20 июня, четверг 06:10
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от idelta Посмотреть сообщение
    Мой вывод пока такой : если срок владения >3 лет, то все (или почти все) "преимущества облачного решения" испаряются...
    В нормальном ИТ да, но не в области ИБ!
    Через 3 года у тебя протухнут всех сертификаты на СЗИ и СКЗИ и ты пойдёшь покупать их заново. Просто ради бумажки.

    Комментарий


    • Сообщение от idelta Посмотреть сообщение
      Estekhin.....Мой вывод пока такой : если срок владения >3 лет, то все (или почти все) "преимущества облачного решения" испаряются......
      В целом, этот факт вполне может быть определяющим при планировании затрат. Особенно с учетом того, что, например, у HSM от КриптоПро сертификат "кончается" в августе 2021-го.
      Возможно, конечно, что на какое-то время его продлят...
      ЗЫ:Пока писАл своё сообщение, не видел, что Berсkut уже ответил аналогичным образом...

      Комментарий


      • Сообщение от Airat_Kzn Посмотреть сообщение
        Такой вопрос: на какой версии Астра Линукс SE у вас работает (куплен / планируется закупаться) компьютер, на котором крутится (будет крутиться) модуль подписи?
        Просто во всех КП от разных вендоров фигурировала версия 1.5. Мы его закупили, начали работу с одним вендором, и тут они нам заявляют, что 1.5 уже не катит, надо пренепременно версию 1.6.
        вроде документы на 1.5 все живые
        там была какая-то загвоздка вроде с работой Соболя вместе с 1.6
        поэтому если планируете Соболь ставить на сервер с Астрой, сначала проконсультируйтесь с Кодом безопасности.
        ***Настроение бодрое, идем ко дну.

        Комментарий


        • Сообщение от Estekhin Посмотреть сообщение
          на рабочих местах операторов банка устанавливается клиентское приложение АРМ "Биометрия front-end" и эти АРМы надо администрировать банку
          Так за счёт чего в итоге снижение затрат на администрирование?

          Комментарий


          • Сообщение от ost Посмотреть сообщение
            Так за счёт чего в итоге снижение затрат на администрирование?
            Так мы и пытаемся это понять... пока факт передачи модуля криптографии в облако (включая HSM) нивелируется единоразовым платежом за подключение к облаку - ЦФТ обозначил сумму ~2 млн.руб. ("заметьте, не я это предложил...")

            Комментарий


            • Сообщение от ost Посмотреть сообщение

              Так за счёт чего в итоге снижение затрат на администрирование?
              Не надо администрировать и обслуживать:
              - HSM;
              - Сервер с Астрой;
              - Сервер СУБД и ПО, где ведётся вся обарботка.
              Администрирование это же не только пользователя завести или ключи выпустить. Надо обновления накатывать, системное ПО обслуживать, да даже банально кучу актов нарисовать на все эти компы. Т.е. люди нужны. Да ещё и обученные люди.

              Комментарий


              • Сообщение от Estekhin Посмотреть сообщение
                нивелируется единоразовым платежом за подключение к облаку - ЦФТ обозначил сумму ~2 млн.руб
                Считайте внимательнее:
                1. Вам нужно 2 шт. HSM. Ваше оборудование должно быть готово к работе, каждый день нужно его проверять (см. недавние рекомендации ЦБ).
                2. Срок действия сертификата соответствия на HSM КриптоПро 2021 год, даже, если его продлят ещё на 2, то максимум 4 года срок эксплуатации решения (чуть больше, если вы уже купили), потом снова два новых HSM покупать (это я не считал ещё стоимости продления обвязки, там всё тоже сертифицированное).
                3. То, что у ЦФТ дорого бесспорно, но альтернативные варианты ещё дороже (чем, наверное, ЦФТ пользуется, бизнес же):

