5 июня, пятница 12:54
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от diev Посмотреть сообщение

    552-П требовал отдельных помещений для АРМ. Помещение (каламбур, да) маленького системного блока (размером в половину ноутбука) целиком в железный ящик под ключ будет считаться таким отдельным помещением и абсолютной защитой от уборщицы (КС2)? Все проверки это устраивало, но вот для акта готовности КБР-Н потребовалось слово (только слово) "АМДЗ". Только для согласования акта по КБР-Н потребовалось. Для акта по СПФС рекомендуется только.
    Делается приказ о выделенном помещении.
    В приказе указывается список лиц, имеющих право вскрывать помещение. Он должен совпадать один в один с теми, у кого есть клюи и право работать на АРМ.
    Указывается список лиц, которые имеют право входить в пощение. Дополнительно прописывается, что они имеют право входить только в присутсвии и по согласованию с теми, кто имет право вскрывать.
    Всё, никто "посторонний" не может воспользоваться компьютером и требование закрыто организационными мерами.

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение
      А он тут при чем? Он не может и не должен.
      Интересно, а вендор, что встраивание не производил что ли? Мы же с вами обсуждали, что вендор должен проводить процедуру оценки влияния, а в документации на систему давать требования к окружению для работы его решения. Я понимаю, если бы банк сам в свою АБС встроил СКЗИ. Тут вопросов нет. А здесь проводится поставка коробочной системы (ну или заказной разработки), как там и что устроено чёрный ящик, лицензии на разработку СКЗИ (в т.ч. и защищённых с использованием СКЗИ информационных систем) у банка нет. Как он не зная модели нарушителя для СКЗИ (а эти документы недоступны без соответствующей лицензии), может выбрать класс СКЗИ?

      Сообщение от Cpx Посмотреть сообщение
      Делайте МУ и в ней все описывайте и обосновываете.
      На что именно опираться при обосновании решения? На приказы 378 и 796 ФСБ?

      Сообщение от diev Посмотреть сообщение
      поставка Сигнатуры КС1/КС2
      А вас в документах при передаче указывался класс СКЗИ?

      Сообщение от diev Посмотреть сообщение
      Для акта по СПФС рекомендуется только.
      У нас требовалось, без вариантов, в ТУ не принимали.

      Сообщение от Efor Посмотреть сообщение
      и вовсе не использовать СЗИ от НСД на армах контроля и формирования и СПФС?
      СПФС нужно смотреть договор и документацию, сходу не скажу, нет ли там прямого требования, может быть косвенное в форме акта готовности.
      А вот АРМы контроля и формирования в теории да, т.к. в документации на Сигнатуру АМДЗ это рекомендация. Но тут ещё зависит от того какой статус у вас СТО БР ИББС, там КС2 безусловное, если вы его приняли (напишут просто в нарушение, но зависит от проверяющего, как это всегда при проверках и бывает).
      Последний раз редактировалось Zuz; 27.12.2019, 09:26.

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        Интересно, а вендор, что встраивание не производил что ли? Мы же с вами обсуждали, что вендор должен проводить процедуру оценки влияния, а в документации на систему давать требования к окружению для работы его решения. Я понимаю, если бы банк сам в свою АБС встроил СКЗИ. Тут вопросов нет. А здесь проводится поставка коробочной системы (ну или заказной разработки), как там и что устроено чёрный ящик, лицензии на разработку СКЗИ (в т.ч. и защищённых с использованием СКЗИ информационных систем) у банка нет. Как он не зная модели нарушителя для СКЗИ (а эти документы недоступны без соответствующей лицензии), может выбрать класс СКЗИ?
        ойой, как все запущено...
        Во первых - речь была про МУ и выбора конкретного класса СКЗИ! Как работы по оценки с этим связаны? Ответ никак!
        Во вторых - не должен давать требования к окружению, с чего вы это берете? Это не придуманный аля системный или типовой проект некими "экспертами" в ЦБ. При обычной оценки берутся требования на СКЗИ, СПО и СКЗИ - и все!
        В третьих - ни СКЗИ, ни СПО не знают о Вашей МУ и возможностях нарушителях! При оценки никто не выбирает класс, он либо указан как максимальный на СКЗИ и под него и проводиться оценка либо отдается на откуп эксплуатанту, т.е. банку.
        В четвертых - откуда заблуждение на счет связи лицензии на разработку с некой документацией ФСБ? Вы наверное не в курсе, что у ФСБ в отличие от ФСТЭК нет ДСП документов с требованиями, нарушителями и пр. Вся она под грифом секретно и сов секретно и доступна лабораториям только! Для всех смертных все открытое ПКЗ, пару приказов.
        Сообщение от Zuz Посмотреть сообщение
        На что именно опираться при обосновании решения? На приказы 378 и 796 ФСБ?
        А есть еще варианты?

