17 сентября, вторник 19:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анализ уязвимостей по ОУД4

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Сообщение от Zuz Посмотреть сообщение
    Но ПО на месте же не стоит, развивается. Поэтому в какой-то момент бизнес-потребности перевесят риски и потребуется установить не сертифицированную версию или версию, где не проведена оценка уязвимостей.
    Так это уже деюре и де факто(: С Учетом специфики ИБ, все понимают, что через день версия использоваться будет не прошедшая проверку изменений (тут бизнес не остановить), поэтому принять такой риск, но через квартал будет все нормально (или кому по чаще в частном порядке, хоть каждый месяц - но цена от этого вырастит).

    Комментарий


    • #92
      Сообщение от Zuz Посмотреть сообщение
      "Оператору по переводу денежных средств на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить"
      Может быть сварганить мотивированный запрос к разработчику СПО ДБО с просьбой представить КП на проведение мероприятий по ...
      Получить их отказ или пояснение невозможности в данный момент ... и повесить в рамку в помещениях предоставленных членам на время проведения проверок...

      А далее... либо ишак, либо шах, ну или ...

      Комментарий


      • #93
        Сообщение от Cpx Посмотреть сообщение
        Поэтому проще один раз купить нормальную сертифицированную версию
        АБС постоянно меняется. Если ее нельзя поменять - она нафиг бизнесу не нужна.

        Комментарий


        • #94
          Сообщение от Павлоний Посмотреть сообщение
          Может быть сварганить мотивированный запрос к разработчику СПО ДБО с просьбой представить КП на проведение мероприятий по ... Получить их отказ или пояснение невозможности в данный момент ... и повесить в рамку в помещениях предоставленных членам на время проведения проверок... А далее... либо ишак, либо шах, ну или ...
          что это даст, кроме наивности? Требования для кого, кто эксплуатант, чьи проблемы и риски в итоге?
          Сообщение от Александр Четвертый Посмотреть сообщение
          АБС постоянно меняется. Если ее нельзя поменять - она нафиг бизнесу не нужна.
          прочтите мой пост №91, ИБ в РФ всегда не про бизнес если Вы еще не в курсе, а для регулятора и производителей средств ИБ. Есть способы сделать бизнес счастливым и регулятора (примеров тому полно по теме ПДн, хотя в начале грозилась, что все системы нужно аттестовать (первые 4 книги ДСП от ФСТЭК), осталось лишь использовать сертифицированные СРЗИ согласно МУ. До банков это тоже докатились, только в более усиленной форме -спасибо скажите ЦБ.


          Комментарий


          • #95
            Сообщение от Cpx Посмотреть сообщение
            правильно ли, что:
            - анализ уязвимостей в Банковском ПО в соотв. в ПЗ, ЗБ - просто не сделать?
            - "просто анализ" превращается в аналог сертификации / аттестации всей системы? отсюда не понятна, чья зона ответственности - Вендора, Банка, интегратора), и ждать нам очередные "Типовые системы".
            - это совсем не дешево и быстро выходит?
            - На сколько мне известно оценку уязвимостей все равно нужно будет делать по новым требования ДСП документа от ФСТЭК + ПЗ (ЗБ).
            - спецов по ГОСТ Исо-мэк единицы и они в ЦБИ сидят?(:

            А в блоге все перемещали и дают дезинформацию=(( А потом объясняй заказчикам, что все не так.
            https://lukatsky.blogspot.com/2019/08/3.html
            "В 382-П, 683-П, 684-П, а также ГОСТ 57580.1 было требование о том, что платежные приложения должны быть сертифицированы в ФСТЭК по требованиям безопасности или в отношении которых проведен анализ уязвимостей на соответствие ОУД4. Вот собственно требования, по которым должна проходить сертификация, и прописаны в этом почти 150-тистраничном документе, проект которого выложен на сайте ТК122 (доступен только для членов технического комитета по стандартизации). Я не буду раскрывать подробности этого документа, но работа у разработчиков и испытательных лабораторий предстоит непростая и к 1-му января 2020-го года (этот срок прописан, как минимум, в 382-П) они точно не успеют провести сертификацию (там есть и иные препоны, связанные уже с самой системой сертификации ФСТЭК). Поэтому сейчас стоило бы воспользоваться оставшимися пятью месяцами и начал бы проводить анализ уязвимостей по ОУД4 (или требовать этого от разработчиков)."
            Почему сертификацию делают по требованиям профиля и думают, что есть вариант с уязвимостями по ОУД4.... Хотя сертфикация проводиться по требованиям ФСТЭК, а ГОСТ ИСО МЭК к ФСТЭК не относится.
            Пропустил.

            Анализ уязвимостей по ОУД4 - это небольшой кусочек сертификации по ОУД4. Грубо говоря, объем работ по сертификации на ОУД4 - это 12-18 человекомесяцев, а анализ уязвимостей этого уровня - 2-4 человекомесяца.

            Комментарий


            • #96
              Сообщение от Zuz Посмотреть сообщение
              А от куда это следует? То, что есть требования к ФБО, ИМХО, не означает, что не оценивается требования к ОО: "В данном разделе ПЗ представлены функциональные требования и требования доверия, которым должен удовлетворять ОО."

              И там по тексту одно сокращение и одно определение:
              ФБО – функциональные возможности безопасности объекта оценки
              Функциональность безопасности ОО (ФБО) Совокупность функций обеспечения информационной безопасности всего аппаратного, программного и программно-аппаратного обеспечения ОО обеспечивающих компонентов ППО АС, которые необходимо использовать для корректной реализации ФТБ.
              В разделе 7 судя по контексту применяется первое, а не второе (там то это "оно", то "они" голову сломаешь).


              Интересно, что в ОО не включены все эти штуки:
              "2.3.2. Тип объекта оценки
              Программное обеспечение автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций (ПО АС ФО).
              Совместимыми объектами оценки для данного профиля является программное обеспечение автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций, предназначенное для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы), а также на мобильных устройствах (ноутбуки, смартфоны, планшеты, телефоны и иные).
              2.3.3. Доступные аппаратные средства, программное обеспечение, программно-аппаратные средства, не входящие в объект оценки
              В рамках настоящего ПЗ аппаратные средства, программное обеспечение, программно-аппаратные средства, не входящие в ОО, не рассматриваются."


              Почитал требования всё же там явно про функции ПО ОО, а не про аппаратное, программное и программно-аппаратное обеспечение ОО обеспечивающих компонентов ППО АС.

              В целом, требования то не сложные, скоуп бы поточнее.
              Из ГОСТ 15408-1 и ГОСТ 18045. Профиль - не самостоятельный документ, он "доопределяет" применение этих стандартов к определенному виду объектов оценки.

              Комментарий


              • #97
                Сообщение от Cpx Посмотреть сообщение
                В реальности, разработать ЗБ на базе ПЗ и получить бумажку займет 2-4 месяца (если все исходные данные есть для работы). И по цене вижу ценник от 1 млнр за итерацию.
                Поэтому проще один раз купить нормальную сертифицированную версию и снять все риски и не бегать как ошпаренный перед проверкой и во время ее.
                .
                В сертификации таких сроков не бывает. Месяц - согласование заявки, месяц - постсериификационная экспертиза, месяц - ожидание сертификата - это только помимо собственно сертификации.

                Если продукт ни разу не сертифицировался по ГОСТ 15408, первая итерация сертификации занимает около двух лет.

                Комментарий


                • #98
                  Сообщение от malotavr Посмотреть сообщение

                  Пропустил.

                  Анализ уязвимостей по ОУД4 - это небольшой кусочек сертификации по ОУД4. Грубо говоря, объем работ по сертификации на ОУД4 - это 12-18 человекомесяцев, а анализ уязвимостей для этого уровня - 2-4 человекомесяца.