                Типовое решение по Информационной безопасности, для организации процесса подписания на СКЗИ КВ2. Интеграция под Ключ с полным гарантийным обслуживанием.
                Конфигурация «Регистрация», без HSM, без резервирования
                Наименование модуля Количество Наименование
                Сервер размещения 1 Сервер на базе DEPO Storm 1480V2 Intel Xeon E5-2640 v4 [10-core, 2.4GHz, 25Mb, 8.0GT/s, 2133MHz] 128GB: 4 x 32GB DDR4 ECC REG UP, C612, 8DIMM, 10xSATA3, 2 PCI-E 3.0 x8, 2 PCIE 3.0 x8 (in16), 2 PCIE 3.0 x4 (in x8) or 1 x8 + 1 x0, 1 PCI-E 2.0 x4 (in x8), 2GLAN i210, 4USB, VGA, COM, IPMI 2.0 & iKVM с выделенным портом Интегрированный IPMI 2.0 + KVM-over-LAN с выделенным портом Сдвоенный блок питания 740W (2x740W) с избыточностью и горячей заменой 1 x 240GB SATA SSD 2 x 900GB SAS hard drive (10000rpm) 2.5" w/bracket 3.5" Adaptec 8805E [8-port SAS3, 512Mb, RAID 0, 1, 10] Комплект рельс quick/quick, регулируемая длина 673мм ~ 924мм
                HSM 0 Не входит в данный комплект
                ОС Astra Linux 1 РУСБ.10015-01 ОС СН Astra Linux Special Edition РУСБ.10015-01 (релиз Смоленск) (ФСТЭК)
                АПМДЗ 1 kb-sobol 3.1 k54 v1-SP1Y Программно-аппаратный комплекс "Соболь". Версия 3.1, Mini PCI-Е Half Size. Исполнение 1 + ID-Rutoken
                Межсетевой экран 1 HSEC-3.7-IPC500-CM-KC3-SP1Y ЦУС АПКШ "Континент" 3.7. 6x1000BASE-T. Сертификация: ФСТЭК (МЭ А3, СОВ3), ФСБ (КС3, МСЭ4).
                Коммутатор 1 Huawei S5720S-28P-LI-AC Управляемый коммутатор 2-го уровня, 24 x Ethernet 10/100/1000 Base-T, 4x SFP 1 Гбит/с, коммутационная матрица 336 Гбит/с, производительность: 51 Мбит/с, Web-интерфейс, SNMP, 16K MAC-адресов
                АРМ администратора 1 Системный блок Корпус Mini Tower InWin EMR-001 Black/Silver 500W / ASUS H110M-K / CPU Intel Core i5 7500 (3.4GHz) / 2 х Модуль памяти Kingston Branded DDR4 4GB / Kingston SSD 240 GB / Win Pro 10 64Bit/ Комплект Клавиатуры + мышь + Монитор 24"
                Система обнаружения вторжений 1 Программно-аппаратный комплекс «Тор» версии 1.0.1
                Антивирус 1 Программное антивирусное средство «Dr.Web Server Security Suite (для Unix) версия 11»
                TLS Шлюз 0 Не входит в данный комплект
                Работы внедрение (без командировочных) 1 Монтажные работы. Настройка оборудования и ПО (сервер, ОС "AstraLinux", АПМДЗ "Соболь", МЭ "АПКШ "Континент", СОВ "Тор", Антивирус DrWeb). Настройка сетевого оборудования для для коммуникации системы с локальной сетью объекта
                Разработка документации 1 Разработка проектной документации
                СПО для подписания 1 Специальное программное обеспечение для обеспечения криптографических операций в процессах регистрации и верификации
                Вендорская техподдержка ПО 1 Техническая поддержка на ОС Astra Linux; Техническая поддержка на АВЗ
                Вендорская техподдержка на аппаратные средства 1 Техническая поддержки на сервер Depo Storm 1480V2; Ключ активации сервиса прямой технической поддержки уровня "Расширенный" для АПКШ "Континент" IPC-1000 Ключ активации сервиса прямой технической поддержки уровня "Расширенный" для ЦУС АПКШ "Континент" IPC-100 Техническая поддержка на СОВ Техническая поддержка на АПМДЗ
                Техподдержка интегратора на Типовое решение 1 Техническая поддержка системного интегратора на ПАК "Типовое решение по ИБ"
                Стоимость, руб. 5 589 130

                Комментарий


                • Думаю, такой конфиг сервера нужен разве что топовым банкам.... Боюсь представить его цену.

                  Для небольшого банка, где будут единичные случаи съёма биометрии, наверно достаточен будет конфиг из АРМ Администратора?

