11 июля, суббота 08:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Сообщение от Berckut Посмотреть сообщение
    Похоже это из документации на АРМ КБР-Н прилетело. Ноги видимо оттуда растут.
    Да, это в нашем ГУ делали письмо с рекомендациями и взяли фразу из документации. )
    В сухом остатке: должно быть 2 сертификата ФСБ и ФСТЭК, программных таких вроде нет вообще. )))

    Комментарий


    • #62
      Сообщение от Berckut Посмотреть сообщение
      Переделал схему.

      АРМ КБР-Н переехал на КА.

      На машинах КА и ЗК пока убрал SecretNet. Он решал 3 проблемы:
      1. Контроль целостности.
      2. Сертифицированное средство защиты от несанционированного доступа.
      3. Сертифицированный межсетевой экран (хотя бы с сертификатом ФСТЭК, лучше чем нечего).
      В качестве СЗИ от НСД можно заявить Соболь.
      Если весь контроль целостности получится решить средствами Сигнатуры, то лучше поискать другое ПО для МЭ, т.к. SecretNet + обновление Windows = геморой. А если решить, что всё равно это несоответствие требованиям, то можно и виндовым обойтись

      Шлюз VPN:
      - можно делать в домене (не вижу от этого дополнительных рисков или несоответствий требованиям);
      - можно ставить несертифицрованный антивирь;
      - в качестве МЭ хватит и встроенного в Windows.
      На этой машине не будет никаких дополнительных средств защиты, но установка/удаление/изменение ПО должна будет актироваться, так у нас должны иметься в наличии утверждённые документы, определяющие:
      - технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры (думаю над чем-то вроде паспорта информационной системы со схемой информационных потоков);
      - состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения (думаю над чем-то вроде плана защиты).

      P.S. Напоминаю, что я ищу минимально возможную конфигурацию, от которой можно отталкиваться с учётом своих собственных возможностей и уровня паранои.
      А у Вас сегменты ЗК и КА разделены?
      На каком МЭ остановили выбор?

      Тоже думаю компы с ЗК и КА поставить в корсчета, засунуть в них соболи, каспера, опечатать, в разные подсети посадить.
      А КБР-Н и ТШ в серверной оставить.

      Комментарий


      • #63
        Сообщение от dnebyshe Посмотреть сообщение
        А у Вас сегменты ЗК и КА разделены?
        Сегмент КА и Сегмент ЗК - это по сути сами компы, т.к. там находится и Сигнатура, и ПО для формирования и обработки сообщений. Специфика решения ЦФТ такова, что ПО ставится не непосредство на сервер АБС, а в виде отдельных криптоадаптеров (это они их так назвали), которые и делают всю работу якобы в самой АБС. Соответственно, можно сказать, что граница каждого сегмента КА и ЗК находится по сути на сетевой карте компа.
        Звучит глупо, но формально это так.

        Сообщение от dnebyshe Посмотреть сообщение
        На каком МЭ остановили выбор?
        По поводу МЭ выбирать нечего. Железяку на границу между всеми сегментами ставить не хочется - слишком дорого (особенно если учесть сроки действия сертификатов). Так как сертифицированного ФСБ нечего не остаётся, то ставить любой с сертификатом ФСТЭК. Лично меня вполне устроила работа МЭ, встроенного в SecretNet. За неимением нечего другого под рукой, буду и этим пока сыт.

