5 июля, воскресенье 09:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Efor Посмотреть сообщение
    И распространяются ли требования 683-П на АРМ СПФС?
    Конечно, вообще 683-П распространяется на все банковские операции, в отличии от 382-П которое распространяется на перевода денежных средств.
    683-П шире.
    И тут кажды для себя сам определяет ареал его распространения у себя в банке.

    Комментарий


    • Сообщение от Zuz Посмотреть сообщение
      Это не удачный пример, мы говорим о банке участнике ПС БР / СБП, а вы приводите пример для банка оператора ИСПДн.
      ФСБ глубоко наплевать откуда ноги растут, СКИЗ не различаются исходя из вида инфомарции (Пдн, не ПДн), классы СКЗИ и подход единый!
      Требования у них едины для всех, кто использует СКЗИ и они подробно описаны в этом письме.
      Почему Вы считаете обратное - мне не понятно...

      Комментарий


      • Сообщение от Cpx Посмотреть сообщение
        Почему Вы считаете обратное - мне не понятно...
        Я говорю о разных субъектах, банк как оператор ПДн сам решает, как в его ИСПДн что будет реализовано, сам определяет необходимость использования СКЗИ и классы защиты, решает вопросы процедуры корректности встраивания в ПО его ИСПДн.
        Банк как участник системы платежей Банка России не сам определяет, что да как в этой системе, он выполняет требования, ему дают конкретное ПО с уже встроенными СКЗИ как вендоры АБС, так и ЦБ в ПО для АРМ КБР-Н / АРМ СПФС, аналогичная ситуация и в СБС

        Почему вы это это упускаете мне тоже не понятно! )))

        Комментарий


        • Сообщение от ndebyshe Посмотреть сообщение
          распространяется на все банковские операции
          Это преувеличение, т.к.:
          Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):
          Т.е., только те операции, где есть переводы ДС. Не забываем, что 683-П это следствие 161-ФЗ (изменения по 167-ФЗ, закон об Антифроде).

          Комментарий


          • Сообщение от Zuz Посмотреть сообщение
            Это преувеличение, т.к.:
            я же написал, что зависит от масштаба Банка.
            У меня с осуществлением банковских операций с переводами ДС связаны и Фрон, и БЭК.
            Наверное все, где есть доступ к интерфейсам АБС и ДБО.

            И мне проще создать контур безопасности Банк для ГОСТ 57580, чем дробить.
            Мы это уже обсуждали: Банк, ПСБР, Биометрия. И все что не ПСБР и Биометрия засунуть в Банк.

            Комментарий


            • Сообщение от ndebyshe Посмотреть сообщение
              И мне проще создать контур безопасности Банк для ГОСТ 57580, чем дробить.
              А потом оснастить сертифицированными СЗИ компьютеры водителей и секретарей.
              Дробить придётся, СЗИ на всё очень дорого, это проходили с идеей сделать одну ИСПДн на всё.

              Комментарий


              • Сообщение от Zuz Посмотреть сообщение
                компьютеры водителей и секретарей
                Коллега, ну что Вы так в крайности
                Водителей я даже за сотрудников не считаю. Они в машинах живут.
                А вот секретари у нас как раз отношения к платежам имеют, в части приема писем от клиентов по ДБО. И у них есть интерфейс в ДБО.
                Поэтому в 638-П я их включу.

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  Почему вы это это упускаете мне тоже не понятно! )))
                  Тогда Ваша дорога в ЦБ с вопросами про требования и классы, но не вендору (если вендор не ЦБ).
                  А уже потом требования ЦБ, будите спускать своим вендорам в виде ТЗ.

                  Комментарий


                  • Сообщение от Cpx Посмотреть сообщение
                    Тогда Ваша дорога в ЦБ с вопросами про требования и классы, но не вендору (если вендор не ЦБ).
                    Вот перед тем как туда обращаться и хотелось в этом убедиться. )
                    А вендор АБС в ПО встроил, что дали по документации от SDK, интерфейсы программные одни и те же, отличие только в наличии СЗИ от НСД (АМДЗ с сертификатом ФСБ).
                    Мне интересно, а не должен ли ЦБ озаботиться корректностью встраивания и в этом случае? )))
                    Последний раз редактировалось Zuz; 14.01.2020, 19:38.

