20 октября, воскресенье 03:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Cpx Посмотреть сообщение
    Не спешите покупать сертифицированное барахло ФСБ, в новом году ЦБ выпустить новую версию Сигнатуры и будет новый сертификат и документация на нее...
    Ну, что сказать, прошла проверка ЦБ по 672-П, проверили каждый пункт (что действует), написали замечание, что не выполняется требование формуляра на Сигнатуру в части межсетевого экрана (нет сертификата ФСБ). Нужно устранять, стоимость минимальная получилась около 600 тыс. на выполнение этого требования (территориальные подразделения и отчётность, тоже сейчас на Сигнатуре будет). На уровень безопасности это не влияет (там банальные ACL же, хотя ГОСТ требует уже ого-го всяких файрволов уровня приложения). Но справедливости ради будь там межсетевой экран с сертификатом ФСТЭК, то замечания могло и не быть, было бы условное замечание (хотя и его бы пришлось устранять), или вообще без замечания могло не быть.

    Сообщение от dnebyshe Посмотреть сообщение
    Все таки ЦБ стали читать свои документы? Значит пора определяться с покупкой МЭ ФСБ? МЭ ФСТЭК не прокатит.
    Зависит от проверяющего.

    Сообщение от Александр Четвертый Посмотреть сообщение
    что желательно использовтать МЭ, сертифицированный ФСБ, а не ФСТЭК (напимер, SecretNet с функцией МЭ).
    Хостовые файрволы не совсем ложатся в требование, что сейчас есть в документации на Сигнатуру.

    Комментарий


    • Сообщение от Zuz Посмотреть сообщение
      не выполняется требование формуляра на Сигнатуру в части межсетевого экрана (нет сертификата ФСБ)
      Не повезло с проверяющим. Самое печальное в этих "МЭ за 600к с сертификатом" - это не их цена, а затраты на их обслуживание (чтобы они вообще хотя бы жужжали, не сгорели и трафик не теряли).

      Сообщение от Zuz Посмотреть сообщение
      Хостовые файрволы не совсем ложатся в требование, что сейчас есть в документации на Сигнатуру.
      А чему там противоречит? Не заметил слов про аппаратные МЭ в документах.

      Комментарий


      • Сообщение от Александр Четвертый Посмотреть сообщение
        Не заметил слов про аппаратные МЭ в документах.
        А есть не аппаратные МЭ с сертификатами ФСБ?

        Комментарий


        • Сообщение от dnebyshe Посмотреть сообщение
          А есть не аппаратные МЭ с сертификатами ФСБ?
          Не знаю - не искал даже. Мы SecretNet'ом надеемся отбиться. Если не отобьемся - только тогда искать будем.

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            А чему там противоречит? Не заметил слов про аппаратные МЭ в документах.
            Может я не совсем чётко выразился, имеется в виду, что файрволы должны быть не только на хостах, где Сигнатура, если упростить, то они должны быть на точке подключения.
            Вот требование:
            р) при использовании ПК «Сигнатура-клиент», установленного на ПЭВМ, подключенной к каналам связи, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных СЗИ от НСД (межсетевыми экранами, сертифицированными по требованиям ФСБ России);
            Если читать буквально, то каналы должны быть оснащены (т.к. если бы речь шла про ПЭВМ, фраза бы была сформулирована по иному). У нас истолковали при проверке, что на границе должен быть файрвол, хорошо что он есть у нас и на хосте, но на хосте его можно отключить и тогда ой. ))) Понятно, что может быть программный файрвол на отдельном хосте, но тут вопрос именно в том, что если есть только на том же где Сигнатура, то его не достаточно (это я и и мел в виду, а не то, что вообще нельзя применять программные файрволы).

            И, да, программных с сертификатом ФСБ за не дорого, вроде не осталось совсем, был ViPNet клиент под Linux (в теории из него и старого ПК или на уровне ВМ, если у вас АРМы виртуализированы, можно сделать МЭ, правда не знаю допустимо ли его в виде ВМ использовать).

            Сообщение от Александр Четвертый Посмотреть сообщение
            Мы SecretNet'ом надеемся отбиться.
            В теории, если у вас АРМы выделены в отдельный сетевой сегмент, то должны отбиться и с хостовыми файрволами.
            Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат. Проверяющему показали, он согласился, что был бы сертификат ФСТЭК не вопрос. У нас раньше ViPNet Personal Firewall применялся, но у него сертификат - всё, его удалили пока заменили на файрвол в составе Windows (т.к. формально это ПО больше не сопровождается производителем и к эксплуатации не рекомендуется).

