4 июня, четверг 03:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Zuz Посмотреть сообщение
    в) исключить возможность удаленного управления, администрирования и модификации ОС и её настроек; [если комп в домене, то этого никак не избежать, в этом и смысл введения компьютера в домен]
    Да, это то что нужно.
    Спасибо.
    Перечитаю еще сто первый разок формуляры на СКЗИ и СЗИ

    Комментарий


    • Сообщение от ndebyshe Посмотреть сообщение
      А то кроме HW от Инфотекса что-то ничего и нет.
      Верно, пока на них. Там посмотрим.

      Комментарий


      • Сообщение от Cpx Посмотреть сообщение
        Zuz, оценку проводить должен эксплуатант системы, т.е. банк (это написано в ПКЗ и формуляре).
        А можно пояснить, на основании чего такой вывод? Я вот читаю формульяр на СКАД Сигнатура и там указано:
        2.16 Проверка корректности встраивания
        2.16.1 При встраивании «Сигнатура-клиент» в прикладные системы необходимо проводить проверку (оценку) влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, с которыми предполагается его штатное функционирование, на выполнение предъявленных к данному средству требований, в следующих случаях:


        КМК, эксплуатирующая организация формального встраивания не производит. Это делает разработчик ПО, в которое встраивается СКЗИ.
        ПКЗ-2005 как раз при разработки СКЗИ и предусматривает такую проверку, а тут реализуется разработка компонента для ПО на базе которой будет защищённая с использованием СКЗИ информационная система в дальнейшем создана.

        В противном случае по такой логике (раз требование в формуляре на СКЗИ, то его обеспечивает организация эксплуатирующая СКЗИ) получается Банки должны при каждой новой версии АРМ КБР-Н осуществлять процедуру корректности встраивания самостоятельно?

        Сообщение от Cpx Посмотреть сообщение
        Хотя вендор безусловно может и по хорошему должен это сделать (заложить в стоимость).
        А тут почему безусловно, есть обязательства? Как раз сейчас обсуждаем с вендором этот вопрос по системе быстрых платежей. Там кто Сигнатуру/Янтарь встраивает? Вендор намекает, что это делаем мы, но мне это странно, мы максимум инсталлируем ПО, какое такое встраивание? Встраивание по моему мнению суть адаптация ПО (разработка) для работы с СКЗИ.
        Последний раз редактировалось Zuz; 13.11.2019, 16:33.

        Комментарий


        • К вопросу о контроле встраивания, ниже ответ вендора на одном из последних вебинаров:

          - ЦФТ свой криптоадаптер отдал на проверку в ФСБ?

          Ответ: На текущий момент совместно с лабораторией ведутся работы по согласованию с ФСБ России технического задания на контроль встраивания СКЗИ в прикладное ПО ЦФТ. После согласования - начнуться работы по контролю встраивания.

          Комментарий


          • Сообщение от Enhot Посмотреть сообщение
            - ЦФТ свой криптоадаптер отдал на проверку в ФСБ?
            Есть два контроля встраивания (точнее оценки влияния), на момент создания СКЗИ (см. ПКЗ-2005) и на момент встраивания СКЗИ в новое прикладное ПО (см. формуляр на любое СКЗИ), которое не учтено было в ТЗ на момент разработки СКЗИ.
            Я думаю тут первый вариант.

            Комментарий


            • Сообщение от Zuz Посмотреть сообщение
              Есть два контроля встраивания (точнее оценки влияния), на момент создания СКЗИ (см. ПКЗ-2005) и на момент встраивания СКЗИ в новое прикладное ПО (см. формуляр на любое СКЗИ), которое не учтено было в ТЗ на момент разработки СКЗИ. ........
              Не соглашусь, т.к. чисто логически и что бы хотя бы себя не путать - на момент создания СКЗИ контроль встраивания проводиться не может, т.к. оно еще не куда не встраивается.))
              При создании СКЗИ проводят - тематические исследования: Комплекс криптографических, инженерно криптографических и специальных исследований, направленных на оценку соответствия СКЗИ требованиям по безопасности информации, предъявляемым к СКЗИ.
              А при встраивании (точнее после) - оценку влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований.
              Какие-то подробности есть в "Р 1323565.1.012-2017. Рекомендации по стандартизации. Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации"

              Т.е., я думаю, что второй, т.к. для первого ЦФТ нужно будет состояться в качестве разработчика СКЗИ КВ класса, и потом, это СКЗИ сертифицировать.

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                Не соглашусь, т.к. чисто логически и что бы хотя бы себя не путать - на момент создания СКЗИ контроль встраивания проводиться не может, т.к. оно еще не куда не встраивается.))
                Там скобки же были. Очевидно, что имелись в виду тождественные формулировки по оценке влияния.
                Сообщение от saches Посмотреть сообщение
                При создании СКЗИ проводят - тематические исследования: Комплекс криптографических, инженерно криптографических и специальных исследований, направленных на оценку соответствия СКЗИ требованиям по безопасности информации, предъявляемым к СКЗИ.
                Да, но в ПКЗ-2005 указано в порядке разработки СКЗИ, что "35. Состав аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ, влияющих на выполнение заданных требований к СКЗИ, определяется разработчиком СКЗИ и согласовывается с заказчиком СКЗИ, специализированной организацией и ФСБ России.
                Оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией."

                Вот ровно в этот момент (немного утрируя) в документацию на СКЗИ можно уже указать фразы типа, что СКЗИ можно использовать с пакетом Microsoft Office или в качестве интерфейса Crypto API в Windows.
                Сообщение от saches Посмотреть сообщение
                А при встраивании (точнее после) - оценку влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований.
                Эти процедуры аналогичные, на этапе разработки фактически производится тоже самое, это очевидно же. Да, там это является отдельным этапом опытно-конструкторской работы, в рамках которой и создаётся СКЗИ.

                Сообщение от saches Посмотреть сообщение
                Т.е., я думаю, что второй, т.к. для первого ЦФТ нужно будет состояться в качестве разработчика СКЗИ КВ класса, и потом, это СКЗИ сертифицировать.
                Зачем его отдавать на "сертификацию", если уже есть СКЗИ?

