6 июня, суббота 14:07
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от UserNick Посмотреть сообщение
    Это защита от полного дурака. Не полный устройство для копирования с собой принесет.
    если у вас работает сотрудник, имеющий в своем распоряжении аппаратное устройство копирования с ключевых носителей типа etoken/rutoken, вам крупно повезло, у вас обычным операционистом работает скорее всего сотрудник ЦРУ, ФБР, ФСБ либо продвинутый хакер, и тогда вас уже ничего не спасет.

    Сообщение от saches Посмотреть сообщение
    Мы у себя, когда "пилили" под 552-П, брали за основу требования по ИБ для АРМ КБР-Н, там как-то "по гуманнее" требования, и вроде как, такой подход прокатывал. Ес-но, в положении писали, что сегмент (ПС БР) имеет выход только в внутреннюю сеть банка....и больше строго никуда...
    С АРМКБР было проще, поскольку коммуникационная часть (УТА) была отдельно от самого АРМКБР, и в крайнем случае можно было разнести их по разным компам и разным сегментам (хотя как правило все было на одном компе)

    Комментарий


    • Сообщение от Setevoy Посмотреть сообщение
      .....С АРМКБР было проще, поскольку коммуникационная часть (УТА) была отдельно от самого АРМКБР, и в крайнем случае можно было разнести их по разным компам и разным сегментам (хотя как правило все было на одном компе)
      Как бэ, между строк, имелось в виду, что часть WAN-а и далее, уходящая в ЦБ, это "еще более доверенная зона", чем КО, со своими "свистелками"... Т.е., это ЦБ надо от КО защищаться а не наоборот, а если так, то и требования Сигнатуры в части МСЭ, можно считать, что избыточны в данном контексте...

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        Как бэ, между строк, имелось в виду, что часть WAN-а и далее, уходящая в ЦБ, это "еще более доверенная зона", чем КО, со своими "свистелками"... Т.е., это ЦБ надо от КО защищаться а не наоборот, а если так, то и требования Сигнатуры в части МСЭ, можно считать, что избыточны в данном контексте...
        любой WAN, в том числе и идущий в ЦБ, идет через каких-то мутных провайдеров, и что там с их стороны накручено, как организована сеть и т.д. - никто не знает и никто не может гарантировать, что пакеты в данном канале никто не прослушивает и они случайно/умышленно никуда на сторону не попадут.
        WAN - это в первую очередь и есть "сеть общего пользования", про которую так-же написано в формуляре Сигнатуры.
        Поэтому со стороны WAN нужно изолировать и защищать в первую очередь.

        Комментарий


        • Setevoy
          В целом, полностью согласен. Удачи!

          Комментарий


          • Я ещё раз перечитал документы и думаю, что пересмотрю свою позицию.
            Нигде не сказано об изоляции. Это было только в 552-П и сейчас, соответственно, осталось в СПФС. Даже требование из условий применения Сигнатуры говорит только об использовании сертифицированного ФСБ МЭ, но это не одно и то же, что изоляция.
            У нас есть требование иметь разные сегменты для контура формирования ЭС и контура контроля, но то, как они будут взаимодействовать с другими сегментами сети банк определяет сам. Единственное условие - способ взаимодействия должен быть зафиксирован на бумаге и согласован со службой ИБ.

            Что это даёт?
            1. Возможность разметить оба сегмента (оба компьютера) в виртуальной среде. Соответственно, упрощается создание бэкапов, восстановление в случае поломки железа и вообще в случае чего комп с виртуалками можно просто перевезти на новое место. Мы недавно попали на такой сбой - трактор повредил сразу обе оптики разных провайдеров, идущих в офис.
            Как защитить канал, по которому будет ходить RDP, тема отдельного обсуждения. Но, думаю, эта задача решаема и обеспечить приемлимый уровень риска тут возможно.