                  Комментарий


                  • Сообщение от Airat_Kzn Посмотреть сообщение
                    Боюсь представить его цену.
                    Там ниже выделено красным даже. Это цена на единственное согласованное типовое решение для работы в режиме регистрации биометрии в минимальной комплектации без самого HSM.
                    По отдельности не продаётся, конфигурация не меняется и не адаптируется под размер банка.

                    Сообщение от Airat_Kzn Посмотреть сообщение
                    наверно достаточен будет конфиг из АРМ Администратора?
                    Шутите?

                    Комментарий


                    • Сообщение от Berckut Посмотреть сообщение
                      Не надо администрировать и обслуживать:
                      - HSM;
                      - Сервер с Астрой;
                      - Сервер СУБД и ПО, где ведётся вся обарботка.
                      Администрирование это же не только пользователя завести или ключи выпустить. Надо обновления накатывать, системное ПО обслуживать, да даже банально кучу актов нарисовать на все эти компы. Т.е. люди нужны. Да ещё и обученные люди.
                      Не, не соглашусь, на это расходов практически не будет. Акты интегратор нарисует при внедрении.
                      А добавка одного ХСМ и пары серверов к уже существующему серверному парку погоды не делает, было 200 серверов, ну станет 202 или 204, с ХСМ та же история.

                      Комментарий


                      • А кто-ни будь оценивал риски, если не проводить работы по оценки влияния пр встраивании HSM в контур работы с ЕБС? Чем это может грозить?
                        Ведь с технический точки зрения там ничего сложного.
                        Много ли банков проводили работы по оценке влияния, когда выносили крипту из АРМ КБР и встраивали ее в АБС?


                        Комментарий


                        • Сообщение от Массаракш Посмотреть сообщение
                          А кто-ни будь оценивал риски, если не проводить работы по оценки влияния пр встраивании HSM в контур работы с ЕБС? Чем это может грозить?
                          Формально - неисполнение требований Регламента использования ЕБС, ГОСТ Р 57580.1/ПКЗ2005. Т.е. теоретически возможно отключение от ЕБС, замечание (?не прохождение?) ежегодного внешнего аудита по ГОСТ, административка по cт.13.12. КоАП.
                          Фактически, уже работающие с ЕБС банки необходимой выписки из заключения ФСБ [пока] не имеют. Ну, а что будет дальше, "будем наблюдать" (с). Аналогично, пока непонятно, как на это будет реагировать ФСБ, при возможной проверке банка-лицензиата,

                          Сообщение от Массаракш Посмотреть сообщение
                          Много ли банков проводили работы по оценке влияния, когда выносили крипту из АРМ КБР и встраивали ее в АБС?
                          Не слышал про таких...Владельцы ДБО с криптой - аналогично.
                          Последний раз редактировалось saches; 15.03.2019, 15:00.

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            Формально - неисполнение требований Регламента использования ЕБС, ГОСТ Р 57580.1/ПКЗ2005. Т.е. теоретически возможно отключение от ЕБС и/или административка по cт.13.12. Фактически, уже работающие с ЕБС банки необходимой выписки из заключения ФСБ [пока] не имеют. Ну, а что будет дальше, "будем наблюдать" (с).
                            +не исполнение требований формуляра на HSM - т..е использование не сертифиц СКЗИ.
                            Сообщение от Массаракш Посмотреть сообщение
                            Много ли банков проводили работы по оценке влияния, когда выносили крипту из АРМ КБР и встраивали ее в АБС?
                            в этом нет необходимости, она делается по желанию или требованию формуляра. И класс там КС1 или КС2. На класс выше КС3 нужно делать в любом случае.


                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              ЦФТ дорого бесспорно, но альтернативные варианты ещё дороже
                              А какая по Вашему должна быть адекватная цена за сервис "под ключ" в месяц (у четом стоимости всех лицензий и СЗИ)?
                              С учетом, того что решение обеспечивает выполнение и закрывает все требования регуляторов и метод рекомендаций? + огромные требования к отказоустойчивости, по факту все д.б. продублировано.
                              Мой расчет с учетом прямых и косвенных затрат выходит в ~300тр в месяц, если ниже то либо облачный провайдер не зарезервирует либо сэкономить на СрЗИ, аттестации или еще где нибудь...

