14 октября, понедельник 02:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Положение 683-П Привет, ГОСТ!

    http://cbr.ru/Queries/UniDbQuery/File/50883/812
    Привет ГОСТу и прочие прелести.

  • #2
    Судя по тексту, есть время подготовиться. Самым первым вступают требования прописанные в п.4 (1 января 2020).
    Непонятны следующие моменты:
    Анализ уязвимостей необходимо провести до 1 января 2020 или после? Если после, то в течении какого срока?
    Если организация пользуется сторонней АБС, на чьи плечи ложится проведения анализа уязвимостей? На разработчика АБС или на организацию которая ее пользуется?

    П.С. Так же не понятен момент:
    подпункт 3.1. вступает в силу в 01.01.2021, а про подпункт 3.2. нигде не указано, соответственно он вступает в силу в течении 10 дней после опубликования. Вопрос сколько есть времени на проведение ежегодного анализа на проникновение и анализ уязвимостей?
    Последний раз редактировалось danxiel; 22.05.2019, 12:22.

    Комментарий


    • #3
      Сообщение от danxiel Посмотреть сообщение
      Вопрос сколько есть времени на проведение ежегодного анализа на проникновение и анализ уязвимостей?
      судя по всему так и есть, но с другой стороны - до июля 19 года согласно 382-П.

      поэтому пока не отменили 382-П, я бы ориентировался на сроки указанные в положении

      Комментарий


      • #4
        Коллеги, а кто что думает по поводу понятия "технологический участок" и логирования их кодов при действия работников и клиентов в соответствующих системах?

        Комментарий


        • #5
          ПЭП больше не получиться использовать? одноразовыми паролями по СМС нельзя будет подтвердить платеж физику в ДБО на смартфоне?

          Комментарий


          • #6
            Мне не понятен скоуп данного положения. Безусловно, ДБО - основная цель, но учитывая, что все системы, обрабатывающие информацию об осуществленных банковских операциях, также подлежат защите, то еще множество систем попадают в область действия. В том числе, АБС, к которой уже предъявляются требования в соответствии с 672-П, системы отчетности и т.п. Есть мысли?

            Комментарий


            • #7
              Nikolas_R
              Прежде всего, обязательность исполнения требований ГОСТ 57580.1 и прохождение регулярного внешнего аудита по этим требованиям.
              Т.е. это далеко не только ДБО.
              Всё остальное - "по столько, по скольку", включая попытки как-то разрулить некоторые неоднозначности в уже существующей нормативке,
              + хотелки актуализировавшиеся на момент и по ходу подготовки текста данного Положения.

              Комментарий


              • #8
                saches
                Как мне кажется, требования 672-П и 683-П перекрывают области действия друг друга, так как мы должны применять ГОСТ 57580.1 к АБС по требованиям обоих положений.
                А учитывая, что в область действия 672-П попадают и АРМ пользователей АБС и сеть, то для небольших банков, фактически область действия ГОСТ распространяется на всю инфраструктуру.

                Комментарий


                • #9
                  Сообщение от dnebyshe Посмотреть сообщение
                  ПЭП больше не получиться использовать? одноразовыми паролями по СМС нельзя будет подтвердить платеж физику в ДБО на смартфоне?
                  КМК, само по себе использование ПЭП не противоречит требованиям положения, но возникает вопрос, как гарантируется целостность ЭС?
                  Т.е. возникает альтернатива: или ЭЦП, или ПЭП + средство/способ обеспечения целостности.
                  Если не ошибаюсь, у какого-то банка (или банков) в его ДБО, код, присылаемый клиенту и используемый в кач-ве ПЭП, являлся некой производной хеша (как вариант, контрольной суммой) реквизитов платежного документа, который и подписывался данной ПЭП. Насколько я представляю, это вполне проходной вариант. Какай трактовка, в перспективе, будет у проверяющих, пока хз.
                  Последний раз редактировалось saches; 23.05.2019, 12:25.

                  Комментарий


                  • #10
                    Сообщение от Nikolas_R Посмотреть сообщение
                    Как мне кажется, требования 672-П и 683-П перекрывают области действия друг друга, так как мы должны применять ГОСТ 57580.1 к АБС по требованиям обоих положений.
                    Если выкинуть слово АБС, то это вполне обычная ситуация. Например, сюда же можно добавить, в определенной степени, и 152-ФЗ, и ПКЗ2005, и много чего еще.

                    Сообщение от Nikolas_R Посмотреть сообщение
                    А учитывая, что в область действия 672-П попадают и АРМ пользователей АБС и сеть, то для небольших банков, фактически область действия ГОСТ распространяется на всю инфраструктуру.
                    Я бы подходил к 672-П, как к положению по защите информации на участке ПС БР. И тут, крайне желательно, максимально сузить сегмент(-ы) сети попадаемый(-ые) под требования данного Положения. Т.е. подход должен быть полностью аналогичен подходу при реализации требований PCI DSS или Swift. Если же, у банка, под 672-П, попадает вся сеть, то я бы сказал, что он сам себе злобный буратино.
                    Например, есть небольшие банки, где в сегмент ПС БР входят: АРМ КБР (на котором проставляют ЗК/КА), АРМ КБР-Н и УТА( уже, под вопросом). Сетевую обвязку опускаю. Ес-но, не агитирую всем поступать именно так, но это достаточно показательный вариант возможного подхода с целью минимизации гимора, в том числе, и в вопросах ИБ.
                    Последний раз редактировалось saches; 23.05.2019, 12:23.