                Я, честно говоря, не погружался в детали, что там за криптопровайдер у ЦФТ и тут вопрос об ином, в котором я уже разобрался для себя: оценку влияния при встраивании СКЗИ в осуществляет разработчик прикладного ПО, это прямо следует из ПКЗ-2005 (который лицензиат должен выполнять) и документации на СКЗИ, где указано тому кто производит встраивание её проводить. Более работы по встраиванию СКЗИ, это, КМК, лицензируемый вид деятельности.
                Последний раз редактировалось Zuz; 16.11.2019, 17:48.

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  .....Вот ровно в этот момент (немного утрируя) в документацию на СКЗИ можно уже указать фразы типа, что СКЗИ можно использовать с пакетом Microsoft Office или в качестве интерфейса Crypto API в Windows.
                  Сообщение от Zuz Посмотреть сообщение
                  ....Эти процедуры аналогичные, на этапе разработки фактически производится тоже самое, это очевидно же. Да, там это является отдельным этапом опытно-конструкторской работы, в рамках которой и создаётся СКЗИ....
                  Вы сами себе противоречите.
                  Очевидно, что убедиться, что СКЗИ правильно работает в очередной новой версии венды или офиса, это совсем не то же самое, что убедиться, что СКЗИ в принципе, правильно работает

                  Комментарий


                  • Коллеги, чем сделать паспорта ПО на АРмы? (установленного ПО и железки)
                    Проверка заходит через неделю, ИТ загружены, а делать надо.
                    Нужна софтина, чтобы локально запустить и собрать информацию в текстовик.

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      Вы сами себе противоречите. Очевидно, что убедиться, что СКЗИ правильно работает в очередной новой версии венды или офиса, это совсем не то же самое, что убедиться, что СКЗИ в принципе, правильно работает
                      По моему мнению, оценка влияния на этапе разработки СКЗИ - это отдельный этап ОКР, когда СКЗИ уже фактически разработано, и нужно убедиться, что оно работает корректно в среде, в которой предназначено (т.е. вызывается правильно, требования к эксплуатации соблюдены и т.п.), аналогично на этапе, когда СКЗИ уже передано для эксплуатации и нужно провести встраивание куда-то, все процедуры ровно такие же (формулировка оценки влияния в ПКЗ-2005 и формулярах на СЗКИ тождественная) .
                      Я честно, говоря не понимаю с чем вы спорите. ))) Хотите указать, что при разработке СКЗИ проводятся только тематические исследования? Ну явно же это не так, прочтите ПКЗ-2005 там чётко указано, что такое ТИ СКЗИ и что такое оценка влияния и когда они проводятся. В формуляре на СКЗИ также дана тождественная формулировка в части оценки влияния, но названо это всё процедурой корректности встраивания.
                      Давайте, также тезисно изложите и мы поймём в чём наши точки зрения расходятся.

                      Комментарий


                      • Сообщение от ndebyshe Посмотреть сообщение
                        Коллеги, чем сделать паспорта ПО на АРмы? (установленного ПО и железки)
                        Проверка заходит через неделю, ИТ загружены, а делать надо.
                        Нужна софтина, чтобы локально запустить и собрать информацию в текстовик.
                        Я последний раз wmic использовал/ Но это на любителя.

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          По моему мнению, оценка влияния на этапе разработки СКЗИ - это отдельный этап ОКР, когда СКЗИ уже фактически разработано, и нужно убедиться, что оно работает корректно в среде, в которой предназначено (т.е. вызывается правильно, требования к эксплуатации соблюдены и т.п.), аналогично на этапе, когда СКЗИ уже передано для эксплуатации и нужно провести встраивание куда-то, все процедуры ровно такие же (формулировка оценки влияния в ПКЗ-2005 и формулярах на СЗКИ тождественная) ....
                          Это все го лишь частный случай. Например, Сравните объем работ на сертификацию и на контроль встраивания HSM + клиента HSM, или, например, nGateю Если не ошибаюсь, работы по сертификации nGate у КриптоПРО заняли 2 года. Вы условия его эксплуатации то же 2 года будете проверять? Я к тому, что ТИ на требования к СКЗИ и ТИ по оценке влияния, можно конечно сравнивать (хотя бы по тому, что там есть общие моменты), но проводить какие-то близкие аналогии я бы не стал.

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            Я к тому, что ТИ на требования к СКЗИ и ТИ по оценке влияния, можно конечно сравнивать (хотя бы по тому, что там есть общие моменты), но проводить какие-то близкие аналогии я бы не стал.
                            Ещё раз, насколько я понимаю, оценка влияния проводится при разработке СКЗИ, это прямо сказано в ПКЗ-2005. Я не понимаю, как с этими можно спорить. ))) И в том и в другом случае мероприятия фактически одни и те же (могут быть конечно нюансы). Просто при разработке СКЗИ это один из этапов (я не ставлю тут равенства межу ТИ и оценкой влияния, как почему-то понимаете вы). При встраивании это отдельная процедура, про которую почему-то вспомнили только в контексте ЕБС.
                            А вот в контексте 672-П и АРМ КБР-Н, почему-то нет. )))

                            Комментарий


                            • Как у Вас работает форум? С цитатми и прочим? Про оценку в АРМ КБР-Н мы вспомнили в соотв теме))

                              Комментарий


                              • Добрый день!
                                Только начал вникать в тему. Поправьте, пожалуйста, если в чем-то ошибаюсь:


                                1. АРМ СПФС-аналог SWIFT-на него распространяются требования договора с ЦБ (552-П) и не распространяется 672-П


                                2. АРМ КБР-Н - Через него проходят сообщения по ССНП и СБП??-на него распространяются требования 672-П и не распространяются требования договора с ЦБ (552-П)


                                3. АРМ КБР и АРМ СПФС физически разные машины в разных сетевых сегментах

                                4. На обоих АРМ стоит сигнатура, в связи с чем необходима установка сертифицированного МЭ 4 КЗ, сертифицированного ФСБ СЗИ от НДС с АПМДЗ и сертифицированного антивируса

                                5. Эл. сообщения в ЦБ в условном контуре формирования (в идеале в АБС, но можно и на отдельном АРМ формирования) формируются на основании первички из АБС (либо бумажные из опер.офисов либо электронные из ДБО) и каждое из них подписывается ЗК (таким образом и становясь ЭС).
                                После этого подписанные ЭС, собранные в пакет??, идут на АРМ контроля, он же контур контроля, который берет первичку из АБС и сравнивает ее с подписанными ЗК сообщениями в пакете??. Далее АРМ контроля ставит КА на пакет?? и отправляет на АРМ КБР-Н для шифрования и отправки в ЦБ.