        Комментарий


        • Сообщение от Cpx Посмотреть сообщение
          ...... Вся она под грифом секретно и сов секретно и доступна лабораториям только! Для всех смертных все открытое ПКЗ, пару приказов.
          + разработчики СКЗИ и интеграторы, имеющие необходимый комплект лицензий...Лицензия на гостайну реально подразумевается при разработке.

          Сообщение от Cpx Посмотреть сообщение
          ......А есть еще варианты?
          Ну если только в коллекцию к уже озвученному - ГОСТ 57580.1, для УЗ1, РЗИ.14 -
          РЗИ.14. Применение СКЗИ, имеющих класс не ниже КС2 <**>
          <**> В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

          А СТО БР ИББС 1.0-2014 -уже пора бы в топку с его требованиями..

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Лицензия на гостайну реально подразумевается при разработке.
            это не так! Почитайте внимательно положение по лицензирование ФСБ
            Сообщение от saches Посмотреть сообщение
            РЗИ.14. Применение СКЗИ, имеющих класс не ниже КС2 <**> <**> В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
            Не зачет, это лишний раз говорит, что - кроме банка ни кто за него не установит класс СКЗИ. И класс устанавливается не для ПО,а для ИС.

            Комментарий


            • Сообщение от Cpx Посмотреть сообщение
              это не так! Почитайте внимательно положение по лицензирование ФСБ.
              А вы знаете разработчика СКЗИ без лицензии на гостайну?)) Можете считать это просто совпадением....

              Сообщение от Cpx Посмотреть сообщение
              Не зачет, это лишний раз говорит, что - кроме банка ни кто за него не установит класс СКЗИ. И класс устанавливается не для ПО,а для ИС.
              Не смешите. И при чем здесь "для ИС, а не для ПО".
              И по 152-ФЗ + П-378, и в ГОСТе, оператор сам определяет класс СКЗИ. Алгоритм, ес-но, несколько другой.



              Комментарий


              • Сообщение от Cpx Посмотреть сообщение
                ойой, как все запущено...
                Можно без такой аргументации, это не продуктивно!

                Сообщение от Cpx Посмотреть сообщение
                Во первых - речь была про МУ и выбора конкретного класса СКЗИ! Как работы по оценки с этим связаны? Ответ никак!
                Это как это никак? ) При встраивании вендором СКЗИ должна проводится оценка влияния среды, это есть в 99% формуляров на СКЗИ (в т.ч. и на Сигнатуру).
                Или по вашему можно встраивать СКЗИ даже не думая какое конкретно исполнение СКЗИ и какого класса встраиваем? А вот банк пусть потом сам решает?
                Ну, если даже и так, то явно это нужно в документации на ПО изложить, не находите?

                Сообщение от Cpx Посмотреть сообщение
                Это не придуманный аля системный или типовой проект некими "экспертами" в ЦБ.
                А что это? Платёжная система Банка России, это не АБС Банка! Для ЕБС значит системные / типовые проекты, а тут ничего? (

                Сообщение от Cpx Посмотреть сообщение
                В третьих - ни СКЗИ, ни СПО не знают о Вашей МУ и возможностях нарушителях!
                А банки не знают ничего о модели нарушителя для разных классов СКЗИ. Как я могу выбрать класс СКЗИ, не зная от каких угроз тот или иной класс защищает?
                Формально есть только один документ это 378 приказ ФСБ, но он сугубо про ПДн (хотя в Банках почти всё можно считать ПДн, что в системах ДБО есть для ФЛ, но для ЮЛ это не так). Есть 796 приказ ФСБ, но он про средства электронной подписи и там тоже не совсем тот контекст.
                И ЦБ явно знает о возможностях нарушителя (курирует как никак отрасль, актуальные угрозы для ПДн определяет, требования для защиты тоже), 672-П для чего написан?

                Сообщение от saches Посмотреть сообщение
                оператор сам определяет класс СКЗИ
                Банк участиник ПС Банка России. По мне тут требования должен определять оператор ПС.