            2. Возможность более логично разделить обязанности между подразделениями.
            Ключи ЗК выдаются операционистам (можно выбрать двух челвоек, которые никогда не пойдут в отпуск одновременно). Они заводят бумажные платёжки в АБС, они же проводят платежи, поступившие через Интернет-банк. И, получается, их же клчюами будут подписываться сформированные исходящие электронные сообщения.
            Ключи КА и АРМ КБР-Н выдаются в корр. счёт. После обработки операционистами, бумажные платёжки передаются в отдел корр. отношений. Там работники контролируют то, что забили операционисты (пускай даже и в автоматическом режиме, загрузив их в сканер), меняют статус документа, он попадает на подписание ключами КА и отправляется в АРМ КБР-Н на отправку в Банк России.
            Это позволит более чётко следовать приложению 1 672-П:
            672-П
            Приложение 1
            1.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться:
            - формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
            - контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
            - подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;
            - направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.
            1.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:
            - контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;
            - контроль на отсутствие дублирования исходящих электронных сообщений;
            - подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

            Комментарий


            • Сообщение от Berckut Посмотреть сообщение
              Сигнатуры говорит только об использовании сертифицированного ФСБ МЭ, но это не одно и то же, что изоляция. У нас есть требование иметь разные сегменты для контура формирования ЭС и контура контроля, но то, как они будут взаимодействовать с другими сегментами сети банк определяет сам. Единственное условие - способ взаимодействия должен быть зафиксирован на бумаге и согласован со службой ИБ.
              Как и что изолировать определено в ГОСТ в группе требований СМЭ.*

              Сообщение от Berckut Посмотреть сообщение
              1. Возможность разметить оба сегмента (оба компьютера) в виртуальной среде.
              Возможно, но это не означает, что не нужно делать изоляцию на сетевом уровне. "Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП".

              Сообщение от Berckut Посмотреть сообщение
              2. Возможность более логично разделить обязанности между подразделениями.
              Это прямо бальзам на сердце, я тоже разделяю такую точку зрения, но, чтобы 2 операциониста могли со всей страны иметь первичку бумажную, это не работает. В небольших масштабах отличное решение.

              >> Вторая беда, как коррсчета будут по первичке проверять? Кто им будет её подвозить? )

              >> Третья беда в том, что неизвестно по какой схеме расчётов пойдёт документ. Он может пойти через корсчёт в Сбере через его клиент-банк или через коррсчёт в иностранном банке через SWIFT. Решение об этом принимает не операционист. А тут получается, что нужно сначала сформировать документ. Как будто других нет систем, через которые может быть осуществлён перевод.

              >> Кто и как реализует описанные выше контроли в каждом контуре?
              Как можно сверить исходящее и первичное, если возможны сложные варианты? К примеру, частичная оплата из картотеки или оплата по реестру, которая порождает кучу отдельных документов, которые опять же не обязательно все должны пойти через коррсчёт в ЦБ.
              Чтобы проверять по электронной первичке должна быть обеспечена прозрачная итерация с ДБО и буквально механизм контроля должен уметь проверять ЭП под документами и в форматах ДБО (в теории, можно, конечно обеспечить целостность и иначе, но буквально это требование читается так).

              >> Кто как трактует термин "или входящего электронного сообщения" из цитаты выше? Это какие сообщения? Те, что из ПС БР пришли или просто какое-то собирательное для всех входящих от клиентов?

              Очевидно, что при разработке 672-П не анализировали, как в действительности в банках реализованы платёжные процессы, в результате имеем, что имеем и реализация в АБС данных требований сейчас весьма условная, не видел ещё ни одного решения (со всеми контролями и порядком), где это было бы реализовано, как написано в 672-П.
              * помеченное знаком ">>" это вопросы для всех, подключайтесь коллеги.
              Последний раз редактировалось Zuz; 11.06.2019, 12:35.

