗ: "5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.", т.е. 4859-У - это чётко про ИСПДн.

                                        Остаётся единственный вариант, что информационные системы банков и других организаций, применяемые для передачи и получения данных из ЕБС - это часть ГИС ЕБС. [ну или просто ЕБС, если почему-то оно не ГИС]
                                        Но нужны аргументы. Почему тогда не применяются к ним требования для как для ГИС, а только как для ИСПДн? Или это пока не применяются, потом вспомнят? [нашёл ниже комментарии, но править уже лень]

                                        Кстати, сами угрозы в 4859-У, дополненные через возможности злоумышленника ещё более странно выглядят (в 378 приказе такие возможности трактуются как способы к подготовке атак, т.е. способы реализации угрозы). Если есть угроза нарушения целостности (уже актуальная, так определили) при чём тут те или иные возможности злоумышленника из 378 приказа? 152-ФЗ требует определять перечень актуальных угроз, а не возможности злоумышленника (или способы реализации атаки) и тем более классы СКЗИ, применяемые для "нейтрализации атак". В теории оператор ПДн в своей ИСПДн может определять меры по защите (если он хочет применять СКЗИ, то может руководствоваться 378 приказом).
                                        Вот тут интересный момент, банки это сделать сами не могут, им РКТ диктует HSM и всё => банк не Оператор ПДн и у него нет своей ИСПДн раз он не может ни цели определить, ни выбрать соразмерно целям средства защиты. Так? )))

                                        Сообщение от Estekhin Посмотреть сообщение
                                        либо значительнее дешевле (регуляторы в лице ЦБ и ФСБ должны решить допустимость такой реализации), если еще HSM аутсортить у ЦФТ (но этот вариант вряд ли будет согласован регуляторами).
                                        Если не будет то это мрак, тратить порядка 8 млн. на реализацию подписи по КВ2 (требования которой формально ничем не обоснованы, даже в 4859-У нет прямых указаний на классы, чтобы нам интеграторы не говорили).
                                        HSM как раз нужен для облачной схемы, именно там нужно как-то хранить ключи разных субъектов, вот для этого и нужны HSM.

                                        Сообщение от Dmitry Leviev Посмотреть сообщение
                                        Если у РТК такая кривая схема в ПО - это его проблема разработчика.
                                        Какого разработчика? У РТК две схемы: есть облачная и нет. По "облачной" (которая фактически колокейшен) я показал, что данные два раза гоняются через Интернет, но КВ2 там не нужно и, вдруг, когда их нужно уже передать в ЕБС (когда они у РТК уже в его же ЦОДе уже были) требуется КВ2 чтобы передать "в стойку рядом", где сервера ЕБС. )))

                                        Сообщение от Dmitry Leviev Посмотреть сообщение
                                        Передача в нормальной схеме согласно ТЗ:
                                        А чем это нормальная схема? Вокруг HSM и сервера подписи видели какая обвязка выстраивается и её стоимость?

                                        Напомню для чего нужен КВ, а то уже схемы стали нормальные (готовы "нормально" бизнесу объяснить зачем им выкладывать десяток миллионов? что они от этого получат?):
                                        а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;
                                        б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;
                                        в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ


                                        Сообщение от saches Посмотреть сообщение
                                        а до сих пор ТЗ не согласовали.
                                        Но уже есть КП на "типовое решение" и в целом можно купить и внедрить. )))

                                        Сообщение от Dmitry Leviev Посмотреть сообщение
                                        ЕБС не является ГИС - это официальный ответ ФСТЭК России.
                                        Интересно, не дочитал пока ответ писал, есть ссылка?

                                        Сообщение от saches Посмотреть сообщение
                                        Я бы так не горячился. http://forum.npsib.org/viewtopic.php?id=1716
                                        Спасибо, но там нет конкретики. Типа в актах не содержится про аттестацию. А тут вопрос прямой ГИС или нет. )

                                        Сообщение от Cpx Посмотреть сообщение
                                        Там речь про "По вопросу обязательности проведения аттестационных мероприятий автоматизированных рабочих мест для размещения в единой биометрической системе сообщаем следующее.", а не про ГИС ЕБС.
                                        Так всё же ИС банков (включая АРМы сбора на местах) часть ГИС или нет. По этой реплике выходит, что нет...

                                        Сообщение от Dmitry Leviev Посмотреть сообщение
                                        До момента ввода в промышленную эксплуатацию. т.е. до момента первого снятия биообраза
                                        Что именно до момента ввода? Провести внешний аудит? Таких требований явно не установлено. Реализовать сами требования, да, нужно до указанного вами момента. Но никто не реализовал все и работают как-то.
                                        Последний раз редактировалось Zuz; 08.02.2019, 23:00.

