25 мая, понедельник 17:56
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Сообщение от Setevoy Посмотреть сообщение
    коллеги, в 672-П в отдельных местах упоминается ОГЖЦ
    я что-то не нашел расшифровку этого понятия... кто подскажет?
    ОГЖЦ=ОПКЦ Отсканировали, распознали, загрузили в Гарант.

    Комментарий


    • #92
      Сообщение от dnebyshe Посмотреть сообщение
      Коллеги, что нам запрещает оставлять армы контроль и процессинг в домене?
      В случае с процессингом - PCI DSS (запрета нет, но есть рекомендация).

      "Сегментация сети, т. е. отделение среды ДДК от остальной части сети организации в отдельный сегмент (изоляция) не является требованием PCI DSS. Однако сегментация настоятельно рекомендуется как средство, позволяющее уменьшить:

      область оценки соответствия PCI DSS;

      затраты на оценку соответствия PCI DSS;

      стоимость и сложность реализациии обслуживания защитных мер для соответствия PCI DSS;

      риск для организации (снижаемый за счет объединения ДДК в меньшем количестве мест расположения находящихся под более надежным контролем.


      Если надлежащая сегментация сети отсутствует (так называемая «плоская сеть», в область оценки соответствия PCI DSS попадает вся сеть".

      Комментарий


      • #93
        Сегментация - это вовсе не равно отсутствию в домене

        Комментарий


        • #94
          Сообщение от w3d Посмотреть сообщение
          Сегментация - это вовсе не равно отсутствию в домене
          Я хочу оставить армы процесс, контрол и КБРН в домене, но разнести их по разным сегментам.
          Это упростит сетевое взаимодействие для централизованного обновления ОС, антивируса.
          Чувствую что это не хорошо с точки зрения безопасности, но если это не запрещено требованиями ЦБ, то почему бы и нет.

          Комментарий


          • #95
            Сообщение от dnebyshe Посмотреть сообщение

            Я хочу оставить армы процесс, контрол и КБРН в домене, но разнести их по разным сегментам.
            Это упростит сетевое взаимодействие для централизованного обновления ОС, антивируса.
            Чувствую что это не хорошо с точки зрения безопасности, но если это не запрещено требованиями ЦБ, то почему бы и нет.
            Прямо такое требование ЦБ не установлено. Но, во-первых, согласно п.1.2 вы (СИБ) должно согласовать таое размещение, т.е. взять ответственность на себя. Во-вторых, кроме требований ЦБ есть ещё здравый смысл.
            В нынешних условиях заражение хотя бы одного компа в сети банка бэкдором по сути скомпрометирует всю сеть. можно не сомневаться, что после этого достаточно быстро доберутся до контроллера домена, а следом получат контроль и над машинами сегмента ПС БР.
            Вопросы, связанные с обновлением ОС и антивируса можно решить и без домена. Добавление компьютера на WSUS не требует, чтобы он был в домене. Если в качестве антивиря используется KES, то его через обновление можно настроить через сетевую папку, а не непосредственно с KSC.

            И не забываем, что формально надо ещё выполнять требвания документации на АРМ КБР-Н и Сигнатуру.

            Комментарий


            • #96
              Сообщение от dnebyshe Посмотреть сообщение
              Коллеги, что нам запрещает оставлять армы контроль и процессинг в домене?
              Выделить подсети, определить уровень сетевого взаимодействия, но оставить в домене.
              Я не нахожу прямого запрета на это.
              нахождение в составе домена автоматически подразумевает полный контроль и управление компами из домена доменными админами, подчинение доменным политикам и т.д.
              соответственно любые проблемы в домене и возможные косяки админов автоматически распространятся на эти компы, что может повлиять на их функционирование

              я вообще не вижу логического объяснения необходимости запихивать их в домен

              например используя доменную учетку, доступ к доменным сетевым ресурсам можно обеспечить и без включения компа в домен
              обновлять через WSUS недоменые компы тоже можно

              Комментарий


              • #97
                Тут мне на днях задали вопрос. который завел меня в тупик.
                Можно ли оператора и контролера менять местами?
                Сегодня ты, а завтра я?
                Т.е. в один момент времени они выполняют разные роли, но при необходимости могут поменяться местами.
                т.е, каждый из двух сотрудников имеет свою учет ку и на процессинге и на контроле. Но на двух сразу логиниться незя.