                  Комментарий


                  • #99
                    Сообщение от malotavr Посмотреть сообщение
                    Если продукт ни разу не сертифицировался по ГОСТ 15408, первая итерация сертификации занимает около двух лет.
                    Спасибо, значит не взлетит, Вендоры не будут вкладывать деньги в 2 года. Очевидно, что пойдут (из тех кто пойдет) по пути обычной сертификации фстэк. Главное, чтобы ЦБ не убрал такую возможность))

                    Комментарий


                    • Сообщение от Cpx Посмотреть сообщение
                      Очевидно, что пойдут (из тех кто пойдет) по пути обычной сертификации фстэк.
                      А какой именно сертификации? ДБО же не СЗИ. Насколько я понимаю и если отмотать тред назад никто во ФСТЭК не ждёт АБС на сертификацию.
                      Последний раз редактировалось Zuz; 12.08.2019, 11:23.

                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        ДБО же не СЗИ
                        верно - как есть не сертифицировать.
                        Но можно доработать и сделать СЗИ (ОУД4 + ТУ)

                        Комментарий


                        • Сообщение от malotavr Посмотреть сообщение
                          Из ГОСТ 15408-1 и ГОСТ 18045. Профиль - не самостоятельный документ, он "доопределяет" применение этих стандартов к определенному виду объектов оценки.
                          Я понимаю, но всё равно яснее не стало:
                          ФБО – функциональные возможности безопасности объекта оценки
                          Функциональность безопасности ОО (ФБО) Совокупность функций обеспечения информационной безопасности всего аппаратного, программного и программно-аппаратного обеспечения ОО обеспечивающих компонентов ППО АС, которые необходимо использовать для корректной реализации ФТБ.
                          Что тут может оцениваться, если оценивается объект оценки.

                          Сообщение от malotavr Посмотреть сообщение
                          Если простым языком, то функции безопасности и уязвимости в них должны оцениваться доя системы в целом.
                          Ну, у меня сегодня ВМ на одной платформе визуализации, завтра на другой, послезавтра вообще в облаке. Что именно то оценивается? Какой скоуп? Как понять какие именно компоненты нужны для "корректной реализации ФТБ"?

                          Комментарий


                          • Сообщение от Cpx Посмотреть сообщение
                            Но можно доработать и сделать СЗИ (ОУД4 + ТУ)
                            Всю АБС как СЗИ?
                            Вот интересно, если будет сертифицироваться только подсистема безопасности АБС, будет ли это удовлетворять требованиям?

                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              Всю АБС как СЗИ? Вот интересно, если будет сертифицироваться только подсистема безопасности АБС, будет ли это удовлетворять требованиям?
                              Очевидно, что да - всю.
                              Но, абсолютно правильно мыслите (: Что подсистема ИБ - выполняет безопасность, а все остальные бизнес подсистемы проверяются на ОУД (НДВ4).
                              Иначе не подать на сертификацию, а код ПО проверить нужно Круговорот выходит...

                              Комментарий


                              • Сообщение от Zuz Посмотреть сообщение
                                Что тут может оцениватьсяНу, у меня сегодня ВМ на одной платформе визуализации, завтра на другой, послезавтра вообще в облаке. Что именно то оценивается? Какой скоуп? Как понять какие именно компоненты нужны для "корректной реализации ФТБ"?
                                Объект оценки (точнее, его функциональные возможности безопасности) оцениваются в определенном окружении. В таком случае есть два варианта:

                                1. Вам провели оценку для всех вариантов виртуализации (фиксируются конкретные версии гипервизоров, архитектуры облака и т.п.) и вы спокойно это окружение меняете - в пределах, для которых проводилась оценка.

