14 июля, вторник 09:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от Berckut Посмотреть сообщение

    Ну да, действительно не всё так однозначно.

    В п.1.1 договора об обмена указано на кого он распространяется:
    1.1. Договор определяет условия осуществления обмена электронными сообщениями (далее – ЭС) и (или) пакетами ЭС при взаимодействии Сторон при предоставлении Банком Клиенту – пользователю электронного средства платежа (далее – ЭСП) операционных услуг при осуществлении Банком перевода денежных средств в рамках платежной системы Банка России, при предоставлении Банком услуг по передаче финансовых сообщений через систему передачи финансовых сообщений (далее – СПФС) , а также требования к защите информации при осуществлении вышеуказанного обмена ЭС.

    В сноске 1 написано вот что:
    Слова «при предоставлении Банком услуг по передаче финансовых сообщений через систему передачи финансовых сообщений (далее – СПФС)» указываются в Договоре с Клиентом – пользователем СПФС.

    Согласно сноске 63 Приложение 12 включается в Договор с Клиентом – пользователем СПФС.

    Т.е. получается если в нашем договоре этого приложения нет и в пункте 1.1 про СПФС нечего не написано, то это не наш случай и старое 552-П выполнять не надо.
    Как обычно, пишут так, чтобы голову сломать.

    Комментарий


    • #32
      Сообщение от rvroman Посмотреть сообщение
      Сегментирование "вчера" по пункту 14.3 абзац 1
      Похоже на то, там не только сегментирование (в т.ч. разные контуры, оборудование, персонал, ключи), ещё и контроль.

      Сообщение от rvroman Посмотреть сообщение
      В этой части вступает в силу с 06.04.2019
      Имелось в виду тем у кого ещё всё сделано на старых АРМ КБР (последовательная простановка КА и КЗ), как выполнять? Разделять в разные сетевые сегменты эти АРМ (по рабочим местам и людям, ключам разделено)? Или уже в новом решении с АБС это делать?

      Сообщение от Berckut Посмотреть сообщение
      Т.е. получается если в нашем договоре этого приложения нет и в пункте 1.1 про СПФС нечего не написано, то это не наш случай и старое 552-П выполнять не надо.
      А почему СПФС нет?

      Последний раз редактировалось Zuz; 03.04.2019, 14:04.

      Комментарий


      • #33
        Сообщение от Zuz Посмотреть сообщение
        ...
        Имелось в виду тем у кого ещё всё сделано на старых АРМ КБР (последовательная простановка КА и КЗ), как выполнять? Разделять в разные сетевые сегменты эти АРМ (по рабочим местам и людям, ключам разделено)? Или уже в новом решении с АБС это делать?
        ...
        Это очень хороший вопрос, по букве этого приложения, независимо от того, ставите вы ЗК/КА в АБС или АРМ КБР, контуры должны быть разделены. Т.е. для тех, кто ещё пользуется АРМ КБР потребуется отдельный АРМ КБР с ключом контролёра в отдельном контуре.

        Комментарий


        • #34
          Сообщение от Zuz Посмотреть сообщение
          А почему СПФС нет?
          Потому что некоторые протестировались, но в боевом режиме так и не ввели
          Заставил поднять вчера договора, у нас об этом нечего нет.

          Комментарий


          • #35
            Поизучал 672-П в свете перехода на шлюх ТШ КБР.
            В отдельные контуры мы должны выделить только компьютеры, где используется КА и ЗК. Про ключи для АРМ КБР-Н вообще ни слова. Судя по всему эта машина вообще не попадает по действие 672-П.
            Соответственно, можно попробовать ключи шифрования получить не на работников корсчёта, а на администраторов, а машину с АРМ КБР-Н (и VPN) убрать в серверную - пусть она там круглосуточно работает.