                                        Комментарий


                                        • Ну, можно сказать, что тут нет ИСПДн. Вот просто нет её и всё. Потому что то что есть не соответствует определению ИСПДн. А как данные в ЕБС тогда попадают? Так это не автоматизированная обработка в терминах российского законодательства. Было же уже такое (правда, давно), что доказали в суде, что обработка ПДн в 1С это не автоматизиоварованная обработка. Так и здесь.

                                          Проблема только в том, что если ЦБ захочет прийти с проверкой, то им это доказывать будет бесполезно. Хочешь пиши пояснения, хочешь запросы в голову шли - проверяющий напишет в акте замечание просто потому, что в его методичке будет написано, что ИСПДн должна быть. И придётся идти всё исправлять.

                                          Комментарий


                                          • Сообщение от Александр_Турчин Посмотреть сообщение
                                            BTW красивый "паучок" по 382-П:
                                            Нажмите на изображение для увеличения.· Название:	382-П карта.jpg· Просмотров:	2· Размер:	345.3 Кб· ID:	4873967
                                            Александр, что значат на схеме цифры в верхнем правом углу?

                                            Комментарий


                                            • Коллеги, ламерский вопрос... У кого уже настроено какое-либо решение - ответы на простейший запрос Поиска учетной записи в ЕСИА - приходят от ЕСИА?
                                              У нас с 7 февраля - только квитанции о постановке в очередь, а ответов нет.
                                              Вопрос в поддержке СМЭВ - пока в обработке, поставщик интеграционного решения ссылается на проблемы со СМЭВ 3.0.
                                              Они у всех присутствуют? И так же долго?

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                ИС банков (включая АРМы сбора на местах) часть ГИС или нет
                                                Правильно все выше написали, согласен.
                                                Действительно 4859-У написан о очень странно и противоречит требованиям ФСБ и 152-ФЗ (что оператор сам устанавливает актуальные угорозы и на основании их защищает систему). Видимо тут придеться его рассматривать только для подписи кв2 и защиты каналов до ГИС, по остальным вопросам говорить. что биометрии нет и мы руководствуемся обычными требованиями по ПДн.
                                                Сообщение от Berckut Посмотреть сообщение
                                                Ну, можно сказать, что тут нет ИСПДн
                                                Тут есть варианты:
                                                1. это не ИСПДн, т.к. это ГИС ЕБС обрабатывающая ПДн оператор который РТ.
                                                2. это ИС/ИСПДн/ГИС банка, которая взаимодействует и создана для сбора и отправки в ГИС ЕБС
                                                В вариантах 1-2 банк оператор ИС/ИСПДн, но не оператор ПДн! Считай, что банк это ЦОД, который владеет железом, ПО и оказывает услуги по обработке согласно 149ФЗ и оферте. Защищать ПДн должен оператор ПДн/ГИС - РТ. А РТ требования не выдал и более того пытается сделать это отдельной системой.
                                                3. Как многие тут предлагают, заявлять как ИСПДн Банка и оператор ПДн банка. деюре не соотв. 152ФЗ и не понятна реакция РКН.

                                                Комментарий


                                                • Сообщение от Cpx Посмотреть сообщение
                                                  .....это ........ГИС банка........банк оператор ИС/ИСПДн, но не оператор ПДн! Считай, что банк это ЦОД, который владеет железом, ПО и оказывает услуги по обработке согласно 149ФЗ и оферте.....
                                                  И готовтесь банки еще получать и лицензии на ТЗКИ, на услуги связи и т.д., примерно как у https://www.dtln.ru/kompaniya/litsenzii#license-847.
                                                  А на основании чего тогда банк ПДн клиентов обрабатывает?
                                                  Просто нормальный такой поток сознания!! Слегка напоминает один из анек-ов совковых времен, про Вовочку и учительницу математики....
                                                  Может назовете компанию, где трудитесь? Столько времени сэкономите на поиск аудитора.
                                                  Последний раз редактировалось saches; 11.02.2019, 13:31.

                                                  Комментарий


                                                  • Мне тут интересную мысль подкинули: отдать защиту каналов для сегмента ЕБС на аутсорсинг.
                                                    То есть, пусть между офисами используется любая, даже вообще несертифицированная криптография. В рамках общей сети банка нам надо сделать территорильно распределённый сегмент сети ЕБС, где каналы связи между отдельными участками этого сегмента будут шифроваться по КС3. Так вот защиту каналов этого сегмента и предлагается отдать на аутсорс.

                                                    В чём выгода? Например, если строить такую сеть на решении Инфотекса из затрат банка уйдут:
                                                    - ПО Администратор сети - 150 тыс.
                                                    - Координаторы HW100 - 130 тыс помноженное на коилчество офисов (можно сделать поставить ViPNet Client)
                                                    - УЦ - 1,5 млн.
                                                    Конечно, добавится сумма за аутсорс, но она не соизмерима с этими затратами.