                Сообщение от Cpx Посмотреть сообщение
                что - кроме банка ни кто за него не установит класс СКЗИ
                По АРМ КБР-Н ТУ требуют выполнение по КС2 для Сигнатуры, но при передаче ничего в документах нет (класс СКЗИ ЦБ не указывается в актах приёма-передачи).

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  ....Банк участиник ПС Банка России. По мне тут требования должен определять оператор ПС.....
                  Этож и имелось в виду.

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    Этож и имелось в виду.
                    Тут у нас контекст плавающий, кто в данном случае оператор вопрос открытый. )

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      Тут у нас контекст плавающий, кто в данном случае оператор вопрос открытый. )
                      Так это нормально, т.к., в данном случае, главное, что именно оператор ГИС/ПС/ПДн определяет требования, а кто именно является в конкретном случае оператором, это уже другой вопрос...
                      Например, несколько лет назад, общался на какой-то ИБ-шной тусовке с руководителем ИБ НСПК. И на мой вопрос, являются ли они оператором ПДн, ответ был, что они вообще, в рамках НСПК, ПДн не обрабатывают... Ну и не вопрос...)))

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        они вообще, в рамках НСПК, ПДн не обрабатывают...
                        Согласие показать, что мы для НСПК делили? )
                        Или речь от транзакциях? Но там, формально ПДн, только они обезличены.

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          При встраивании вендором СКЗИ должна проводится оценка влияния среды, это есть в 99%
                          Покажите формуляр где такое написано?! Такого не м.б. написано, готов поспорить на премию ))
                          Сообщение от Zuz Посмотреть сообщение
                          Ну, если даже и так, то явно это нужно в документации на ПО изложить, не находите?
                          Кому и для чего? Эксперты и так это знают как 2*2. ФСТЭК и ФСБ не должно разжёвывать не экспертам. Это и есть хлеб экспертов.
                          Сообщение от Zuz Посмотреть сообщение
                          А банки не знают ничего о модели нарушителя для разных классов СКЗИ. Как я могу выбрать класс СКЗИ, не зная от каких угроз тот или иной класс защищает? Формально есть только один документ это 378 приказ ФСБ, но он сугубо про ПДн (хотя в Банках почти всё можно считать ПДн, что в системах ДБО есть для ФЛ, но для ЮЛ это не так). Есть 796 приказ ФСБ, но он про средства электронной подписи и там тоже не совсем тот контекст.
                          Так он ее сам должен разработать и придумать и на ее базе выбрать Класс СКЗИ? Все это проходили в свое время когда для всех Пдн делали МН. Почему сейчас вдруг сложности?
                          Не знаете как - пишите в ФСБ как лицензиаты или привлекайте лицензиатов.
                          Сообщение от Zuz Посмотреть сообщение
                          И ЦБ явно знает о возможностях нарушителя (курирует как никак отрасль, актуальные угрозы для ПДн определяет, требования для защиты тоже)
                          ЦБ ничего не знает и знать не может. У него нет своих экспертов ФСБ или ФСТЭК, он их пытается привлечь (но получается плохо).
                          Сообщение от Zuz Посмотреть сообщение
                          672-П для чего написан?
                          Вопрос задайте в ЦБ, я не понимаю зачем когда есть 683 и 684 и 382 (:
                          Сообщение от Zuz Посмотреть сообщение
                          Банк участиник ПС Банка России. По мне тут требования должен определять оператор ПС.
                          Сообщение от Zuz Посмотреть сообщение
                          По АРМ КБР-Н ТУ требуют выполнение по КС2 для Сигнатуры, но при передаче ничего в документах нет (класс СКЗИ ЦБ не указывается в актах приёма-передачи).
                          Пишите официальное письмо в ЦБ, у Вас накопилось много вопросов, пусть напрягается и отвечает. Или Вы боитесь как многие тут писали лишний раз дергать ЦБ?