            Комментарий


            • #36
              Ещё раньше как-то обсуждалось, что надо сделать так, чтобы сообщения в контур обработки попадали напрямую только из контура контроля. Для нас неактуально - это требование исключительно для ОПКЦ (Операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей). По крайней мере для участника ССНП это в явном виде не прописано. Для тех, кто испольует решения ЦФТ это было бы проблемой.
              1. Формирование электронных сообщений и контроль реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны осуществляться с учетом следующего.
              1.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться:
              - направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.

              2. Обработка электронных сообщений и контроль реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ должны осуществляться с учетом следующего.
              2.3. Направление электронных сообщений должно осуществляться таким образом, чтобы все входящие электронные сообщения поступали в контур обработки электронных сообщений только из контура контроля реквизитов электронных сообщений, а все исходящие электронные сообщения из контура обработки электронных сообщений передавались только в контур контроля реквизитов электронных сообщений.
              Да и если поубирать всё лишнее и оставить только то, что применимо для "стандартного" банка (сейчас + до 28.06.2019), то останется совсем немного и главное все задачи решаемы без гемороя.
              Вложения

              Комментарий


              • #37
                В общем, не нашёл причин, чтобы не упростить даже до такого состояния.
                Компьютеры ЗК и КА - в корсчёте.
                АРМ КБР-Н в серверной. Причин, почему им нельзя рулить по RDP или не включать его в AD вроде нет.
                По поводу RDP даже в какой-то исструкции по ТШ КБР было написано, что если используется RDP, то надо сделать то-то и то-то.
                Вложения

                Комментарий


                • #38
                  Сообщение от Berckut Посмотреть сообщение
                  Соответственно, можно попробовать ключи шифрования получить не на работников корсчёта, а на администраторов,
                  Администраторы не могут быть пользователями АРМ КБР-Н (запуск АРМа в режиме шифрования это именно задача пользователя, может как-то можно это обойти, пока не анализировал):
                  => 382-П:
                  2.4.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени следующих ролей:
                  ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;
                  ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

                  => ГОСТ:
                  УЗП.21 Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций:
                  • эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
                  • создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
                  • эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации;
                  • управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа.

                  => СТО БР ИББС:
                  7.2.3. С целью предупреждения возникновения и снижения рисков нарушения ИБ не допускается совмещения в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения.

                  Комментарий


                  • #39
                    Сообщение от Berckut Посмотреть сообщение
                    Ещё раньше как-то обсуждалось, что надо сделать так, чтобы сообщения в контур обработки попадали напрямую только из контура контроля.
                    А что есть для участника ССНП контур обработки?

                    Сообщение от Berckut Посмотреть сообщение
                    Компьютеры ЗК и КА - в корсчёте.
                    ККМ, это возможно как переходный вариант или для имитации, т.к. на уровне моего текущего понимания контур формирования должен быть в АБС на рабочем месте каждого операциониста, там же под каждым сообщением должен проставляться КЗ (см. вариант защиты 3 из форматов УФЭБС), затем такие сообщения должны попадать в контур контроля, где должна проводится сверка, причём для бумажных документов она не может быть в корсчетах никак, а должна быть опять же на месте (контролёр рядом с операционистом находится, чтобы бумагу проверить), а уже после сверки документ попадает в корсчета, где должно проводиться позиционирование документа по той или иной схеме расчётов (не обязательно через ПС БР), затем уже проставляется КА или выгружается в иную ПС документ (т.е. контур контроля, опять же, размазан, а не в корсчетах).
                    Если сделать как на схеме (у нас, к слову, пока очень похоже, т.к. именно так реализовал разработчик АБС), то вопросы целостности нужно будет решать в АБС другими средствами, КЗ в такой схеме получается бутафорским (т.е. в такой схеме формирование документа подменяется процедурой формирования в форматах УФЭБС чисто для отправки, а не формирование в АБС, где нужно документ защищать, т.к. защищать на этапе выгрузки из АБС уже поздно). )))