                Комментарий


                • #98
                  Сообщение от dnebyshe Посмотреть сообщение
                  Тут мне на днях задали вопрос. который завел меня в тупик.
                  Можно ли оператора и контролера менять местами?
                  Сегодня ты, а завтра я?
                  Т.е. в один момент времени они выполняют разные роли, но при необходимости могут поменяться местами.
                  т.е, каждый из двух сотрудников имеет свою учет ку и на процессинге и на контроле. Но на двух сразу логиниться незя.
                  Я на каждого работника сделал по 3 ключа. Главное, чтобы файл не ушёл, дважды подписанным одни работником.

                  Комментарий


                  • #99
                    Сообщение от Berckut Посмотреть сообщение
                    ... файл не ушёл, дважды подписанным одни работником.
                    Разве такое пройдет контроль?

                    Комментарий


                    • Сообщение от w3d Посмотреть сообщение
                      Разве такое пройдет контроль?
                      Да, если ключи разные.
                      У каждого работника по 3 ключа. АРМ КБР-Н проверит, что у контролёра и оператора разные ключи, но не будет проверять, на одно ли лицо они выданы.

                      Комментарий


                      • Сообщение от dnebyshe Посмотреть сообщение
                        Можно ли оператора и контролера менять местами?
                        Нет!
                        ЦБ писал, что это должны быть совершенно разные сотрудники и одним лицом совмещение ролей вообще недопустимо. Вы же приказ о назначении ответственных в ЦБ предоставляли? Кто за контроль, кто за процессинг, кто их замещает. Так что документально - никак. ЦБ вам просто зарубит.

                        Комментарий


                        • Добрый день коллеги!

                          Как я понял по положению 672 придется организовать еще 2 дополнительные изолированные сети (третья сеть уже есть - это КБРН):
                          1. для контура формирования ЭС (модуль поставки ЗК), ставим отдельный роутер и подключаем к нему этот АРМ
                          2. для контура контроля ЭС (модуль поставки КА), ставим отдельный роутер и подключаем к нему этот АРМ

                          Хотел бы уточнить, есть ли какие либо требования к этим маршрутизаторам, возможно они должны быть сертифицированы по определенному профилю ФСТЭК, т.е. может требуются конкретные сертифицированные модели с определенным набором функционала?

                          Комментарий


                          • Сообщение от Ar4i Посмотреть сообщение
                            Добрый день коллеги!

                            Как я понял по положению 672 придется организовать еще 2 дополнительные изолированные сети (третья сеть уже есть - это КБРН):
                            1. для контура формирования ЭС (модуль поставки ЗК), ставим отдельный роутер и подключаем к нему этот АРМ
                            2. для контура контроля ЭС (модуль поставки КА), ставим отдельный роутер и подключаем к нему этот АРМ

                            Хотел бы уточнить, есть ли какие либо требования к этим маршрутизаторам, возможно они должны быть сертифицированы по определенному профилю ФСТЭК, т.е. может требуются конкретные сертифицированные модели с определенным набором функционала?
                            Так как на этих сегментах стоит сигнатура, то МЭ закрывающих эти сегменты должен быть 4 класса, (читаем формуляр на сигнатуру)
                            А читать формуляр на СКЗИ нас обязует 672-П. В самой 672-П нет требований по МЭ, но в формуляре на СКЗИ есть.
                            Теперь попробуйте такой найти МЭ.
                            Я у себя закрываю МЭ каспера, ФСТЭКовским, понятно,что это нарушение, но лучше так чем никак.