              Комментарий


              • Сообщение от Zuz Посмотреть сообщение
                Как и что изолировать определено в ГОСТ в группе требований СМЭ.*
                До ГОСТа ещё 2 года
                Я не вижу препятствий. Возможно, не правильно понимаю требований ГОСТа?
                Условное
                обозначение
                и номер меры
                Содержание мер системы зашиты информации Уровень защиты
                информации (2)
                Что делать?
                СМЭ.1 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры каждого из контуров безопасности (далее — сегменты контуров безопасности) Т Поделить всё на сегменты
                СМЭ.2 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 сегментов контуров безопасности и внутренних вычислительных сетей финансовой организации, не предназначенных для размещения информационной инфраструктуры, входящей е контуры безопасности (далее — иные внутренние вычислительные сети финансовой организации) Т Взаимодействие сегментов должно быть организовано через роутеры или коммутаторы L3.
                Нельзя поместить все компьютеры в одну физическую сеть или в один VLAN компьютеры из разных сегментов, просто назначив им адреса из разных подсетей.
                СМЭ.З Межсетевое экранирование вычислительных сетей сегментов контуров безопасности, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7496 Т Трафик между сегментами должен проходить через МЭ, работающий не только на сетевом, но и на прикладном уровне.
                Видимо обязательно должен стоять NGFW, а классика в виде CentOS+IPTables уже не подойдёт.
                СМЭ.4 Реализация и контроль информационного взаимодействия между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации в соответствии с установленными правилами и протоколами сетевого взаимодействия Т Карту информационных потоков и того, что проходит через МЭ между сегментами, надо иметь "на бумаге".
                СМЭ.6 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры, используемой тольхо на этапе создания и (или) модернизации АС, в том числе тестирования ПО и СВТ (далее — сегмент разработки и тестирования). Т Всё, что импользуется для тестирования должно быть в отдельном сегменте...
                СМЭ.7 Реализация запрета сетевого взаимодействия сегмента разработки и тестирования и иных внутренних вычислительных сетей финансовой организации по инициативе сегмента разработки и тестирования Т ... и находиться в DMZ, например, за NATом.
                СМЭ.13 Контроль содержимого информации при ее переносе из сегментов или в сегменты контуров безопасности с использованием переносных (отчуждаемых) носителей информации Т Если решили, что проще изолировать участки физически, а, например, файлы платёжек переносить на флешке, то надо поставить ПО, которое будет логировать всё, что копируется.
                СМЭ.14 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 внутренних вычислительных сетей финансовой организации и сети Интернет Т "Провод" от провайдера должен вставляться в отдельный сетевой интерфейс (не порт) МЭ.
                Допустимо, что это будет один физический порт, в который будут приходить VLANы и от внутренней сети, и от провайдера.
                Спорное решение, учитывая то, что сообщения в взломе механизма VLANов (возможность прослушивать соседний VLAN) мне попадались ещё около года назад.
                СМЭ.16 Межсетевое экранирование внутренних вычислительных сетей финансовой организации, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1. Т Трафик между LAN и Интернет должен проходить через МЭ, работающий не только на сетевом, но и на прикладном уровне (NGFW).
                СМЭ.17 Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет в соответствии с установленными правилами и протоколами сетевого взаимодействия Т Правила МЭ должны быть формализованы, зафиксированы на бумаге и периодически контролироваться.
                СМЭ.18 Сокрытие топологии внутренних вычислительных сетей финансовой организации Т Между LAN и Интернет надо использовать NAT.
                СМЭ.19 Реализация сетевого взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет через ограниченное количество контролируемых точек доступа Т Надо запретить все каналы связи с Интернет, кроме нескольких контролируемых точек. Например, недопустимо использовать модемы на компьютерах работников.
                СМЭ.20 Реализация почтового обмена с сетью Интернет через ограниченное количество контролируемых точек информационного взаимодействия, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (размещенного во внутренних сетях финансовой организации) почтовых серверов с безопасной репликацией почтовых сообщений между ними Т Почтовый трафик разрешён только через собственные шлюзы и почтовые сервера.
                Например, надо блокировать всякие mail.ru.
                СМЭ.21 Регистрация изменений параметров настроек средств и систем защиты информации. обеспечивающих реализацию сегментации, межсетевого экранирования и защиты вычислительных сетей финансовой организации Т Все изменения настроек коммутаторов, маршрутизаторов и МЭ должны журналироваться.
                Последний раз редактировалось Berckut; 13.06.2019, 05:38.

                Комментарий


                • Сообщение от Zuz Посмотреть сообщение
                  Возможно, но это не означает, что не нужно делать изоляцию на сетевом уровне. "Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП".
                  2 виртуальных компьютера на одном физическом хосте, которые через 2 VLAN взаимодействуют с АБС.