                                6. АРМ СПФС, тем временем, просто берет сообщения из АБС, подписывает и шифрует своим отдельным от КБР-Н ключем.

                                И несколько вопросов:
                                1. МЭ сегментов фомирования и контроля должны быть физическими?
                                2. Если подписание ЗК происходит в АБС, АБС становиться частью контура, который должен быть отделен МЭ от всего остального+ все СЗИ для сигнатуры на сервер АБС?
                                3. Если для подписания ЗК и КА используются отдельные АРМ, то на них будет сигнатура, а, соответственно и все сертифицированные СЗИ. Таким образом комплект на АРМ КБРН, АРМ формирования и АРМ контроля + х2 на резервные АРМ?
                                4. В требовании 14.3 672-П «применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности» говорится о применении сертифицированного по ФСБ МЭ между АРМ КБРН и ЦБ? Оно дублирует требование формуляра сигнатуры?
                                5. В 672-П есть требования к СБП. Взаимодействие по СБП тоже осуществляется через АРМ КБР? ЭП вроде получаются в НСПК. Есть какая-нибудь функциональная схема построения взаимодействия по СБП?
                                6. Есть ли документ, обязывающий применять ГОСТ 57580 на АРМ СПФС и СБП?

                                Буду благодарен за ответы!

                                Комментарий


                                • Efor
                                  1. Аналог, да. Всегда начинаем от требований договора (нынче Приложения публикуются онлайн на сайте ЦБ - в итоге подписано на бумаге одно, а там - что подсунут). 552-П утратил силу с вводом 672-П.
                                  2. Договор тот же (или уже отдельный?), но другие Приложения (путаница та еще). Еще 382-П никто не отменял (готовится новая редакция) и ГОСТ теперь не забудьте.
                                  3. Имелось в виду КБР-Н? Здесь на форуме пишут, что ЦБ забыл потребовать устанавливать их на разные компьютеры - ставят на один. Оба умеют "дозваниваться" до сервера ЦБ, но можно настроить обмен через одного из них (КБР-Н предпочтительнее).
                                  4. Имелось в виду от НСД? Про МЭ вопрос пока не очень поднимается (есть мнение, что он только при установке TLS требуется, но все на волю проверяющих), но антивирус должен быть сертифицирован ФСБ и быть другого производителся, чем на серверах. АПМДЗ требуется для КБР-Н, а для СПФС забыли потребовать.
                                  5. Контуры первого и второго (и КБР-Н) должны быть в разных сегментах с разными правами доступа к АБС первого и второго (КБР-Н без доступа)! Или передача на флэшке. В идеале Оператор у себя в АБС ставит ЗК на документы, контролер у себя в АБС (сверяет ЗК) ставит на пакет КА и выгружает файл на диск. Файл отдается в КБР-Н (сверяет ЗК и КА и шифрует). (Обратный путь не интересует?)
                                  6. СПФС как старый КБР по первому варианту защиты - все с одним своим ключем (далее может отправлять сам, а может через шлюз КБР-Н). Физически оператор, СПФС и КБР-Н могут быть совмещены на одном компе, а контролер - на другом (или наоборот).

                                  И еще:
                                  1. Не придрались к наличию МЭ вообще - лишь бы разные сегменты. Видно, в ЦБ еще нет единого инструктажа по этому вопросу. Но теперь надо смотреть на ГОСТ...
                                  2. АБС - это нечто на сервере. Оператор и контролер работают на своих АРМ с установленной Сигнатурой, запуская компоненты АБС с сервера, которые умеют запускать локальную Сигнатуру (это уж как разработчики АБС сделали). АРМы в разных сегментах.
                                  3. Минимально: 3 Сигнатуры, 3 антивируса ФСБ, 1 АМДЗ на КБР-Н. Или КБР-Н можно у одного из них (2, 2, 1 будет). Резервы сами считайте (холодные или горячие).
                                  4. Не придрались к наличию МЭ между КБР-Н и ЦБ вообще. По идее - там выделенка до ТШ КБР, клиент Cisco AnyConnect, двусторонняя аутентификация и шифрование в КБР-Н.
                                  5. СБП еще только предстоит осмыслить.
                                  6. Явно еще как бы нет.

                                  А зачем СПФС вообще нужен, когда есть SWIFT? Его навязали - как бы избавиться. Есть совет не исполнять требования его договора, чтобы отключили от этого договора! У нас не придрались, что мы вообще собрали однажды АРМ СПФС, отправили акты, а затем отключили все в его настройках и разобрали. На нет и суда нет.

                                  Комментарий


                                  • Спасибо за ответы!

                                    (Обратный путь не интересует?)
                                    Интересует. Проверка и расшифровка в АРМ КБР-Н происходит? Далее с информацией еще какие-нибудь манипуляции нужно делать? или можно из КБР-Н по назначению направлять?

                                    3. Минимально: 3 Сигнатуры, 3 антивируса ФСБ, 1 АМДЗ на КБР-Н. Или КБР-Н можно у одного из них (2, 2, 1 будет). Резервы сами считайте (холодные или горячие).
                                    А почему на 3 сигнатуры только 1 апмдз?
                                    "2.9.4 В состав каждого рабочего места с установленным ПК «Средство КЗИ СКАД «Сигнатура» версия 5» рекомендуется (по уровню КС1) или обязательно (для уровня КС2) включать СЗИ от НСД, сертифицированное ФСБ России, и содержащее в своем составе сертифицированный ФСБ России аппаратный датчик случайных чисел"

                                    Только КБР-Н КС2? Остальные КС1? Где найти указание кто какой должен быть?

                                    4. Не придрались к наличию МЭ между КБР-Н и ЦБ вообще. По идее - там выделенка до ТШ КБР, клиент Cisco AnyConnect, двусторонняя аутентификация и шифрование в КБР-Н..
                                    Может из-за того, что требование в 21году вступает в силу?