                          С новым годом ))





                          Комментарий


                          • Для информации:
                            СИСТЕМА КРИПТОГРАФИЧЕСКОЙ АВТОРИЗАЦИИ ЭЛЕКТРОННЫХ
                            ДОКУМЕНТОВ «СИГНАТУРА» ВЕРСИЯ 5
                            «СИГНАТУРА-КЛИЕНТ» ВЕРСИЯ 5
                            АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС «СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ
                            ЗАЩИТЫ ИНФОРМАЦИИ СКАД «СИГНАТУРА» ВЕРСИЯ 5»
                            ФОРМУЛЯР
                            ВАМБ.00107-01 30 01

                            2.7 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» функционирует на ЭВМ с 32-битными (x86) и 64-битными (x64) архитектурами, а также на виртуальных машинах (ВМ), находящихся под управлением гипервизоров Microsoft Hyper-V и VMware ESXi версий 5.0, 5.1, 5.5 и 6.0, в следующих 32-битных и 64-битных ОС Microsoft Windows:
                            − Windows XP (x86 c пакетом обновлений 3 и выше);
                            − Windows XP (x64 c пакетом обновлений 2 и выше);
                            − Windows Server 2003 (x86 и x64) с пакетом обновлений 2 (SP2) и выше;
                            − Windows Vista (x86 и x64) с пакетом обновлений 1 (SP1) и выше;
                            − Windows Server 2008 (x86 и x64) с пакетом обновлений 1(SP1) и выше;
                            − Windows Server 2008 R2 (x64) с пакетом обновлений 1(SP1);
                            − Windows 7 (x86 и x64) с пакетом обновлений 1(SP1) и выше;
                            − Windows 8/8.1 (x86 и x64);
                            − Windows 8/1 with Update (x86 и x64);
                            − Windows Server 2012/Server 2012 R2 (x64);
                            − Windows Server 2012 R2 with Update (x64).
                            Примечания
                            1. Для указанных ОС, а также для гипервизоров должно быть обеспечено получение обновлений по безопасности.
                            ...
                            4. В случае подключения СКЗИ к каналам связи, выходящим за пределы контролируемой территории, не допускается использование операционных систем, производителем которых не выпускаются обновления.
                            Поддержка Win 7 почти закончилась (14.01.2020). Win 10 среди разрешённых нет. Надо переходить на Win 8.1 или 2012R2.

                            Комментарий


                            • На сигнатуру 6 в этом году переведут?
                              Там есть WIN10?

                              Комментарий


                              • Сообщение от Berckut Посмотреть сообщение
                                4. В случае подключения СКЗИ к каналам связи, выходящим за пределы контролируемой территории, не допускается использование операционных систем, производителем которых не выпускаются обновления.
                                Ещё 382-П есть в части устранения уязвимостей, а они появятся.
                                Возможно у кого-то каналы не выходят за предел контролируемой территории (АРМ КБР-Н может работать через транспортную машину).

                                Сообщение от Berckut Посмотреть сообщение
                                Надо переходить на Win 8.1 или 2012R2.
                                Или как вариант переходить на обмен через флешки и отключать от сети.

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение
                                  Покажите формуляр где такое написано?! Такого не м.б. написано, готов поспорить на премию ))
                                  Похоже вы контекст теряете, речь о вендоре прикладного ПО, в которое "встраивается" СКЗИ. И тут мы ранее пришли к одному мнению, что кто разрабатывает прикладное ПО, тот и реализует оценку влияния среды.

                                  Сообщение от Cpx Посмотреть сообщение
                                  Так он ее сам должен разработать и придумать и на ее базе выбрать Класс СКЗИ?
                                  Не убедительно. Есть классы СКЗИ, есть модели нарушителя для данных классов. Вы предлагаете банкам самим что-то придумывать не зная как класс соотносится с моделью нарушителя. Мазохизм какой-то. )))

                                  Сообщение от Cpx Посмотреть сообщение
                                  ЦБ ничего не знает и знать не может.
                                  Не убедительно. К примеру, отраслевую модель угроз по ПДн ЦБ делает, есть соответствующее указание. Для ЕБС аналогично.
                                  Есть куча положений от ЦБ, где даны требования, на подходе ГОСТ, они что тоже не учитывают угрозы для отрасли и реализуются без анализа потенциального нарушителя?

                                  Сообщение от Cpx Посмотреть сообщение
                                  Пишите официальное письмо в ЦБ, у Вас накопилось много вопросов, пусть напрягается и отвечает. Или Вы боитесь как многие тут писали лишний раз дергать ЦБ?
                                  Обычно, это не даёт никакого результата, просто цитируют в ответ требование. (

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    ...Поддержка Win 7 почти закончилась (14.01.2020). Win 10 среди разрешённых нет. Надо переходить на Win 8.1 или 2012R2.
                                    Формулярчик давно пора бы обновить -- https://cbr.ru/mcirabis/itest/obnovl...kad-signatura/
                                    Инфа была на x509.ru от 07.09.2017 )))