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    Это прямо бальзам на сердце, я тоже разделяю такую точку зрения, но, чтобы 2 операциониста могли со всей страны иметь первичку бумажную, это не работает. В небольших масштабах отличное решение.
                    Не, не так жёстко. Я ж не изверг
                    Платёжки заводятся в АБС всеми операционистами, но все они проходят через один комп, на котором один операционист запустил криптоадаптер со своим ключом.

                    Комментарий


                    • Сообщение от Berckut Посмотреть сообщение
                      2 виртуальных компьютера на одном физическом хосте, которые через 2 VLAN взаимодействуют с АБС.
                      Есть ряд требований 382-П (про изоляцию от сети Интернет), но там не критично и есть требование в документации на АРМ КБР-Н:
                      3.9 Организация защищенного подключения ПК АРМ КБР-Н в локальную вычислительную сеть клиента
                      3.9.1 Необходимо организовать и обеспечить защищенное подключение ПК АРМ КБР-Н в ЛВС клиента, предполагающее отсутствие технической возможности доступа к ПК АРМ КБР-Н из внешних, по отношению к ЛВС клиента, сетей, в том числе из сети Интернет.
                      3.9.2 Для решения указанной задачи необходимо обеспечить защиту ЛВС клиента от сетевых атак из внешних сетей, в том числе из сети Интернет, путем применения межсетевого экрана, который должен осуществлять фильтрацию сетевого графика и соответствовать требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники, Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4 классу защищенности.

                      Но, если у вас вся ЛВС отделена от внешних сетей подобным экраном, то я не вижу противоречий в вашей схеме подключения. Тут речь не о конкретном сегменте АРМ КБР-Н, а о всей ЛВС. )))

                      Сообщение от Berckut Посмотреть сообщение
                      До ГОСТа ещё 2 года
                      Верно, п. 3 672-П вступает в силу с 01.07.2021. Но есть на подходе 683-П, где сказано, что: "9.2. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года." Тоже не скоро, но уже ближе. И он тоже формально распространяется на эти сегменты.

                      Сообщение от Berckut Посмотреть сообщение
                      Я не вижу препятствий. Возможно, не правильно понимаю требований ГОСТа?
                      Возможно мы все ещё не правильно их понимаем. )
                      СМЭ.1 по мне это про контуры формирования и контроля из 672-П.
                      В СМЭ.2 у вас только про маршрутизаторы и L3-коммуторы комментарий, но там есть и про изоляцию требование (не только взаимодействие), т.е. нужно между всеми сегментами безопасности иметь файрвол, но в общем случае, вроде, годится и VLAN + L3 коммутатор / маршрутизатор и, возможно, ACL.
                      Кстати не выше третьего, это 2й и 3й уровень так? )

                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        СМЭ.1 по мне это про контуры формирования и контроля из 672-П.
                        В СМЭ.2 у вас только про маршрутизаторы и L3-коммуторы комментарий, но там есть и про изоляцию требование (не только взаимодействие), т.е. нужно между всеми сегментами безопасности иметь файрвол, но в общем случае, вроде, годится и VLAN + L3 коммутатор / маршрутизатор и, возможно, ACL.
                        Кстати не выше третьего, это 2й и 3й уровень так? )
                        Я это как квест воспринял. Чем дальше продвинулся, тем больше выполнил и выше оценку получил.
                        СМЭ.1. Всё поделить на подсети (там написано сегменты, но для понимая "подсети" лучше подходит). Имеетя ввиду, например, 10.0.1.0/24 и 10.0.2.0/24.
                        СМЭ.2. Каждую подсеть поместить в отдельный сегмент, который изолирован физически или VLAN. Взаимодействие между этими сетями делается через роутер, это как раз третий уровень OSI, протокол IP.
                        СМЭ.3. На роутер надо поставить фаервол, который будет резать трафик не только по IP, но и разворачивать его и смотреть содежимое на прикладном уровне (NGFW).

                        Вообще, с уровнями как-то мутно. Если исполнять в лоб, то фильтровать TCP/UDP по портам то ли нельзя (4 уровень OSI, что противоречит СМЭ.2.), то ли не надо (СМЭ.3 не устанавливает такой необходимости).

