21 ноября, четверг 08:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Cpx Посмотреть сообщение
    Не спешите покупать сертифицированное барахло ФСБ, в новом году ЦБ выпустить новую версию Сигнатуры и будет новый сертификат и документация на нее...
    Ну, что сказать, прошла проверка ЦБ по 672-П, проверили каждый пункт (что действует), написали замечание, что не выполняется требование формуляра на Сигнатуру в части межсетевого экрана (нет сертификата ФСБ). Нужно устранять, стоимость минимальная получилась около 600 тыс. на выполнение этого требования (территориальные подразделения и отчётность, тоже сейчас на Сигнатуре будет). На уровень безопасности это не влияет (там банальные ACL же, хотя ГОСТ требует уже ого-го всяких файрволов уровня приложения). Но справедливости ради будь там межсетевой экран с сертификатом ФСТЭК, то замечания могло и не быть, было бы условное замечание (хотя и его бы пришлось устранять), или вообще без замечания могло не быть.

    Сообщение от dnebyshe Посмотреть сообщение
    Все таки ЦБ стали читать свои документы? Значит пора определяться с покупкой МЭ ФСБ? МЭ ФСТЭК не прокатит.
    Зависит от проверяющего.

    Сообщение от Александр Четвертый Посмотреть сообщение
    что желательно использовтать МЭ, сертифицированный ФСБ, а не ФСТЭК (напимер, SecretNet с функцией МЭ).
    Хостовые файрволы не совсем ложатся в требование, что сейчас есть в документации на Сигнатуру.

    Комментарий


    • Сообщение от Zuz Посмотреть сообщение
      не выполняется требование формуляра на Сигнатуру в части межсетевого экрана (нет сертификата ФСБ)
      Не повезло с проверяющим. Самое печальное в этих "МЭ за 600к с сертификатом" - это не их цена, а затраты на их обслуживание (чтобы они вообще хотя бы жужжали, не сгорели и трафик не теряли).

      Сообщение от Zuz Посмотреть сообщение
      Хостовые файрволы не совсем ложатся в требование, что сейчас есть в документации на Сигнатуру.
      А чему там противоречит? Не заметил слов про аппаратные МЭ в документах.

      Комментарий


      • Сообщение от Александр Четвертый Посмотреть сообщение
        Не заметил слов про аппаратные МЭ в документах.
        А есть не аппаратные МЭ с сертификатами ФСБ?

        Комментарий


        • Сообщение от dnebyshe Посмотреть сообщение
          А есть не аппаратные МЭ с сертификатами ФСБ?
          Не знаю - не искал даже. Мы SecretNet'ом надеемся отбиться. Если не отобьемся - только тогда искать будем.

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            А чему там противоречит? Не заметил слов про аппаратные МЭ в документах.
            Может я не совсем чётко выразился, имеется в виду, что файрволы должны быть не только на хостах, где Сигнатура, если упростить, то они должны быть на точке подключения.
            Вот требование:
            р) при использовании ПК «Сигнатура-клиент», установленного на ПЭВМ, подключенной к каналам связи, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных СЗИ от НСД (межсетевыми экранами, сертифицированными по требованиям ФСБ России);
            Если читать буквально, то каналы должны быть оснащены (т.к. если бы речь шла про ПЭВМ, фраза бы была сформулирована по иному). У нас истолковали при проверке, что на границе должен быть файрвол, хорошо что он есть у нас и на хосте, но на хосте его можно отключить и тогда ой. ))) Понятно, что может быть программный файрвол на отдельном хосте, но тут вопрос именно в том, что если есть только на том же где Сигнатура, то его не достаточно (это я и и мел в виду, а не то, что вообще нельзя применять программные файрволы).

            И, да, программных с сертификатом ФСБ за не дорого, вроде не осталось совсем, был ViPNet клиент под Linux (в теории из него и старого ПК или на уровне ВМ, если у вас АРМы виртуализированы, можно сделать МЭ, правда не знаю допустимо ли его в виде ВМ использовать).

            Сообщение от Александр Четвертый Посмотреть сообщение
            Мы SecretNet'ом надеемся отбиться.
            В теории, если у вас АРМы выделены в отдельный сетевой сегмент, то должны отбиться и с хостовыми файрволами.
            Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат. Проверяющему показали, он согласился, что был бы сертификат ФСТЭК не вопрос. У нас раньше ViPNet Personal Firewall применялся, но у него сертификат - всё, его удалили пока заменили на файрвол в составе Windows (т.к. формально это ПО больше не сопровождается производителем и к эксплуатации не рекомендуется).