                                    2.7 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» функционирует на ЭВМ с 32-битными (x86) и 64-битными (x64) архитектурами, а также на виртуальных машинах (ВМ), находящихся под управлением гипервизоров Microsoft Hyper-V и VMware ESXi версий 5.0, 5.1, 5.5 и 6.0, в следующих 32-битных и 64-битных ОС Microsoft Windows:
                                    − Windows XP (x86 c пакетом обновлений 3 и выше);
                                    − Windows XP (x64 c пакетом обновлений 2 и выше);
                                    − Windows Server 2003 (x86 и x64) с пакетом обновлений 2 (SP2) и выше;
                                    − Windows Vista (x86 и x64) с пакетом обновлений 1 (SP1) и выше;
                                    − Windows Server 2008 (x86 и x64) с пакетом обновлений 1(SP1) и выше;
                                    − Windows Server 2008 R2 (x64) с пакетом обновлений 1(SP1);
                                    − Windows 7 (x86 и x64) с пакетом обновлений 1(SP1) и выше;
                                    − Windows 8/8.1 (x86 и x64);
                                    − Windows 8/1 with Update (x86 и x64);
                                    − Windows Server 2012/Server 2012 R2 (x64);
                                    − Windows Server 2012 R2 with Update (x64);
                                    − Windows 10 (x86 и x64).


                                    Если будете устанавливать, возможно пригодиться (смотреть лучше с конца)- http://www.x509.ru/forum/viewtopic.php?id=14837
                                    Так же, что-то похожее обсуждали в соседней ветке автоматизации
                                    Последний раз редактировалось saches; 09.01.2020, 16:12.

                                    Комментарий


                                    • Сообщение от Zuz Посмотреть сообщение
                                      Не убедительно. Есть классы СКЗИ, есть модели нарушителя для данных классов. Вы предлагаете банкам самим что-то придумывать не зная как класс соотносится с моделью нарушителя. Мазохизм какой-то. )))
                                      Так все не так! И предлагаю не я, а регулятор.
                                      Сначала проектирование ИС, а потом внедрение. В вы хотите сначала внедрить потом проектировать? Так почему Вы вклад физикам не даете сразу, а потом он деньги положит? ))
                                      Сначала разработка МН для Вашей ИС и Ваших условий, потом выбор класса СКЗИ для защиты от Вашего класса нарушителя.

                                      Сообщение от Zuz Посмотреть сообщение
                                      Не убедительно. К примеру, отраслевую модель угроз по ПДн ЦБ делает, есть соответствующее указание. Для ЕБС аналогично. Есть куча положений от ЦБ, где даны требования, на подходе ГОСТ, они что тоже не учитывают угрозы для отрасли и реализуются без анализа потенциального нарушителя?
                                      Ок, видимо по ЕБС Вас убедило, что в ЦБ есть эксперты. требования по ЕБС ничему не противоречат и Вам понятны были как реализовать. Умолкаю...
                                      Все остальные положения, чисто организационные (обеспечить условия) или технические (поставить СЗИ), специфики ФСТЭК и ФСБ нету.
                                      Сообщение от Zuz Посмотреть сообщение
                                      Обычно, это не даёт никакого результата, просто цитируют в ответ требование. (
                                      А вы в ответ еще пару писем с уточнениями, а главное с Вариантами решений (ответов) - работает проверено.


                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        Формулярчик давно пора бы обновить -- https://cbr.ru/mcirabis/itest/obnovl...kad-signatura/
                                        Инфа была на x509.ru от 07.09.2017 )))

                                        2.7 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» функционирует на ЭВМ с 32-битными (x86) и 64-битными (x64) архитектурами, а также на виртуальных машинах (ВМ), находящихся под управлением гипервизоров Microsoft Hyper-V и VMware ESXi версий 5.0, 5.1, 5.5 и 6.0, в следующих 32-битных и 64-битных ОС Microsoft Windows:
                                        − Windows XP (x86 c пакетом обновлений 3 и выше);
                                        − Windows XP (x64 c пакетом обновлений 2 и выше);
                                        − Windows Server 2003 (x86 и x64) с пакетом обновлений 2 (SP2) и выше;
                                        − Windows Vista (x86 и x64) с пакетом обновлений 1 (SP1) и выше;
                                        − Windows Server 2008 (x86 и x64) с пакетом обновлений 1(SP1) и выше;
                                        − Windows Server 2008 R2 (x64) с пакетом обновлений 1(SP1);
                                        − Windows 7 (x86 и x64) с пакетом обновлений 1(SP1) и выше;
                                        − Windows 8/8.1 (x86 и x64);
                                        − Windows 8/1 with Update (x86 и x64);
                                        − Windows Server 2012/Server 2012 R2 (x64);
                                        − Windows Server 2012 R2 with Update (x64);
                                        − Windows 10 (x86 и x64).