                                    Комментарий


                                    • Efor дополню отзыв diev:

                                      Сообщение от diev Посмотреть сообщение
                                      1. ... 552-П утратил силу с вводом 672-П.
                                      Нет совсем, он живёт в приложении к договору обмена ЭС с ПС БР в части СПФС. И вам повезёт, если при проверке его не будут проверять, т.к. 552-П в разы масштабнее по требованиям 672-П (если не считать ещё не вступивших требований в части ГОСТ). Кстати у нас проверяли и 552-П и в замечания даже отменённый документ тоже идёт. Помимо договора нужно выполнять 382-П и 683-П.

                                      Сообщение от diev Посмотреть сообщение
                                      2. Договор тот же (или уже отдельный?), но другие Приложения (путаница та еще). Еще 382-П никто не отменял (готовится новая редакция) и ГОСТ теперь не забудьте.
                                      Договор на СПФС тот же что и на АРМ КБР-Н (об обмене ЭС с ПС БР), но другие части и приложения. Помимо договора нужно выполнять 382-П, 672-П, 683-П.

                                      Сообщение от diev Посмотреть сообщение
                                      3. ... Здесь на форуме пишут, что ЦБ забыл потребовать устанавливать их на разные компьютеры - ставят на один.
                                      Это от ТУ зависит, наше просто акт готовности не подпишет, на АРМ СПФС отдельный акт. И вообще исполнители могут быть разные. В общем нюансов много.

                                      Сообщение от diev ;n49703154. ...
                                      Про МЭ вопрос пока не очень поднимается
                                      См. ответы на вопросы в блоге Лукацкого по 672-П. Там чётко ЦБ сказало есть 11 сертифицированных ФСБ межсетевых экранов, пользуйтесь, проблем нет. )))

                                      Сообщение от diev Посмотреть сообщение
                                      6. ... Физически оператор, СПФС и КБР-Н могут быть совмещены на одном компе, а контролер - на другом (или наоборот).
                                      Вот не уверен я, не советуйте, лучше такую схему, т.к. есть проблемы, к примеру, если у вас произойдёт инцидент в одном из контуров, второй сможет продолжать работу.

                                      По вопросам:
                                      Сообщение от diev Посмотреть сообщение
                                      1. Не придрались к наличию МЭ вообще - лишь бы разные сегменты.
                                      Потому как 672-П отдаёт вам на усмотрение вопрос сегментации в этом случае (весьма условно, т.к. скоро нужно будет ГОСТ выполнять), главное эта схема должна быть согласована по линии ИБ.

                                      Сообщение от diev Посмотреть сообщение
                                      2. АБС - это нечто на сервере.
                                      Да, но контур формирования и контуры контроля это не один и не два АРМ, формально это все АРМ и сервера АБС, что участвуют в данных процессах. Это логические контуры. Как они защищаются вопрос открытый, но требования Сигнатуры вы указали верно, что относятся только к машинам, где Сигнатура.

                                      Сообщение от diev Посмотреть сообщение
                                      3. Минимально: 3 Сигнатуры, 3 антивируса ФСБ, 1 АМДЗ на КБР-Н. Или КБР-Н можно у одного из них (2, 2, 1 будет). Резервы сами считайте (холодные или горячие).
                                      Не совсем верно, АМДЗ нужно на всех АРМ с Сигнатурой (см. документацию на Сигнатуру, там чётко прописано какое именно СЗИ можно использовать, вы же не будете с ФСБ другое СЗИ согласовывать?)
                                      Для каждой Сигнатуры нужно: 1 СЗИ от ВВК (сертификат ФСБ), 1 от НСД АМДЗ (сертификат ФСБ), межсетевой экран (сертификат ФСБ). АРМ КБР-Н может требовать СЗИ от НСД с сертификатом ФСТЭК (см. требования вашего договора обмена ЭС в ПС БР, может отличаться в зависимости от требований ТУ).

                                      Сообщение от Efor Посмотреть сообщение
                                      4. В требовании 14.3 672-П «применением средств защиты информации, реализующих двухстороннюю аутентификацию
                                      Это требование 672-П ещё не действует, как минимум полтора года, как его реализовать ЦБ нам расскажет.
                                      Сообщение от diev Посмотреть сообщение
                                      4. Не придрались к наличию МЭ между КБР-Н и ЦБ вообще
                                      Повезло, т.к. это может трактоваться, как нарушение требований документации на Сигнатуру ибо эти сети неконтролируемый вами периметр.
                                      Мы используем отдельные компы для работы VPN (оно падает и админы должны иметь возможность с ним работать, не ходить же к АРМ в корсчета) + модуль транспортной машины (эта технология пока работает и ЦБ её поддерживает).
                                      Сообщение от diev Посмотреть сообщение
                                      двусторонняя аутентификация и шифрование в КБР-Н.
                                      Двухстороннюю не припомню, а шифрование весьма условное + из этой сети сегмента к вам незнамо что может прилететь, если ваш АРМ КБР-Н сам держит этот коннект.

                                      Сообщение от diev Посмотреть сообщение
                                      5. СБП еще только предстоит осмыслить.
                                      Там отдельный софт от вашего вендора, по сути ещё один АРМ КБР (Сигнатура + прикладной софт, что будет подписывать и проверять подписи + шифровать сообщения по ГОСТ), в НСПК это всё идёт уже через Интернет через обычный HTTPS (не понимаю эту любовь к сети Интернет, что мешает делать выделенные каналы не ясно, DDoS-атаки, видимо, нравится отбивать, когда можно просто уклониться от них). Требования те же: 1 СЗИ от ВВК (сертификат ФСБ), 1 от НСД АМДЗ (сертификат ФСБ), межсетевой экран (сертификат ФСБ).

                                      Сообщение от diev Посмотреть сообщение
                                      6. Явно еще как бы нет.
                                      Да, пока 382-П, но скоро 672-П, 683-П и в 2023 замена 382-П.

                                      Сообщение от diev Посмотреть сообщение
                                      сть совет не исполнять требования его договора, чтобы отключили от этого договора!
                                      Интересно, но есть письма с рекомендациями внедрить СПФС их при проверке легко можно написать в замечание, а далее в устранение.
                                      Но вообще, используют, т.к. проще В сопровождении и дешевле SWIFT, если нужно с банками РФ общаться.

                                      Комментарий


                                      • Zuz
                                        Не умею так красиво по пунктам цитировать - отвечу проще.