            Комментарий


            • Вот такое кто как реализовал:
              "Кроме того, необходимо организовать затирание (по окончании сеанса работы ПО СКАД «Сигнатура 5») временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы ПК «Сигнатура-клиент». Если это не выполнимо, то ОС должна использоваться в однопользовательском режиме и к ПЭВМ следует строго ограничить доступ (по типу ограничения доступа к ключевой информации)."
              Не ясно как определить окончание сеанса работы?
              Сделать батник, которым запускается прикладное ПО АРМ, и после закрытия АРМ батник запустит ПО которое проведёт затирание?

              Там правда есть оговорка про однопользовательский режим:
              "Примечание - Под однопользовательским режимом в данном случае подразумевается такой режим, при котором все пользователи данной рабочей станции имеют одинаковый комплект ключевой информации этой рабочей станции;", вроде, её достаточно, чтобы не выполнять (ключевая информация на каждом АРМ одна же), но уже написали замечание и проще выполнить. )))

              Комментарий


              • Сообщение от Александр Четвертый Посмотреть сообщение

                Не знаю - не искал даже. Мы SecretNet'ом надеемся отбиться. Если не отобьемся - только тогда искать будем.
                Т.е. Вы готовы рискнуть перед проверкой и перед аудиторами по ГОСТ, что не потребуют ФСБшного МЭ и не вкатают нарушение требований 672-П?

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат.
                  Можете письмо в личку скинуть? Такое письмо сильный аргумент.

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    р) при использовании ПК «Сигнатура-клиент», установленного на ПЭВМ, подключенной к каналам связи, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных СЗИ от НСД (межсетевыми экранами, сертифицированными по требованиям ФСБ России);
                    Я понимаю это так:
                    Если контур безопасности, состоящий из платежных сегментов, в которых крутяться АРМы с Сигнаторой имеет сетевое взаимодействие с корторативной сетью Банка (контролируемой зоны), то корпоративна сеть Банка должна быть экранирована ФСБ экраном от не контролируемой зоны.
                    А вот ставить МЭ на периметр защищенного платежного контура или на периметр Банка, тут надо посчитать что дешевле, сколько у банка платежных контуров и сколько филиалов и допников.

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат.
                      Очень прошу поделится. Нам или не поступало или не передали в наше подразделение, хочу выяснить это у своих

                      Комментарий


                      • Вот из свеженького попалось:

                        Программно-аппаратный комплекс (ПАК) ViPNet Coordinator IG10 — сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов связи в промышленных системах и сегментирования их на защищенные объекты. ViPNet Coordinator IG предназначен для обеспечения эффективной защиты от сетевых атак и несанкционированного доступа к информации путем создания защищенных каналов связи до 10 Мбит/с на основе технологии ViPNet и фильтрации IP-трафика в соответствии с установленными правилами.
                        https://infotecs.ru/product/vipnet-c...ator-ig10.html

                        Сертификат ФСБ на МЭ 4 класса до 23.02.2022г.
                        https://infotecs.ru/upload/iblock/1e...nator_IG_4.pdf

                        Цена в зависимости от версии 85.000 или 98.900 руб.

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          Нам из ЦБ приходило письмо, где уведомляли, что нужно согласно договора обмена ЭС разработать положение по СКЗИ, вот там в приложении к письму указано что можно как ФСБ таки ФСТЭК сертификат. Проверяющему показали, он согласился, что был бы сертификат ФСТЭК не вопрос.
                          Но в этом письме не отменяется следовать документации на СКАД Сигнатуры. А в формулярах явно про сертификат ФСБ говориться.

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            Вот из свеженького попалось:

                            Программно-аппаратный комплекс (ПАК) ViPNet Coordinator IG10 — сетевой шлюз безопасности в индустриальном исполнении, предназначенный для защиты каналов связи в промышленных системах и сегментирования их на защищенные объекты. ViPNet Coordinator IG предназначен для обеспечения эффективной защиты от сетевых атак и несанкционированного доступа к информации путем создания защищенных каналов связи до 10 Мбит/с на основе технологии ViPNet и фильтрации IP-трафика в соответствии с установленными правилами.
                            https://infotecs.ru/product/vipnet-c...ator-ig10.html

                            Сертификат ФСБ на МЭ 4 класса до 23.02.2022г.
                            https://infotecs.ru/upload/iblock/1e...nator_IG_4.pdf

                            Цена в зависимости от версии 85.000 или 98.900 руб.
                            Мне кажется, что эксплуатация координатора отдельно, без разворачивания vipnet сети это ничего не решит.