                        Комментарий


                        • Фильтрация данных на прикладном уровне - то есть МЭ должен уметь расшифровывать пакеты ЭС, пошифрованные АРМ КБР-Ном? Как это реализуется?

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            .....СМЭ.3. На роутер надо поставить фаервол, который будет резать трафик не только по IP, но и разворачивать его и смотреть содежимое на прикладном уровне (NGFW)....
                            ИМХО, с NGFW вы несколько перегибаете. Например, всё те же "application proxy" и более/менее продвинутые МСЭ в деле "application level inspection" типа Cisco IOS Filrewall и CheckPiont (в версии ещё "не NGFW"), вполне себе могут подойти в кач-ве контроля на прикладном уровне (ес-но будет зависеть от контролируемого приложения). Конечно, другое дело, если вопрос стоит - "а не купить ли нам уже какой-нибудь NGFW"?

                            Сообщение от Berckut Посмотреть сообщение
                            ....Вообще, с уровнями как-то мутно. ...
                            С уровнями реально мутно и что конкретно имелось в виду не понятно...

                            Сообщение от Berckut Посмотреть сообщение
                            СМЭ.2. Каждую подсеть поместить в отдельный сегмент, который изолирован физически или VLAN. Взаимодействие между этими сетями делается через роутер, это как раз третий уровень OSI, протокол IP.
                            В данном случае, прокатывает и свич, который в состоянии самостоятельно маршрутизировать подсети (это чисто на всякий случай..)

                            Сообщение от Berckut Посмотреть сообщение
                            СМЭ.7 Реализация запрета сетевого взаимодействия сегмента разработки и тестирования и иных внутренних вычислительных сетей финансовой организации по инициативе сегмента разработки и тестирования
                            КМК, для TCP соединений вполне можно обойтись МСЭ, который понимает с какой стороны приходит TCP SYN (т.е. это наверное уже практически любой МСЭ). Ну а для UDP соединений, потребуется уже МСЭ c реализацией "stateful inspection" для UDP.
                            Ес-но, не предлагаю использовать отдельные МСЭ для TCP и UDP...
                            Последний раз редактировалось saches; 13.06.2019, 13:13.

                            Комментарий


                            • Сообщение от saches Посмотреть сообщение
                              С уровнями реально мутно и что конкретно имелось в виду не понятно...
                              +100500

                              Особенно с учётом того, что в ходу TCP/IP, в котором модель несколько другая. https://www.oslogic.ru/knowledge/245...-osi-i-tcp-ip/

                              Комментарий


                              • Сообщение от Berckut Посмотреть сообщение
                                Платёжки заводятся в АБС всеми операционистами, но все они проходят через один комп, на котором один операционист запустил криптоадаптер со своим ключом.
                                Ключевые слова, КМК, "запустил криптоадаптер со своим ключом". Речь не идёт о том, что он что-то там руками делает, и аналогично будет на участке контроля...
                                Плавно приходим к тому, что в документах ЦБ написано про сферического коня в вакууме, которого удобно рисовать и обсчитывать в матмоделях, но в реальной жизни такого зверя не существует.

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение
                                  Я это как квест воспринял. Чем дальше продвинулся, тем больше выполнил и выше оценку получил.
                                  КМК, не опускаете отдельные моменты, чтобы подтянуть под своё видение. )))

                                  Сообщение от Berckut Посмотреть сообщение
                                  СМЭ.1. Всё поделить на подсети (там написано сегменты, но для понимая "подсети" лучше подходит). Имеетя ввиду, например, 10.0.1.0/24 и 10.0.2.0/24.
                                  Основное тут, что есть контуры безопасности. Вот по 672-П их, как минимум два: контур формирования и контур контроля.
                                  КМК, выделить в сегменты означает, что все устройства в контуре объедены в какой-то логический сегмент. Тут нет никаких требований выделять именно подсети, никто вам не мешает в таком сегменте иметь любое адресное пространство (к примеру, наложенные IP-сети) и любые сетевые/транспортные протоколы (юзайте хоть IPX/SPX нет тут запрета).