                    Комментарий


                    • Водители.. Есть много категорий рабочих мест, которые под 683-П тащить бессмысленно - коллекшен и связанные с ним вещи, контакт-центр (продажники услуг), разработчики ПО/АБС, трейдинг, топ-менеджмент, бизнесы и пр. (всякую сервисную инфраструктуру куда относить? DNS/DHCP/Zabbix/SMTP/IMAP/AD/LDAP/видеонаблюдение/VPN-шлюзы/СМЭВ-шлюзы/БКИ-шлюзы и еще сотни вещей). Так что.. идея "все, что не БС БР и СБП - это один контур БАНК под 683-П", мне точно не нравится. Каким образом вообще выделяются контуры? Это что в политике ИБ теперь прописывать? Что контуры утверждаются так-то и для них формируются прикладные документы с особыми требованиями (которых нет в базовых мерах банка, но они нужны по ГОСТ)?

                      Комментарий


                      • Сообщение от Александр Четвертый Посмотреть сообщение
                        Каким образом вообще выделяются контуры?
                        Как написал ЦБ:
                        Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.

                        Может, что в этом контексте даже общение клиента с кол центром или с секретарем может "быть банковской операцией", связанно с переводом ДС.
                        Даже финмон, который может давать распоряжения блокировать/разблокировать ДБО будет тогда связан с переводом ДС.



                        Комментарий


                        • Нужно еще учитывать такие слова в названии и в самом документе - "при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Т.е. можно выделить ОИИ под 683-П с обоснованием, например, таким - что ваш ОФМ и КЦ и чайники на кухне даже имея какой-то доступ к "переводам" не смогут никак привести к переводу без согласия. Ну это я уж так по-быстрому сырой вариант предложил. Нафига мне защищать DNS-сервер по ГОСТу?

                          Комментарий


                          • Сообщение от ndebyshe Посмотреть сообщение
                            Как написал ЦБ:
                            А где это написано?
                            Я вот читаю: "настоящее Положение устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента."
                            Цель 683-П антифрод, замена 382-П ещё впереди.

                            Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):

                            Требования 683-П уже чем 382-П, т.к. реализуются в целях противодействия осуществления переводов без согласия, а не как в 382-П в целях обеспечения защиты информации в целом при осуществлении переводов (это разные направления в 161-ФЗ). Другое дело что требования сильно пересекаются.

                            Сообщение от ndebyshe Посмотреть сообщение
                            Даже финмон, который может давать распоряжения блокировать/разблокировать ДБО будет тогда связан с переводом ДС.
                            Посмотрите, что конкретно в 683-П защищается (какая информация и какая инфраструктура).
                            Очевидно, что имея доступ к такой информации специалисты ФМ будут входить в скоуп, т.е. имеют доступ к защищаемой информации.

                            Сообщение от ndebyshe Посмотреть сообщение
                            Может, что в этом контексте даже общение клиента с кол центром или с секретарем может "быть банковской операцией", связанно с переводом ДС.
                            Может быть, если общение связано с операцией по переводу ДС или это сообщение клиенту какой-то защищаемой информации. В 683-П чётко написано, что именно защищается, не нужно расширять. Классифицируйте строго как в нём указано иначе боком выйдет. )))

                            Комментарий


                            • Сообщение от ndebyshe Посмотреть сообщение
                              Водителей я даже за сотрудников не считаю. Они в машинах живут.
                              Ага, а отчёты они где делают? Документы оформляют, с корпоративными системами взаимодействуют? У вас какое-то мобильное приложение для всего этого?

                              Комментарий


                              • Сообщение от Zuz Посмотреть сообщение
                                Ага, а отчёты они где делают?
                                Как раз отчеты легко можно выкинуть из-под действия 683-П. Потому что:

                                .. для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств
                                Т.е. OLAP-сервер для построения бизнес-отчетиков "в какую фазу Луны чаще всего делаются такие-то операции в ДБО 35-летними клиентами ФЛ" как раз сюда не относится, т.к. хоть в этой АС и есть защищаемая информация, но с помощью этой АС невозможно совершать операции, связанные с осуществлением переводов денежных средств. Грубо говоря как Pentaho ни крути - ни каких операций без согласия клиента по переводу денежных средств ты не добьешься.

