10 июля, пятница 06:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Единая биометрическая система (ЕБС)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Cpx Посмотреть сообщение
    Верховный суд выиграть делов нет. и головы 100% полетят авторов приказа и согласующих в минюсте.
    Если это так, как Вам кажется, просто, займитесь этим. Быть банком при этом не обязательно.

    Сообщение от Cpx Посмотреть сообщение
    Наиболее легкий путь это написать с помощью юристов проблему и вопрос в ЦБ, на тему будут ли они проверять с учетом явного нарушений...
    Это предложения я уже прокомментировал. Повторюсь. Будут ли банки следовать Вашему совету будет решать руководство банков.


    Комментарий


    • Сообщение от UserNick Посмотреть сообщение
      Если это так, как Вам кажется, просто, займитесь этим. Быть банком при этом не обязательно.
      Видно, Вы очень плохо понимаете юр вопросы и условие обращения в Верховный суд... Обязательно нужно быть банком. т.к. интересны банка нарушены.И Вы бы это знали, если сходили бы к своим юристам на консультацию по теме. Все с Вами ясно, в очередной раз съехали с темы и заниматься проблемой не хотите, проще от нее отстраниться и ждать пока кто-то сделает (юристы, третье лицо).

      Комментарий


      • Сообщение от Cpx Посмотреть сообщение
        А ежегодно тут скорее для банка в целом по всем ИС на которых ГОСТ Р распространяется.
        КМК, оценку по ГОСТ Р 57580.1-2017 нужно отдельно по ЕБС проводить, а также по 672-П / 673-П, это всё отдельные оценки по ГОСТ, потом они сводятся интегральную (см. ГОСТ Р 57580.2-2018 про контуры безопасности).

        Касательно практики: идёт проверка ЦБ, для каждого участка ЕБС (сбор, обработка, передача и т.п.), проверяют требования документации на СКЗИ и ТСЗИ для ЕБС, каждое требование, каждую галочку. Каждый пункт проверили тоже 4-МР (в т.ч. и все классы защиты), любое несоответствие требуется пояснение. По ГОСТ пока не просили пояснять ничего.

        Комментарий


        • Сообщение от Zuz Посмотреть сообщение
          Каждый пункт проверили тоже 4-МР (в т.ч. и все классы защиты), любое несоответствие требуется пояснение. .
          И как они относятся к не соответствию и пояснению (обратка есть, в них попадает или берут для анализа и потом результат)?

          Сообщение от Zuz Посмотреть сообщение
          По ГОСТ пока не просили пояснять ничего
          значит моя позиция верная и не свои требования не смотрят (:

          Комментарий


          • Сообщение от Zuz Посмотреть сообщение
            любое несоответствие требуется пояснение
            "Мера по защите экономически нецелесообразна, компенисурестя штатной мерой __"
            "Мера по защите экономически нецелесообразна, компенисурестя штатной мерой __"
            "Мера по защите экономически нецелесообразна, компенисурестя штатной мерой __"
            ..

            Комментарий


            • Сообщение от Cpx Посмотреть сообщение
              Обязательно нужно быть банком. т.к. интересны банка нарушены.
              Разобрался. Здесь Вы правы. Признаю, было неверное представление.

              Сообщение от Cpx Посмотреть сообщение
              Все с Вами ясно, в очередной раз съехали с темы и заниматься проблемой не хотите, проще от нее отстраниться и ждать пока кто-то сделает (юристы, третье лицо).
              По поводу моего участия в воплощении идеи похоже у Вас сложилось неверное представление. Обещаний оказать содействие не давал т.к. решение по участию в таком проекте принять не вправе. Было желание понять Вашу аргументацию, чтобы проинформировать своих коллег.

              Комментарий


              • Сообщение от UserNick Посмотреть сообщение
                Было желание понять Вашу аргументацию, чтобы проинформировать своих коллег
                Самое главное, что от нашего общения есть хоть какой-то результат или будет...В этом и смысл портала, чтобы делиться опытом (:
                п.с. я со своей стороны попробую переслать вопрос в ассоциацию банков через вендора или банк. У них планируется заседание с ЦБ по теме юр вопросов
                https://asros.ru/events/vi-banking-l...king-practice/
                Последний раз редактировалось Cpx; 04.10.2019, 14:45.