            Комментарий


            • Вот такое кто как реализовал:
              "Кроме того, необходимо организовать затирание (по окончании сеанса работы ПО СКАД «Сигнатура 5») временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы ПК «Сигнатура-клиент». Если это не выполнимо, то ОС должна использоваться в однопользовательском режиме и к ПЭВМ следует строго ограничить доступ (по типу ограничения доступа к ключевой информации)."
              Не ясно как определить окончание сеанса работы?
              Сделать батник, которым запускается прикладное ПО АРМ, и после закрытия АРМ батник запустит ПО которое проведёт затирание?

              Там правда есть оговорка про однопользовательский режим:
              "Примечание - Под однопользовательским режимом в данном случае подразумевается такой режим, при котором все пользователи данной рабочей станции имеют одинаковый комплект ключевой информации этой рабочей станции;", вроде, её достаточно, чтобы не выполнять (ключевая информация на каждом АРМ одна же), но уже написали замечание и проще выполнить. )))

              Комментарий


              • Сообщение от Александр Четвертый Посмотреть сообщение

                Не знаю - не искал даже. Мы SecretNet'ом надеемся отбиться. Если не отобьемся - только тогда искать будем.
                Т.е. Вы готовы рискнуть перед проверкой и перед аудиторами по ГОСТ, что не потребуют ФСБшного МЭ и не вкатают нарушение требований 672-П?

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат.
                  Можете письмо в личку скинуть? Такое письмо сильный аргумент.

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    р) при использовании ПК «Сигнатура-клиент», установленного на ПЭВМ, подключенной к каналам связи, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных СЗИ от НСД (межсетевыми экранами, сертифицированными по требованиям ФСБ России);
                    Я понимаю это так:
                    Если контур безопасности, состоящий из платежных сегментов, в которых крутяться АРМы с Сигнаторой имеет сетевое взаимодействие с корторативной сетью Банка (контролируемой зоны), то корпоративна сеть Банка должна быть экранирована ФСБ экраном от не контролируемой зоны.
                    А вот ставить МЭ на периметр защищенного платежного контура или на периметр Банка, тут надо посчитать что дешевле, сколько у банка платежных контуров и сколько филиалов и допников.

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат.
                      Очень прошу поделится. Нам или не поступало или не передали в наше подразделение, хочу выяснить это у своих

                      Комментарий


                      • Вот из свеженького попалось:

                        Программно-аппаратный комплекс (ПАК) ViPNet Coordinator IG10 — сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов связи в промышленных системах и сегментирования их на защищенные объекты. ViPNet Coordinator IG предназначен для обеспечения эффективной защиты от сетевых атак и несанкционированного доступа к информации путем создания защищенных каналов связи до 10 Мбит/с на основе технологии ViPNet и фильтрации IP-трафика в соответствии с установленными правилами.
                        https://infotecs.ru/product/vipnet-c...ator-ig10.html

                        Сертификат ФСБ на МЭ 4 класса до 23.02.2022г.
                        https://infotecs.ru/upload/iblock/1e...nator_IG_4.pdf

                        Цена в зависимости от версии 85.000 или 98.900 руб.

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат. Проверяющему показали, он согласился, что был бы сертификат ФСТЭК не вопрос.
                          Но в этом письме не отменяется следовать документации на СКАД Сигнатуры. А в формулярах явно про сертификат ФСБ говориться.

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            Вот из свеженького попалось:

                            Программно-аппаратный комплекс (ПАК) ViPNet Coordinator IG10 — сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов связи в промышленных системах и сегментирования их на защищенные объекты. ViPNet Coordinator IG предназначен для обеспечения эффективной защиты от сетевых атак и несанкционированного доступа к информации путем создания защищенных каналов связи до 10 Мбит/с на основе технологии ViPNet и фильтрации IP-трафика в соответствии с установленными правилами.
                            https://infotecs.ru/product/vipnet-c...ator-ig10.html

                            Сертификат ФСБ на МЭ 4 класса до 23.02.2022г.
                            https://infotecs.ru/upload/iblock/1e...nator_IG_4.pdf

                            Цена в зависимости от версии 85.000 или 98.900 руб.
                            Мне кажется, что эксплуатация координатора отдельно, без разворачивания vipnet сети это ничего не решит.

                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              Проверяющему показали, он согласился, что был бы сертификат ФСТЭК не вопрос
                              Кстати требование по 4 классу по ФСТЭК это только на АРМ КБР-Н.