                                  Сообщение от Berckut Посмотреть сообщение
                                  СМЭ.2. Каждую подсеть поместить в отдельный сегмент, который изолирован физически или VLAN. Взаимодействие между этими сетями делается через роутер, это как раз третий уровень OSI, протокол IP.
                                  По мне, тут речь об отделении именно сегментов контуров безопасности друг от друга и от всех прочих сетей (не считая сети Интернет, но это не точно). В иных внутренних вычислительных сетях вы можете делать что и как вам угодно. Взаимодействие между сегментами контуров безопасности и иными сетями может быть реализовано только на физическом или сетевом уровне и на этих же уровнях должна быть обеспечена изоляция. Грубо говоря в транк собирать можно сегменты контуров безопасности или разводить физикой по портам, также можно реализовать маршрутизацию и изоляцию на уровне подсетей на L3-коммутаторах или маршрутизаторах (но изоляция должна быть реализована к примеру с помощью ACL, тут мы не говорим о фильтрации пакетов, тут именно изоляция сегментов контуров безопасности).

                                  Сообщение от Berckut Посмотреть сообщение
                                  СМЭ.3. На роутер надо поставить фаервол, который будет резать трафик не только по IP, но и разворачивать его и смотреть содежимое на прикладном уровне (NGFW).
                                  Почему на роутер? КМК, тут речь о том, что на границах сегментов контуров безопасности нужно применять фильтрацию пакетов на сетевом уровне (т.е. по транспортным протокола / портам если говорить о стеке TPC/IP) и на прикладном уровне. Судя по всему тут ближе всего термин Stateful Packet Inspection. Не думаю, что тут речь именно о NGFW, который вообще в явном виде не связан именно с фильтрацией данных на прикладном уровне, этот термин шире.

                                  СМЭ.4 Требуется документировать взаимодействие между всеми сегментами контуров безопасности и иными сетями, реализовать такое взаимодействие непосредственно в устройствах (настроить железки и ПО), реализовать процедуры контроля соответствия.


                                  Это, КМК, уже не относится к теме топика (672-П), но раз начали обсуждение, тоже отмечу:
                                  СМЭ.14 Тут у нас консенсус, я понял точно так же как вы.

                                  СМЭ.16 аналогично СМЭ.3 только применительно к сети Интернет.

                                  СМЭ.17 аналогично СМЭ.4 только применительно к сети Интернет.

                                  СМЭ.18 не только NAT. Есть ещё и прикладные протоколы, которые сливают инфу о топологии. К примеру почтовые сервера в заголовках писем оставляют инфу, вот её тоже нужно скрывать. И я не считаю NAT, элементом безопасности, назначение данной технологии изначально было совсем иное. Сама по себе трансляция адресов паразитный процесс и лишняя нагрузка. IPv6 адреса, что тоже NATить? )

                                  СМЭ.20 Не согласен, что тут нужно именно блокировать mail.ru на компах юзеров (это болье к разделу про DLP относится). Тут чётко именно про обмен с сетью Интернет, через ограниченное количество точек (грубо говоря edge-серверов и/или smart host) и почтовыми серверами, с которыми взаимодействуют пользователи. Т.е. нельзя просто выставить Exchange Server / postfix (любой другой MTA) одним коннектором в сеть Интернет, нужно реализовать "безопасную репликацию" как я описал выше.
                                  Последний раз редактировалось Zuz; 15.06.2019, 13:22.

                                  Комментарий


                                  • Сообщение от Александр Четвертый Посмотреть сообщение
                                    Фильтрация данных на прикладном уровне - то есть МЭ должен уметь расшифровывать пакеты ЭС, пошифрованные АРМ КБР-Ном? Как это реализуется?
                                    Обмен ЭС через ТШ КБР можно осуществлять по протоколам HTTP, WMQ с использованием, как специализированных программных комплексов в режиме «система-система» (например, СПО УТА, АРМ КБР-Н и т.д.), так и через Web-браузер из состава используемой на технических средствах участника обмена операционной системы для работы по протоколу HTTPS в режиме «клиент-система».

                                    Прикладные в данном контексте получаются HTTP, HTTPS. Что там под капотом WMQ я не знаю в деталях, не используем.