                                        Когда ТУ потребовало сделать акты о готовности КБР-Н и СПФС (договор един, но акты разные, да), то единственным камнем преткновения стало, что для КБР-Н формально нужен АМДЗ - 1 шт. (чьей сертификации ТУ не смогло подсказать). Все остальное не требует. ТУ же пояснило, как это все можно разместить по минимум (он же максимум) двум рабочим местам в пределе.

                                        Когда пришла проверка, то спросили: Сигнатура КС1? Ок. Но антивирус надо непременно сертифицированный ФСБ. Где нет Сигнатуры - любой. Но на серверах - другой (в прошлый раз уже устраняли на 2008R2, но тут выяснилось, что в 2012R2 больше нет встроенного!). СПФС нет? Ок. Видеонаблюдение, что делали для 552-П, а сейчас осталось смотреть за КБР-Н, посмотрели - кто имел к нему доступ. Проверили все компы ПС БР (минимальный софт, какие сети), но Сигнатура в отчетности ПТК ПСД не заинтересовала. МЭ есть, конечно, но не сертифицированные. Если когда напишут - будем устранять. Написали, что сегменты АРМ контуров ввода и контроля надо развести (сегмент АБС остается на месте) - устранили. И на этом все сыты.

                                        Комментарий


                                        • Сообщение от ndebyshe Посмотреть сообщение
                                          Коллеги, чем сделать паспорта ПО на АРмы? (установленного ПО и железки)
                                          Проверка заходит через неделю, ИТ загружены, а делать надо.
                                          Нужна софтина, чтобы локально запустить и собрать информацию в текстовик.
                                          Они заходят и просят сделать текстовики прямо из реестра - а там и весь софт, который вы уже под паспорта почистили, и все носители, что когда-либо вставляли...

                                          Комментарий


                                          • Сообщение от Zuz Посмотреть сообщение
                                            Не совсем верно, АМДЗ нужно на всех АРМ с Сигнатурой (см. документацию на Сигнатуру, там чётко прописано какое именно СЗИ можно использовать, вы же не будете с ФСБ другое СЗИ согласовывать?)
                                            Для каждой Сигнатуры нужно: 1 СЗИ от ВВК (сертификат ФСБ), 1 от НСД АМДЗ (сертификат ФСБ), межсетевой экран (сертификат ФСБ). АРМ КБР-Н может требовать СЗИ от НСД с сертификатом ФСТЭК (см. требования вашего договора обмена ЭС в ПС БР, может отличаться в зависимости от требований ТУ).
                                            Можете прозвать меня занудой, но позволю себе вставить ремарку (Ремарк: да что вы себе позволяете!):
                                            https://bankir.ru/dom/forum/департам...76#post4948076
                                            Формально, АМДЗ (если говорить о Соболе, про Аккорд не знаю) это не средство защиты от НСД. По идее, чтобы закрыть требование Сигнатуры надо ставить SecretNet с сертификатом ФСБ, но тогда не получится закрыть требования АРМ КБР-Н, в котором написано, что надо использовать НСД с сертификатом ФСТЭК (который обычно закрывает требования использовать средства защиты от НСД и МЭ с сертификатом ФСТЭК)

                                            Комментарий


                                            • Сообщение от diev Посмотреть сообщение
                                              ТУ же пояснило, как это все можно разместить по минимум (он же максимум) двум рабочим местам в пределе.
                                              Как я и говорил, зависит от ТУ. Поэтому лучше всё уточнять и там (это первое место где нужно задавать вопросы).
                                              Сообщение от diev Посмотреть сообщение
                                              Сигнатура КС1? Ок.
                                              А вот это подробнее почему КС1?
                                              Мы ни от кого не можем добиться класса СКЗИ, он нигде не указан (и, вроде, даже для АРМ КБР-Н), в ЦБ запрашивать бесполезно (это не АРМ КБР-Н, не их софт). А производитель АБС не указывает требований к классу СКЗИ. Ну и СТО БР ИББС формально КС2 требует. Поэтому наш проверяющий сказал КС2 должно быть (а ваш КС1 удовлетворился).
                                              Сообщение от diev Посмотреть сообщение
                                              МЭ есть, конечно, но не сертифицированные. Если когда напишут - будем устранять.
                                              Нам написали в составе нарушений требований к документации на Сигнатуру. Провели каждое требование (причём проверяли как по документации 106 так и 107). Но это зависит от проверяющего.

                                              Сообщение от Berckut Посмотреть сообщение
                                              это не средство защиты от НСД.
                                              Ну, это весьма условно, но у Аккордов это прямо в названии указано, и в одном из сертификатов ФСБ (который на самом деле не удовлетворяет требованиям документации на Сигнатуру, удовлетворяет другой для версии 3.2).
                                              Сообщение от Berckut Посмотреть сообщение
                                              По идее, чтобы закрыть требование Сигнатуры надо ставить SecretNet с сертификатом ФСБ
                                              Не соглашусь, в документации прямо указано, что применять:
                                              "1 В варианте исполнения 2 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» функционирует в 32-битных (x86) и в 64-битных (x64) ОС совместно с СЗИ от НСД «Аккорд АМДЗ» (версия 3.2 - на базе контроллера Аккорд-5.5), СЗИ от НСД «Соболь 3.0» (версии кода расширения BIOS 1.0.99, 1.0.180).
                                              2 По согласованию с ФСБ России допускается использование иных СЗИ от НСД, сертифицированных по требованиям ФСБ России по классу не ниже 3Б."

                                              Сообщение от Berckut Посмотреть сообщение
                                              но тогда не получится закрыть требования АРМ КБР-Н, в котором написано, что надо использовать НСД с сертификатом ФСТЭК (который обычно закрывает требования использовать средства защиты от НСД и МЭ с сертификатом ФСТЭК)
                                              Если внимательно перечитайте, я про это вскользь заметил. Для этого в нашем ТУ было рекомендовано СПО "Аккорд-win32/64", ПАК не посатвить, т.к. ПАК, а не СПО идёт только с сертификатом ФСТЭК на АМДЗ Аккорд.

                                              P.S. Как бы забыть всю эту чепуху? )
                                              Последний раз редактировалось Zuz; 25.12.2019, 18:42.