                                И вот по такому принципу реально критичных вещей для защиты по 683-П должно остаться как можно меньше: DNS/DHCP/Zabbix/SMTP/IMAP/AD/LDAP/видеонаблюдение/VPN-шлюзы/СМЭВ-шлюзы/БКИ-шлюзы.. - как я уже писал выше по этому принципу под 683-П попадать не должны. С рабочими местами конкретных отделов надо разбираться - если с них осуществляется доступ к указанным АС, то получается, что они тоже попадают под требования.

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение
                                  Как раз отчеты легко можно выкинуть из-под действия 683-П. Потому что:
                                  Не об этом речь была, было интересно, как водители без компа обходятся.
                                  Тут два варанта или на бумаге всё делают или есть к примеру мобильное приложение какое-то, где они все свои дела делают.
                                  Отчёты тут имелись в виду, типа путевые листы он оформляют, расход бензина, заявки на ремонт, запчасти и пр., инструктажи всякие, банальное заявление на отпуск, куча у них всего.

                                  Сообщение от Александр Четвертый Посмотреть сообщение
                                  как я уже писал выше по этому принципу под 683-П попадать не должны.
                                  Полностью согласен.

                                  Сообщение от Александр Четвертый Посмотреть сообщение
                                  С рабочими местами конкретных отделов надо разбираться - если с них осуществляется доступ к указанным АС, то получается, что они тоже попадают под требования.
                                  Это, да.

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    А где это написано?
                                    https://lukatsky.blogspot.com/2019/12/683.html

                                    в ответах ЦБ, правда юридической силы они не имеют, но при проверке мне помогали убедить ЦБшников, что мнения их ДИБ ЦБ может не совпадать с трактовкой положений проверяющими.

                                    Комментарий


                                    • Конечно область 683-П шире, чем 382-П. Но это не повод распространить его на каждый калькулятор в банке, учитывая цену соответствия требованиям 1/2 уровня ГОСТ.

                                      Комментарий


                                      • Давайте 683-П обсуждать в ветке 683-П.
                                        Тут 672-П обсуждаем.

                                        Комментарий


                                        • Коллеги, поправьте по срокам, если я ошибаюсь.
                                          пункт 20 абзац 4 вступает в силу с 01.07.21 и говорит о проведении оценки раз в два года.
                                          Правильно ли я понимаю, что отчет двух лет надо начинать с даты вступления этого требования а не всего документа? т.е. оценку провести до 01.07.23.

                                          Если считать 2 года от даты вступления документа 672-П (06.04.2019) то 2 года наступят уже 07.04.21, а требования проводить оценку раз в 2 года по 4 абзацу пункта 20 вступят в силу только с 01.07.21.
                                          Т.е. получается, на момент вступления требования провести оценку (01.07.21) банк уже как 3 месяца автоматом нарушит срок проведения оценки.
                                          Последний раз редактировалось dnebyshe; 13.02.2020, 15:34.

                                          Комментарий


                                          • Сообщение от dnebyshe Посмотреть сообщение
                                            Правильно ли я понимаю, что отчет двух лет надо начинать с даты вступления этого требования а не всего документа? т.е. оценку провести до 01.07.23.
                                            Думаю, что все обстоит так: 01.07.2021 вступит в силу требование выполнить оценку. С этого момента можно будет отсчитывать установленный для регулярности оценки срок до ближайшей граничной обязательной оценки. По логике, исходя из регулярности оценки раз в два года, отведенный срок должен был бы завершиться 01.07.2023. Но этот срок ограничивает другое требование.
                                            Оценку, подтверждающую соответствие 4 уровню, нужно в соответствии с абз. 5 п. 20 подтвердить до 01.01.2023 - это дата вступления в силу этого абзаца.
                                            Стало быть конечный срок оценки, при этом уже подтверждающей 4 уровень - 01.01.2023.