                                2. Вам провели оценку для определенного окружения, и при изменении окружения оценка стала нерелевантной - нужно проводить заново

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение
                                  верно - как есть не сертифицировать.
                                  Но можно доработать и сделать СЗИ (ОУД4 + ТУ)
                                  1. К СЗИ относятся и "защищенные средства обработки информации". Т.е. должны быть хоть какие-то функции безопасности, которые и заявляются на сертификацию.
                                  2. При наличии утвержденного профиля защиты сертификация допускается только на соответствие щаданию по безопасности, основанному на этом профиле.

                                  Комментарий


                                  • Сообщение от malotavr Посмотреть сообщение
                                    2. При наличии утвержденного профиля защиты сертификация допускается только на соответствие щаданию по безопасности, основанному на этом профиле.
                                    Тут речь шла об АБС не из области ДБО, для них же нет профиля...

                                    Комментарий


                                    • Сообщение от Zuz Посмотреть сообщение
                                      Тут речь шла об АБС не из области ДБО, для них же нет профиля...
                                      Это профиль на банковские системы и приложения. В гипотетическом (в реальность не верю) случае подачи заявки на сертификацию или ФСТЭК, или орган по сертификации (вторая испытательная лаборатория, которую назначают контролировать работу выбранного вами сертификатора) обязательно обратит внимание на существование профиля. Придется обосновывать, почему конкретно эта АБС не подпадает под область действия профиля, и это непросто.

                                      Комментарий


                                      • Сообщение от malotavr Посмотреть сообщение
                                        Это профиль на банковские системы и приложения.
                                        Верно, ою этом указано в разделе 2.3.2. Тип объекта оценки, но в разделе 2.3.1. Использование и основные функциональные возможности безопасности ОО сказано:
                                        "Настоящий ПЗ определяет требования безопасности к ОО - прикладному программному обеспечению автоматизированных систем и приложений финансовых организаций, предназначенных для, осуществления финансовых операций, банковских операций, перевода денежных средств, а также программному обеспечению.
                                        На ОО обрабатывается защищаемая информация на участках, используемых для передачи и приема первичных документов (содержащихся в электронных сообщениях) к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»).
                                        ОО представляет собой специальное прикладное программное обеспечение, предоставляемое поставщиком или разработчиком, которое используется для реализации технологии осуществления дистанционного обслуживания клиентов и доступа клиента к каналам дистанционного обслуживания.
                                        ОО размещается на технологических участках передачи и приема первичных документов (содержащихся в электронных сообщениях) к исполнению финансовой организацией с использованием информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»).
                                        При этом, ОО:
                                        - устанавливается в изолированном сегменте сети, сопряженном с сетью «Интернет», на инфраструктуре финансовой организации, входит в состав автоматизированной системы финансовой организации и взаимодействует с обеспечивающими компонентами автоматизированных систем (фронт-офисное СПО);
                                        -устанавливается на отдельном устройстве или компоненте инфраструктуры клиента финансовой организации, сопряженном с сетью «Интернет», в качестве отдельного специального прикладного программного обеспечения – приложения (клиентское ППО).
                                        "


                                        Это резко сужает применимость профиля и
                                        Сообщение от malotavr Посмотреть сообщение
                                        В гипотетическом (в реальность не верю) случае подачи заявки на сертификацию или ФСТЭК, или орган по сертификации (вторая испытательная лаборатория, которую назначают контролировать работу выбранного вами сертификатора) обязательно обратит внимание на существование профиля. Придется обосновывать, почему конкретно эта АБС не подпадает под область действия профиля, и это непросто.
                                        Верно, обосновывать придётся, я выше, вполне себе, обосновал. )))

                                        Комментарий


                                        • Сообщение от malotavr Посмотреть сообщение
                                          Это профиль на банковские системы и приложения
                                          Это вы ошибаетесь. Профиль на системы ДБО.
                                          Возможно, что его распространят на открытые API, от которых банкам не отвертеться. См. https://www.kommersant.ru/doc/4060395

                                          Комментарий


                                          • del

                                            Комментарий


                                            • мне кажется рано делать выводы, документ еще не вышел. Уверен в нем еще поменяют многое (:

