15 октября, вторник 22:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    Ну так поделитесь, что вы сами собираетесь делать.
    не собираюсь, но банкам помогаю и свои соображения я написал выше и не один раз. Сперва выполняет действующие требования в РФ по ИБ, а потом по желанию рекомендации.
    Метод рекомендации - справочный и не более со всеми вытекающими, который не согласован с регуляторами, минюстом и который противоречит действующим требованиям и делает подмену понятий, которые путают всех игроков. ЦБ по-хорошему должен внести в него корректировки или усилить статус 4Мр в виде "П".
    Сообщение от ost Посмотреть сообщение
    В вашем профиле указано "Банкир"
    исправил

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение
      не собираюсь, но банкам помогаю
      Ну с этого и надо было начинать. Советы советовать всегда проще...

      Комментарий


      • Сообщение от ost Посмотреть сообщение
        Ну с этого и надо было начинать. Советы советовать всегда проще...
        я и не говорил, что в банке работаю если что... И все мои советы исключительно как нужно и можно выполнить требования.
        И не в одном банке так и сделали уже, при чем позицию поддержали ИБ и Юристы. Как показывает практика, если ИБ не номинальные администраторы СКЗИ - то в вопросах ИБ они хорошо осведомлены и все будет хорошо. Бежать и выполнять 4МР никто не собирается (с учетом того, что их невозможно выполнить не нарушив требования формуляра на HSM).

        Комментарий


        • Сообщение от Cpx Посмотреть сообщение
          с учетом того, что их невозможно выполнить не нарушив требования формуляра на HSM).
          А можно поподробнее пояснить в чем противоречия формуляра и 4-МР?

          П.С. Интересно, представители ЦБ есть в ветке форума? Хотелось бы услышать их официальную позицию по этому поводу (разночтение 4-МР и требований формуляра на СЗИ).
          Или опять "страусом" прикинулись?



          Комментарий


          • Сообщение от Массаракш Посмотреть сообщение
            А можно поподробнее пояснить в чем противоречия формуляра и 4-МР?
            Я думаю не ошибусь, если скажу, что это измышления Диасофта, чтобы продавать свой сервис.
            Тут пусть каждый решает сам.

            Комментарий


            • Сообщение от Массаракш Посмотреть сообщение
              А можно поподробнее пояснить в чем противоречия формуляра и 4-МР?
              В требованиях предъявляемым к средствам защиты информации, а именно:
              Формуляр и доки на HSM:
              1. Антивирус
              2.5. - Клиентские компоненты ПАКМ должны использоваться со средствами антивирусной защиты, сертифицированными ФСБ России.;

              2. НСД Сервера и АРМ с установленным HSM клиентом
              Раздел 4п.2. - Клиентская компонента «КриптоПро HSM Client» уровня защиты КС3 функционирует в следующих программно-аппаратных средах Windows 7/8/8.1/10/Server 2003/2008 (х86, х64); Windows Server 2008 R2/2012/2012 R2/2016 (x64) с пакетом Secure Pack Rus версия 3.0.;

              3. ПАК Соболь
              Раздел 4 4. - В качестве средства защиты от несанкционированного доступа используется Программно-аппаратный комплекс с физическим датчиком случайных чисел «Соболь» RU.40308570.501410.001 (версии кода расширения BIOS 1.0.99, 1.0.180) или Аппаратно-программный модуль доверенной загрузки универсальный М-526Б (КРИПТОН ЗАМОК/У) КБДЖ.468243.067 ТУ.;

              4. МЭ
              Правила пользования п8.3 и рук Админа - межсетевой экран четвертого класса для защиты от воздействия по глобальной сети.

              В 4МР другие классы, а в итоге требования и сертификаты в системе ФСТЭК, а не ФСБ. Мало того не понятен алгоритм выбора конкретных классов к СЗИ. Типовую модель угроз не сделали и не дали, а требования из пальца взяли и вписали.

              Нарушить очевидно лучше рекомендации 4МР, т.к. требования на СКЗИ важнее (:
              Это Вам подтвердить каждый нормальный специалист и лицензиат ФСТЭК, ФСБ.