                    Чтобы было понятна мысль обращаю внимание:
                    "контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;" - проводят или операционисты или автоматизировано, корсчета по 383-П не проводят контроль реквизитов. Это делается в АБС и сделать как на схеме невозможно, т.к. это не работа корсчетов (можно, конечно, операционистов заставить бегать в корсчета до этих АРМ, но...).
                    "контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;" - это тоже задача не для корсчетов, к примеру для бумаги это делает выделенный ответственный сотрудник в ТПБ (контролёр в оперзале, т.к. ему нужен доступ к бумажной первичке), для электронных документов из ДБО это делается автоматически опять же не корсчетами. Т.е. в контур контроля может поступать откуда-то такая информация (из АБС), но вопрос её защиты придётся тоже как-то решать.

                    Комментарий


                    • #40
                      Сообщение от Zuz Посмотреть сообщение
                      А что есть для участника ССНП контур обработки?
                      Это надо у ЦБ спрашивать
                      см. п.2.3 приложения.
                      Мне стало это не интересно как только я понял, что к нам он не относится. Только в ОПКЦ такой есть.

                      Комментарий


                      • #41
                        Сообщение от Zuz Посмотреть сообщение
                        ККМ, это возможно как переходный вариант или для имитации, т.к. на уровне моего текущего понимания контур формирования должен быть в АБС на рабочем месте каждого операциониста, там же под каждым сообщением должен проставляться КЗ (см. вариант защиты 3 из форматов УФЭБС), затем такие сообщения должны попадать в контур контроля, где должна проводится сверка, причём для бумажных документов она не может быть в корсчетах никак, а должна быть опять же на месте (контролёр рядом с операционистом находится, чтобы бумагу проверить), а уже после сверки документ попадает в корсчета, где должно проводиться позиционирование документа по той или иной схеме расчётов (не обязательно через ПС БР), затем уже проставляется КА или выгружается в иную ПС документ (т.е. контур контроля, опять же, размазан, а не в корсчетах).
                        Если сделать как на схеме (у нас, к слову, пока очень похоже, т.к. именно так реализовал разработчик АБС), то вопросы целостности нужно будет решать в АБС другими средствами, КЗ в такой схеме получается бутафорским (т.е. в такой схеме формирование документа подменяется процедурой формирования в форматах УФЭБС чисто для отправки, а не формирование в АБС, где нужно документ защищать, т.к. защищать на этапе выгрузки из АБС уже поздно). )))

                        Чтобы было понятна мысль обращаю внимание:
                        "контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;" - проводят или операционисты или автоматизировано, корсчета по 383-П не проводят контроль реквизитов. Это делается в АБС и сделать как на схеме невозможно, т.к. это не работа корсчетов (можно, конечно, операционистов заставить бегать в корсчета до этих АРМ, но...).
                        "контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;" - это тоже задача не для корсчетов, к примеру для бумаги это делает выделенный ответственный сотрудник в ТПБ (контролёр в оперзале, т.к. ему нужен доступ к бумажной первичке), для электронных документов из ДБО это делается автоматически опять же не корсчетами. Т.е. в контур контроля может поступать откуда-то такая информация (из АБС), но вопрос её защиты придётся тоже как-то решать.
                        Так реализована работа в ЦФТ. Но даже если бы было иначе, то альтернативы нет. Получить на всех операционистов ключи в ЦБ невозможно. Поставить всем операционистам Сигнатуру со всеми необходимыми средствами защиты - невозможно (обслуживать).
                        Так что да, весь этот двойной контроль только на бумаге выглядит замечательно, а в реальности это профанация.

                        Комментарий


                        • #42
                          Сообщение от Zuz Посмотреть сообщение
                          Администраторы не могут быть пользователями АРМ КБР-Н (запуск АРМа в режиме шифрования это именно задача пользователя, может как-то можно это обойти, пока не анализировал):
                          => 382-П:
                          2.4.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени следующих ролей:
                          ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;
                          ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

                          => ГОСТ:
                          УЗП.21 Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций:
                          • эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
                          • создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
                          • эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации;
                          • управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа.