        Сообщение от dnebyshe Посмотреть сообщение
        Тоже думаю компы с ЗК и КА поставить в корсчета, засунуть в них соболи, каспера, опечатать, в разные подсети посадить.
        А КБР-Н и ТШ в серверной оставить.
        А кто будет в КБР-Н ключи подгружать? Или он будет постоянно работать?
        Откатись на несколько сообщений назад. Я изначально тоже так планировал, но потом отказался от такой идеи - есть возможность провести атаку и зачислить себе денег на счёт, а потом вывести их по других каналам.
        Я не нашёл особых требований к компу, где стоит ТШ. Да и нечего там защищать. Поэтому оставил его админам со стандартными для всей сети банка мерами. Но и АРМ КБР я с него убрал.
        Чтобы прокидывать входящие подклюения в VPN-канал нет нечего сложного. Уже в самой винде даже есть такой функционал. Для Win7 это выглядит примерно так:
        netsh interface portproxy add v4tov4 listenaddress=[адрес компа ТШ] listenport=8888 connectaddress=[адрес шлюза ТШ в ЦБ] connectport=7777

        Комментарий


        • #64
          Сообщение от Berckut Посмотреть сообщение
          Звучит глупо, но формально это так.
          КМК, это не так, требуется создавать выделенные сетевые сегменты и размещать там отдельные сервера приложений АБС (я даже считаю, что вне домена), к каждому из которых будет подключаться терминалы (и только они) для постановки ЗК или КА.
          А Сигнатура у вас на сервере приложений АБС?
          Или у вас АБС в облаке?

          Сообщение от Berckut Посмотреть сообщение
          Лично меня вполне устроила работа МЭ, встроенного в SecretNet. За неимением нечего другого под рукой, буду и этим пока сыт.
          Знаю, что многие банки просто купили самый дешёвый железный VipNET. В программном VipNET Client сертификат ФСБ похоже продлевать не будут.
          SecretNet всё больше разочаровывает, тут оказалось что сервер управления может быть только в домене! )

          Сообщение от Berckut Посмотреть сообщение
          есть возможность провести атаку и зачислить себе денег на счёт, а потом вывести их по других каналам.
          Такая возможность всегда есть пока вы не будите формировать сообщение прямо в АБС с ЗК и проверять аналогично (как собственно и требует 672-П, для чего всё это задумывалось). Причём сверку должно делать ещё и внешнее решение (не забывайте, что в 382-П есть требование сверять входные, выходные и обработанные сообщения), которое будет вне домена и скрыто от злоумышленника, есть похожий режим у Фродекс в их решении FraudWall для АРМ КБР.

          Сообщение от Berckut Посмотреть сообщение
          Для Win7 это выглядит примерно так:
          Очень осторожно в продакшене это используйте, есть глюки у этой функциональности (особенно в многопотоке), я вдоль и поперёк это протестировал бывает потеря пакетов и полный отказ в работе (перстаёт отвечать на запросы порт и всё).
          Зачем это, если можно маршрутизацией на машине с ТШ решить вопрос? Я пока не смотрел ТШ, у нас только внедрять будем, но там есть какие-то требования, что я не учёл и нужно пробрасывать порты?

          P.S. Удивительно как смещаются акценты в банках с ИТ в ИБ, смещаются, видимо, туда, где больше компетенции. ИМХО, вообще ваша задача требования предъявить и проконтролировать. А получается, что сами всё решение проектируете и организуете внедрение! )
          Последний раз редактировалось Zuz; 16.05.2019, 11:43.

          Комментарий


          • #65
            Сообщение от Zuz Посмотреть сообщение
            КМК, это не так, требуется создавать выделенные сетевые сегменты и размещать там отдельные сервера приложений АБС (я даже считаю, что вне домена), к каждому из которых будет подключаться терминалы (и только они) для постановки ЗК или КА.
            А Сигнатура у вас на сервере приложений АБС?
            Или у вас АБС в облаке?
            Да нет, АБС на наших серверах. Тоже ЦФТ.
            В них же нельзя нечего непосредственно в АБС вкорячить. Только сделать отдельные компы, которые будут взаимодействовать с СУБД. На этих компах будет стоять КриптоАдаптер ЗК или КА, Сигнатура и ППИ java Сигнатура.
            Соответственно каждый их этих компов и есть отдельный сегмент КА или ЗК, по сути.
            А также, с точки зрения здравого смысла, сегмент сети, через который эти компы взаимодействуют с СУБД, должен быть изолирован от всего остального.