                                    Комментарий


                                    • Сообщение от Zuz Посмотреть сообщение
                                      Прикладные в данном контексте получаются HTTP, HTTPS.
                                      Я противник ломания одних средств защиты другими: когда МЭ лезет в https.

                                      Комментарий


                                      • Получили письмо из ТУ по пункту 19.3
                                        Можно через ЛК направить в Департамент безопасности информации о лицах, уполномоченных обратиться о приостановлении или его отмене.
                                        А если мы не хотим никого уполномачивать? у нас все обращения подписывает ПП лично. Надо ли отправлять данную информацию?

                                        Комментарий


                                        • Сообщение от Александр Четвертый Посмотреть сообщение
                                          Я противник ломания одних средств защиты другими: когда МЭ лезет в https.
                                          А в корпоративной среде по другому никак, вы должны чётко контролировать информационные потоки, а для этого нужно заглядывать внутрь пакетов, мало ли, что там из ЦБ к вам летит. ))) И тут "ломания" нет, тут инспекция пакетов, все аккуратно перепаковывается, на безопасность процесса в целом при корректной настройке это не влияет.
                                          Вопрос в том, что в данном конкретном случае вы можете работать по HTTP и танцы с инспекцией TLS тут не нужны. Вариант с HTTPS нужен только при работе через браузер, его никто не использует же в ежедневной работе. Если вы, иногда, будете его использовать, то это незначительное отклонение, не критично. )

                                          Кстати, на подходе секьюрная связка DNSCrypt / TLS 1.3 / ESNI, интересно как в неё будут заглядывать, кроме как отката на мне безопасный вариант TLS / SNI решения не видно.
                                          Последний раз редактировалось Zuz; 17.06.2019, 10:47.

                                          Комментарий


                                          • Сообщение от dnebyshe Посмотреть сообщение
                                            А если мы не хотим никого уполномачивать? у нас все обращения подписывает ПП лично. Надо ли отправлять данную информацию?
                                            Очевидно, что нужно указать ПП в данном случае.

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              Очевидно, что нужно указать ПП в данном случае.
                                              Да, ЦБ так же сказали.
                                              Но у меня тогда вопрос по пункту 19 всему.
                                              Пункт 19.1. О какой технической инфраструктуре там идет речь? и о каком резервном способе взаимодействия?
                                              А не ФннСерт ли это? Но у ФинСерта мы зарегистрировали необходимых сотрудников, кто может делать сообщения.
                                              Или есть еще другая техническая инфраструктура ЦБ?

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                Вариант с HTTPS нужен только при работе через браузер, его никто не использует же в ежедневной работе.
                                                У нас вся инфраструктура работает на веб-сервисах с двусторонним https (сертификаты на обоих сторонах - и на клиенте, и на сервере) + аналогично сотрудники рабтают в бразуерах с web-приложениями. Тот же касперский со своими попытками устроить MITM обламывается, потому что в данной схеме такой финт ушами уже не работает. Какой смысл МЭ читать банковскую тайну, когда все эти потоки итак контролируются на уровне самого бизнес-приложения и его логикой (целостность бизнес-процесса, роли и права доступа участников).

                                                Комментарий


                                                • Сообщение от Александр Четвертый Посмотреть сообщение
                                                  У нас вся инфраструктура работает на веб-сервисах с двусторонним https (сертификаты на обоих сторонах - и на клиенте, и на сервере) + аналогично сотрудники рабтают в бразуерах с web-приложениями.
                                                  Неплохо, если это реализовано с поддержкой криптографии с ГОСТ. )))

                                                  Сообщение от Александр Четвертый Посмотреть сообщение
                                                  Какой смысл МЭ читать банковскую тайну, когда все эти потоки итак контролируются на уровне самого бизнес-приложения и его логикой (целостность бизнес-процесса, роли и права доступа участников).
                                                  Ну к примеру, компьютер одного из работников взломан или один из таких web-сервисов и злоумышленник пытается распространить своё влияние ещё на одну систему. На файрволе, может быть DLP агент или что-то подобное. Сценариев масса, хотя полезность их в тех или иных случаях сомнительная. Хорошо, что хоть про файрволы уровня приложения явно в ГОСТ ничего нет, только косвенно.