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                P.S. Как бы забыть всю эту чепуху? )
                                                +1
                                                Какой же ацкой фигнёй мы занимаемся!

                                                Оцените, как часто проверяют эту машину. И станет поятно, что лучше один раз в несколько лет огрести, чем каждый день выполнять этот маразрм, а в акте можно написать всё, что угодно. По-моему уже даже в ТУ поняли (те кто работают, а не проверками занимаются), что всё это чушь и их самих этот бред достал и поэтому даже заморачиваться не будут по поводу того, что вы там предоставите. Бумага есть? Есть! Всё, все довольны.

                                                Комментарий


                                                • Сообщение от diev Посмотреть сообщение
                                                  Они заходят и просят сделать текстовики прямо из реестра - а там и весь софт, который вы уже под паспорта почистили, и все носители, что когда-либо вставляли...
                                                  А какие ветки реестра проверяют?

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    А какие ветки реестра проверяют?
                                                    У нас запускали вот такой вот батник на всех объектах из скопа 382-П, 672-П, ЕБС:
                                                    Код:
                                                    @echo off
                                                    
                                                    rem Анализ ИБ. Модуль сбора информации с компьютера.
                                                    rem (C) ---=== PotapovVP@cbr.ru ===---
                                                    
                                                    for /f "delims=[] tokens=2" %%a in ('ping -4 -n 1 %ComputerName% ^| findstr [') do set NetworkIP=%%a
                                                    Set DOUT=%~dp0CompInfo_%COMPUTERNAME%_%NetworkIP%
                                                    If Exist %DOUT% rd /S/Q %DOUT%
                                                    md %DOUT%
                                                    