            Сообщение от Zuz Посмотреть сообщение
            Знаю, что многие банки просто купили самый дешёвый железный VipNET. В программном VipNET Client сертификат ФСБ похоже продлевать не будут.
            SecretNet всё больше разочаровывает, тут оказалось что сервер управления может быть только в домене! )
            У меня схема нарсована по минималке. Конечно, между этими компами и сеткой банка можно ещё какой-нить шлюз безопасности воткнуть. Я и сам делаю немного по другому. Это концепт.

            Сообщение от Zuz Посмотреть сообщение
            Такая возможность всегда есть пока вы не будите формировать сообщение прямо в АБС с ЗК и проверять аналогично (как собственно и требует 672-П, для чего всё это задумывалось). Причём сверку должно делать ещё и внешнее решение (не забывайте, что в 382-П есть требование сверять входные, выходные и обработанные сообщения), которое будет вне домена и скрыто от злоумышленника, есть похожий режим у Фродекс в их решении FraudWall для АРМ КБР.
            Я имел ввиду другое. Принимаемые сообщения проверяются только в АРМ КБР-Н, после чего сразу отправляются в АБС, которая им доверяет и запускает в работу. Соответственно, если получить доступ к машине с АРМ КБР-Н, то нечего не мешает подложить туда файл, который потом будет переложен в АБС. Например, начислить денег на подконтрольный счёт в банке. А следом эти же деньги вывести по другому каналу - через Интернет-банкинг например.
            Соответственно машина с АРМ КБР-Н должна быть в изолированном сегменте и конечно никакого RDP.

            Сообщение от Zuz Посмотреть сообщение
            Очень осторожно в продакшене это используйте, есть глюки у этой функциональности (особенно в многопотоке), я вдоль и поперёк это протестировал бывает потеря пакетов и полный отказ в работе (перстаёт отвечать на запросы порт и всё).
            Зачем это, если можно маршрутизацией на машине с ТШ решить вопрос? Я пока не смотрел ТШ, у нас только внедрять будем, но там есть какие-то требования, что я не учёл и нужно пробрасывать порты?
            Я потому и хочу управление машиной с VPN оставить за админами, т.к. нет у меня уверенности в надёжной работе этого канала.
            На машину с АРМ КБР-Н ставить его не хочу. Это значит выпускать её наружу, а я считаю это неправильным (см. выше).

            Сообщение от Zuz Посмотреть сообщение
            P.S. Удивительно как смещаются акценты в банках с ИТ в ИБ, смещаются видимо туда, где больше компетенции. ИМХО, вообще ваша задача требования предъявить и проконтролировать. А получается, что сами всё решение проектируете и организуете внедрение! )
            Это специфика региональных банков. Людей мало, работы много. Основная задача автоматизации обеспечить работоспобность. ИБ для неё вторична и если у них не будет хватать времени на всё (а его вегда не хватает), то ИБ они займутся потом. Соответственно у СИБ не остаётся выбора - не сделаешь сам, не сделает никто. Я не буду настраивать винду (хотя и могу), но не зная, как это делается, невозможно поставить задачу автоматизации.
            Я давно уже пришёл к выводу, что в рамках управления автоматизации надо создавать отдельное подразделение технической защиты, которое будет непосредственно отвечать за ИТ-безопасность. Но в наших реалиях это невозможно.
            У меня стаж уже за 15 лет перевалил, но за это время я могу вспомнить только двух руководителей, которые не руководствовались принципом "Надо выпустить приказ и всё само заработает". Без денег, без достаточного количества рабочих рук, без обучения или экспериментов.