              Комментарий


              • Сообщение от Cpx Посмотреть сообщение
                Типовую модель угроз не сделали и не дали, а требования из пальца взяли и вписали.
                .
                Вроде как есть модель угроз
                Указание Банка России N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 09.07.2018 "О перечне угроз безопасности...,

                Сообщение от Cpx Посмотреть сообщение
                Нарушить очевидно лучше рекомендации 4МР, т.к. требования на СКЗИ важнее (:
                Это Вам подтвердить каждый нормальный специалист и лицензиат ФСТЭК, ФСБ.
                Согласен, тем более, что сам ЦБ говорит, что это "рекомендации".

                Комментарий


                • Сообщение от Массаракш Посмотреть сообщение
                  Вроде как есть модель угроз
                  Во первых это в части СКЗИ.
                  Во вторых это не про 4МР и средства сертифицированные по ФСТЭК (как это д.б. по приказу 21 и приказу 17, ну или 31 докучи) и даже не по СТР-К.
                  4МР разработано очевидно без учета этих требований, которые в т.ч. ЦБ утвердил ))
                  Сообщение от Массаракш Посмотреть сообщение
                  Согласен, тем более, что сам ЦБ говорит, что это "рекомендации".
                  я наслышен и про обратные слова, которые говорит ЦБ Записать их бы на диктофон или письмом официально получить ответ.

                  Комментарий


                  • https://bankir.ru/novosti/20190819/s...ssii-10164559/
                    Сервис по сбору и отправке биометрических образцов в ЕБС от «Диасофт» аттестован на соответствие требованиям безопасности информации ФСТЭК России

                    Комментарий


                    • Сообщение от w3d Посмотреть сообщение
                      ....Сервис по сбору и отправке биометрических образцов в ЕБС от «Диасофт» аттестован на соответствие требованиям безопасности информации ФСТЭК России
                      Дичь какая-то. Вот не помню, при аттестации по 21 17-му приказу, то что именно сертифицированные СКЗИ используются, проверяют?
                      А вот выполнение требований ПКЗ2005 у меня не проверяли точно...))

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Дичь какая-то
                        Если я не ошибаюсь, коллега Cpx как раз представляет данное направление, надо его спросить.
                        В принципе идея нормальная, организовать что-то типа SWIFT сервис-бюро, но как на это посмотрят ЦБ с РТК непонятно.

                        Комментарий


                        • ost
                          Мне не совсем понятно, каким образом здесь возникла аттестация по требованиям ФСТЭК для ГИС и проверялись ли при этом требования ФСБ по СКЗИ, что по моему, более критично в данном случае.
                          Есть ощущение, что это просто попытка получить хоть какую-то бумажку по ИБ, чтоб можно было показать клиенту и сказать, "а у нас все ОК".

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            показать клиенту
                            вы серьезно?

                            Сообщение от saches Посмотреть сообщение
                            аттестация по требованиям ФСТЭК для ГИС
                            проводят работу, чтоб продать, а то без бумажек банки слабо покупают и выжидают появление подобных "аттестаций" ...

                            Комментарий


                            • Сообщение от ost Посмотреть сообщение
                              коллега Cpx как раз представляет данное направление, надо его спросить.
                              Все сделано правильно: "получил аттестат, соответствующий требованиям, предъявляемым к Государственным информационных системам класса защищенности «К1» и к информационным системам, в которых обеспечен 1-й уровень защищенности персональных данных."

                              Это означает, что их Сервис выполняет все требования, которые предъявлены для Приказа 17 и 21 для К1 и УЗ1, а возможно и добавлены еще требования формуляра и рекомендации 4МР (в ПИМ аттестации).
                              На вопрос есть ли там СКЗИ и проводилась ли их проверка - надо смотреть технический паспорт где описан ОИ (состав ОТСС), если СКЗИ есть - значит все сделано целиком с учетом СКЗИ для сервиса. А с учётом того, что требования HSM говорят об аттестации итоговой системы (не понятно по какому классу) подходит правильный, "дичи" нет.

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                РТК непонятно.
                                Они к концу года планирует сделать свой сервис

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение
                                  Они к концу года планирует сделать свой сервис
                                  Т.е. все поставщики облачных решений должны получить аттестат по требованиям 17 приказа ФСТЭК на свои решения?
                                  Вот чего-то не уверен я в этом.
                                  Хотя бы почему по 17-му а не по 21-му (это риторический вопрос)).