                                                  Вообще по мне NGFW нужны больше для работы в Интернет (к примеру, Фейсбук тот же ограничить), чем с локальными бизнес приложениями, выше я уже отмечал, что не считаю, что в ГОСТ речь именно о глубокой инспекции пакетов на прикладном уровне. Хотя посмотрим к чему всё это приведёт. Думаю, тут можно будет какие-то компенсирующие меры предусмотреть. Указанная вами двухсторонняя аутентификация и фактически изоляция может вполне быть такой мерой.

                                                  Комментарий


                                                  • Ну, вот и презентация от ЦБ, чуть яснее стали некоторые вопросы, в частотности видно, что разделение контуров и сверка должны происходить как я ранее описывал.
                                                    Откровением для меня стало, что результаты по оценке соответствия нужно доводить в рамах Указания № 2831-У.
                                                    Вложения

                                                    Комментарий


                                                    • Сообщение от Zuz Посмотреть сообщение
                                                      Ну, вот и презентация от ЦБ, чуть яснее стали некоторые вопросы, в частотности видно, что разделение контуров и сверка должны происходить как я ранее описывал.
                                                      Откровением для меня стало, что результаты по оценке соответствия нужно доводить в рамах Указания № 2831-У.
                                                      Немного не ясен процесс Порядок направления обращения о приостановлении (возобновлении ) обмена ЭС описанный на слайде 14.
                                                      По какой форме (в каком виде) направляется обращение через АСОИ, резервным способом, через ЛК, по почте?
                                                      И как это связать с информацией о должностных лицах, уполномоченных на направление и подписание обращения, с указанием Полномочий (П / Н)?

                                                      Пазл этот не складывается в голове как-то...

                                                      Как вариант - может существует форма (бланк) заявления (о котором я не знаю), который нужно заполнить, распечатать, подписать уполномоченным (с полномочием П), отсканировать, и направить через АСОИ от пользователя с полномочием Н, и копию через ЛК (portal5 - кстати, это тоже должно быть отправлено пользователем с полномочием Н?).

                                                      Комментарий


                                                      • Сообщение от Airat_Kzn Посмотреть сообщение
                                                        Как вариант - может существует форма (бланк) заявления (о котором я не знаю), который нужно заполнить, распечатать, подписать уполномоченным (с полномочием П), отсканировать, и направить через АСОИ от пользователя с полномочием Н, и копию через ЛК (portal5 - кстати, это тоже должно быть отправлено пользователем с полномочием Н?).
                                                        Как раз таки Финсерт через свой ЛК данный бланк и разослал пару дней назад.

                                                        Комментарий


                                                        • Сообщение от Rubaka Посмотреть сообщение

                                                          Как раз таки Финсерт через свой ЛК данный бланк и разослал пару дней назад.
                                                          Был только бланк заполнения списка уполномоченных лиц.

                                                          Комментарий


                                                          • Как мы понимаем это и общались с нашим отделением ЦБ, то раньше если у нас что то случилось и нужно приостановить обмен через АРМ КБР, то мы пишем письмо, руководитель подписывает, посылаем по электронке на отделение ЦБ и бежим несем им на бумаге. Потом дальнейший обмен ЭС на дисках или флешках, пока не напишем заявление о возобновлении.
                                                            Письмо писать в свободной форме "по причине того то того то просим приостановить обмен".
                                                            Теперь к этому добавился новый канал. Написать это письмо (подписать человеком с правами П) и засунуть его в АСОИ ФинЦЕРТ (из под учетной записи человека с правами Н). Типа этот канал будет быстрее (конечно нет), и появляются вопросы как они будут проверять целостность направленного обращения.

                                                            Комментарий


                                                            • Galivut
                                                              Спасибо за разъяснения!
                                                              Вроде как пазл сложился.

                                                              Т.е. форма письма - свободная.

                                                              Вы уже направили список уполномоченных?
                                                              У меня сомнения, что сотрудники с правами Н, а тем более руководство с правами П дадут свои номера мобильных. Можно ли обойтись без мобилок?

                                                              Комментарий

                                                              Обработка...
                                                              X