            Комментарий


            • #66
              Сообщение от Berckut Посмотреть сообщение

              Я имел ввиду другое. Принимаемые сообщения проверяются только в АРМ КБР-Н, после чего сразу отправляются в АБС, которая им доверяет и запускает в работу. Соответственно, если получить доступ к машине с АРМ КБР-Н, то нечего не мешает подложить туда файл, который потом будет переложен в АБС. Например, начислить денег на подконтрольный счёт в банке. А следом эти же деньги вывести по другому каналу - через Интернет-банкинг например.
              Соответственно машина с АРМ КБР-Н должна быть в изолированном сегменте и конечно никакого RDP.
              Криптоадаптеры ЦФТ разве не проверяют подписи на входящих сообщениях от ЦБ?
              У нас валятся ошибки если не запущены криптоадаптеры

              Комментарий


              • #67
                Сообщение от svarog.coop Посмотреть сообщение

                Криптоадаптеры ЦФТ разве не проверяют подписи на входящих сообщениях от ЦБ?
                У нас валятся ошибки если не запущены криптоадаптеры
                Похоже нет.
                Возможно всё зависит от настроек. Я был бы рад, если бы проверка действительно проводилась, но таких настроек не нашли.

                Комментарий


                • #68
                  Сообщение от Berckut Посмотреть сообщение
                  Соответственно каждый их этих компов и есть отдельный сегмент КА или ЗК, по сути.
                  Не уверен. "КриптоАдаптер" что делает? Это сервис для АБС, что может подписать что то?

                  Сообщение от Berckut Посмотреть сообщение
                  А также, с точки зрения здравого смысла, сегмент сети, через который эти компы взаимодействуют с СУБД, должен быть изолирован от всего остального.
                  В такой схеме вся АБС. )))

                  Сообщение от Berckut Посмотреть сообщение
                  Принимаемые сообщения проверяются только в АРМ КБР-Н, после чего сразу отправляются в АБС, которая им доверяет и запускает в работу. Соответственно, если получить доступ к машине с АРМ КБР-Н, то нечего не мешает подложить туда файл, который потом будет переложен в АБС
                  КА должен проверятся на стороне АБС + вы должны входное и обработанное сообщение проверять согласно 382-П. В моём понимании входное это то, что пришло из ЦБ с подписью, обработанное, то что по счёту клиента провели. И сверка должна быть в скрытой изолированной от злоймышлеников среды.

                  Сообщение от Berckut Посмотреть сообщение
                  Я потому и хочу управление машиной с VPN оставить за админами
                  Верное решение, это просто транспорт же для заширфованных данных, но нужно понимать, что с такой машины может быть доступ в личный кабинет ТШ, что может нести ряд рисков и совмем без защиты такую машину оставлять не хорошо и в домен включать тоже, разве что ресурсный, изолированный от основного.

                  Сообщение от Berckut Посмотреть сообщение
                  На машину с АРМ КБР-Н ставить его не хочу. Это значит выпускать её наружу, а я считаю это неправильным (см. выше).
                  Какая разница проброс портов через фичу IP-стека Windows или маршрутизация через тот же стек. Можно же только конкретный адрес маршрутизировать. Моё замечание было в том, что глючит эта фича. Да она есть, но осторожно используйте!

                  Сообщение от Berckut Посмотреть сообщение
                  Я давно уже пришёл к выводу, что в рамках управления автоматизации надо создавать отдельное подразделение технической защиты, которое будет непосредственно отвечать за ИТ-безопасность. Но в наших реалиях это невозможно.
                  Только не отвечать, а заниматься сопровождением и эксплуатацией средств защиты. Отвечать, всё равно, будите вы: транслируя требования, методологию и обепсечивая мониторинг и контроль.
                  "С низу" такое, да, невозможно. (

                  Комментарий


                  • #69
                    Коллеги, такой вопрос.
                    Мы не используем СПФС, но есть договор с ЦБ, а в нем . Приложение 12 “Требования к защите информации, выполняемые клиентом - пользователем СПФС". Там почти все требования 552-П.
                    Так являемся мы участниками СПФС или нет? Надо ли делать отчеты о выполнении требования 552-П. которые перенесены в этот договор в приложение?