                          => СТО БР ИББС:
                          7.2.3. С целью предупреждения возникновения и снижения рисков нарушения ИБ не допускается совмещения в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения.
                          Нужна четвёртая пара администраторов:
                          1 - администраторы компа.
                          2 - администраторы АРМ КБР-Н
                          3 - администраторы ИБ АРМ КБР-Н
                          4 - администраторы-пользователи компа и АРМ КБР-Н
                          Я на эту тему задумался по двум причинам:
                          1. Ну уже слишком дохрена компов в корсчёте!
                          2. VPN для ТШ КБР работает отвратно и пользоваться им простому пользователю невозможно будет.

                          Комментарий


                          • #43
                            Сообщение от Berckut Посмотреть сообщение
                            В общем, не нашёл причин, чтобы не упростить даже до такого состояния.
                            Компьютеры ЗК и КА - в корсчёте.
                            АРМ КБР-Н в серверной. Причин, почему им нельзя рулить по RDP или не включать его в AD вроде нет.
                            По поводу RDP даже в какой-то исструкции по ТШ КБР было написано, что если используется RDP, то надо сделать то-то и то-то.
                            В общем, схема развалилась.
                            По требованиям Сигнатуры надо использовать МЭ, сертифицированный ФСБ, а в SecretNet встроен МЭ, сертифицированный ФСТЭК. Таким образом, нужен ещё дополнительно сертифицированный ФСБ шлюз (МЭ), а SecretNet становится бесполезен, т.к.:
                            - у него есть проблемы с обновлением винды, а по требованиям Сигнатуры ОС должна обновляться;
                            - контроль целостности можно настроить и без него средствами самой Сигнатуры;
                            - как средство защиты от НСД можно заявлять Соболь.

                            Комментарий


                            • #44
                              Сообщение от Berckut Посмотреть сообщение
                              Мне стало это не интересно как только я понял, что к нам он не относится. Только в ОПКЦ такой есть.
                              Да, в том и суть. )))

                              Сообщение от Berckut Посмотреть сообщение
                              4 - администраторы-пользователи компа и АРМ КБР-Н
                              Они не администраторы, они "пользователи" (не знаю надо документацию читать, как там эта роль называется, не погуржен сейчас в детали), но могут быть в ИТ и не могут совмещать роли что были выше. Т.е. такой своеобразный пользователь = запускатор АРМа и подключения к VPN.

                              Сообщение от Berckut Посмотреть сообщение
                              1. Ну уже слишком дохрена компов в корсчёте!
                              2. VPN для ТШ КБР работает отвратно и пользоваться им простому пользователю невозможно будет.
                              1. Мы сделали отдельный кабинет. )
                              Я не анализирвоал пока, но если АРМ КБР-Н нельзя виртуализирвоать (как УТА), то пусть он будет в корсчетах. Хотя вопрос проброски канала связи туда тоже открытый. )
                              2. Это печально, т.к. мы только переходим на ТШ КБР. Там же Cisco AnyConnect VPN? Промышленное решение же, есть с ним проблемы или это реализация проблемная? )
                              Последний раз редактировалось Zuz; 24.04.2019, 12:43.

                              Комментарий


                              • #45
                                Сообщение от Berckut Посмотреть сообщение
                                По требованиям Сигнатуры надо использовать МЭ, сертифицированный ФСБ
                                Можете указать документ этого требования?

                                Комментарий


                                • #46
                                  Сообщение от Zuz Посмотреть сообщение
                                  2. Это печально, т.к. мы только переходим на ТШ КБР. Там же Cisco AnyConnect VPN? Промышленное решение же, есть с ним проблемы или это реализация проблемная? )
                                  Это мнение по результатам теста.
                                  Он постоянно отваливается. Сейчас пробуем пинг постоянно пускать, чтобы канал всё время нагрузку имел, вроде стал держаться.