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                Не, не соглашусь, на это расходов практически не будет.
                                Пример для RS-Connect: на каждый ЦО выделенный экземпляр приложения, пусть у вас 20 отделений, где будет установлено оборудование для сбора, это даст 20 новых tomcat (порядка 1 ГБ оперативки, ну можно на 512 настроить), +1 основной сервер приложений, который подписывает и прочие штуки для СП ЦО делает (да, сейчас переделывают ибо жесть как расточительно, но суть в том, что изначально так было). Представьте сколько работы по обновлению для банка со 100 отделениями! )))

                                Расходов не будет, если у вас персонал не заужен и не заметит новых серверов, ну и если внедрение под ключ. В общем тут возможны варианты.

                                Сообщение от Массаракш Посмотреть сообщение
                                А кто-ни будь оценивал риски, если не проводить работы по оценки влияния пр встраивании HSM в контур работы с ЕБС? Чем это может грозить?
                                До первой проверки ЦБ разве, что проблемами по линии ФСБ, вплоть до приостановления деятельности (в теории может быть административка, признание СКЗИ не сертифицированным, нарушение лицензионных требований к деятельности и т.п.). Вероятно, ещё Ростелеком может у вас потребовать подтверждение ибо в регламенте ЕБС есть требование, не дадите отключит вас пока не покажите, что есть.

                                Сообщение от Cpx Посмотреть сообщение
                                Мой расчет с учетом прямых и косвенных затрат выходит в ~300тр в месяц, если ниже то либо облачный провайдер не зарезервирует либо сэкономить на СрЗИ, аттестации или еще где нибудь...
                                За что именно? Могу говорить только за себя, в целом за всё (и облако и внутренние АРМ) приемлема нагрузка порядка 1 млн. ежегодно (за всё), и разовые затраты 2-3 млн. на период 5 лет.

                                Кстати, есть ещё потеря производственных помещений под размещение таких АРМ, ставить их где попало не хочется и не получится, отвлечение специалистов от основной деятельности, видео наблюдение, контроль доступа, инструктажи, контрольные мероприятия, куча затрат в общем.

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение
                                  +не исполнение требований формуляра на HSM - т..е использование не сертифиц СКЗИ.
                                  Исполнение требований формуляра, это и есть одно из требований ПКЗ2005.

                                  Сообщение от Cpx Посмотреть сообщение
                                  в этом нет необходимости, она делается по желанию или требованию формуляра. И класс там КС1 или КС2. На класс выше КС3 нужно делать в любом случае.
                                  Это не так с 15.11.2012, с момента отмены документа «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ 21.02.2008 N 149/54-144), требование которого было следующим -

                                  5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

                                  В настоящий момент, необходимость проведения оценки влияния, не зависит от класса СКЗИ и формализована в формуляре
                                  http://www.fsb.ru/fsb/science/single...searchart.html

                                  Последний раз редактировалось saches; 15.03.2019, 16:18.

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    Могу говорить только за себя, в целом за всё (и облако и внутренние АРМ) приемлема нагрузка порядка 1 млн. ежегодно (за всё), и разовые затраты 2-3 млн. на период 5 лет.
                                    Интересно, но АРМ не правильно добавлять в скоуп, т.к. не является частью сервиса и его в любом случае нужно защищать. Средняя стоимость - 10-25тр за 1 арм (НСД, антивир, СКЗИ). У кого то один АРМ, а у кого-то 100 и уже вышли за бюджет в 1 млн. А сервис чего-то стоить должен. Цена имхоо не совсем адекватная, а сколько есть в бюджете и не жалко?)

                                    Ведь стоимость складывается не только из Железа, СЗИ. СКЗИ, но и работы по (проектированию, внедрению, аттестации, контролю встраивания и/или типовые проекты, сопровождению), амортизация, люди (сетевики, инженеры ИБ), поддержка 24/7 первая-вторая линия ТП), обучение, и пр. мелочи...
                                    Также не стоит забывать, что облако снимает все риски:
                                    - связанные с изменениями требований и доп затрты, которые могут быть в связи с ними;
                                    - от регуляторов ЦБ, ФСБ, ФСТЭК, часть требований противоречат друг-другу, а некоторые и 152-ФЗ (из метод рекомендаций).

                                    Сообщение от Zuz Посмотреть сообщение
                                    Кстати, есть ещё потеря производственных помещений под размещение таких АРМ, ставить из где попало не хочется и не получится, отвлечение специалистов от основной деятельности, видео наблюдение, контроль доступа, инструктажи, контрольные мероприятия, куча затрат в общем.
                                    А зачем? Кто мешает использовать тот же арм оператора?
                                    Откуда такие дикие требования - это все и так есть в каждом банке.