                                        Если будете устанавливать, возможно пригодиться (смотреть лучше с конца)- http://www.x509.ru/forum/viewtopic.php?id=14837
                                        Так же, что-то похожее обсуждали в соседней ветке автоматизации
                                        Посмотрел... почитал...
                                        У нас этот патч не распространяли. Не уверен, что имеем права скачать и ввести в работу то, что получено из интернета, а не на "официальном полупиратском" CD от ЦБ. Буду запрашивать. Тем более выглядит это на сайте ЦБ так, будто они взяли доку производителя и просто дописали туда ещё одну строчку. Как так может быть, что все реквизиты документа, включая информацию об утверждении остались прежними?
                                        На форуме написано, что это патч 352. Но, во-первых, там же написано, что это только для компонента TLS, во-вторых, для версий Win10, выпущенных до 17-го года, а на них тоже обновления уже не выпускаются. В третьих, форум - не официальный канал. У нас вроде только только КриптоПро выбил себе индульгенцию через сайт распространять сертифицированные СКЗИ.
                                        Раньше бы я на это положил большой-большой болт, но сейчас, читая соседние темы про проверки, я понимаю, что может крепко не повезти.

                                        Комментарий


                                        • Сообщение от Berckut Посмотреть сообщение
                                          Посмотрел... почитал...
                                          У нас этот патч не распространяли. Не уверен, что имеем права скачать и ввести в работу то, что получено из интернета, а не на "официальном полупиратском" CD от ЦБ. Буду запрашивать. Тем более выглядит это на сайте ЦБ так, будто они взяли доку производителя и просто дописали туда ещё одну строчку. Как так может быть, что все реквизиты документа, включая информацию об утверждении остались прежними?
                                          На форуме написано, что это патч 352. Но, во-первых, там же написано, что это только для компонента TLS, во-вторых, для версий Win10, выпущенных до 17-го года, а на них тоже обновления уже не выпускаются. В третьих, форум - не официальный канал. У нас вроде только только КриптоПро выбил себе индульгенцию через сайт распространять сертифицированные СКЗИ.
                                          Раньше бы я на это положил большой-большой болт, но сейчас, читая соседние темы про проверки, я понимаю, что может крепко не повезти.
                                          Вроде как, все права собственности на Сигнатуру, принадлежат ЦБ и Валидата Сигнатуру не распространяет. Т.е. единственный правильный (и не пиратский) вариант получения Сигнатуры - обращение в ЦБ.
                                          При чем здесь "форум не официальный канал", ссылка на форум была дана только чтоб вам не ходить по граблям при установке. (...Пожалуйста)
                                          На сайте ЦБ новый формуляр лежит? лежит. Запрашивайте официально в своем отделении ЦБ свежую версию Сигнатуры, если не дадут (а такое бывает, отвечают, типа нету), будет чем прикрыться если проверяющие докапаются в случае использования старой Сигнатуры/Windows7 (не знаю, какой вариант выберете).
                                          Последний раз редактировалось saches; 10.01.2020, 11:00.

                                          Комментарий


                                          • Сообщение от ndebyshe Посмотреть сообщение
                                            На сигнатуру 6 в этом году переведут? Там есть WIN10?
                                            Сигнатура 5 поддерживает Win10, см патчи с формулярами на сайте ЦБ.

                                            Что касается Сигнатуры 6 - http://x509.ru/about.shtml#certs

                                            ФСБ России выдала компании "Валидата" сертификаты соответствия на следующие продукты:
                                            1. СКЗИ "Сигнатура-I" версия 6 - регистрационный номер СФ/114-3791;
                                            2. СКЗИ "Сигнатура-A" версия 6 (исполнение 2) - регистрационный номер СФ/114-3790;
                                            3. СКЗИ "Сигнатура-A" версия 6 (исполнение 1) - регистрационный номер СФ/114-3789;
                                            Но, как всегда, с творениями Валидаты, есть вопросы.
                                            В том числе, всё вышеперечисленное - только КС1. Этого будет достаточно для ЦБ? Т.е. АМДЗ "в топку"??
                                            Последний раз редактировалось saches; 10.01.2020, 10:58.