                              АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ НОВОЕ
                              Руководство по обеспечению информационной безопасности
                              ЦБРФ.61289-02 93 01
                              Организация защищенного подключения ПК АРМ КБР-Н в локальную вычислительную сеть клиента


                              Необходимо организовать и обеспечить защищенное подключение ПК АРМ КБР-Н в локальную вычислительную сеть (ЛВС) клиента, предполагающее отсутствие технической возможности доступа к ПК АРМ КБР-Н из внешних, по отношению к ЛВС клиента, сетей, в том числе из сети Интернет.

                              Для решения указанной задачи необходимо обеспечить защиту ЛВС клиента от сетевых атак из внешних сетей, в том числе из сети Интернет, путем применения межсетевого экрана, который должен осуществлять фильтрацию сетевого графика и соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники, межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности.


                              На сигнатуру это требование не распространяется.
                              Не смотря на то, что это требование есть в договоре с ЦБ, оно не может занижать требования формуляра СКЗИ, выполнение которого требует положение ЦБ 672-П
                              За нарушение договора и за нарушения требования положения ЦБ - разные наказания.
                              Тут смотря на какого проверяющего нарвешься.

                              Последний раз редактировалось dnebyshe; 11.10.2019, 13:00.

                              Комментарий


                              • Сообщение от dnebyshe Посмотреть сообщение
                                Т.е. Вы готовы рискнуть перед проверкой и перед аудиторами по ГОСТ
                                На 146%. Под лежачий камень.. У банков сейчас столько требований, что нарушить их даже случайно легко. Бывает

                                Комментарий


                                • Коллеги, делитесь по СЗИ на Армах (контрол, процессинг, кбрн, ФОИВ).
                                  Че ставили: Соболи+секрет нет+антивир?

                                  Комментарий


                                  • Сообщение от dnebyshe Посмотреть сообщение
                                    Че ставили: Соболи+секрет нет+антивир?
                                    Аккорд + SecretNet + DrWeb

                                    Комментарий


                                    • Сообщение от Александр Четвертый Посмотреть сообщение

                                      Аккорд + SecretNet + DrWeb
                                      SecretNet у вас по 3 классу как МЭ по ФСТЭК?

                                      Комментарий


                                      • А серверная часть банк клиента попадает под 672?

                                        Комментарий


                                        • Сообщение от ndebyshe Посмотреть сообщение
                                          SecretNet у вас по 3 классу как МЭ по ФСТЭК?
                                          4-й класс защиты МЭ типа «В». При наезде можно уйти на Secret Net Studio-C (2-й класс защиты МЭ типа «В»).

                                          Сообщение от za_ebs Посмотреть сообщение
                                          А серверная часть банк клиента попадает под 672?
                                          Область действия этого документа зависит от проверяющего и может ограничиваться одним АРМ КБР-ом или вообще всем банком - как повезет.

                                          Комментарий


                                          • Сообщение от Александр Четвертый Посмотреть сообщение

                                            Аккорд + SecretNet + DrWeb
                                            А одного аккорда от НСД не хватит?

                                            Комментарий


                                            • Сообщение от Enhot Посмотреть сообщение
                                              А одного аккорда от НСД не хватит?
                                              Если ставить именно ПАК СЗИ от НСД Аккорд, то сойдет. А если просто как модуль доверенной загрузки и ДСЧ, то формально нет.

                                              Комментарий


                                              • Сообщение от Александр Четвертый Посмотреть сообщение

                                                Если ставить именно ПАК СЗИ от НСД Аккорд, то сойдет. А если просто как модуль доверенной загрузки и ДСЧ, то формально нет.
                                                Спасибо

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  Ну, что сказать, прошла проверка ЦБ по 672-П, проверили каждый пункт (что действует), написали замечание, что не выполняется требование формуляра на Сигнатуру в части межсетевого экрана (нет сертификата ФСБ). Нужно устранять, стоимость минимальная получилась около 600 тыс.
                                                  а оценку ФСБ на ПО взаимодействующее со скад сигнратурой не попросили, это указано в требованиях формуляра?!

                                                  Комментарий


                                                  • Коллеги, а нет явного запрета оставить армы с сигнатурой в домене?

                                                    Комментарий


                                                    • Сообщение от ndebyshe Посмотреть сообщение
                                                      Коллеги, а нет явного запрета оставить армы с сигнатурой в домене?
                                                      Все запреты и требования указаны в Положении ЦБ и в формуляре на СКЗИ.