                Комментарий


                • Сообщение от Александр Четвертый Посмотреть сообщение
                  "Мера по защите экономически нецелесообразна, компенисурестя штатной мерой __"
                  и как прокатывает? не требуют обоснвоать?
                  так можно половину требований закрыть? ))

                  Комментарий


                  • Сообщение от Cpx Посмотреть сообщение
                    и как прокатывает?
                    Ну попробовать можно. Это в любом случае на порядок дешевле (штраф), чем реализация требований.

                    Комментарий


                    • Сообщение от Александр Четвертый Посмотреть сообщение
                      на порядок дешевле (штраф
                      а разве ЦБ штраф выписывает не от 1% от капитала банка?

                      Комментарий


                      • Сообщение от Cpx Посмотреть сообщение
                        И как они относятся к не соответствию и пояснению
                        Если пояснение не удовлетворяет, то записывают "нарушение" в акт, не важно, рекомендация это или нет.

                        Сообщение от Cpx Посмотреть сообщение
                        значит моя позиция верная и не свои требования не смотрят (:
                        Да, пока 321 приказ не смотрят, даже 4859-У не особо интересно, проверяет, именно, по 4-МР, документации на СКЗИ.

                        Комментарий


                        • Сообщение от Александр Четвертый Посмотреть сообщение
                          "Мера по защите экономически нецелесообразна, компенисурестя штатной мерой __"
                          По некоторым моментам пришлось указать именно так, к примеру, полностью выполнять требование по использованию СЗИ от ВВК разных производителей не выгодно или не возможно имеющимися средствами (для формального выполнения требуется от 3х разных вендоров, хотя на деле у нас даже больше), теряется скидка за объём у вендоров, усложняется процесс и стоимость сопровождения (речь именно о централизованном массовом обслуживании), а эффективность меры в целом низкая (в текущей ситуации, когда многие вендоры делятся сэмплами вредоносного ПО и имеют технологии почти мгновенной доставки до пользователя сигнатур, к примеру, через технологии "облачного" сканирования по ключевым характеристикам файла, это не нужно).

                          Вообще любая система централизованного управления типа антивирусной консоли, КМК, это один из основных векторов атак злоумышленника. Исключение машины из AD и банальный локальный файрвол делают невозможным проникновение вредоносного кода без физического доступа к такой машине. В итоге централизованно управляемый антивирусный продукт больше угроза, чем защита. Для Windows 10 вообще, то что поставляется в составе 1803+ уже превосходит большинство антивирусных решений (если включить SecureBoot + BitLocker + технологию защиты памяти и ряд других фишек).
                          Последний раз редактировалось Zuz; 07.10.2019, 05:35.

                          Комментарий


                          • Сообщение от Zuz Посмотреть сообщение

                            Да, пока 321 приказ не смотрят.
                            у нас наоборот 321 частично смотрели в плане выдачи уполномоченным сотрудникам ПЭП. Вписали в акт нарушение.

                            Может кто подскажет каким образом сотрудникам можно выдать ПЭП, при условии что он является СНИЛСом?

                            Комментарий


                            • Сообщение от Rubaka Посмотреть сообщение

                              у нас наоборот 321 частично смотрели в плане выдачи уполномоченным сотрудникам ПЭП. Вписали в акт нарушение.
                              Это лишь доказывает то, что в ЦБ нет методики проверки\оценки соответствия и вся проверка чисто субъективная оценка, основанная на знании аудитора в этой области (ЕБС).

                              П.С. подскажите как можно обойти необходимость установки АПМДЗ (Соболь\Аккорд и т.п.) на компьютерах, где ведется сбор биометрии. Ведь форм-фактор современных десктоп- станций не позволяет туда воткнуть что-то другое и настроить как положено АПМДЗ (например, корректное функционирования механизма сторожевого таймера в замке Соболь).

                              "сила в правде: у кого правда, тот и сильней!"