                    Комментарий


                    • #70
                      Я тут ранее как-то писал, что вроде нет прямых требований о том, что должен использоваться электронный замок.
                      Так вот, они есть

                      АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО КЛИЕНТА БАНКА РОССИИ НОВОЕ
                      Руководство по обеспечению информационной безопасности
                      ЦБРФ.61289-02 93 01

                      3 Рекомендации по организации безопасной эксплуатации
                      3.6 Средства защиты от НСД
                      3.6.1 Для работы совместно с ПК АРМ КБР-Н требуется применять программно-аппаратные СЗИ от НСД, такие как «Аккорд-АМДЗ», «Соболь» и т.п. СЗИ от НСД должно соответствовать требованиям, предъявляемым СКАД Сигнатура.
                      Причём если подходить формально, то Соболь должен быть ещё и с сертификатом ФСБ (это требование Сигнатуры). Как заставить работать старый Соболь (с сертификатом ФСБ есть только устаревший 3.2) на даже не новых, а просто на относительно свежих компах - задача не тривиальная. Только брать старые компы.
                      Есть свежий Соболь 4, который может работать с UEFI, но у него только сертификат ФСТЭК, а про сертификацию ФСБ вообще новостей не слышал.

                      Комментарий


                      • #71
                        Сообщение от Berckut Посмотреть сообщение
                        то Соболь должен быть ещё и с сертификатом ФСБ (это требование Сигнатуры)
                        Поэтому на АРМ с Сигнатурой давно и успешно используем Аккорды, в части бумажной безопасности никогда не подводили + там есь ещё и програмное средсвто Аккорд-Win64 (у нас всё это в форме акта ЦБ указано, который идёт приложением к договру).
                        И, кстати, я уже тут где-то упоминал про то, что в ОКБ САПР много что сделали в развити самих устройств (заявлена реализация TSS v1.10, но пока не смотрели и не тестировали такую работу, бумажная безопасность времени не даёт).

                        Комментарий


                        • #72
                          Сообщение от dnebyshe Посмотреть сообщение
                          Коллеги, такой вопрос.
                          Так являемся мы участниками СПФС или нет?
                          Очевидно с этого вопроса нужно начинать. )

                          Комментарий


                          • #73
                            Сообщение от Zuz Посмотреть сообщение
                            Поэтому на АРМ с Сигнатурой давно и успешно используем Аккорды, в части бумажной безопасности никогда не подводили + там есь ещё и програмное средсвто Аккорд-Win64 (у нас всё это в форме акта ЦБ указано, который идёт приложением к договру).
                            Аккорд-Win64 судя по оф.сайту не имеет сертификата ФСБ.

                            Комментарий


                            • #74
                              Сообщение от dnebyshe Посмотреть сообщение
                              Коллеги, такой вопрос.
                              Мы не используем СПФС, но есть договор с ЦБ, а в нем . Приложение 12 “Требования к защите информации, выполняемые клиентом - пользователем СПФС". Там почти все требования 552-П.
                              Так являемся мы участниками СПФС или нет? Надо ли делать отчеты о выполнении требования 552-П. которые перенесены в этот договор в приложение?
                              Посмотрите в разделе 11 (где срок действия Договора): Условия Договора в части обмена через СПФС вступают в силу при наличии условий оплаты услуг Банка по передаче ФС через СПФС в договоре банковского (корреспондентского) счета (субсчета)...
                              Если в договоре к/с оплата услуг СПФС предусмотрена, то вы являетесь.