                                    Комментарий


                                    • Сообщение от Cpx Посмотреть сообщение
                                      Ведь стоимость складывается не только из Железа, СЗИ.
                                      Да, это, очевидно. Я упустил момент, что приемлемая стоимость дана из расчёта на 7 ЦО.
                                      Возможно, я не своем понял ваши 300 т.р. в месяц, что именно в себя они включают?

                                      Сообщение от Cpx Посмотреть сообщение
                                      А зачем? Кто мешает использовать тот же арм оператора? Откуда такие дикие требования - это все и так есть в каждом банке.
                                      А что такое "АРМ оператора"? Обычное рабочее место операциониста? А как обеспечивать изоляцию контура?
                                      Требования есть в ГОСТ (раздел 7.2.3) и в банках они есть, но не в обычном оперзале, другое дело, что не все они обязательные (точнее зависят от категории банка, через которую определяется уровень ЗИ, и могут быть выполнены организационно или технически или быть вообще не обязательными).
                                      Последний раз редактировалось Zuz; 17.03.2019, 18:19.

                                      Комментарий


                                      • Сообщение от Массаракш Посмотреть сообщение
                                        А кто-ни будь оценивал риски, если не проводить работы по оценки влияния пр встраивании HSM в контур работы с ЕБС? Чем это может грозить?
                                        Ведь с технический точки зрения там ничего сложного.
                                        Много ли банков проводили работы по оценке влияния, когда выносили крипту из АРМ КБР и встраивали ее в АБС?
                                        Про это рано ещё говорить. Пока никого не успели отыметь, слишком маленький срок.
                                        У меня была административка за нечто подобное. При проверке ФСБ по лицензии СКЗИ нашли косяки с аттестованным рабочим местом. Выписали административку и 2000 рублей штрафа. Но обычно про это никому не напоминаю. Во-первых, сумма слишком маленькая для топов, во-вторых, административку вкатили мне, а не им - нарушение правил защиты (ст. 13.12 КоАП). В общем, не оценят они серьёзность момента.

                                        Комментарий


                                        • Сообщение от Zuz Посмотреть сообщение
                                          Да, это, очевидно. Я упустил момент, что приемлемая стоимость дана из расчёта на 7 ЦО. Возможно, я не своем понял ваши 300 т.р. в месяц, что именно в себя они включают?
                                          на 7 офисов (мест сбора) Ваша- стоимость +/-20% попадает.
                                          Мои 300тр рассчитывались для банка у которого 20-80 точек сбора в отказоустойчивом режиме. Включает в себя все: стойку, 2 канала связи, сервера, ОС, ПО, БД, СрЗИ, СКЗИ (шлюзы + HSM), помещения, саппорт 24/7 (1-3 линия), амортизационные расходы, услуги по настройки, аттестации.

                                          Сообщение от Zuz Посмотреть сообщение
                                          А что такое "АРМ оператора"? Обычное рабочее место операциониста? А как обеспечивать изоляцию контура? Требования есть в ГОСТ (раздел 7.2.3) и в банках они есть, но не в обычном оперзале, другое дело, что не все они обязательные (точнее зависят от категории банка, через которую определяется уровень ЗИ, и могут быть выполнены организационно или технически или быть вообще не обязательными).
                                          Понял, но это как бы не часть вопроса биометрии и их защищать и так и так нужно. А тем более ГОСТ Р - не обязателен в рамках ЕБС и каждый сам решает как жить с этим документом (:

                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            ........ А тем более ГОСТ Р - не обязателен в рамках ЕБС и каждый сам решает как жить с этим документом (:
                                            Ничего личного...
                                            Если речь про ГОСТ Р 57580.1-2017, то см. приказ № 321 Минкомсвязи/Минцифраза -

                                            5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017

                                            и, там же, но немного выше -

                                            9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:
                                            ..........
                                            2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).

                                            Т.е., обязательное исполнение требований ГОСТа в сегменте ЕБС + ежегодный внешний аудит у лицензиата, в том числе, по требованиям этого ГОСТа.
                                            Последний раз редактировалось saches; 18.03.2019, 14:19.