                              Комментарий


                              • Подскажите 4-МР и 4859-У говорят про 4й класс защиты от НСД. В сертификате на СЗИ это что? Класс защиты по СВТ или можно рассматривать и иные классы, т.к. формально они тем или иным образом обеспечивают систему защиты от НСД?

                                К примеру сертификат на Secret Net Studio подтверждает соответствие требованиям руководящих документов по 4 уровню контроля отсутствия НДВ, 5 классу защищенности СВТ, 4 классу защиты СКН (ИТ.СКН.П4.ПЗ), 4 классу защиты САВЗ (ИТ.САВЗ.А4.ПЗ, ИТ.САВЗ.Б4.ПЗ, ИТ.САВЗ.В4.ПЗ, ИТ.САВЗ.Г4.ПЗ), 4 классу защиты МЭ тип "В" (ИТ.МЭ.В4.ПЗ), 4 классу защиты СОВ (ИТ.СОВ.У4.ПЗ).

                                Комментарий


                                • Сообщение от Массаракш Посмотреть сообщение
                                  П.С. подскажите как можно обойти необходимость установки АПМДЗ (Соболь\Аккорд и т.п.) на компьютерах, где ведется сбор биометрии. Ведь форм-фактор современных десктоп- станций не позволяет туда воткнуть что-то другое и настроить как положено АПМДЗ (например, корректное функционирования механизма сторожевого таймера в замке Соболь).
                                  Если речь идёт о реализации КС3 посредством КриптоПро, то никак. Это условие применения СКЗИ именно этого класса.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    Если речь идёт о реализации КС3 посредством КриптоПро, то никак. Это условие применения СКЗИ именно этого класса.
                                    Правильно я понимаю, что аналогичная ситуация и с другими СКЗИ?
                                    "сила в правде: у кого правда, тот и сильней!"

                                    Комментарий


                                    • Сообщение от Массаракш Посмотреть сообщение
                                      Правильно я понимаю, что аналогичная ситуация и с другими СКЗИ?
                                      Ключевое слово КС3, снизьте модель нарушителя до КС1-КС2 и соболь не нужен.
                                      Есть Соболя формата м2 и любых слотов, но все они ФСТЭК. ФСБ соболь только классического формата.

                                      Комментарий


                                      • Сообщение от Zuz Посмотреть сообщение
                                        Подскажите 4-МР и 4859-У говорят про 4й класс защиты от НСД
                                        Логичнее предположить, что это классика Жанра для СЗИ от НСД = СВТ4-5 + НДВ 4.
                                        На другие подсистемы в 4МР указаны конкретные требования к МЭ, АВЗ, СОВ ...

                                        Комментарий


                                        • Сообщение от Массаракш Посмотреть сообщение
                                          Правильно я понимаю, что аналогичная ситуация и с другими СКЗИ?
                                          ИМХО, без вариантов. Любые СКЗИ, которые я видел, начиная с КС2, идут с АМДЗ.

                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            Логичнее предположить, что это классика Жанра для СЗИ от НСД = СВТ4-5 + НДВ 4.
                                            Вопрос в том, что Secret Net Studio СВТ 5 + НДВ 4, как мотивировано пояснить, что этого достаточно для требований 4-МР (где говорится про НСД 4 класса)?

                                            Кстати, СВТ 4 я не видел даже, обычно СВТ 3 сразу.

                                            Комментарий


                                            • Сообщение от Cpx Посмотреть сообщение
                                              Ключевое слово КС3, снизьте модель нарушителя до КС1-КС2 и соболь не нужен.
                                              Нужен для КС2 для датчика случайных чисел (там есть и другие варианты, конечно).

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                Вопрос в том, что Secret Net Studio СВТ 5 + НДВ 4, как мотивировано пояснить, что этого достаточно для требований 4-МР (где говорится про НСД 4 класса)?
                                                Сошлитесь на РД АС СВТ и СТР_К с классом 1Г - самый высокий для КИ. Остальное, скажите не эффективно и не целесообразно.
                                                Остальное. это уже для ГТ 1В класс...
                                                Сообщение от Zuz Посмотреть сообщение
                                                Нужен для КС2
                                                Верно, поэтому нужно уходить в КС1 на местах если применяется шифрование канала или подписывается КЭП оператора.