                                  Комментарий


                                  • #47
                                    Сообщение от dnebyshe Посмотреть сообщение

                                    Можете указать документ этого требования?
                                    СИСТЕМА КРИПТОГРАФИЧЕСКОЙ АВТОРИЗАЦИИ ЭЛЕКТРОННЫХ
                                    ДОКУМЕНТОВ «СИГНАТУРА» ВЕРСИЯ 5
                                    «СИГНАТУРА-КЛИЕНТ» ВЕРСИЯ 5
                                    АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС «СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ
                                    ЗАЩИТЫ ИНФОРМАЦИИ СКАД «СИГНАТУРА» ВЕРСИЯ 5»
                                    ФОРМУЛЯР
                                    ВАМБ.00107-01 30 01

                                    2.14 Информационная безопасность АПК «Средство КЗИ СКАД «Сигнатура»» версия 5 обеспечивается при условии отсутствия подключения вычислительных средств с установленным АПК «Средство КЗИ СКАД «Сигнатура»» версия 5 к техническим средствам
                                    сетей общего пользования. Для передачи информации, поступающей от криптосредства и на криптосредство, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащённых СЗИ от НСД (межсетевыми экранами, сертифицированными по требованиям ФСБ России не ниже 4 класса защиты). При этом должна быть обеспечена конфиденциальность передаваемой информации вне контролируемой зоны.

                                    Комментарий


                                    • #48
                                      Ну не поставим мы МЭ сертифицированный ФСБ, а оставим SecretNet и Соболь. И что?
                                      Что нам сделает ЦБ или ФСБ? Кто будет физически это проверять? Да чтобы эти все требования выполнить у бизнеса не хватит денег на железки и людей, работающих на всех этих железка.
                                      Надо максимально упрощать, но не ущерб конечно адекватной безопасности.
                                      Хотят 2 контура - сделать 2 контура. Хотят оператора и контролера - тоже решаемо на бумаге.

                                      Комментарий


                                      • #49
                                        Сообщение от dnebyshe Посмотреть сообщение
                                        Ну не поставим мы МЭ сертифицированный ФСБ, а оставим SecretNet и Соболь. И что?
                                        Что нам сделает ЦБ или ФСБ? Кто будет физически это проверять? Да чтобы эти все требования выполнить у бизнеса не хватит денег на железки и людей, работающих на всех этих железка.
                                        Надо максимально упрощать, но не ущерб конечно адекватной безопасности.
                                        Хотят 2 контура - сделать 2 контура. Хотят оператора и контролера - тоже решаемо на бумаге.
                                        Ну, это само собой! Я для себя уже давно решил, что проще один раз исправить, чем весь год мучиться.
                                        Ищу минимально возможную конфигурацию, от которой можно будет отталкиваться. Если брать такую схему, то при появлении замечаний во время проверки достаточно будет докупить МЭ и воткнуть его между АРМ КБР-Н и сетками.
                                        Для АРМ КБР-Н, пожалуй, даже Соболь будет лишним. Прямо требований о том, что мы обязательно должны использовать СКЗИ КС2, нигде не написано. А значит и машину эту можно будет уже не физическую делать, а виртуальную.

                                        Комментарий


                                        • #50
                                          Сообщение от Berckut Посмотреть сообщение
                                          По требованиям Сигнатуры надо использовать МЭ, сертифицированный ФСБ, а в SecretNet встроен МЭ, сертифицированный ФСТЭК.
                                          Мы сейчас используем это:
                                          СФ/515-3136 30.06.2017
                                          09.05.2019
                                          Программный
                                          комплекс
                                          ViPNet Personal
                                          Firewall 4
                                          соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации ОАО «ИнфоТеКС»
                                          127287, г. Москва,
                                          Старый Петровско-Разумовский пр-д, д. 1/23, стр.1
                                          В теории должно остаться вот это:
                                          СФ/515-2907 17.06.2016
                                          29.04.2019
                                          Программный комплекс
                                          ViPNet Client 4»
                                          (исполнения 1, 2, 3)
                                          соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации ОАО «ИнфоТеКС»
                                          127287, г. Москва,
                                          Старый Петровско-Разумовский пр-д, д. 1/23, стр.1
                                          но пока нет на руках инфорамции о продлении сертификата соответсвия, все прочие hostовые решения от Инфотекс не будут повтороно сертифицироваться.

