6 июня, суббота 14:29
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Подскажите пожалуйста, участок ПС БР и участок обмена с СПФС - это разные участки (участок ПС БР - АРМ КБРН, участок обмена с СПФС - АРМ КБР СПФС). Требования из 552-п перекочевали в приложение к договор обмена, требования применяются к участку обмена с СПФС. Что то я запуталась совсем.

    Комментарий


    • Не вижу ничего криминального засунуть в один Участок (сетевой сегмент) и АРМ КБР-Н и АРМ СПФС.
      Только в этом случае при приведении контура безопасности по 672-П к ГОСТ, Вам придется и оба АРМА учитывать. (описывать, защищать т.д.). Оно Вам надо?

      Я решил сделать так/: Контур Биометрии. Контур ПСБР. (Контур СПФС). Контур АБС и ДБО( у нас разделить их не получится). Контур БАНК (все остальные АРМЫ).

      Комментарий


      • А требования которые были в 552-п относились к участку ПС БР, а теперь к участку обмена с СПФС. Получается теперь требований к участку ПС БР нет?

        Комментарий


        • Сообщение от karina0590 Посмотреть сообщение
          А требования которые были в 552-п относились к участку ПС БР, а теперь к участку обмена с СПФС. Получается теперь требований к участку ПС БР нет?
          Есть. Они как раз и описаны в 672-П. Да, их не много и они достаточно высокоуровневые, что просто отлично и даёт свободу действий.
          Но не надо забывать, что там же есть ссылка на ГОСТ.

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение
            Есть. Они как раз и описаны в 672-П. Да, их не много и они достаточно высокоуровневые, что просто отлично и даёт свободу действий.
            Но не надо забывать, что там же есть ссылка на ГОСТ.
            Тогда нужно разработать два документа один для участка ПС БР, другой для участка обмена с СПФС? Или совместить в один? Ведь как ранее писали два участка можно использовать в одном сегменте.

            Комментарий


            • Сообщение от Berckut Посмотреть сообщение
              Есть. Они как раз и описаны в 672-П. Да, их не много и они достаточно высокоуровневые, что просто отлично и даёт свободу действий.
              Но не надо забывать, что там же есть ссылка на ГОСТ.
              Что тут отличного? Теперь весь ГОСТЬ на ПСБР натягивать.

              Комментарий


              • Совсем потерялась.. Объясните пожалуйста, или скиньте шаблон рыбы по 672-П. Требования из 552-п прописываю для участка обмена с СПФС. Для АРМ КБР-Н (участок обмена ПС БР) применяю 672-П. Следовательно, тот регламент, который был с требованиями 552-П меняю на участок обмена с СПФС?

                Комментарий


                • Сообщение от karina0590 Посмотреть сообщение
                  Совсем потерялась.. Объясните пожалуйста, или скиньте шаблон рыбы по 672-П. Требования из 552-п прописываю для участка обмена с СПФС. Для АРМ КБР-Н (участок обмена ПС БР) применяю 672-П. Следовательно, тот регламент, который был с требованиями 552-П меняю на участок обмена с СПФС?
                  Защита СПФС у Вас идет по приложению к договору обмена, оно слово к слову повторяет отмененное положение 552-П.
                  Защита контура безопасности ПСРБ, состоящего из сегментов (подготовки, контроля и отправки) идет по 672-П, который говорит что защищаться по ГОСТУ и с 01.07.21 соответствовать уровню ДВА.

                  И все это еще защищается по 382-П. Пока его не отменили.

                  Комментарий


                  • Подскажите, необходим ли сертификат фтэк на мсэ, который защищает ПС в рамках № 672-П?
                    В госте 57580 я не вижу этого требования. А цб спрашивает сертиф на мсэ.
                    у нас резев свифта и процессинг проходит через мсэ. Вот и не могу понять чем они руководствуются.
                    Спасибо

                    Комментарий


                    • Сообщение от za_ebs Посмотреть сообщение
                      Подскажите, необходим ли сертификат фтэк на мсэ, который защищает ПС в рамках № 672-П?
                      В госте 57580 я не вижу этого требования. А цб спрашивает сертиф на мсэ.
                      у нас резев свифта и процессинг проходит через мсэ. Вот и не могу понять чем они руководствуются.
                      Спасибо
                      Документацией на Сигнатуру скорее всего руководствуются.

                      Комментарий


                      • Сообщение от za_ebs Посмотреть сообщение
                        Подскажите, необходим ли сертификат фтэк на мсэ, который защищает ПС в рамках № 672-П? В госте 57580 я не вижу этого требования. А цб спрашивает сертиф на мсэ. у нас резев свифта и процессинг проходит через мсэ. Вот и не могу понять чем они руководствуются. Спасибо
                        Это требование есть в мануале на Сигнатуру. В 672-П указано, что техдоки на СКЗИ так же необходимо соблюдать и в них указано, что необходим сертификат ФСБ.