                                            Комментарий


                                            • Насчет проверок банков и санкций за нарушение требований ИБ - если рассуждать цинично, то ЦБ заинтересован в сохранении текущей ситуации, когда формально в тысячах отделений банков идет прием биометрии, но при этом по факту этот прием идет с нарушениями требований ИБ. ИМХО для ЦБ важны только валовые показатели, чтобы рапортовать об успехах, и не более. Поэтому я не представляю ситуации, когда по банкам пойдут массовые проверки ЦБ в части ИБ ЕБС.
                                              Иное дело - РТК, интеграторы и прочие лицензиаты ФСТЭК, у них в теме ЕБС есть прямой коммерческий интерес, но насчет проверок с их стороны тоже сомневаюсь. Если такие проверки не будут согласованы с ЦБ - это будет прямой конфликт интересов между этими ведомствами, поправьте меня если это не так.
                                              WBR, Александр Турчин

                                              Комментарий


                                              • Сообщение от Александр_Турчин Посмотреть сообщение
                                                ...... это будет прямой конфликт интересов между этими ведомствами........
                                                Например, если провести аналогию с отчетностью по 382-П и СТО БР - ранее, банки отчитывались в виде самооценки, либо отчета о прохождении внешнего аудита. +, проверяющие ЦБ всегда могли написать - "не соответствие требованиям..., устранить до..."
                                                КМК, так всё примерно и останется,за исключением отмененных самооценок. Т.е. все банки должны будут периодически предоставлять отчеты о прохождении аудита, + у проверяющих ЦБ появится ряд тем, по которым они смогут оформить предписание (причем, кадры с опытом ИБ набираются, методички пишутся...)
                                                Как вариант, возможно, Оператор ЕБС (+ сопричастные) так же могут/будут периодически просить прислать им отчет о прохождении/проведении аудита.
                                                Последний раз редактировалось saches; 18.03.2019, 14:30.

                                                Комментарий


                                                • Сообщение от saches Посмотреть сообщение
                                                  Ничего личного... Если речь про ГОСТ Р 57580.1-2017, то см. приказ № 321 Минкомсвязи/Минцифраза - 5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 и, там же, но немного выше - 9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать: .......... 2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049). Т.е., обязательное исполнение требований ГОСТа в сегменте ЕБС + ежегодный внешний аудит у лицензиата, в том числе, по требованиям этого ГОСТа.
                                                  Я с этим утверждением не согласен, т.к.:
                                                  - минсвязь не может устанавливать требования к ЗИ (это тема ФСТЭК, ФСБ, ну и ЦБ в рамках ЕБС и Ростелеком как оператора);
                                                  - читаем внимательно приведенный Вами п.5, все кроется в терминах и определениях. А именно "должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации". Теперь посмотрите, что такое "информационные технологии" и "технические средства", СрЗИ и СКЗИ тут нет, также не понятно при чем тут ГОСТ Р с учетом его сферы действия.
                                                  - кто и как будет проверять выполнение данного требования приказа 321? ЦБ или Минсвзяь с проверками? Какое у них на это будет основание?)) Или м.б. ФСТЭк и ФСБ будет заниматься вопросами ЗИ? Порнографию развели тут...
                                                  П.С. свою позицию я не навязываю, интеграторы будут обосновывать свою позицию, что нужно. Каждому банку решать самостоятельно.

                                                  Комментарий


                                                  • Сообщение от Cpx Посмотреть сообщение
                                                    ...... Каждому банку решать самостоятельно.
                                                    Кто бы спорил
                                                    Но вот это место, особенно сильное -
                                                    Сообщение от Cpx Посмотреть сообщение
                                                    ..... ЦБ ......с проверками? Какое у них на это будет основание?)) Порнографию развели тут...
                                                    В любом случае, в этом году появится соответствующее Положение ЦБ обязывающее все финансовые организации исполнять требования ГОСТа, вне зависимости банк/небанк, ебс/неебс, Т.е. я бы не забивал....

                                                    Ну и про ПП-335 от 28.03.2018 не стоит забывать -
                                                    В соответствии с частью 12 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:
                                                    1. Установить, что Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации является федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных....