                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              Проверяющему показали, он согласился, что был бы сертификат ФСТЭК не вопрос
                              Кстати требование по 4 классу по ФСТЭК это только на АРМ КБР-Н.

                              АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ НОВОЕ
                              Руководство по обеспечению информационной безопасности
                              ЦБРФ.61289-02 93 01
                              Организация защищенного подключения ПК АРМ КБР-Н в локальную вычислительную сеть клиента


                              Необходимо организовать и обеспечить защищенное подключение ПК АРМ КБР-Н в локальную вычислительную сеть (ЛВС) клиента, предполагающее отсутствие технической возможности доступа к ПК АРМ КБР-Н из внешних, по отношению к ЛВС клиента, сетей, в том числе из сети Интернет.

                              Для решения указанной задачи необходимо обеспечить защиту ЛВС клиента от сетевых атак из внешних сетей, в том числе из сети Интернет, путем применения межсетевого экрана, который должен осуществлять фильтрацию сетевого графика и соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники, межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности.


                              На сигнатуру это требование не распространяется.
                              Не смотря на то, что это требование есть в договоре с ЦБ, оно не может занижать требования формуляра СКЗИ, выполнение которого требует положение ЦБ 672-П
                              За нарушение договора и за нарушения требования положения ЦБ - разные наказания.
                              Тут смотря на какого проверяющего нарвешься.

                              Последний раз редактировалось dnebyshe; 11.10.2019, 13:00.

                              Комментарий


                              • Сообщение от dnebyshe Посмотреть сообщение
                                Т.е. Вы готовы рискнуть перед проверкой и перед аудиторами по ГОСТ
                                На 146%. Под лежачий камень.. У банков сейчас столько требований, что нарушить их даже случайно легко. Бывает

                                Комментарий


                                • Коллеги, делитесь по СЗИ на Армах (контрол, процессинг, кбрн, ФОИВ).
                                  Че ставили: Соболи+секрет нет+антивир?

                                  Комментарий


                                  • Сообщение от dnebyshe Посмотреть сообщение
                                    Че ставили: Соболи+секрет нет+антивир?
                                    Аккорд + SecretNet + DrWeb

                                    Комментарий


                                    • Сообщение от Александр Четвертый Посмотреть сообщение

                                      Аккорд + SecretNet + DrWeb
                                      SecretNet у вас по 3 классу как МЭ по ФСТЭК?

                                      Комментарий


                                      • А серверная часть банк клиента попадает под 672?

                                        Комментарий


                                        • Сообщение от ndebyshe Посмотреть сообщение
                                          SecretNet у вас по 3 классу как МЭ по ФСТЭК?
                                          4-й класс защиты МЭ типа «В». При наезде можно уйти на Secret Net Studio-C (2-й класс защиты МЭ типа «В»).

                                          Сообщение от za_ebs Посмотреть сообщение
                                          А серверная часть банк клиента попадает под 672?
                                          Область действия этого документа зависит от проверяющего и может ограничиваться одним АРМ КБР-ом или вообще всем банком - как повезет.

                                          Комментарий


                                          • Сообщение от Александр Четвертый Посмотреть сообщение

                                            Аккорд + SecretNet + DrWeb
                                            А одного аккорда от НСД не хватит?

                                            Комментарий


                                            • Сообщение от Enhot Посмотреть сообщение
                                              А одного аккорда от НСД не хватит?
                                              Если ставить именно ПАК СЗИ от НСД Аккорд, то сойдет. А если просто как модуль доверенной загрузки и ДСЧ, то формально нет.

                                              Комментарий


                                              • Сообщение от Александр Четвертый Посмотреть сообщение

                                                Если ставить именно ПАК СЗИ от НСД Аккорд, то сойдет. А если просто как модуль доверенной загрузки и ДСЧ, то формально нет.
                                                Спасибо

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  Ну, что сказать, прошла проверка ЦБ по 672-П, проверили каждый пункт (что действует), написали замечание, что не выполняется требование формуляра на Сигнатуру в части межсетевого экрана (нет сертификата ФСБ). Нужно устранять, стоимость минимальная получилась около 600 тыс.
                                                  а оценку ФСБ на ПО взаимодействующее со скад сигнратурой не попросили, это указано в требованиях формуляра?!

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X