                                          Secret Net тоже хотели, раз с ЕБС завели, но не подходит. И проблема в том, что нет адекватных продуктов, это либо програмно аппратные комплексы либо сертификаты скоро протухают.

                                          Комментарий


                                          • #51
                                            Сообщение от Berckut Посмотреть сообщение
                                            Прямо требований о том, что мы обязательно должны использовать СКЗИ КС2, нигде не написано
                                            есть в СТО БР ИББС-1.0-2014 вот такой пункт 7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2. (Если персональные данные там обрабатываются, то те кто принял СТО к обязательному исполнению обязаны)

                                            Комментарий


                                            • #52
                                              Сообщение от BeebooM Посмотреть сообщение

                                              есть в СТО БР ИББС-1.0-2014 вот такой пункт 7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2. (Если персональные данные там обрабатываются, то те кто принял СТО к обязательному исполнению обязаны)
                                              Я в своё время смог отговорить руководство от присоединения к стандарту

                                              Комментарий


                                              • #53
                                                Сообщение от Zuz Посмотреть сообщение
                                                Мы сейчас используем это:
                                                СФ/515-3136 30.06.2017
                                                09.05.2019
                                                Программный
                                                комплекс
                                                ViPNet Personal
                                                Firewall 4
                                                соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации ОАО «ИнфоТеКС»
                                                127287, г. Москва,
                                                Старый Петровско-Разумовский пр-д, д. 1/23, стр.1
                                                В теории должно остаться вот это:
                                                СФ/515-2907 17.06.2016
                                                29.04.2019
                                                Программный комплекс
                                                ViPNet Client 4»
                                                (исполнения 1, 2, 3)
                                                соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации ОАО «ИнфоТеКС»
                                                127287, г. Москва,
                                                Старый Петровско-Разумовский пр-д, д. 1/23, стр.1
                                                но пока нет на руках инфорамции о продлении сертификата соответсвия, все прочие hostовые решения от Инфотекс не будут повтороно сертифицироваться.

                                                Secret Net тоже хотели, раз с ЕБС завели, но не подходит. И проблема в том, что нет адекватных продуктов, это либо програмно аппратные комплексы либо сертификаты скоро протухают.
                                                Посмотрев реестр сертификатов ФСБ на МЭ решил забить на это. Вываливать кучу бабла за железку или ПО, которого хватит на пол года (максимум на год за Континент, который золотой по цене) бессмысленно.

                                                Комментарий


                                                • #54
                                                  Как оказалось, я не учёл ещё один момент.
                                                  Когда идёт приём сообщений от БР, то АРМ КБР-Н не только расшифровывает их, но и проверяет КА/ЗК, проставленные БР. Соответственно, после этого файлы сразу попадают в АБС.
                                                  Если использовать для этого шару в общей сети (а не в изолированном участке), то есть риск подложить туда подправленный файл, который будет прогружен в АБС уже без проверки. По крайней мере мне не известно о том, что в АБС ЦФТ можно настроить проверку КА/ЗК при загрузке входящих файлов.

                                                  Надо либо АРМ КБР-Н ставить на ту же машину, где стоит КА, а машину с VPN превращать в чистый шлюз (настроить на ней проброс входящих от АРМ КБР-Н соединений в VPN), либо создавать отдельную шару в изолированном сегменте. При этом, если создавать шару, то машину АРМ КБР-Н + VPN надо тоже максимально изолировать.

                                                  Комментарий


                                                  • #55
                                                    Переделал схему.

                                                    АРМ КБР-Н переехал на КА.