                                                    Что думаете, товарищи?

                                                    Комментарий


                                                    • Сообщение от Berckut Посмотреть сообщение
                                                      Мне тут интересную мысль подкинули: отдать защиту каналов для сегмента ЕБС на аутсорсинг.
                                                      То есть, пусть между офисами используется любая, даже вообще несертифицированная криптография. В рамках общей сети банка нам надо сделать территорильно распределённый сегмент сети ЕБС, где каналы связи между отдельными участками этого сегмента будут шифроваться по КС3. Так вот защиту каналов этого сегмента и предлагается отдать на аутсорс.
                                                      КМК, абсолютно нормальная тема, которая, кстати изначально рекомендовалась при появлении 152-ФЗ, когда провайдер обеспечивает в соответствии с действующими требованиями конфиденциальность передаваемых ПДн, а банк в состоянии объяснить, что провайдер "не видит" передаваемые ПДн в открытом виде.
                                                      А если еще озаботится шифрованием всего трафика между головой и ДО, можно будет закрыть "хронически" не исполняемое требование ФСБ по защите ПДн при их передаче по и-нет. И, КМК, КС2 вполне достаточно.
                                                      Последний раз редактировалось saches; 11.02.2019, 15:48.

                                                      Комментарий


                                                      • Сообщение от Zuz Посмотреть сообщение
                                                        Касательно требовать могут, просто пишут в акт проверки и всё, дальше только план устранения, без вариантов, тратить ресурсы на суды и прочие варианты не имеет практического смысла. Не выполнили предписание штраф. Работает как часы эта система.....
                                                        В любом случае, пока не начнутся проверки, полной ясности не будет.

                                                        Сообщение от Zuz Посмотреть сообщение
                                                        ....Спасибо, но там нет конкретики. Типа в актах не содержится про аттестацию. А тут вопрос прямой ГИС или нет. ).....
                                                        Как по мне, из ответа ФСТЭК, вполне достаточно следующего -

                                                        Необходимость проведения аттестационных мероприятий в указанных нормативных правовых актах не установлена.
                                                        В соответствии со статьёй 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФСТЭК России осуществляет контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, .........., за исключением контроля и надзора за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании единой биометрической системы.

                                                        Т.е., с учетом данного письма (жаль конечно, что скана нет ) мне лично "по-барабану", попадает ли ЕБС под определение ГИС или нет. Моё мнение, что нет, ФСТЭК, похоже, считает так же, хотя согласен, что прямого указание на это нет, да никто об этом и не спрашивал.
                                                        А вот, например, ПС БР это ГИС?

                                                        Комментарий


                                                        • Сообщение от saches Посмотреть сообщение
                                                          готовтесь банки еще получать и лицензии на ТЗКИ
                                                          если бы внимательно погрузились в тему, то поняли:
                                                          что банкам в любом случае нужно получать лицензию ТКЗИ в соотв. с договором оферты от РТ, т.к .там есть обязанность по защите ПДн в соотв со статьей 19 152ФЗ и за сбор БО банк получает 100р!
                                                          Мало того, деюре в любом договоре где есть NDA и обязанность защищать КИ-КТ также нужно получать лицензию на ТКЗИ, т.к. это существенные условия договора, которые также необходимо обеспечить, пусть и не прямой вид деятельности или оплаты по договору. Сходите на консультации к юристам и не нужно раздувать слона, там где его нет.
                                                          Сообщение от saches Посмотреть сообщение
                                                          А на основании чего тогда банк ПДн клиентов обрабатывает?
                                                          своих клиентов согласно договору очевидно же и не понятен вопрос.

                                                          п.с. я не понимаю какой практический смысл/цели Ваших постов/ответов? Все вопросы или ответы оторваны от контекста и не связаны между собой. Вот товарищи в теме по сути пытаются разобраться в проблеме и выполнить "нелепые требования" минимальными усилиями и рисками.

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            Как по мне, из ответа ФСТЭК, вполне достаточно следующего -
                                                            Сообщение от saches Посмотреть сообщение
                                                            с учетом данного письма мне лично "по-барабану"
                                                            Это видно по Вашим постам, что проблема не Ваша и Вам все понятно и знаете Вы больше всех.
                                                            При этом письмо вообще не про то:
                                                            - ГИС ЕБС, а про "иные ИС", которые в банке в т.ч. АРМ сбора;
                                                            - обязательная аттестация установлена в приказе 17 для всех ГИС, которой и является ЕБС.
                                                            Посему Все сообщения с Вами дальше в игнор.

                                                            Комментарий


                                                            • Сообщение от Vsplesk Посмотреть сообщение
                                                              Александр, что значат на схеме цифры в верхнем правом углу?
                                                              Без понятия. Мопед не мой, взято отсюда
                                                              WBR, Александр Турчин

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X