                        Комментарий


                        • Сообщение от za_ebs Посмотреть сообщение
                          необходим ли сертификат фтэк на мсэ, который защищает ПС в рамках № 672-П
                          Нет. Нужен сертификат ФСБ - на МЭ и на AV..

                          р) при использовании ПК «Сигнатура-клиент», установленного на ПЭВМ, подключенной к каналам связи, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных СЗИ от НСД (межсетевыми экранами, сертифицированными по требованиям ФСБ России);
                          т) организовать и использовать комплекс мероприятий антивирусной защиты. Средство криптографической защиты информации (СКЗИ) должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. При эксплуатации СКЗИ должны использоваться средства антивирусной защиты, сертифицированные ФСБ России по классу Б (для применения на серверах) и классу В (для применения на рабочих станциях). В случае использования значительного количества рабочих мест с установленными СКЗИ целесообразно применять средства антивирусной защиты, сертифицированные ФСБ России по классу А;

                          Комментарий


                          • Все таки ЦБ стали читать свои документы? Значит пора определяться с покупкой МЭ ФСБ? МЭ ФСТЭК не прокатит.

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение
                              Значит пора определяться с покупкой МЭ ФСБ? МЭ ФСТЭК не прокатит.
                              Да тоже не факт. Вдруг напишут лишь рекомендацию, а не нарушение, что желательно использовтать МЭ, сертифицированный ФСБ, а не ФСТЭК (напимер, SecretNet с функцией МЭ).

                              Комментарий


                              • Не спешите покупать сертифицированное барахло ФСБ, в новом году ЦБ выпустить новую версию Сигнатуры и будет новый сертификат и документация на нее...

                                Комментарий


                                • Сообщение от Cpx Посмотреть сообщение
                                  Не спешите покупать сертифицированное барахло ФСБ, в новом году ЦБ выпустить новую версию Сигнатуры и будет новый сертификат и документация на нее...
                                  У меня сложилось впечатление, что ФСБ выдаёт серификаты на СКЗИ только тогда, когда СЗИ, указанные в условиях применения СКЗИ, тоже имеют сертификат ФСБ. Так что не стотит особо на это надеяться.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    что ФСБ выдаёт серификаты на СКЗИ только тогда, когда СЗИ
                                    Так все верно, так оно и есть. Смысл в том, что ФСБ понимает под надежными (защищенными) средствами защиты информации только те, которые сертифицированы ими под их требованиям т..е СКЗИ. Все это указано в документах под грифом (:
                                    У них одна задача - чтобы СКЗИ выполняла свои функции защиты при любых условиях (даже когда не помогут или не сработают применяемые орг и тех меры).
                                    Поэтому, ФСБ не признает ФСТЭК и ее орг меры (инструкции, физ охрану, аттестаты) и поэтому все согласуется в индивидуальном порядке по ТЗ и поэтому облачных решений под КВ класс на рынке нет, т.к условия и доработки при которых может быть облако - будут очень сложными и дорогими в реализации (но технически возможно это).

                                    Комментарий


                                    • Сообщение от Александр Четвертый Посмотреть сообщение

                                      Да тоже не факт. Вдруг напишут лишь рекомендацию, а не нарушение, что желательно использовтать МЭ, сертифицированный ФСБ, а не ФСТЭК (напимер, SecretNet с функцией МЭ).
                                      Посмотрим, что нам скажут в результате.
                                      А облако по кв2 вон ЦФТ пытается согласовать с ФСБ

                                      Комментарий


                                      • Сообщение от za_ebs Посмотреть сообщение
                                        А облако по кв2 вон ЦФТ пытается согласовать с ФСБ
                                        Надо было не облако согласовать, а СПО для своего решения делать правильно изначально.
                                        И по последнему их вебинару, они ушли не в ту степь, когда они своим ключом будут за банки подписывать образцы...

                                        Комментарий


                                        • Сообщение от Cpx Посмотреть сообщение
                                          когда они своим ключом будут за банки подписывать образцы...
                                          Мне казалось, что в их схеме ключ КВ используется контролером Банка (т.е. крипто-операции HSM по подписанию должен вызывать только контролер Банка после удачной аутентификации и просмотра того, что он там подписывает).