                                                    На машинах КА и ЗК пока убрал SecretNet. Он решал 3 проблемы:
                                                    1. Контроль целостности.
                                                    2. Сертифицированное средство защиты от несанционированного доступа.
                                                    3. Сертифицированный межсетевой экран (хотя бы с сертификатом ФСТЭК, лучше чем нечего).
                                                    В качестве СЗИ от НСД можно заявить Соболь.
                                                    Если весь контроль целостности получится решить средствами Сигнатуры, то лучше поискать другое ПО для МЭ, т.к. SecretNet + обновление Windows = геморой. А если решить, что всё равно это несоответствие требованиям, то можно и виндовым обойтись

                                                    Шлюз VPN:
                                                    - можно делать в домене (не вижу от этого дополнительных рисков или несоответствий требованиям);
                                                    - можно ставить несертифицрованный антивирь;
                                                    - в качестве МЭ хватит и встроенного в Windows.
                                                    На этой машине не будет никаких дополнительных средств защиты, но установка/удаление/изменение ПО должна будет актироваться, так у нас должны иметься в наличии утверждённые документы, определяющие:
                                                    - технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры (думаю над чем-то вроде паспорта информационной системы со схемой информационных потоков);
                                                    - состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения (думаю над чем-то вроде плана защиты).

                                                    P.S. Напоминаю, что я ищу минимально возможную конфигурацию, от которой можно отталкиваться с учётом своих собственных возможностей и уровня паранои.
                                                    Вложения

                                                    Комментарий


                                                    • #56
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      Мы сейчас используем это:
                                                      СФ/515-3136 30.06.2017
                                                      09.05.2019
                                                      Программный
                                                      комплекс
                                                      ViPNet Personal
                                                      Firewall 4
                                                      соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации ОАО «ИнфоТеКС»
                                                      127287, г. Москва,
                                                      Старый Петровско-Разумовский пр-д, д. 1/23, стр.1
                                                      В теории должно остаться вот это:
                                                      СФ/515-2907 17.06.2016
                                                      29.04.2019
                                                      Программный комплекс
                                                      ViPNet Client 4»
                                                      (исполнения 1, 2, 3)
                                                      соответствует требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации ОАО «ИнфоТеКС»
                                                      127287, г. Москва,
                                                      Старый Петровско-Разумовский пр-д, д. 1/23, стр.1
                                                      но пока нет на руках инфорамции о продлении сертификата соответсвия, все прочие hostовые решения от Инфотекс не будут повтороно сертифицироваться.

                                                      Secret Net тоже хотели, раз с ЕБС завели, но не подходит. И проблема в том, что нет адекватных продуктов, это либо програмно аппратные комплексы либо сертификаты скоро протухают.
                                                      ViPNet Personal Firewall 4 похоже похоронили, сделал ставку на xFirewall, а он только в виде ПАК.
                                                      Пошарился и по реестру ФСБ, и по реестру ФСТЭК... Всё совсем печально и на требование можно забивать, т.к. оно невыполнимо - брать нечего от слова совсем. Даже среди сертификатов ФСТЭК выбрать нечего. Программных можно сказать, что нет, а все железяки сотни тысяч стоят.
                                                      В сертифицированном ФСБ Каспере есть встроенный несертифицированный МЭ. Можно даже его настраивать, если виндовый не нравится. Я с ним экспериментировал, вроде норм. А учитывая уровень значий в области ИБ проверяющих из ЦБ, возможно даже, что сертификат на антивирь проканает за сертификат на МЭ ))))