                                                    call :runone 001_ipconfig.txt                 ipconfig /all                            
                                                    call :runone 002_netstat_anorse.txt           netstat -anorse                          
                                                    call :runone 003_netstat_ao.txt               netstat /a /o                            
                                                    call :runone 004_arp.txt                      arp -a -v                                
                                                    call :runone 005_route.txt                    route print                              
                                                    call :runone 006_netsh.txt                    netsh dump                                
                                                    call :runone 007_schtasks.txt                 schtasks /query                          
                                                    call :runone 008_net_share.txt                net share                                
                                                    call :runone 009_net_session.txt              net session                              
                                                    call :runone 010_net_user.txt                 net user                                  
                                                    call :runone 011_TASKLIST_V_FO_TABLE.txt      TASKLIST /V /FO TABLE                    
                                                    call :runone 012_TASKLIST_M_FO_TABLE.txt      TASKLIST /M /FO TABLE                    
                                                    rem call :runone 013_wmic_ALIAS.txt               wmic ALIAS get /format:csv                
                                                    call :runone 014_wmic_BASEBOARD.txt           wmic BASEBOARD get /format:csv            
                                                    call :runone 015_wmic_BIOS.txt                wmic BIOS get /format:csv                
                                                    call :runone 016_wmic_BOOTCONFIG.txt          wmic BOOTCONFIG get /format:csv          
                                                    call :runone 017_wmic_COMPUTERSYSTEM.txt      wmic COMPUTERSYSTEM get /format:csv      
                                                    call :runone 018_wmic_CPU.txt                 wmic CPU get /format:csv                  
                                                    call :runone 019_wmic_CSPRODUCT.txt           wmic CSPRODUCT get /format:csv            
                                                    call :runone 020_wmic_DCOMAPP.txt             wmic DCOMAPP get /format:csv              
                                                    call :runone 021_wmic_DESKTOP.txt             wmic DESKTOP get /format:csv              
                                                    call :runone 022_wmic_DESKTOPMONITOR.txt      wmic DESKTOPMONITOR get /format:csv      
                                                    call :runone 023_wmic_DEVICEMEMORYADDRESS.txt wmic DEVICEMEMORYADDRESS get /format:csv  
                                                    call :runone 024_wmic_DISKDRIVE.txt           wmic DISKDRIVE get /format:csv            
                                                    call :runone 025_wmic_ENVIRONMENT.txt         wmic ENVIRONMENT get /format:csv          
                                                    call :runone 026_wmic_GROUP.txt               wmic GROUP get /format:csv                
                                                    call :runone 027_wmic_IDECONTROLLER.txt       wmic IDECONTROLLER get /format:csv        
                                                    call :runone 028_wmic_IRQ.txt                 wmic IRQ get /format:csv                  
                                                    call :runone 029_wmic_LOADORDER.txt           wmic LOADORDER get /format:csv            
                                                    call :runone 030_wmic_LOGICALDISK.txt         wmic LOGICALDISK get /format:csv          
                                                    call :runone 031_wmic_LOGON.txt               wmic LOGON get /format:csv                
                                                    call :runone 032_wmic_MEMCACHE.txt            wmic MEMCACHE get /format:csv            
                                                    call :runone 033_wmic_MEMORYCHIP.txt          wmic MEMORYCHIP get /format:csv          
                                                    call :runone 034_wmic_MEMPHYSICAL.txt         wmic MEMPHYSICAL get /format:csv          
                                                    call :runone 035_wmic_NETCLIENT.txt           wmic NETCLIENT get /format:csv            
                                                    call :runone 036_wmic_NETLOGIN.txt            wmic NETLOGIN get /format:csv            
                                                    call :runone 037_wmic_NETPROTOCOL.txt         wmic NETPROTOCOL get /format:csv          
                                                    call :runone 038_wmic_NIC.txt                 wmic NIC get /format:csv                  
                                                    call :runone 039_wmic_NICCONFIG.txt           wmic NICCONFIG get /format:csv            
                                                    call :runone 040_wmic_NTDOMAIN.txt            wmic NTDOMAIN get /format:csv            
                                                    call :runone 041_wmic_NTEVENTLOG.txt          wmic NTEVENTLOG get /format:csv          
                                                    call :runone 042_wmic_ONBOARDDEVICE.txt       wmic ONBOARDDEVICE get /format:csv        
                                                    call :runone 043_wmic_PAGEFILE.txt            wmic PAGEFILE get /format:csv            
                                                    call :runone 044_wmic_PARTITION.txt           wmic PARTITION get /format:csv            
                                                    call :runone 045_wmic_PORT.txt                wmic PORT get /format:csv                
                                                    call :runone 046_wmic_PORTCONNECTOR.txt       wmic PORTCONNECTOR get /format:csv        
                                                    call :runone 047_wmic_PRINTER.txt             wmic PRINTER get /format:csv              
                                                    call :runone 048_wmic_PRINTERCONFIG.txt       wmic PRINTERCONFIG get /format:csv        
                                                    call :runone 049_wmic_PROCESS.txt             wmic PROCESS get /format:csv              
                                                    call :runone 050_wmic_PRODUCT.txt             wmic PRODUCT get /format:csv              
                                                    call :runone 051_wmic_QFE.txt                 wmic QFE get /format:csv                  
                                                    call :runone 052_wmic_RDACCOUNT.txt           wmic RDACCOUNT get /format:csv            
                                                    call :runone 053_wmic_RDNIC.txt               wmic RDNIC get /format:csv                
                                                    call :runone 054_wmic_RDPERMISSIONS.txt       wmic RDPERMISSIONS get /format:csv        
                                                    call :runone 055_wmic_RDTOGGLE.txt            wmic RDTOGGLE get /format:csv            
                                                    call :runone 056_wmic_RECOVEROS.txt           wmic RECOVEROS get /format:csv            
                                                    call :runone 057_wmic_REGISTRY.txt            wmic REGISTRY get /format:csv            
                                                    call :runone 058_wmic_SCSICONTROLLER.txt      wmic SCSICONTROLLER get /format:csv      
                                                    call :runone 059_wmic_SERVICE.txt             wmic SERVICE get /format:csv              
                                                    call :runone 060_wmic_SHARE.txt               wmic SHARE get /format:csv                
                                                    call :runone 061_wmic_SOFTWAREELEMENT.txt     wmic SOFTWAREELEMENT get /format:csv      
                                                    call :runone 062_wmic_SOUNDDEV.txt            wmic SOUNDDEV get /format:csv            
                                                    call :runone 063_wmic_STARTUP.txt             wmic STARTUP get /format:csv              
                                                    call :runone 064_wmic_SYSACCOUNT.txt          wmic SYSACCOUNT get /format:csv          
                                                    call :runone 065_wmic_SYSDRIVER.txt           wmic SYSDRIVER get /format:csv            
                                                    call :runone 066_wmic_SYSTEMENCLOSURE.txt     wmic SYSTEMENCLOSURE get /format:csv      
                                                    call :runone 067_wmic_SYSTEMSLOT.txt          wmic SYSTEMSLOT get /format:csv          
                                                    call :runone 068_wmic_TIMEZONE.txt            wmic TIMEZONE get /format:csv            
                                                    call :runone 069_wmic_USERACCOUNT.txt         wmic USERACCOUNT get /format:csv          
                                                    call :runone 070_wmic_VOLUME.txt              wmic VOLUME get /format:csv              
                                                    call :runone 071_wmic_WMISET.txt              wmic WMISET get /format:csv              
                                                    call :runone 072_wmic_CDROM.txt               wmic CDROM get /format:csv                
                                                    call :runone 073_wmic_DISKQUOTA.txt           wmic DISKQUOTA get /format:csv            
                                                    call :runone 074_wmic_DMACHANNEL.txt          wmic DMACHANNEL get /format:csv          
                                                    call :runone 075_wmic_JOB.txt                 wmic JOB get /format:csv                  
                                                    call :runone 076_wmic_NETUSE.txt              wmic NETUSE get /format:csv              
                                                    call :runone 077_wmic_OS.txt                  wmic OS get /format:csv                  
                                                    call :runone 078_wmic_PAGEFILESET.txt         wmic PAGEFILESET get /format:csv          
                                                    call :runone 079_wmic_PRINTJOB.txt            wmic PRINTJOB get /format:csv            
                                                    call :runone 080_wmic_SERVER.txt              wmic SERVER get /format:csv              
                                                    call :runone 081_wmic_SHADOWCOPY.txt          wmic SHADOWCOPY get /format:csv          
                                                    call :runone 082_wmic_SHADOWSTORAGE.txt       wmic SHADOWSTORAGE get /format:csv        
                                                    call :runone 083_wmic_SOFTWAREFEATURE.txt     wmic SOFTWAREFEATURE get /format:csv      
                                                    call :runone 084_wmic_TAPEDRIVE.txt           wmic TAPEDRIVE get /format:csv            
                                                    call :runone 085_wmic_TEMPERATURE.txt         wmic TEMPERATURE get /format:csv          
                                                    call :runone 086_wmic_UPS.txt                 wmic UPS get /format:csv                  
                                                    call :runone 087_wmic_VOLTAGE.txt             wmic VOLTAGE get /format:csv              
                                                    call :runone 088_wmic_VOLUMEQUOTASETTING.txt  wmic VOLUMEQUOTASETTING get /format:csv  
                                                    call :runone 089_wmic_VOLUMEUSERQUOTA.txt     wmic VOLUMEUSERQUOTA get /format:csv      
                                                    call :runone 090_wmic_QUOTASETTING.txt        wmic QUOTASETTING get /format:csv        
                                                    
                                                    call :runone 091_wmic_NTEVENT.txt             wmic NTEVENT get /format:csv              
                                                    call :runone 092_wmic_DATAFILE_CD_exe.txt     wmic DATAFILE where "drive='c:' and Extension='exe' or drive='d:' and Extension='exe' or drive='e:' and Extension='exe'" get /format:csv            
                                                    rem call :runone 093_wmic_FSDIR.txt               wmic FSDIR get /format:csv                
                                                    
                                                    call :runone 701_ping_ya.ru.txt               ping ya.ru
                                                    call :runone 702_tracert_ya.ru.txt            tracert ya.ru
                                                    
                                                    c:\windows\system32\reg.exe export "HKCR\Local Settings\Software\Microsoft\Windows\Shell\MuiCache"    %DOUT%\801_cache.reg /y
                                                    c:\windows\system32\reg.exe export "HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR"                %DOUT%\802_usbstor.reg /y
                                                    
                                                    md %DOUT%\Win_System32_winevt_Logs
                                                    copy %SystemRoot%\System32\winevt\Logs\*.* %DOUT%\Win_System32_winevt_Logs
                                                    md %DOUT%\Win_INF_Logs
                                                    copy %SystemRoot%\INF\*.log %DOUT%\Win_INF_Logs
                                                    md %DOUT%\WindowsUpdate
                                                    copy %SystemRoot%\WindowsUpdate.log %DOUT%\WindowsUpdate
                                                    