                                  Комментарий


                                  • Сообщение от Павлоний Посмотреть сообщение
                                    вы серьезно? проводят работу, чтоб продать, а то без бумажек банки слабо покупают и выжидают появление подобных "аттестаций" ...
                                    Это просто моё предположение. Надо же хоть "фантиками" отличаться. Ну а нафига им это надо? Можно, например, спросить ЦФТ и Ростелик при случае, собираются ли они аттестовывать свои облачные решения по 17му приказу?

                                    Комментарий


                                    • Сообщение от Cpx Посмотреть сообщение
                                      Они к концу года планирует сделать свой сервис
                                      Так то свой, свой будет жить, а конкурента -- замочить.

                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        Т.е. все поставщики облачных решений должны получить аттестат
                                        Да, все поставщики и все банки со своим решением у себя (собственное, типовое - не важно).
                                        Сообщение от saches Посмотреть сообщение
                                        по требованиям 17 приказа ФСТЭК
                                        Сообщение от saches Посмотреть сообщение
                                        о 17-му а не по 21-му
                                        Так у Диасофта по обоим приказам аттестат (: Если выполняешь 17, то автоматом выполняешь 21, т.к. требования зеркальные и чуть выше в 17 приказе. В любом случаем разрабатывается МУ, на базе которой и выбираются состав тех средств для защиты от актуальных угроз безопасности.

                                        Требований на что именно нужно аттестовывать нет (в формуляре- руководстве администратора на HSM), но очевидно, что ПДн обрабатывается и осуществляется подключение к ГИС ЕБС (которая должна быть аттестована по требованиям приказа 17 и в аттестате РТ написано, что все подключаемые к ней ИС должны быть защищены и аттестованы по классу не ниже чем сама ГИС).

                                        Комментарий


                                        • Сообщение от Cpx Посмотреть сообщение
                                          .... но очевидно, что ПДн обрабатывается и осуществляется подключение к ГИС ЕБС (которая должна быть аттестована по требованиям приказа 17 и в аттестате РТ написано, что все подключаемые к ней ИС должны быть защищены и аттестованы по классу не ниже чем сама ГИС).
                                          В целом, выглядит абсолютно логично, но непонятно почему сам Ростелик про это ничего не говорит и на вебинарах, в ответах на вопросы, отвечает, что ЕБС не ГИС.
                                          К тому же, комент представителя Ростелика в телеге, по инфе о получении аттестата Диасофтом, что это не the must, а скорее инфоповод...

                                          Комментарий


                                          • Сообщение от saches Посмотреть сообщение
                                            и на вебинарах, в ответах на вопросы, отвечает, что ЕБС не ГИС.
                                            я писал обоснование почему это ГИС в начале теме. Статус ГИС - не РТ устанавливает это во первых (а 149 ФЗ), во вторых они вообще забавные ребята (большинство манагеры и продавцы) и не сильно погружены в юридические вопросы и детали по ИБ (это мое мнение по результатам общения с ними, занимаются активными продажами себя, решения, сервиса).
                                            Почему все ждут их мнения или апрува на то или иное событие не понятно(:
                                            Если нужен официальной статус, что ГИС является ЕБС - нужно писать письмо в Минсвязи/РКН (я не в курсе, кому сейчас поручили учет всех ГИС (раньше был ответственный, который вел перечень)).
                                            Последний раз редактировалось Cpx; 20.08.2019, 15:12.

                                            Комментарий


                                            • Просто оставлю это здесь - https://forum.npsib.org/viewtopic.php?id=1716
                                              Некоторые комменты по поводу отсутствия необходимости аттестации рабочих мест.
                                              Там, так же, упоминается ответ ДИБ ЦБ на запрос НСФР, https://bankir.ru/dom/forum/%D0%B4%D...1%D1%81/page57, #1692
                                              где речь о том, что аттестация по желанию.
                                              Последний раз редактировалось saches; 21.08.2019, 12:22.

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                Просто оставлю это здесь - https://forum.npsib.org/viewtopic.php?id=1716
                                                Некоторые комменты по поводу отсутствия необходимости аттестации рабочих мест.
                                                Там, так же, упоминается ответ ДИБ ЦБ на запрос НСФР, .
                                                Там есть на Ответ ДИБ ЦБ_о исключит надзоре ЦБ по 482-ФЗ).pdf Доступна только регистрантам. Можете приложить док в данный форум?