                                                      Комментарий


                                                      • #57
                                                        Из ЦБ пришло письмо с напоминанием про приложение № 12 (у кого-то может быть 13) и там про МЭ вот такая рекомендация:
                                                        7. ЗАЩИТА ЛВС КЛИЕНТА
                                                        7.1. Подключение ПК АРМ КБР/ПК АРМ КБР-Н в локальную вычислительную сеть (ЛВС) Клиента необходимо обеспечить с использованием межсетевого экрана, обеспечивающее отсутствие технической возможности доступа к ПК АРМ КБР/ПК АРМ КБР-Н из внешних, по отношению к ЛВС Клиента, сетей. Межсетевой экран должен соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности.
                                                        7.2. В случае отсутствия у Клиента возможности в приобретении и установке межсетевой экран установленного класса ПК АРМ КБР/ПК АРМ КБР-Н должен быть отключен от ЛВС Клиента, загрузка/выгрузка сообщений в/из ПК АРМ КБР/ПК АРМ КБР-Н осуществляется, в таком случае, с использованием съёмных носителей.


                                                        Т.е. можно апеллировать к этому письму, если нет сертификата ФСБ у МЭ, но есть ФСТЭК.

                                                        Комментарий


                                                        • #58
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          Из ЦБ пришло письмо с напоминанием про приложение № 12 (у кого-то может быть 13) и там про МЭ вот такая рекомендация:
                                                          7. ЗАЩИТА ЛВС КЛИЕНТА
                                                          7.1. Подключение ПК АРМ КБР/ПК АРМ КБР-Н в локальную вычислительную сеть (ЛВС) Клиента необходимо обеспечить с использованием межсетевого экрана, обеспечивающее отсутствие технической возможности доступа к ПК АРМ КБР/ПК АРМ КБР-Н из внешних, по отношению к ЛВС Клиента, сетей. Межсетевой экран должен соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности.
                                                          7.2. В случае отсутствия у Клиента возможности в приобретении и установке межсетевой экран установленного класса ПК АРМ КБР/ПК АРМ КБР-Н должен быть отключен от ЛВС Клиента, загрузка/выгрузка сообщений в/из ПК АРМ КБР/ПК АРМ КБР-Н осуществляется, в таком случае, с использованием съёмных носителей.


                                                          Т.е. можно апеллировать к этому письму, если нет сертификата ФСБ у МЭ, но есть ФСТЭК.
                                                          Это приложение 12 (13) к какому документу?

                                                          Комментарий


                                                          • #59
                                                            Сообщение от Berckut Посмотреть сообщение
                                                            Это приложение 12 (13) к какому документу?
                                                            Договору обмена ЭС в ПС БР. Рекомендация не в самом приложении (его нужно разработать на базе приложения), рекомендация в письме ЦБ, где даны ещё рекомендации для разработки порядка, которые я выше процитировал.

                                                            Комментарий


                                                            • #60
                                                              Сообщение от Zuz Посмотреть сообщение
                                                              Договору обмена ЭС в ПС БР. Рекомендация не в самом приложении (его нужно разработать на базе приложения), рекомендация в письме ЦБ, где даны ещё рекомендации для разработки порядка, которые я выше процитировал.
                                                              В договоре вообще нечего похожего не нашёл.
                                                              Похоже это из документации на АРМ КБР-Н прилетело. Ноги видимо оттуда растут.

                                                              АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ НОВОЕ
                                                              Руководство по обеспечению информационной безопасности
                                                              ЦБРФ.61289-02 93 01

                                                              3 Рекомендации по организации безопасной эксплуатации
                                                              3.9 Организация защищенного подключения ПК АРМ КБР-Н в локальную вычислительную сеть клиента
                                                              3.9.1 Необходимо организовать и обеспечить защищенное подключение ПК АРМ КБР-Н в локальную вычислительную сеть (ЛВС) клиента, предполагающее отсутствие технической возможности доступа к ПК АРМ КБР-Н из внешних, по отношению к ЛВС клиента, сетей, в том числе из сети Интернет.
                                                              3.9.2 Для решения указанной задачи необходимо обеспечить защиту ЛВС клиента от сетевых атак из внешних сетей, в том числе из сети Интернет, путем применения межсетевого экрана, который должен осуществлять фильтрацию сетевого графика и соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники, межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности.

                                                              Комментарий

                                                              Обработка...
                                                              X