                              Комментарий


                              • #75
                                Мне тут Соболь 3.2 (серт. ФСБ) много крови попил на Win10, хотя изначально я грешил на SecretNet (именно у него модули сыпались и он уходил в отказ). Да и в базе знаний статья не бьётся по поиску, так как в тегах не правильно указана версия Соболя. В общем, имейте ввиду следующую инфу:
                                https://www.securitycode.ru/wiki/sob...l-versii-3-0-/

                                Комментарий


                                • #76
                                  Сообщение от svarog.coop Посмотреть сообщение

                                  Посмотрите в разделе 11 (где срок действия Договора): Условия Договора в части обмена через СПФС вступают в силу при наличии условий оплаты услуг Банка по передаче ФС через СПФС в договоре банковского (корреспондентского) счета (субсчета)...
                                  Если в договоре к/с оплата услуг СПФС предусмотрена, то вы являетесь.
                                  http://www.cbr.ru/PSystem/mes/clients/

                                  Но это какой-то мутный список. У нас не заключено никаких соглашений на этот счёт, у нас нет ключей и мы там не можем работать, наш договор об электронном обмене не предусматривает работу в СПФС, но при этом мы числимся в списке пользователей СПФС на сайте ЦБ…

                                  Комментарий


                                  • #77
                                    С одной стороны мы в списке есть. т.о. для нас 552-П никто не отменял, оно успешно перекочевало в Приложение 12.
                                    С другой, мы не пользуемся СПФС, ничего не оплачивали, оттестились давно еще и все. Нет отдельного арма, ключей, сигнатуры, актов аттестации и прочего.
                                    Получается непонятная ситуация. Сегмента нет, а правила защиты сегмента есть.

                                    Комментарий


                                    • #78
                                      Мы тоже не используем СПФС, но в списке есть. Нам сказали, что если акт о готовности АРМ СПФС не предоставим, в соответствии с письмом о переходе, то нас отключат от СПФС..

                                      Комментарий


                                      • #79
                                        Лукацкий в понедельник на семинаре сказал, что если мы подключены, но фактически АРМа нет, то надо выполнять требования только в части регламентации и инструкций. 37 бумажек сделать.

                                        Комментарий


                                        • #80
                                          Кто-нибудь определял в соответствии с п.19 672-П уполномоченных лиц на подписание и отправку обращений о приостановлении обмена ЭС в случае инцидента ИБ?
                                          Это обязательно один тот же человек, или могут быть разные.
                                          Например, подписывать - только Председатель Правления или зам., а отправлять через АСОИ ФинЦЕРТ специалист из отдела ИБ?
                                          И кому открыли в АСОИ доступ этому функционалу, подскажите, как там предусмотрено обеспечение контроля целостности и подтверждения подлинности (п.19.5 672-П)?

                                          Комментарий


                                          • #81
                                            Сообщение от dnebyshe Посмотреть сообщение
                                            если мы подключены, но фактически АРМа нет, то надо выполнять требования только в части регламентации и инструкций. 37 бумажек сделать.
                                            КМК, за не выполнение вас максимум могут отключить от СПФС, а вы к нему, вроде, и так не подключены. )))

                                            Сообщение от Galivut Посмотреть сообщение
                                            спечение контроля целостности и подтверждения подлинности
                                            Это задача ЦБ же, позвоните в ФинЦЕРТ и спросите.
                                            Насколько помню, в АСОИ "ФинЦЕРТ" ничего кроме логина и пароля + HTTPS (с ГОСТ TLS) нет.

                                            Комментарий


                                            • #82
                                              коллеги, в 672-П в отдельных местах упоминается ОГЖЦ
                                              я что-то не нашел расшифровку этого понятия... кто подскажет?

                                              И что-то не понятно по срокам.
                                              Получается, что что ССНП уже сейчас должны обеспечить раздельные контуры формирования ЭС и контроля с указанным в приложении функционалом.
                                              Последний раз редактировалось Setevoy; 03.06.2019, 10:19.

                                              Комментарий


                                              • #83
                                                Коллеги, а как вы смотрите на область действия 672-П? По идее, в соответствии с п.2 требования распространяются не только лишь на сегмент ПС БР, но также на системы за пределами платежного сегмента, например АБС, ведь:

                                                ИЗ 683-П:
                                                2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года N 382-П (далее при совместном упоминании - объекты информационной инфраструктуры).

