16 июля, четверг 04:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Berckut
    Участник создал тему 672-П. Требования к защите информации в ПС БР

    672-П. Требования к защите информации в ПС БР

    Ну вот и опубликовали.
    http://www.cbr.ru/Queries/UniDbQuery...883?fileId=792

  • Berckut
    Участник ответил
    Сообщение от Galivut Посмотреть сообщение
    Добрый день, коллеги, иногда еще посещающие данный форум.
    Мы вносили большие изменения в акт о готовности и отправили в отделение проект на проверку. Отделение послало его в Москву и в ответ прилетел страшный запрос дополнительных документов. Среди которые есть 2 совсем нам непонятны:
    1. Документ, описывающий информационное взаимодействие и технологический процесс, в том числе реализацию процедур формирования, контроля электронных сообщений и отправки электронных сообщений в Банк России и мер в части защиты информации.
    2. Правила контроля доступа и соответствующие схемы, однозначно определяющие разделение и контроль информационного взаимодействия на уровне приложений, на транспортном уровне, на канальном уровне, на уровне сети, или иной способ организации ограничений. Также должны быть явно определены способы и правила взаимодействия с внешними сетями, в том числе общего пользования. Описание данных взаимодействий должно содержать обоснование их необходимости.
    Вернее по смыслу немного понятно, но в какой форме и с каким содержанием это все должно быть, непонятно. Прошу помощи советом, а если кому не очень жалко, то поделиться хотя бы макетами таких документов на e4f7@yandex.ru.
    У нас такое не просили, но примерное представляя, откуда растут ноги у этого запроса, я бы взял комплект документов по аттестации АРМ по требованиям ФСТЭК и переделал его под сегмент ПС БР:
    - Матрица доступа;
    - Описание технологических процессов;
    - Перечень защищаемых ресурсов;
    - План контролируемой зоны;
    - План и состав размещения вычислительных средств;
    - Технический паспорт.

    Прокомментировать:


  • Galivut
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    я сделал положение по защите информации при переводе ДС в ПСБР
    В положении прямо подробно расписывали, например: из АБС выгружается файл ED в папку Z, затем оператор берет его, с использованием сигнатуры ставит подпись, кладет в папку Y, затем контролер,....затем отправляется
    Или все более верхнеуровнево?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    я сделал положение по защите информации при переводе ДС в ПСБР ( что-то вроде смеси требований 382-П и 672-П).
    Там по мимо прочего отразил процедуры формирования и контроля. Схему реализации сети (сегментации), сетевое взаимодействие с другими сетями (например для получения обновлений ОС и антифирусных баз), сетевое оборудования, IP адреса подсетей, установленные средства защиты.
    Наверное так, по крайней мене комплексная проверка ЦБ по ИБ была довольна и хлопала в ладоши стоя.


    Прокомментировать:


  • Galivut
    Участник ответил
    Добрый день, коллеги, иногда еще посещающие данный форум.
    Мы вносили большие изменения в акт о готовности и отправили в отделение проект на проверку. Отделение послало его в Москву и в ответ прилетел страшный запрос дополнительных документов. Среди которые есть 2 совсем нам непонятны:
    1. Документ, описывающий информационное взаимодействие и технологический процесс, в том числе реализацию процедур формирования, контроля электронных сообщений и отправки электронных сообщений в Банк России и мер в части защиты информации.
    2. Правила контроля доступа и соответствующие схемы, однозначно определяющие разделение и контроль информационного взаимодействия на уровне приложений, на транспортном уровне, на канальном уровне, на уровне сети, или иной способ организации ограничений. Также должны быть явно определены способы и правила взаимодействия с внешними сетями, в том числе общего пользования. Описание данных взаимодействий должно содержать обоснование их необходимости.
    Вернее по смыслу немного понятно, но в какой форме и с каким содержанием это все должно быть, непонятно. Прошу помощи советом, а если кому не очень жалко, то поделиться хотя бы макетами таких документов на e4f7@yandex.ru.