                                            Кстати, при сравнении 683-П, 684-П и 672-П еще обратил внимание, что ЦБ в 672-П не требует проведения внешней оценки.

                                            Комментарий


                                            • Добрый день, коллеги, иногда еще посещающие данный форум.
                                              Мы вносили большие изменения в акт о готовности и отправили в отделение проект на проверку. Отделение послало его в Москву и в ответ прилетел страшный запрос дополнительных документов. Среди которые есть 2 совсем нам непонятны:
                                              1. Документ, описывающий информационное взаимодействие и технологический процесс, в том числе реализацию процедур формирования, контроля электронных сообщений и отправки электронных сообщений в Банк России и мер в части защиты информации.
                                              2. Правила контроля доступа и соответствующие схемы, однозначно определяющие разделение и контроль информационного взаимодействия на уровне приложений, на транспортном уровне, на канальном уровне, на уровне сети, или иной способ организации ограничений. Также должны быть явно определены способы и правила взаимодействия с внешними сетями, в том числе общего пользования. Описание данных взаимодействий должно содержать обоснование их необходимости.
                                              Вернее по смыслу немного понятно, но в какой форме и с каким содержанием это все должно быть, непонятно. Прошу помощи советом, а если кому не очень жалко, то поделиться хотя бы макетами таких документов на e4f7@yandex.ru.

                                              Комментарий


                                              • я сделал положение по защите информации при переводе ДС в ПСБР ( что-то вроде смеси требований 382-П и 672-П).
                                                Там по мимо прочего отразил процедуры формирования и контроля. Схему реализации сети (сегментации), сетевое взаимодействие с другими сетями (например для получения обновлений ОС и антифирусных баз), сетевое оборудования, IP адреса подсетей, установленные средства защиты.
                                                Наверное так, по крайней мене комплексная проверка ЦБ по ИБ была довольна и хлопала в ладоши стоя.


                                                Комментарий


                                                • Сообщение от dnebyshe Посмотреть сообщение
                                                  я сделал положение по защите информации при переводе ДС в ПСБР
                                                  В положении прямо подробно расписывали, например: из АБС выгружается файл ED в папку Z, затем оператор берет его, с использованием сигнатуры ставит подпись, кладет в папку Y, затем контролер,....затем отправляется
                                                  Или все более верхнеуровнево?

                                                  Комментарий


                                                  • Сообщение от Galivut Посмотреть сообщение
                                                    Добрый день, коллеги, иногда еще посещающие данный форум.
                                                    Мы вносили большие изменения в акт о готовности и отправили в отделение проект на проверку. Отделение послало его в Москву и в ответ прилетел страшный запрос дополнительных документов. Среди которые есть 2 совсем нам непонятны:
                                                    1. Документ, описывающий информационное взаимодействие и технологический процесс, в том числе реализацию процедур формирования, контроля электронных сообщений и отправки электронных сообщений в Банк России и мер в части защиты информации.
                                                    2. Правила контроля доступа и соответствующие схемы, однозначно определяющие разделение и контроль информационного взаимодействия на уровне приложений, на транспортном уровне, на канальном уровне, на уровне сети, или иной способ организации ограничений. Также должны быть явно определены способы и правила взаимодействия с внешними сетями, в том числе общего пользования. Описание данных взаимодействий должно содержать обоснование их необходимости.
                                                    Вернее по смыслу немного понятно, но в какой форме и с каким содержанием это все должно быть, непонятно. Прошу помощи советом, а если кому не очень жалко, то поделиться хотя бы макетами таких документов на e4f7@yandex.ru.
                                                    У нас такое не просили, но примерное представляя, откуда растут ноги у этого запроса, я бы взял комплект документов по аттестации АРМ по требованиям ФСТЭК и переделал его под сегмент ПС БР:
                                                    - Матрица доступа;
                                                    - Описание технологических процессов;
                                                    - Перечень защищаемых ресурсов;
                                                    - План контролируемой зоны;
                                                    - План и состав размещения вычислительных средств;
                                                    - Технический паспорт.

                                                    Комментарий

                                                    Обработка...
                                                    X