                                                Комментарий


                                                • Сообщение от Rubaka Посмотреть сообщение
                                                  у нас наоборот 321 частично смотрели в плане выдачи уполномоченным сотрудникам ПЭП. Вписали в акт нарушение.
                                                  Это есть и в 4-МР. Но наш проверяющий дал чётки ответ, каждое ведомство свои документы проверяет. )

                                                  Сообщение от Rubaka Посмотреть сообщение
                                                  Может кто подскажет каким образом сотрудникам можно выдать ПЭП, при условии что он является СНИЛСом?
                                                  1. СНИЛС = ключ проверки ПЭП, включается в итоговый электронный документ, что уходит через СМЭВ в ЕБС.
                                                  2. Пароль для входа в систему = ключ ПЭП, используется для аутентификации в прикладной системе, секрет, с помощью которого и только при условии знания которого можно сформировать документ с ПЭП.
                                                  3. Вокруг всего этого нужно сделать правила системы, где про это всё прописано (как требует 63-ФЗ), оформить это в виде соглашения с пользователем или локального НПА и ознакомить как требует ТК РФ (с юристами вашими решите).

                                                  Комментарий


                                                  • Сообщение от Cpx Посмотреть сообщение
                                                    Остальное. это уже для ГТ 1В класс...
                                                    Так и пояснили, но он сказал, что написан 4й класс, нужно значит 4й от НСД или тогда уже не КС2, а КС3 СКЗИ.

                                                    Комментарий


                                                    • Сообщение от Zuz Посмотреть сообщение
                                                      Это есть и в 4-МР.

                                                      Не совсем. В 4 МР - УКЭП. В 321 - ПЭП.

                                                      Комментарий


                                                      • Сообщение от Rubaka Посмотреть сообщение
                                                        Может кто подскажет каким образом сотрудникам можно выдать ПЭП, при условии что он является СНИЛСом?
                                                        Завести журнал, где сотрудник распишется: я извещён о том, что мой СНИЛС является ПЭП!
                                                        Главное, чтобы бумага была. А то, что это будет бредом уже не важно ))))

                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          Ключевое слово КС3, снизьте модель нарушителя до КС1-КС2 и соболь не нужен.
                                                          Легко давать советы -> зайцы станьте ежиками.
                                                          К сожалению, в рамках текущих ОРД по ЕБС не предусмотрена частная модель угроз.
                                                          "сила в правде: у кого правда, тот и сильней!"

                                                          Комментарий


                                                          • Сообщение от Rubaka Посмотреть сообщение


                                                            Не совсем. В 4 МР - УКЭП. В 321 - ПЭП.
                                                            В 4-МР УКЭП для усиления безопасности. 4-МР и так по идее рекомендации, а УКЭП рекомендация в рекомендации.
                                                            ***Настроение бодрое, идем ко дну.

                                                            Комментарий


                                                            • Сообщение от Zuz Посмотреть сообщение
                                                              что написан 4й класс
                                                              В таком случае прикинутся идиотом и сказать, что у НСД нет 4 класса и каких либо классов (:
                                                              Сообщение от Массаракш Посмотреть сообщение
                                                              К сожалению, в рамках текущих ОРД по ЕБС не предусмотрена частная модель угроз.
                                                              Кто Вам это сказал?! Давайте от обратного: а где сказано, что на АРМ банка (оператора),что-то вообще должно быть с классом СКЗИ для подписи? В требованиях ниже указаны требования к каналу и не более.
                                                              В приказе ФСБ №378 и ЦБ № 4859-У/01/01/782-18 этого нет, 4МР методичка и не более и там рекомендация про УКЭП.
                                                              Отсюда делаем вывод, АРМ банка и банку решать какую МУ писать и какие средства ставить. Повлиять на это может только требования формуляра на Типовое решение по ЕБС, где будет указано требования на АРМ Сбора д.б. СКЗИ Класса такого.

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X