                                                    Т.е., не вижу причин, почему бы, например, Ростелику (не говоря уже о ЦБ) не запросить как-нибудь у банка отчет о прохождении аудита.
                                                    Последний раз редактировалось saches; 18.03.2019, 15:58.

                                                    Комментарий


                                                    • Сообщение от Cpx Посмотреть сообщение
                                                      П.С. свою позицию я не навязываю, интеграторы будут обосновывать свою позицию, что нужно. Каждому банку решать самостоятельно.
                                                      По мне тут всё вполне логично и я в целом разделяю эту позицию (что сформулирован 321 приказ с превышением полномочий и по ряду моментов вообще не про то, что нужно), но позиция saches фактически та, как будут трактовать 321 приказ проверки ЦБ.
                                                      В любом случае, ГОСТ скоро будет обязательным для защиты всех банковских операций, вполне возможно, ЕБС будет там в скоуп попадать, хотя с натяжкой.
                                                      Второй момент ГОСТ не про СрЗИ, а вообще про защиту информации (процессы, требования) поэтому формулировка 321 приказа кривенькая, а ваша трактовка про СрЗИ тоже не совсем корректная.

                                                      В реальности банки обязаны будут проводить аудит по ГОСТ Р 57580.2-2018, но с для контура ЕБС. Это отдельный аудит, ГОСТ такие допускает. Аналогично будет и по 552-П (проект уже давно есть, там тоже самое).

                                                      Итоговая оценка по ГОСТ будет формироваться из аудита по ГОСТ (положение по защите при осуществлении операций,пока проект, которое родилось из 167-ФЗ, что хитро очень, он про другое) + аудита по ГОСТ контура 552-П (пока проект) + аудита по ГОСТ контура ЕБС. Из трёх показателей будет итоговая оценка.
                                                      Последний раз редактировалось Zuz; 18.03.2019, 15:26.

                                                      Комментарий


                                                      • Коллеги, всем добрый день!

                                                        Приглашаем вас на вебинар «Типовое решение по ИБ в биометрии в вопросах и ответах».

                                                        На вебинаре эксперты Ростелекома и КриптоПро расскажут о способах выполнения требований регуляторов в области ИБ при работе с биометрией, а также предложат схему внедрения типового решения Ростелекома в инфраструктуру кредитной организации.
                                                        К участию приглашаются ИБ-специалисты и бизнес-заказчики внедрения Единой биометрической системы в банках.
                                                        Чтобы вебинар был для вас полезнее, присылайте свои вопросы заранее на sales@bio.rt.ru. Мы включим ответы на них в материалы вебинара. Вопросы принимаем до 20 марта включительно.
                                                        Дата и время проведения: 25 марта, 11:00 - 13:00.
                                                        Спикеры:
                                                        • Алексей Юдин - директор программ Центра кибербезопасности и защиты, Ростелекома
                                                        • Дмитрий Улыбин - директор проекта, Проектный офис «Единая биометрическая система», Ростелеком
                                                        • Павел Луцик – директор по продажам и развитию бизнеса, КриптоПро

                                                        Участие бесплатное, нужно заранее зарегистрироваться – https://events.webinar.ru/1654045/2146837

                                                        Комментарий


                                                        • А такой вопрос. методические рекомендации от 14/02/2019 #4-МР Методические рекомендации по нейтрализации банками угроз .......

                                                          кто нибудь читал эти рекомендации? Там написано что все требования КС2 КВ сертификат от НИИ Восход - ЭТО РЕКОМЕНДАЦИИ. Ктоонибудь может объяснить юридический смысл "РЕКОМЕНДАЦИИ"? И получается, что если это не требования а рекомендация, то это исполнять необязательно?

                                                          Комментарий


                                                          • Сообщение от doubleside Посмотреть сообщение
                                                            ........... Ктоонибудь может объяснить юридический смысл "РЕКОМЕНДАЦИИ"? ......
                                                            Вне зависимости от того, что в этом документе написано, скорее всего, проверяющие из ЦБ будут относится к "Рекомендациям", как к обязательной для исполнения нормативке.
                                                            Для аудиторов и возможных проверяющих из ФСБ, я бы полагался (в части СКЗИ) на требования ПКЗ2005.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Вне зависимости от того, что в этом документе написано, скорее всего, проверяющие из ЦБ будут относится к "Рекомендациям", как к обязательной для исполнения нормативке.
                                                              Да но на основании чего?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X