                                            Комментарий


                                            • Сообщение от Berckut Посмотреть сообщение
                                              Тем более выглядит это на сайте ЦБ так, будто они взяли доку производителя и просто дописали туда ещё одну строчку.
                                              Так Цб и есть производитель, купил у Валидаты. Валидата не отвечает на Сигнатуру 5.
                                              Сообщение от saches Посмотреть сообщение
                                              ФСБ России выдала компании "Валидата" сертификаты соответствия на следующие продукты:СКЗИ "Сигнатура-I" версия 6
                                              нашел, выдана ЦБ. у ЦБ нужно запрашивать новое СКЗИ и документацию. На сайте не нашел, в инф сообщение есть контакт куда писать : http://www.cbr.ru/collection/collect.../inf_10303.pdf
                                              Последний раз редактировалось Cpx; 10.01.2020, 11:07.

                                              Комментарий


                                              • Очередной странный формуляр, и на сайте Валидаты пока не увидел сертификата на Сигнатуру 6 с КС2.
                                                Последний раз редактировалось saches; 10.01.2020, 12:50.

                                                Комментарий


                                                • Сообщение от Cpx Посмотреть сообщение
                                                  Сначала проектирование ИС, а потом внедрение. В вы хотите сначала внедрить потом проектировать? Так почему Вы вклад физикам не даете сразу, а потом он деньги положит? ))
                                                  Дело в том, что не всё так очевидно. Банки приобретают коробочные решения, к примеру для систем ДБО (там уже проведено встраивание, выбрать класс СКЗИ там зачастую невозможно, что поставляется, то поставляется). Аналогично с АРМ КБР-Н / СПФС его поставляет ЦБ (оценку влияния в этом случае проводит ЦБ, вот есть разъяснение от ЦБ см. вопрос 6) и компонентами АБС реализующими контуры формирования и контроля при переводах денежных средств в ПС БР (и там уже реализовано встраивание вендором АБС). Вы предполагаете, что встраивание тут произведено без учёта исполнения СКЗИ и его класса и банк должен сам дальше определить класс СКЗИ?

                                                  Вообще в формулярах и документации на СКЗИ очень расплывчато про встраивание всё, к примеру на HSM от Крипто-Про идёт одновременно речь про встраивание в прикладное ПО и информационные системы, в СКАД Сигнатура 5 про встраивание в прикладные системы. Сама процедура не понятна. При встраивании что происходит? Разработка защищённой с использованием СКЗИ информационной системы?

                                                  КМК, тут уже чётко должен быть указан класс СКЗИ в документации на прикладное ПО и даны требования в документации на прикладное ПО (оценка влияния, должна быть проведена на этапе его разработки и прописаны все требования к окружению в документации на прикладное ПО), куда уже осуществлено встраивание иначе такой продукт использовать нельзя.
                                                  Иначе придётся создавать защищенную с использованием СКЗИ информационную систему и банку самостоятельно пройти процедуру оценки влияния среды, которая потребует или соответствующей лицензии или привлечение лицензиата ФСБ, а также доступа к исходным кодам прикладного ПО, либо должен быть какой-то типовой проект от вендора ПО реализован по которому банк будет создавать систему.

                                                  Сообщение от Cpx Посмотреть сообщение
                                                  Ок, видимо по ЕБС Вас убедило, что в ЦБ есть эксперты. требования по ЕБС ничему не противоречат и Вам понятны были как реализовать.
                                                  Вообще-то список актуальных угроз совместная работа с оператором ЕБС (Ростелекомом). Рекомендации 4-МР - это следствие перечня актуальных угроз. Регулятор определил классы СКЗИ, пусть косвенно, но это сделано через перечень актуальных угроз, а разъяснение дано в рекомендациях (и регулятор его проверяет как обязательное) вы же говорите, что банк должен сам определять класс СКЗИ (это было бы корректно, если бы банк свою ЕБС создавал, но он реализует фактически поручение по сбору и сам тут ничего не определяет, в законе указано, кто это делает).