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Правильно ли я понимаю, что отчет двух лет надо начинать с даты вступления этого требования а не всего документа? т.е. оценку провести до 01.07.23.
    Думаю, что все обстоит так: 01.07.2021 вступит в силу требование выполнить оценку. С этого момента можно будет отсчитывать установленный для регулярности оценки срок до ближайшей граничной обязательной оценки. По логике, исходя из регулярности оценки раз в два года, отведенный срок должен был бы завершиться 01.07.2023. Но этот срок ограничивает другое требование.
    Оценку, подтверждающую соответствие 4 уровню, нужно в соответствии с абз. 5 п. 20 подтвердить до 01.01.2023 - это дата вступления в силу этого абзаца.
    Стало быть конечный срок оценки, при этом уже подтверждающей 4 уровень - 01.01.2023.

    Кстати, при сравнении 683-П, 684-П и 672-П еще обратил внимание, что ЦБ в 672-П не требует проведения внешней оценки.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Коллеги, поправьте по срокам, если я ошибаюсь.
    пункт 20 абзац 4 вступает в силу с 01.07.21 и говорит о проведении оценки раз в два года.
    Правильно ли я понимаю, что отчет двух лет надо начинать с даты вступления этого требования а не всего документа? т.е. оценку провести до 01.07.23.

    Если считать 2 года от даты вступления документа 672-П (06.04.2019) то 2 года наступят уже 07.04.21, а требования проводить оценку раз в 2 года по 4 абзацу пункта 20 вступят в силу только с 01.07.21.
    Т.е. получается, на момент вступления требования провести оценку (01.07.21) банк уже как 3 месяца автоматом нарушит срок проведения оценки.
    Последний раз редактировалось dnebyshe; 13.02.2020, 15:34.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Давайте 683-П обсуждать в ветке 683-П.
    Тут 672-П обсуждаем.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Конечно область 683-П шире, чем 382-П. Но это не повод распространить его на каждый калькулятор в банке, учитывая цену соответствия требованиям 1/2 уровня ГОСТ.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А где это написано?
    https://lukatsky.blogspot.com/2019/12/683.html

    в ответах ЦБ, правда юридической силы они не имеют, но при проверке мне помогали убедить ЦБшников, что мнения их ДИБ ЦБ может не совпадать с трактовкой положений проверяющими.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Как раз отчеты легко можно выкинуть из-под действия 683-П. Потому что:
    Не об этом речь была, было интересно, как водители без компа обходятся.
    Тут два варанта или на бумаге всё делают или есть к примеру мобильное приложение какое-то, где они все свои дела делают.
    Отчёты тут имелись в виду, типа путевые листы он оформляют, расход бензина, заявки на ремонт, запчасти и пр., инструктажи всякие, банальное заявление на отпуск, куча у них всего.

    Сообщение от Александр Четвертый Посмотреть сообщение
    как я уже писал выше по этому принципу под 683-П попадать не должны.
    Полностью согласен.

    Сообщение от Александр Четвертый Посмотреть сообщение
    С рабочими местами конкретных отделов надо разбираться - если с них осуществляется доступ к указанным АС, то получается, что они тоже попадают под требования.
    Это, да.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Ага, а отчёты они где делают?
    Как раз отчеты легко можно выкинуть из-под действия 683-П. Потому что:

    .. для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств
    Т.е. OLAP-сервер для построения бизнес-отчетиков "в какую фазу Луны чаще всего делаются такие-то операции в ДБО 35-летними клиентами ФЛ" как раз сюда не относится, т.к. хоть в этой АС и есть защищаемая информация, но с помощью этой АС невозможно совершать операции, связанные с осуществлением переводов денежных средств. Грубо говоря как Pentaho ни крути - ни каких операций без согласия клиента по переводу денежных средств ты не добьешься.

    И вот по такому принципу реально критичных вещей для защиты по 683-П должно остаться как можно меньше: DNS/DHCP/Zabbix/SMTP/IMAP/AD/LDAP/видеонаблюдение/VPN-шлюзы/СМЭВ-шлюзы/БКИ-шлюзы.. - как я уже писал выше по этому принципу под 683-П попадать не должны. С рабочими местами конкретных отделов надо разбираться - если с них осуществляется доступ к указанным АС, то получается, что они тоже попадают под требования.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Водителей я даже за сотрудников не считаю. Они в машинах живут.
    Ага, а отчёты они где делают? Документы оформляют, с корпоративными системами взаимодействуют? У вас какое-то мобильное приложение для всего этого?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Как написал ЦБ:
    А где это написано?
    Я вот читаю: "настоящее Положение устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента."
    Цель 683-П антифрод, замена 382-П ещё впереди.

    Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):

    Требования 683-П уже чем 382-П, т.к. реализуются в целях противодействия осуществления переводов без согласия, а не как в 382-П в целях обеспечения защиты информации в целом при осуществлении переводов (это разные направления в 161-ФЗ). Другое дело что требования сильно пересекаются.

    Сообщение от ndebyshe Посмотреть сообщение
    Даже финмон, который может давать распоряжения блокировать/разблокировать ДБО будет тогда связан с переводом ДС.
    Посмотрите, что конкретно в 683-П защищается (какая информация и какая инфраструктура).
    Очевидно, что имея доступ к такой информации специалисты ФМ будут входить в скоуп, т.е. имеют доступ к защищаемой информации.

    Сообщение от ndebyshe Посмотреть сообщение
    Может, что в этом контексте даже общение клиента с кол центром или с секретарем может "быть банковской операцией", связанно с переводом ДС.
    Может быть, если общение связано с операцией по переводу ДС или это сообщение клиенту какой-то защищаемой информации. В 683-П чётко написано, что именно защищается, не нужно расширять. Классифицируйте строго как в нём указано иначе боком выйдет. )))

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Нужно еще учитывать такие слова в названии и в самом документе - "при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Т.е. можно выделить ОИИ под 683-П с обоснованием, например, таким - что ваш ОФМ и КЦ и чайники на кухне даже имея какой-то доступ к "переводам" не смогут никак привести к переводу без согласия. Ну это я уж так по-быстрому сырой вариант предложил. Нафига мне защищать DNS-сервер по ГОСТу?

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Каким образом вообще выделяются контуры?
    Как написал ЦБ:
    Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.

    Может, что в этом контексте даже общение клиента с кол центром или с секретарем может "быть банковской операцией", связанно с переводом ДС.
    Даже финмон, который может давать распоряжения блокировать/разблокировать ДБО будет тогда связан с переводом ДС.



    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Водители.. Есть много категорий рабочих мест, которые под 683-П тащить бессмысленно - коллекшен и связанные с ним вещи, контакт-центр (продажники услуг), разработчики ПО/АБС, трейдинг, топ-менеджмент, бизнесы и пр. (всякую сервисную инфраструктуру куда относить? DNS/DHCP/Zabbix/SMTP/IMAP/AD/LDAP/видеонаблюдение/VPN-шлюзы/СМЭВ-шлюзы/БКИ-шлюзы и еще сотни вещей). Так что.. идея "все, что не БС БР и СБП - это один контур БАНК под 683-П", мне точно не нравится. Каким образом вообще выделяются контуры? Это что в политике ИБ теперь прописывать? Что контуры утверждаются так-то и для них формируются прикладные документы с особыми требованиями (которых нет в базовых мерах банка, но они нужны по ГОСТ)?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Тогда Ваша дорога в ЦБ с вопросами про требования и классы, но не вендору (если вендор не ЦБ).
    Вот перед тем как туда обращаться и хотелось в этом убедиться. )
    А вендор АБС в ПО встроил, что дали по документации от SDK, интерфейсы программные одни и те же, отличие только в наличии СЗИ от НСД (АМДЗ с сертификатом ФСБ).
    Мне интересно, а не должен ли ЦБ озаботиться корректностью встраивания и в этом случае? )))
    Последний раз редактировалось Zuz; 14.01.2020, 19:38.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Почему вы это это упускаете мне тоже не понятно! )))
    Тогда Ваша дорога в ЦБ с вопросами про требования и классы, но не вендору (если вендор не ЦБ).
    А уже потом требования ЦБ, будите спускать своим вендорам в виде ТЗ.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    компьютеры водителей и секретарей
    Коллега, ну что Вы так в крайности
    Водителей я даже за сотрудников не считаю. Они в машинах живут.
    А вот секретари у нас как раз отношения к платежам имеют, в части приема писем от клиентов по ДБО. И у них есть интерфейс в ДБО.
    Поэтому в 638-П я их включу.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    И мне проще создать контур безопасности Банк для ГОСТ 57580, чем дробить.
    А потом оснастить сертифицированными СЗИ компьютеры водителей и секретарей.
    Дробить придётся, СЗИ на всё очень дорого, это проходили с идеей сделать одну ИСПДн на всё.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Это преувеличение, т.к.:
    я же написал, что зависит от масштаба Банка.
    У меня с осуществлением банковских операций с переводами ДС связаны и Фрон, и БЭК.
    Наверное все, где есть доступ к интерфейсам АБС и ДБО.