                                                    call :runone 901_dir_c.txt dir c:\ /s                                
                                                    call :runone 902_dir_d.txt dir d:\ /s                                
                                                    
                                                    set FN=%DOUT%\000_MD5.txt
                                                    set FN=%FN:\=\\%
                                                    wmic datafile where name='%FN%' >> %DOUT%\000_0_FilesInfo_last.txt
                                                    certutil.exe -hashfile %FN% MD5 >> %DOUT%\000_0_MD5_last.txt
                                                    set FN=%DOUT%\000_FilesInfo.txt
                                                    set FN=%FN:\=\\%
                                                    wmic datafile where name='%FN%' >> %DOUT%\000_0_FilesInfo_last.txt
                                                    certutil.exe -hashfile %FN% MD5 >> %DOUT%\000_0_MD5_last.txt
                                                    
                                                    exit
                                                    
                                                    :runone
                                                    echo %date% %time% >> %DOUT%\000_MD5.txt
                                                    %2 %3 %4 %5 %6 %7 %8 %9 > %DOUT%\%1
                                                    rem dir %DOUT%\%1 >> %DOUT%\000_MD5.txt
                                                    set FN=%DOUT%\%1
                                                    set FN=%FN:\=\\%
                                                    wmic datafile where name='%FN%' >> %DOUT%\000_FilesInfo.txt
                                                    certutil.exe -hashfile %DOUT%\%1 MD5 >> %DOUT%\000_MD5.txt
                                                    echo. >> %DOUT%\000_MD5.txt
                                                    exit /b
                                                    По носителям есть у http://www.nirsoft.net USBDeview, используем сами при проверках и контроле внешних носителей.
                                                    Последний раз редактировалось Zuz; 26.12.2019, 12:13.

                                                    Комментарий


                                                    • Сообщение от Zuz Посмотреть сообщение
                                                      У нас запускали вот такой вот батник
                                                      Нет слов. VOLTAGE особенно доставил

                                                      Комментарий


                                                      • Сообщение от Berckut Посмотреть сообщение
                                                        Оцените, как часто проверяют эту машину. И станет поятно, что лучше один раз в несколько лет огрести, чем каждый день выполнять этот маразрм, а в акте можно написать всё, что угодно. По-моему уже даже в ТУ поняли (те кто работают, а не проверками занимаются), что всё это чушь и их самих этот бред достал и поэтому даже заморачиваться не будут по поводу того, что вы там предоставите. Бумага есть? Есть! Всё, все довольны.
                                                        Проверки будут/есть внешними независимыми лицензиатами ежегодно. Местное ТУ (подсокращенное с передачей полномочий в центр) говорит уже такую ересь, что Москва удивляется, а кто вам такое сказал, когда наезжает со своими центральными требованиями и сроками! А проверяющие от имени ЦБ теперь межрегиональные - уже никак не ТУ и ссылки на телефонные консультации с ним не аргумент.

                                                        Сообщение от Zuz Посмотреть сообщение
                                                        А вот это подробнее почему КС1? Мы ни от кого не можем добиться класса СКЗИ, он нигде не указан (и, вроде, даже для АРМ КБР-Н), в ЦБ запрашивать бесполезно (это не АРМ КБР-Н, не их софт). А производитель АБС не указывает требований к классу СКЗИ. Ну и СТО БР ИББС формально КС2 требует. Поэтому наш проверяющий сказал КС2 должно быть (а ваш КС1 удовлетворился).
                                                        Начинаю подозревать причину, что когда мы делали внутренние документы по тексту СТО БР ИББС (рекомендательного!), то КС2, помню, заменили на КС1. И теперь с нас требуют исполнения внутренних документов.

                                                        Сообщение от saches Посмотреть сообщение
                                                        А какие ветки реестра проверяют?
                                                        Перечень у них это ДСП, возможно, но у себя поиском экзотики я нашел такие, например, весьма содержательные ветки:
                                                        [HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
                                                        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR]

                                                        Комментарий


                                                        • Сообщение от Zuz Посмотреть сообщение
                                                          А производитель АБС не указывает требований к классу СКЗИ.
                                                          А он тут при чем? Он не может и не должен. Вы еще у MS спросите класс СКЗИ.
                                                          СКЗИ применяется для Системы, а не отдельного софта с конкретными данными и средой использования. Тут кроме самого банка или ЦБ (в случае с принудиловкой по ЕБС) Вам на вопрос не ответит. Делайте МУ и в ней все описывайте и обосновываете.

                                                          Комментарий


                                                          • Получается можно состряпать модель угроз в которой организационными мерами, повышением ответственности и проверкой при трудоустройстве можно отписаться от внутреннего нарушителя (кажется этим отличаются угрозы для КС1 и КС2) и указать везде сигнатуру КС1 и вовсе не использовать СЗИ от НСД на армах контроля и формирования и СПФС?

                                                            Комментарий


                                                            • Сообщение от Efor Посмотреть сообщение
                                                              Получается можно состряпать модель угроз в которой организационными мерами, повышением ответственности и проверкой при трудоустройстве можно отписаться от внутреннего нарушителя (кажется этим отличаются угрозы для КС1 и КС2) и указать везде сигнатуру КС1 и вовсе не использовать СЗИ от НСД на армах контроля и формирования и СПФС?
                                                              552-П требовал отдельных помещений для АРМ. Помещение (каламбур, да) маленького системного блока (размером в половину ноутбука) целиком в железный ящик под ключ будет считаться таким отдельным помещением и абсолютной защитой от уборщицы (КС2)? Все проверки это устраивало, но вот для акта готовности КБР-Н потребовалось слово (только слово) "АМДЗ". Только для согласования акта по КБР-Н потребовалось. Для акта по СПФС рекомендуется только.

                                                              Модель угроз никогда не спрашивали. Только утвержденные внутренние документы (там без всяких обоснований)... Ну и соответствие формулярам (поставка Сигнатуры КС1/КС2), руководствам и положениям - если где что явно потребовано или перечислено.

                                                              Комментарий

                                                              Обработка...
                                                              X