                                                  Сообщение от Cpx Посмотреть сообщение
                                                  Все остальные положения, чисто организационные (обеспечить условия) или технические (поставить СЗИ), специфики ФСТЭК и ФСБ нету.
                                                  В каждом документе ЦБ видно работу ФСБ (чётко прописаны ряд требований в части СКЗИ), специфика есть.
                                                  К примеру, в 683-П указано:
                                                  В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.
                                                  Но ну указано кем. )))

                                                  Сообщение от saches Посмотреть сообщение
                                                  пока не увидел сертификата на Сигнатуру 6 с КС2.
                                                  А где сейчас есть явные требования использовать КС2? В перечне ФСБ тоже пока нет КС2.

                                                  P.S. Документацию на Сигнатруру 6 кто-нибудь видел? Там все ответы.

                                                  Комментарий


                                                  • Сообщение от Zuz Посмотреть сообщение
                                                    А где сейчас есть явные требования использовать КС2? В перечне ФСБ тоже пока нет КС2.
                                                    P.S. Документацию на Сигнатруру 6 кто-нибудь видел? Там все ответы.
                                                    Формуляр (возможно, его проект) на 6-ую Сигнатуру в конце ЦБ-шного письма http://www.cbr.ru/collection/collect.../inf_10303.pdf
                                                    Там речь и о КС1, и о КС2, с АМДЗ ес-но...

                                                    Судя по сертификатам на сайте x509.ru, похоже, что эту версию Сигнатуры (как и 5-ую), Валидата отдельно сертифицировать не собирается... Ну а что будет в итоге в требованиях ЦБ, еще увидим...
                                                    Последний раз редактировалось saches; 12.01.2020, 11:29.

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      Формуляр (возможно, его проект)
                                                      Да, но это дока на крпитоядро (107), на саму Сигнатуру-клиент (106) или как она там будет называться ещё нет доки. Из положительных изменений пока не видно требований на межсетевой экран и добавлены разные исполнения Аккорда (все СЗИ от НСД нужны с сертификатом ФСБ).

                                                      Комментарий


                                                      • Сообщение от Zuz Посмотреть сообщение
                                                        Дело в том, что не всё так очевидно.
                                                        Все намного проще - вспомните, что вы защищаете?!
                                                        Правильно - конфиденциальную информацию. А кто устанавливает требования к ее защиты и отвечает за нее? Банк - владелец.

                                                        Почитайте внимательно письмо - станет сразу понятно, кто должен и кто ответственен.
                                                        http://www.fsb.ru/fsb/science/single...searchart.html

                                                        Сообщение от Zuz Посмотреть сообщение
                                                        Регулятор определил классы СКЗИ, пусть косвенно, но это сделано через перечень актуальных угроз
                                                        Это не удачный пример! Вот именно, что сделано все не по нормативке без оценки реальных условий Э и возможностей потенциального нарушителя.
                                                        А самое главное, для класса КВ2 выбраны угрозы не соотв. требованиям ФСБ (если класс КВ, то все ИС д.б. КВ, а не участок сбора у нас кс2, каналы кс3). Как согласовал такое регулятор - я не знаю и комментировать не хочу. Но сделай кто-то также не под эгидой ЕБС - отберут лицензию и выпишут штраф).

                                                        Комментарий


                                                        • Добрый день!
                                                          Подскажите, если требования 552 П теперь остались в виде приложения к ДС к договору с ЦБ и касаются только СПФС, исходя из наименования приложения "требования к защите информации, выполняемые клиентом - пользователем СПФС", то эти требования уже не относятся к АРМ КБР-Н? В частности ежеквартальные проверки, видеонаблюдение и тд?
                                                          Есть ли те же требования из 552П, касающиеся именно КБР-Н?
                                                          И распространяются ли требования 683-П на АРМ СПФС?
                                                          Последний раз редактировалось Efor; 13.01.2020, 15:57.

                                                          Комментарий


                                                          • Сообщение от Cpx Посмотреть сообщение
                                                            Почитайте внимательно письмо - станет сразу понятно, кто должен и кто ответственен.
                                                            Это не удачный пример, мы говорим о банке участнике ПС БР / СБП, а вы приводите пример для банка оператора ИСПДн.

                                                            Комментарий


                                                            • Сообщение от Efor Посмотреть сообщение
                                                              то эти требования уже не относятся к АРМ КБР-Н?
                                                              Да, верно. У вас же отправка полностью через АРМ СПФС.

                                                              Сообщение от Efor Посмотреть сообщение
                                                              И распространяются ли требования 683-П на АРМ СПФС?
                                                              Мы считаем, что распространяются (СПФС применяется для переводов ДС).

                                                              Комментарий

                                                              Обработка...
                                                              X