                                          Комментарий


                                          • Сообщение от Александр Четвертый Посмотреть сообщение
                                            ключ КВ и
                                            Возможно так и было до того как онина вебинаре от 29.08.2019 они сообщили, что ключи банковские хранить у себя в ЦОД не будут! А будут использовать свой ключ КВ при этом не понятно как они его собираются получить (оснований в выдаче не банку ключа КВ нет).
                                            Не понятно, зачем вводит лишние роли "подтверждающего", когда ФСБ нужна сама суть безопасной идентификации. т.е. генерация новых ролей и процессов не сделает их решение более безопасным (:

                                            Комментарий


                                            • Сообщение от Александр Четвертый Посмотреть сообщение
                                              Мне казалось, что в их схеме ключ КВ используется контролером Банка (т.е. крипто-операции HSM по подписанию должен вызывать только контролер Банка после удачной аутентификации и просмотра того, что он там подписывает).
                                              Т.е. факт владения ключом и средствами ЭП, подменяется "удачной аутентификацией".
                                              По аналогии - контролер подписывает ПЭП-ом, а ЦФТ, по поручению контролера, уже ставит квалифицированную подпись...))

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                квалифицированную подпись...))
                                                Вопрос один - чью подпись (свою-ЦФТ или Банка)?

                                                Комментарий


                                                • Сообщение от saches Посмотреть сообщение
                                                  Т.е. факт владения ключом и средствами ЭП, подменяется "удачной аутентификацией". По аналогии - контролер подписывает ПЭП-ом, а ЦФТ, по поручению контролера, уже ставит квалифицированную подпись...))
                                                  Ну а что тут удивительного?) Это же и называют "облачной подписью"? Это менее безопасно, но более удобно (также как с биометрической идентификацией, которая менее безопасна, но удобнее в использовании конечным пользователем). У ФНС такую же облачную подпись ФЛ может использовть на сайте (где 3-НДФЛ).

                                                  Сообщение от Cpx Посмотреть сообщение
                                                  что ключи банковские хранить у себя в ЦОД не будут! А будут использовать свой ключ КВ
                                                  Вот это странно.

                                                  Комментарий


                                                  • Сообщение от Александр Четвертый Посмотреть сообщение
                                                    Вот это странно.
                                                    Ну, если, как обещают, продавят соответствующие изменения в приказ 321, то вполне.

                                                    Комментарий


                                                    • Сообщение от dredd Посмотреть сообщение
                                                      продавят соответствующие изменения в приказ 321, то вполне.
                                                      так этого мало, нужно еще как минимум регламент СМЭВ и ЕБС менять...

                                                      Комментарий


                                                      • На мой взгляд это более правильно - банку не надо не под своим контролем где попало держать свои ключи. Лично я считаю это более правильным. Хотя там кроме этого, в ЦФТ ещё СМЭВовские ключи надо передавать.
                                                        И почему биометрические образцы не могут быть заверены подписью облачного аутсорсера? Не понимаю. Если бы подпись КВ2 делалась на организацию, то да, но это не разрешили и её приходится делать на представителя организации. Какая разница, представителем организации является её работник или сторонняя организация?

                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          Вопрос один - чью подпись (свою-ЦФТ или Банка)?
                                                          ЦФТ, по поручению контролера (по его ПЭП), ставит квалифицированную подпись банка.
                                                          Что и вызывает вопросы соответствия этой процедуры требованиям 63-ФЗ.
                                                          Последний раз редактировалось saches; 09.10.2019, 10:35.

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            ставит квалифицированную подпись банка
                                                            послушайте внимательно их Вебинар и ответы на вопросы! Подпись не банка, подпись банка они отказались у себя в HSM хранить.
                                                            А если по описанному Вами сценарию ПЭП Оператора, Оператор ЦФТ сам подписывает в ручном режиме БО банка и подписью банка - то да, согласен это нарушение 63ФЗ и некая не "известная" услуга.
                                                            имхоо- легче было допилить решение и согласовать варианты реализации с ФСБ, чем делать такие костыли. Тогда бы Операторы банки сами подписывали свои БО с помощью HSM.
                                                            Сообщение от Berckut Посмотреть сообщение
                                                            в ЦФТ ещё СМЭВовские ключи надо передавать.
                                                            СМЭВ на стороне банка, там явно указан обратный поток подписанных БО.
                                                            Сообщение от Berckut Посмотреть сообщение
                                                            И почему биометрические образцы не могут быть заверены подписью облачного аутсорсера?
                                                            Нет такого понятия в законе и ООО "ромашка" не может юридически и физически получить ключ КВ2 в Минсвизя, Восходе и подключиться к ЕБС. Договор оферты с РТ у банка, в ином случае как РТ поймет от кого образцы пришли?
                                                            Сообщение от Berckut Посмотреть сообщение
                                                            Если бы подпись КВ2 делалась на организацию
                                                            Это точно так? По моей инфы она как раз выдается на организацию и кто-то по доверенности ее получает.


                                                            Комментарий


                                                            • Давайте продолжим это обсуждать в ЕБС....

                                                              Комментарий

                                                              Обработка...
                                                              X