                                                Комментарий


                                                • Массаракш
                                                  Конечно, если есть такая возможность.

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    Некоторые комменты по поводу отсутствия необходимости аттестации рабочих мест.
                                                    Когда они это писали, никто не изучил требования документации на HSM (: т.к. не дошли до этого, а если из цепочки убрать требования HSM то да, аттестация не нужна согласен.
                                                    На счет аттестации АРМ - их и сейчас не нужно аттестовывать. Хотя я слышал и тут на форуме есть коллега, что "типовое решения", которые ставятся у заказчика полностью аттестуются (id-systems и Инфотекс траст). В чем принципиальное различие для облачных сервисов?



                                                    п.с. скоро будет https://5sept.ib-bank.ru/
                                                    интересно затронут ли там "не удобные вопросы" по темам ЕБС и сертификации или будут петь песни, как все хорошо и все молодцы. )))

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      упоминается ответ ДИБ ЦБ на запрос НСФР, https://bankir.ru/dom/forum/%D0%B4%D...1%D1%81/page57, #1692 где речь о том, что аттестация по желанию.
                                                      Вот умора, комеди клаб по ИБ... Как ЦБ, РТ или представитель Вендора может что-то говорить о выполнение или не выполнение не своих требований (ФСТЭК, ФСБ, формуляров)? Это исключительно субъективное мнение

                                                      Комментарий


                                                      • Сообщение от Массаракш Посмотреть сообщение
                                                        Там есть на Ответ ДИБ ЦБ_о исключит надзоре ЦБ по 482-ФЗ).pdf
                                                        Это ответ на запрос НСФР. Тогда ещё не было приказа Минкомсвязи и 4-МР.
                                                        И да, где-то читал (кажется у ФСТЭК), что все правила в отношении ЕБС и подключения к ней устанавливает Минкомсвязь (считай РТК), они назначены главными по тарелочкам.

                                                        181001 - Прил 2 (Ответ ДИБ ЦБ_о исключит надзоре ЦБ по 482-ФЗ).pdf

                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          ......На счет аттестации АРМ - их и сейчас не нужно аттестовывать.....
                                                          Вот этот подход, кстати, мне не очень понятен. Какой смысл аттестовывать "ядро" обработки в банке, и не аттестовывать подключенные рабочие места?
                                                          Последний раз редактировалось saches; 22.08.2019, 15:10.

                                                          Комментарий


                                                          • Кто-нибудь формулировал требования к АРМ для ЕБС по размещению, шуму/свету, изоляции от прочих сетей банка и т.п. ?

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Вот этот подход, кстати, мне не очень понятен. Какой смысл аттестовывать "ядро" обработки в банке, и не аттестовывать подключенные рабочие места?
                                                              все элементарно! Т.к. требований ФСТЭК по аттестации нет, по умолчанию считаем что это обычная ИСПДн. т.к. обрабатывает ПДн. РТ как владелец ЕБС к которой подключаемся не выдал жёстких требований по подключению и что мы должны быть аттестованы по ГИС.
                                                              переходим в следующий шаг, из требований HSM вытекает сегмент с HSM (HSM, МЭ, сервера ЕБС) аттестовать по требованиям (без указания каким, т.е. можно выбрать любые удобные). При этом остаются другие сегменты (СМЭВ, ЕСИА, банковский, АРМы пользователей), которые по требованиям не нужно аттестовывать. Но если хотите - не вопрос любой каприз... (:

                                                              до сих пор никто не ответил на вопрос - какой статус у Системы банка по сбору и АРМ обработки, которые к ним подключатся. Банк не оператор ПДн, все действия для исполнения договора с офертой РТ, при этом банк должен финансировать эту систему. (для выполнения 115ФЗ).
                                                              Иная ИС банка, ИСПДн -да, но не банка.

                                                              А АРМ которые подключаются к этой и еще 10 другим ИС - какой у них статус, как их классифицировать? Для типовых систем - вроде ответ есть - это монолитная система (да еще со своей сетью и АД), а остальные?
                                                              Последний раз редактировалось Cpx; 22.08.2019, 16:25.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X