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                Верно, ою этом указано в разделе 2.3.2. Тип объекта оценки, но в разделе 2.3.1. Использование и основные функциональные возможности безопасности ОО сказано:
                                                "Настоящий ПЗ определяет требования безопасности к ОО - прикладному программному обеспечению автоматизированных систем и приложений финансовых организаций, предназначенных для, осуществления финансовых операций, банковских операций, перевода денежных средств, а также программному обеспечению.
                                                На ОО обрабатывается защищаемая информация на участках, используемых для передачи и приема первичных документов (содержащихся в электронных сообщениях) к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»).
                                                ОО представляет собой специальное прикладное программное обеспечение, предоставляемое поставщиком или разработчиком, которое используется для реализации технологии осуществления дистанционного обслуживания клиентов и доступа клиента к каналам дистанционного обслуживания.
                                                ОО размещается на технологических участках передачи и приема первичных документов (содержащихся в электронных сообщениях) к исполнению финансовой организацией с использованием информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»).
                                                При этом, ОО:
                                                - устанавливается в изолированном сегменте сети, сопряженном с сетью «Интернет», на инфраструктуре финансовой организации, входит в состав автоматизированной системы финансовой организации и взаимодействует с обеспечивающими компонентами автоматизированных систем (фронт-офисное СПО);
                                                -устанавливается на отдельном устройстве или компоненте инфраструктуры клиента финансовой организации, сопряженном с сетью «Интернет», в качестве отдельного специального прикладного программного обеспечения – приложения (клиентское ППО).
                                                "


                                                Это резко сужает применимость профиля и

                                                Верно, обосновывать придётся, я выше, вполне себе, обосновал. )))
                                                Мы обсуждаем сертификацию в контексте исполнения положений ЦБ, так? То есть мы и обсуждаем сертификацию ПО для АС и приложений, "предназначенных для, осуществления финансовых операций, банковских операций, перевода денежных средств". Другое ПО вам сертифицировать не нужно.

                                                Для этого ПО очень высок риск того, что или ФСТЭК, или орган по сертификации обратит внимание на существование профиля и заставит сертифицироваться на соответствие ЗБ.

                                                Раздел 2.3.1 не определяет ПО, а накладывает ограничения на его использование. Т.е. логика ФСТЭК при согласовании заявки на сертификацию следующая:
                                                1. Смотрим тип СЗИ. На этот тип СЗИ есть профиль? Если есть, сертификация только на соответствие ЗБ.
                                                2. Смотрим описание ОО в ЗБ. Оно соответствует п. 2.3.1 профиля? Если нет, то до свидания.

                                                Сертифицироваться по ТУ вы сможете, только если по другому заявите тип ПО. Но в этом случае нет никакой гарантии, что это не всплывет хотя бы и после выдачи сертификата. Такой сертификат в любой момент может быть отозван, у заявителя впоследствии будут серьезные проблемы с последующими сертификациями - ему придется исполнять все требования до последней запятой без малейших послаблений.

                                                Комментарий


                                                • Сообщение от malotavr Посмотреть сообщение
                                                  Раздел 2.3.1 не определяет ПО, а накладывает ограничения на его использование.
                                                  1. Смотрим тип СЗИ. На этот тип СЗИ есть профиль? Если есть, сертификация только на соответствие ЗБ.
                                                  Т.е., если я не могу использовать ПО в указанных условиях и оно для работы в таких условиях не предназначено, то разве это не означает, что на данного ПО нельзя по этому ПЗ создать ЗБ и профиль не применим к этому ПО, т.е. профиля нет?
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  2. Смотрим описание ОО в ЗБ. Оно соответствует п. 2.3.1 профиля? Если нет, то до свидания.
                                                  Т.е., если ПО не удовлетворяет 2.3.1 то и сертифицировать его иначе никак нельзя? Интересно. Жёсткая тут формалистика. )))

                                                  Хорошо, про анализ уязвимостей так и не понятно как делать и как применять тут профиль. )))

                                                  Комментарий


                                                  • Сообщение от Zuz Посмотреть сообщение
                                                    Т.е., если я не могу использовать ПО в указанных условиях и оно для работы в таких условиях не предназначено, то разве это не означает, что на данного ПО нельзя по этому ПЗ создать ЗБ и профиль не применим к этому ПО, т.е. профиля нет?