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение
                              и меня ИТ начинают дергать "Почему не в домене?"
                              А почему в домене то? Компьютер в домене для АРМ, это куча проблем как с восстановлением, так и с автономностью работы (вот будет дизастер на уровне домена, что делать?).
                              В общем же случае, если компьютер в домене, то вы не сможете обеспечить необходимый уровень сетевой изоляции, т.к. на прикладном уровне можно будет управлять этим компьютером, к примеру через групповые политики можно будет выполнить любой скрипт. Тем самым смысл выделения в отдельные сегменты таких АРМ теряется и сетевая изоляция не обеспечивается. Т.е. требования 672-П в таком варианте не соблюдаются.

                              Сделайте табличку: плюсы и минусы, вы пишите минусы, в части рисков (начиная с высокой вероятности проникновения на данные АРМ в случае получения контроля за доменом, в т.ч. от собственного персонала), а ИТишники пусть напишут плюсы, чем они там собираются управлять. )))

                              И если плюсов будет много, то вы можете сделать ресурсный домен в сегменте с данными АРМ (в этот домен их и включить), затем настроить доверительные отношения с основным доменом, но уверяю вас межсетевое взаимодействие для такого сценария ваши ИТшнники не смогут сделать (на границе между доменами), там такие хитрые потоки данных в зависимости от типа доверительных отношений, такие, что сетевая изоляция и в этом сценарии под большим вопросом получается, но можно закрутить гайки, но нужен профи.

                              Комментарий


                              • Сообщение от Gallen Посмотреть сообщение
                                ЦБ писал, что это должны быть совершенно разные сотрудники и одним лицом совмещение ролей вообще недопустимо.
                                В один момент времени да, а если организационно он сегодня контролёр, а завтра формирует сообщения, то нет проблем, главное ключи ему сразу все не выдавать и возможности одновременно выполнить две роли тоже.

                                Комментарий


                                • Сообщение от Zuz Посмотреть сообщение
                                  В один момент времени да, а если организационно он сегодня контролёр, а завтра формирует сообщения, то нет проблем, главное ключи ему сразу все не выдавать и возможности одновременно выполнить две роли тоже.
                                  А как это в приказах отразите и ЦБ убедите в необходимости работать по такой схеме?

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    В один момент времени да, а если организационно он сегодня контролёр, а завтра формирует сообщения, то нет проблем, главное ключи ему сразу все не выдавать и возможности одновременно выполнить две роли тоже.
                                    Наше ЦБ сказало что, если у сотрудника были в руках ключи оператора, на на все время действия ключа ему нельзя выдавать ключ контролера.
                                    Иначе, получается, что сделав копию ключа оператора, он может получить полный доступ, получив ключ контролера.
                                    Понятно, что это бред, и надо что-то с этим делать.

                                    Комментарий


                                    • Сообщение от Gallen Посмотреть сообщение

                                      А как это в приказах отразите и ЦБ убедите в необходимости работать по такой схеме?
                                      А никак. У нас в ЦБ на каждого опера и контролера есть уведомление. Или переуведомлять их каждый дель или под черным флагом работать.

                                      Комментарий


                                      • Сообщение от Zuz Посмотреть сообщение
                                        В общем же случае, если компьютер в домене, то вы не сможете обеспечить необходимый уровень сетевой изоляции, т.к. на прикладном уровне можно будет управлять этим компьютером, к примеру через групповые политики можно будет выполнить любой скрипт. Тем самым смысл выделения в отдельные сегменты таких АРМ теряется и сетевая изоляция не обеспечивается.
                                        А если у нас 1 айтишник, он и домены, и циски и КРБРы админит.
                                        И как-то сложно ему объяснить, что он должен защищать сегмент от админа домена, коем он и является тоже.
                                        Сегменты делаем для выполнения требований 672-П,а он думает чтобы создать ему гемор.