                                                ИЗ 382-П:
                                                информации об остатках денежных средств на банковских счетах;
                                                информации об остатках электронных денежных средств;


                                                Обсуждаются требования к сегменту АРМ КБР, но фактически требования распространяются на бОльшую часть инфраструктуры, нежели только сегмент АРМ КБР. По крайней мере, я не вижу в положении указаний применять требования ИБ только к сегменту, отвечающем за подписание и отправку ЭС.

                                                Возьмем АБС. Обрабатывает защищаемую в соотв.с 382-П? Безусловно. Следовательно все требования 672-П применимы и к АБС, в том числе и ГОСТ 57580.

                                                Какие мнения?

                                                Комментарий


                                                • #84
                                                  Это зависит от того, как будет реализован требуемый в 672-П функционал.
                                                  Например все описанные в 682-П фунциональные АРМы, использующие криптографию, выводим в отдельные сетевые сегменты, и пусть они там себе крутятся с Сигнатурой.
                                                  А непосредственно в самой АБС никаких криптообработок не производится.

                                                  И кстати, 382-П фактически уже переросло в 683-П, и там прописаны свои требования.

                                                  Комментарий


                                                  • #85
                                                    Setevoy
                                                    Не нашел ограничение области действия 672_П только функциональными АРМами, использующими криптографию для шифрования/подписания.

                                                    Получается, что для небольших банков бОльшая часть инфраструктуры попадает под требования этих двух положений со всеми вытекающими.

                                                    Комментарий


                                                    • #86
                                                      Теперь, когда нет самооценки, все будет зависеть еще и от мнения внешнего аудитора.
                                                      Он будет проводить оценку.
                                                      Можно проконсультироваться с ним, что он будет считать областью 683, а что 672.

                                                      Комментарий


                                                      • #87
                                                        Сообщение от Nikolas_R Посмотреть сообщение
                                                        Получается, что для небольших банков большая часть инфраструктуры попадает под требования этих двух положений со всеми вытекающими.
                                                        Большая часть объектов информационной инфраструктуры, действительно, подпадает под ГОСТ в силу 683-П (но там уровень защиты информации может (в зависимости от системной значимости) быть больше, чем второй, установленный для всех, по 672-П). В данном же случае, я не вижу оснований распространять требования за пределы сегментов, в которых применяются автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, для обработки указанной вами информации, в рамках обмена с платёжной системой БР: конкретно указанные выше объекты информационной инфраструктуры, отвечающие за обработку входящих и исходящих сообщений из ПС БР, а не вторичная информация (проводки, остатки и прочее о чём вы видёте речь: подробнее смотрите пункт 3-й положения).
                                                        Дале, как уже у вас организовано разработчиком решения: если это внутри АБС, то не знаю как вы выделите это в отдельный сегмент от вашей АБС. В общем же случае АБС должна попадать в контуры формирования и контроля ЭС (см. мои сообщения выше), как минимум, та часть что отвечает за данные процессы.

                                                        Комментарий


                                                        • #88
                                                          Коллеги, что нам запрещает оставлять армы контроль и процессинг в домене?
                                                          Выделить подсети, определить уровень сетевого взаимодействия, но оставить в домене.
                                                          Я не нахожу прямого запрета на это.

                                                          Комментарий


                                                          • #89
                                                            dnebyshe
                                                            Прямо ничего не запрещает но не рекомендуется (в том числе Swift), как более уязвимое.

                                                            Комментарий


                                                            • #90
                                                              Сообщение от saches Посмотреть сообщение
                                                              dnebyshe
                                                              Прямо ничего не запрещает но не рекомендуется (в том числе Swift), как более уязвимое.
                                                              В 382-П, 672-П, 683-П ничего явного такого нет, и меня ИТ начинают дергать "Почему не в домене?"
                                                              Нутром чувствую что лучше не вводить в домен, но запрета не нахожу.

                                                              Комментарий

                                                              Обработка...
                                                              X