                                                    Т.е., если ПО не удовлетворяет 2.3.1 то и сертифицировать его иначе никак нельзя? Интересно. Жёсткая тут формалистика. )))

                                                    Хорошо, про анализ уязвимостей так и не понятно как делать и как применять тут профиль. )))
                                                    Профили защиты именно для этого стандартом и предусмотрены "IDS должна выполнять вот такой набор функций и применяться вот так. Если она не выполняет хоть одну функцию или применяется не так - это не IDS". При наличии утвержденного профиля сертифицировать в обход него "что-то похожее, но немножко отличающееся" не разрешает ни одна система сертификации ISO 15408

                                                    Мне дважды доводилось убеждать отдел сертификации ФСТЭК, что "вот это - особый вид IDS, сертифицировать его надо, но по профилю - бессмысленно". В первом случае в результате появился профиль на WAF, во втором - пилотная сертификация промышленной IDS с последующей (надеюсь) разработкой отдельного профиля на них. Но это прям особые случаи и это ни фига не просто.

                                                    Применительно к нашему случаю общественное обсуждение для того и проводится. ЦБ считает, что софт, подпадающий под сертификацию, должен выглядеть и применяться вот так. Если ПО не соответствует п. 2.3.1 профиля, но подпадает под требования сертификаци, разработчику или потребителю нужно прям с конкретным примером писать замечание. На мой взгляд, формулировку "тип ПО" нужно конкретизировать - со своей стороны я это в предложения впишу.

                                                    Комментарий


                                                    • Сообщение от malotavr Посмотреть сообщение
                                                      Применительно к нашему случаю общественное обсуждение для того и проводится. ЦБ считает, что софт, подпадающий под сертификацию, должен выглядеть и применяться вот так. Если ПО не соответствует п. 2.3.1 профиля, но подпадает под требования сертификаци, разработчику или потребителю нужно прям с конкретным примером писать замечание.
                                                      Не понятен момент "ПО не соответствует п. 2.3.1 профиля, но подпадает под требования сертификаци".
                                                      Вот скажите, система ДБО соответствует п. 2.3.1?

                                                      Комментарий


                                                      • Сообщение от ost Посмотреть сообщение
                                                        Вот скажите, система ДБО соответствует п. 2.3.1?
                                                        Смотря как она у вас реализована. Отдельные компоненты точно соответствуют.
                                                        К примеру, у вас может быть реализован клиент-банк через выделенные VPN-каналы (не через сеть Интернет) и формально уже система не соответствует п. 2.3.1.

                                                        Комментарий


                                                        • Сообщение от Zuz Посмотреть сообщение
                                                          К примеру, у вас может быть реализован клиент-банк через выделенные VPN-каналы
                                                          Ну в крайности не будем уходить, это АРМ КБР цбшный так работает.
                                                          У обычного банка всё как обычно -- браузер и/или мобильное приложение + интернет.

                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение

                                                            Не понятен момент "ПО не соответствует п. 2.3.1 профиля, но подпадает под требования сертификаци".
                                                            Вот скажите, система ДБО соответствует п. 2.3.1?
                                                            В таких формулировках - понятия не имею, Заявитель пишет в ТУ (или ЗБ) раздел "Технические характеристики изделия" ("Описание ОО"), и исходя из текста этого раздела принимается решение

                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение
                                                              это АРМ КБР цбшный так работает.
                                                              Да, он в скоуп формально не попадает и подсистемы АБС, что реализуют подготовку ЭС для обмена и подпись ЭС.
                                                              Последний раз редактировалось Zuz; 15.08.2019, 15:32.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X