                                        Комментарий


                                        • Сообщение от dnebyshe Посмотреть сообщение

                                          Так как на этих сегментах стоит сигнатура, то МЭ закрывающих эти сегменты должен быть 4 класса, (читаем формуляр на сигнатуру)
                                          А читать формуляр на СКЗИ нас обязует 672-П. В самой 672-П нет требований по МЭ, но в формуляре на СКЗИ есть.
                                          Теперь попробуйте такой найти МЭ.
                                          сертифкаты ФСБ 4 класса имеют например Altell Neo, АПКШ "Континент"
                                          Если у кого есть еще инфа о других МЭ - кидайте.

                                          Комментарий


                                          • Сообщение от Zuz Посмотреть сообщение
                                            то вы не сможете обеспечить необходимый уровень сетевой изоляции
                                            Это понятие достаточно размыто. Что есть необходимый уровень?
                                            Ели на фаерволе сегмента открыть доступ только к контролеру домена, будет ли это необходимый уровень?
                                            Мне кажется тут если нет жестких требование, нефиг себе геморой придумывать.

                                            Комментарий


                                            • Сообщение от Setevoy Посмотреть сообщение

                                              сертифкаты ФСБ 4 класса имеют например Altell Neo, АПКШ "Континент"
                                              Если у кого есть еще инфа о других МЭ - кидайте.
                                              у первого он протух, а будет ли продлеваться Континент после 20 года это неизвестный вопрос.

                                              Комментарий


                                              • Сообщение от dnebyshe Посмотреть сообщение
                                                у первого он протух
                                                Да, я уже сам увидел.
                                                Тогда какие еще есть варианты?

                                                Комментарий


                                                • Сообщение от dnebyshe Посмотреть сообщение
                                                  Иначе, получается, что сделав копию ключа оператора, он может получить полный доступ, получив ключ контролера. Понятно, что это бред, и надо что-то с этим делать.
                                                  как минимум можно (и даже нужно) запретить пользователям на компах запуск соответствующей утилиты, позволяющей копировать ключи (в Сигнатуре это vdcsp_cfg.exe)
                                                  Либо ограничить соответствующим образом виндовые права, либо при помощи функционала антивируса (например в Каспере есть Контроль программм), либо средствами Software Resriction Policy (SRP)

                                                  Комментарий


                                                  • Сообщение от Setevoy Посмотреть сообщение
                                                    ....Если у кого есть еще инфа о других МЭ - кидайте.
                                                    Первоисточник - http://clsz.fsb.ru/certification.htm, Скачиваем перечень, ищем "межсетевые экраны". Там не густо, но есть кое что....

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      ам не густо, но есть кое что
                                                      Кое что?
                                                      Инфотекс, Код Безопасности и АльЭль. Из чего выбирать?

                                                      Здравый смысл мне подсказывает не выполнять это требование.

                                                      Если ЦБ не проводит оценку влияния встраивания сигнатуры в АРМ КБР-Н (требования формуляра на сигнатуру), то почему мы должны выполнять требования формуляра в части МЭ 4го класса?

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        Первоисточник - http://clsz.fsb.ru/certification.htm, Скачиваем перечень, ищем "межсетевые экраны". Там не густо, но есть кое что....
                                                        кстати от того-же ALTELL есть какой-то "3-экран-4", но на их сайте я ничего про него не нашел
                                                        они ответили, что этот продукт только для самого ФСБ.
                                                        а свои общедоступные продукты они планируют сертифицировать не ранее конца 2020 года

                                                        фактически имеем только VipNet и Континент, и у всех сертификаты заканчиваются в первой половине 2020 года

                                                        Комментарий


                                                        • Сообщение от Gallen Посмотреть сообщение
                                                          А как это в приказах отразите и ЦБ убедите в необходимости работать по такой схеме?
                                                          В приказе будет ровно, то что я сказал: основные и замещающие сотрудники оператора и контролёра назначены зеркально (это и раньше было в приказах с приходом 672-П ничего не поменялось, если только вы раньше не использовали АРМ КБР в режиме контроля, то для вас это новинка, да), и по администраторам АРМ и ИБ тоже зеркально назначали. Если будет вопрос почему-так, то будет указано, что оргмерами совмещение ролей в один момент времени запрещено, а экономическая целесообразность требует небольшего количества сотрудников. Кстати, эти меры есть в ГОСТ: УЗП.19-20.