    И мне проще создать контур безопасности Банк для ГОСТ 57580, чем дробить.
    Мы это уже обсуждали: Банк, ПСБР, Биометрия. И все что не ПСБР и Биометрия засунуть в Банк.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    распространяется на все банковские операции
    Это преувеличение, т.к.:
    Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):
    Т.е., только те операции, где есть переводы ДС. Не забываем, что 683-П это следствие 161-ФЗ (изменения по 167-ФЗ, закон об Антифроде).

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Почему Вы считаете обратное - мне не понятно...
    Я говорю о разных субъектах, банк как оператор ПДн сам решает, как в его ИСПДн что будет реализовано, сам определяет необходимость использования СКЗИ и классы защиты, решает вопросы процедуры корректности встраивания в ПО его ИСПДн.
    Банк как участник системы платежей Банка России не сам определяет, что да как в этой системе, он выполняет требования, ему дают конкретное ПО с уже встроенными СКЗИ как вендоры АБС, так и ЦБ в ПО для АРМ КБР-Н / АРМ СПФС, аналогичная ситуация и в СБС

    Почему вы это это упускаете мне тоже не понятно! )))

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Это не удачный пример, мы говорим о банке участнике ПС БР / СБП, а вы приводите пример для банка оператора ИСПДн.
    ФСБ глубоко наплевать откуда ноги растут, СКИЗ не различаются исходя из вида инфомарции (Пдн, не ПДн), классы СКЗИ и подход единый!
    Требования у них едины для всех, кто использует СКЗИ и они подробно описаны в этом письме.
    Почему Вы считаете обратное - мне не понятно...

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Efor Посмотреть сообщение
    И распространяются ли требования 683-П на АРМ СПФС?
    Конечно, вообще 683-П распространяется на все банковские операции, в отличии от 382-П которое распространяется на перевода денежных средств.
    683-П шире.
    И тут кажды для себя сам определяет ареал его распространения у себя в банке.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Efor Посмотреть сообщение
    то эти требования уже не относятся к АРМ КБР-Н?
    Да, верно. У вас же отправка полностью через АРМ СПФС.

    Сообщение от Efor Посмотреть сообщение
    И распространяются ли требования 683-П на АРМ СПФС?
    Мы считаем, что распространяются (СПФС применяется для переводов ДС).

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Почитайте внимательно письмо - станет сразу понятно, кто должен и кто ответственен.
    Это не удачный пример, мы говорим о банке участнике ПС БР / СБП, а вы приводите пример для банка оператора ИСПДн.

    Прокомментировать:


  • Efor
    Участник ответил
    Добрый день!
    Подскажите, если требования 552 П теперь остались в виде приложения к ДС к договору с ЦБ и касаются только СПФС, исходя из наименования приложения "требования к защите информации, выполняемые клиентом - пользователем СПФС", то эти требования уже не относятся к АРМ КБР-Н? В частности ежеквартальные проверки, видеонаблюдение и тд?
    Есть ли те же требования из 552П, касающиеся именно КБР-Н?
    И распространяются ли требования 683-П на АРМ СПФС?
    Последний раз редактировалось Efor; 13.01.2020, 15:57.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Дело в том, что не всё так очевидно.
    Все намного проще - вспомните, что вы защищаете?!
    Правильно - конфиденциальную информацию. А кто устанавливает требования к ее защиты и отвечает за нее? Банк - владелец.

    Почитайте внимательно письмо - станет сразу понятно, кто должен и кто ответственен.
    http://www.fsb.ru/fsb/science/single...searchart.html

    Сообщение от Zuz Посмотреть сообщение
    Регулятор определил классы СКЗИ, пусть косвенно, но это сделано через перечень актуальных угроз
    Это не удачный пример! Вот именно, что сделано все не по нормативке без оценки реальных условий Э и возможностей потенциального нарушителя.
    А самое главное, для класса КВ2 выбраны угрозы не соотв. требованиям ФСБ (если класс КВ, то все ИС д.б. КВ, а не участок сбора у нас кс2, каналы кс3). Как согласовал такое регулятор - я не знаю и комментировать не хочу. Но сделай кто-то также не под эгидой ЕБС - отберут лицензию и выпишут штраф).

    Прокомментировать:

Обработка...
X