                                                      Комментарий


                                                      • Сообщение от ndebyshe Посмотреть сообщение
                                                        Коллеги, а нет явного запрета оставить армы с сигнатурой в домене?
                                                        Запрета нет (во всяком случае не помню). Такое требования вроде есть в стандарте Swifta (вывести из общего домена, ес-но, при желании, можно завести локальный домен для платежного сегмента), и это общая рекомендация аудиторов для АРМ-ов в платёжных сегментов для юриков.

                                                        Комментарий


                                                        • Сообщение от dnebyshe Посмотреть сообщение
                                                          Кстати требование по 4 классу по ФСТЭК это только на АРМ КБР-Н.
                                                          Верно, остальные АРМ, где Сигнатура нужно всё равно защищать с помощью межсетевого экрана согласован формуляру на данное СКЗИ.

                                                          Сообщение от dnebyshe Посмотреть сообщение
                                                          Не смотря на то, что это требование есть в договоре с ЦБ, оно не может занижать требования формуляра СКЗИ, выполнение которого требует положение ЦБ 672-П За нарушение договора и за нарушения требования положения ЦБ - разные наказания. Тут смотря на какого проверяющего нарвешься.
                                                          И это верно.

                                                          Сообщение от dnebyshe Посмотреть сообщение
                                                          А вот ставить МЭ на периметр защищенного платежного контура или на периметр Банка, тут надо посчитать что дешевле, сколько у банка платежных контуров и сколько филиалов и допников.
                                                          Есть ещё требования к сегментации из 672-П и ГОСТ. Мы пришли к выводу, что проще защищать на уровне отдельных сегментов платёжных АРМ изолируя их от остальных сетей межсетевым экраном с сертификатом ФСБ (такой межсетевой экран может защищать несколько сегментов, где он требуется, к примеру, АРМы с ПС БР и АРМы для отчётности), а на самих хостах можно устанавливать межсетевой экран с сертификатом ФСТЭК (как минимум, на АРМ КБР-Н).
                                                          Также можно поставить на границе с сетью Интернет межсетевой экран с сертификатом ФСТЭК, но это сложно, т.к. в общем случае точек подключения может быть много и они территориально распределены.

                                                          Сообщение от Cpx Посмотреть сообщение
                                                          а оценку ФСБ на ПО взаимодействующее со скад сигнратурой не попросили, это указано в требованиях формуляра?!
                                                          До этого к счастью не дошло, но мы бы тут просто запрос к разработчику АБС направили, т.к. встраивание производили они и корректность встраивания должны были как разработчик при проведении работ осуществлять они сами?
                                                          Или я тут какой-то нюанс не улавливаю и банк тоже к этому имеет отношение?

                                                          Сообщение от ndebyshe Посмотреть сообщение
                                                          Коллеги, а нет явного запрета оставить армы с сигнатурой в домене?
                                                          В руководстве АИБ на Сигнатуру есть косвенно требования, которые не ясно как выполнить, если комп в домене:
                                                          2.2.1.2 Администратор ОС должен сконфигурировать ОС, в среде которой планируется использовать ПК «Сигнатура-клиент», и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
                                                          ...

                                                          в) исключить возможность удаленного управления, администрирования и модификации ОС и её настроек; [если комп в домене, то этого никак не избежать, в этом и смысл введения компьютера в домен]

                                                          Я думаю, если поискать внимательно, то будет что-то ещё на эту тему в документации на СКЗИ. Ну и в 672-П и ГОСТ формально требуется сегментация и изоляция, которая в условиях управления компьютерами в домене не имеет практического смысла.

                                                          Комментарий


                                                          • Zuz, оценку проводить должен эксплуатант системы, т.е. банк (это написано в ПКЗ и формуляре). Хотя вендор безусловно может и по хорошему должен это сделать (заложить в стоимость).

                                                            Комментарий


                                                            • Сообщение от Zuz Посмотреть сообщение
                                                              Мы пришли к выводу, что проще защищать на уровне отдельных сегментов платёжных АРМ изолируя их от остальных сетей межсетевым экраном с сертификатом ФСБ (такой межсетевой экран может защищать несколько сегментов, где он требуется, к примеру, АРМы с ПС БР и АРМы для отчётности), а на самих хостах можно устанавливать межсетевой экран с сертификатом ФСТЭК (как минимум, на АРМ КБР-Н).
                                                              На каком экране остановились? А то кроме HW от Инфотекса что-то ничего и нет.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X