                                                          Сообщение от dnebyshe Посмотреть сообщение
                                                          Иначе, получается, что сделав копию ключа оператора, он может получить полный доступ, получив ключ контролера.
                                                          Вообще какое это имеет значение? В 672-П, требования совсем другие и оргмерами их можно выполнить (нужно обеспечить "привлечение отдельных работников для контуров формирования и контроля").
                                                          К примеру, если ключи такой ушылй оператор вынести из кабинета, где АРМы не может (в кабинете видеонаблюдение и СКУД, дверь откроется только, когда ключи в сейф положит), на АРМах запрещено копировать информацию на внешние носители, выдача строго по журналу комиссионно, можно на урвоне USB-токенов ещё затруднить копирование. Далее, у него ещё права доступа в этот момент времени на АРМ контролёра должны быть или оператора. А кто ему их даст одновременно?
                                                          Это условный набор мер, конечно, его можно оптимизировать...

                                                          Сообщение от dnebyshe Посмотреть сообщение
                                                          А если у нас 1 айтишник, он и домены, и циски и КРБРы админит.
                                                          Тогда вам нужно до руководства донести, что 1 мало, хотя бы 2 должно быть. А то, один кирпич-башка-попадёт и всё. (

                                                          Сообщение от dnebyshe Посмотреть сообщение
                                                          И как-то сложно ему объяснить, что он должен защищать сегмент от админа домена, коем он и является тоже.
                                                          А что сложного то? ) Да, нужно защищать. Даже, если он админ AD и АРМ КБР и АБС и что там ещё у вас есть. Есть средства для контроля за привилегированными пользователями и управления привилегированными учётными записями, если денег на системы нет, то есть оргмеры: ходить рядом через плечо смотреть и вторую часть пароля вводить, когда нужно. )
                                                          Тут без вариантов, если бизнес не тянет сопровождения этого процесса, то рано или поздно денежку у него уведут. (

                                                          Сообщение от dnebyshe Посмотреть сообщение
                                                          Это понятие достаточно размыто. Что есть необходимый уровень? Если на фаерволе сегмента открыть доступ только к контролеру домена, будет ли это необходимый уровень?
                                                          Нет! Видимо, не поняли мой пост и мессендж от коллег в постах, что были выше. Достаточно будет тогда, когда имея права доменного админа вы с системами в сегментах, где АРМ КБР и АРМы для формирования и контроля ЭС ничего сделать не можете.

                                                          Комментарий


                                                          • Сообщение от Setevoy Посмотреть сообщение
                                                            как минимум можно (и даже нужно) запретить пользователям на компах запуск соответствующей утилиты, позволяющей копировать ключи (в Сигнатуре это vdcsp_cfg.exe)
                                                            Либо ограничить соответствующим образом виндовые права, либо при помощи функционала антивируса (например в Каспере есть Контроль программм), либо средствами Software Resriction Policy (SRP)
                                                            Это защита от полного дурака. Не полный устройство для копирования с собой принесет.
                                                            Здесь помогут токены, лишенные админского пароля по умолчанию.

                                                            Комментарий


                                                            • Сообщение от dnebyshe Посмотреть сообщение
                                                              .......Здравый смысл мне подсказывает не выполнять это требование.
                                                              Если ЦБ не проводит оценку влияния встраивания сигнатуры в АРМ КБР-Н (требования формуляра на сигнатуру), то почему мы должны выполнять требования формуляра в части МЭ 4го класса?
                                                              Мы у себя, когда "пилили" под 552-П, брали за основу требования по ИБ для АРМ КБР-Н, там как-то "по гуманнее" требования, и вроде как, такой подход прокатывал.
                                                              Ес-но, в положении писали, что сегмент (ПС БР) имеет выход только в внутреннюю сеть банка....и больше строго никуда....

                                                              Комментарий

                                                              Обработка...
                                                              X