                    Комментарий


                    • #11
                      Сообщение от saches Посмотреть сообщение
                      у какого-то банка (или банков) в его ДБО, код, присылаемый клиенту и используемый в кач-ве ПЭП, являлся некой производной хеша
                      Это у какого банка и какой длинны этот код?
                      Вообще-то, зная алгоритм вычисления кода, совсем не обязательно получать его через СМС, можно и самому посчитать, так что...

                      Комментарий


                      • #12
                        Сообщение от saches Посмотреть сообщение
                        Если выкинуть слово АБС, то это вполне обычная ситуация.
                        Учитывая, что в 672-П прямо написано:
                        П.2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года N 382-П (далее при совместном упоминании - объекты информационной инфраструктуры).

                        В п.2.1 перечислены такие виды как:

                        информации об остатках денежных средств на банковских счетах;

                        А что иное, если не АБС, обрабатывает эту информацию?

                        Боюсь, что подход исключения АБС из области действия актуален до первой проверки ЦБ. И пусть не вводит в заблуждение наличие дополнительных требований к сегменту ПС БР - по мне так область действия гораздо шире сегмента АРМ КБР.

                        Комментарий


                        • #13
                          ost
                          Скептицизм понятен. Но есть достаточно стандартные подходы: применение "соли", использованием стандартных хеш-функций, ограничение количеством бит, приемлемых для использования в кач-ве ПЭП.
                          И ни кого не отговариваю от использования ЭЦП.

                          Комментарий


                          • #14
                            Nikolas_R
                            Не согласен. С таким подходом и ДБО и карточный бэк (возможно даже с фронтом) попадают под требования 672-П.
                            И, кстати, если вспомнить про требования по защите ПДн в 382-П, то и кадры с зарплатой попадают))
                            Всё, ес-но, имхо, соответственно, предлагаю не продолжать дискуссию.
                            Последний раз редактировалось saches; 23.05.2019, 13:50.

                            Комментарий


                            • #15
                              Коллеги, подскажите, пожалуйста, что подразумевается в "и в отношении которого осуществлен доступ"? Это чей адрес?

                              5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:

                              идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе , программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).

                              Комментарий


                              • #16
                                ждем когда 382-П сократят до десяти страниц с указанием ссылок на ГОСТы

                                Комментарий


                                • #17
                                  Сообщение от saches Посмотреть сообщение
                                  есть достаточно стандартные подходы: применение "соли", использованием стандартных хеш-функций, ограничение количеством бит, приемлемых для использования в кач-ве ПЭП.
                                  КМК, 683-П ставит крест на использовании СМС с одноразовыми паролями для подтверждения переводов д/с, видимо уже всех достал фрод с применением соц. инженерии, когда у людей эти одноразовые пароли выманивают по телефону, просто решили пойти не путем запрета СМС, а вот так с вывертом с заднего хода. Даже если получится создать OTP приемлемой длины, останутся вопросы к "подтвердить составление распоряжения уполномоченным лицом" так как остается возможность endpoint compromise.

                                  Комментарий


                                  • #18
                                    Сообщение от ost Посмотреть сообщение
                                    КМК, 683-П ставит крест на использовании СМС с одноразовыми паролями для подтверждения переводов д/с......
                                    Вполне возможно, но не факт. Посмотрим... может будут какие-либо разъяснения или станет понятно отношение проверяющих из ЦБ.
                                    Но однозначного запрета в тексте 683-П нет.

                                    Комментарий


                                    • #19
                                      Сообщение от saches Посмотреть сообщение
                                      Вполне возможно, но не факт. Посмотрим... может будут какие-либо разъяснения или станет понятно отношение проверяющих из ЦБ.
                                      Но однозначного запрета в тексте 683-П нет.
                                      А то, вчера ЦБ у нас проводило конференцию по ИБ, где основная идея была Реклама продуктов Инфотекса.
                                      И тут невзначай они начали рассказывать про IDPiont, как раз для усиленных ЭП в мобильных приложениях.
                                      А еще как хорошо Инфотекс делает пентесты.

                                      Комментарий


                                      • #20
                                        Сообщение от saches Посмотреть сообщение
                                        может будут какие-либо разъяснения или станет понятно отношение проверяющих из ЦБ. Но однозначного запрета в тексте 683-П нет.
                                        Чтобы получить разъяснение надо написать запрос в ЦБ, у проверяющих обычно у каждого своё собственное мнение. И с 3DS 2.0 непонятки, там-то СМС не отменяются.

                                        Комментарий


                                        • #21
                                          Сообщение от saches Посмотреть сообщение
                                          ost
                                          Скептицизм понятен. Но есть достаточно стандартные подходы: применение "соли", использованием стандартных хеш-функций, ограничение количеством бит, приемлемых для использования в кач-ве ПЭП.
                                          И ни кого не отговариваю от использования ЭЦП.
                                          мы думаем об этом же, осталось только понять получится ли это правильно юридически прописать, что будет входить ПЭП - пока думаем
                                          мне нравится, что этот пункт вступает в силу через 10 дней после опубликования)) как обычно, проблемы банков ЦБ не волнуют)))
                                          ***Настроение бодрое, идем ко дну.

                                          Комментарий


                                          • #22
                                            Сообщение от Esin Посмотреть сообщение
                                            Коллеги, подскажите, пожалуйста, что подразумевается в "и в отношении которого осуществлен доступ"? Это чей адрес?

                                            5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:

                                            идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе , программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).
                                            видимо, надо логировать на какой сервак (устройство) стучится сотрудник
                                            ***Настроение бодрое, идем ко дну.

                                            Комментарий


                                            • #23
                                              Коллеги, есть ли ясность с электронной подписью по п. 5.1.

                                              Какие электронные сообщения ей надо подписывать, все ли, связанные с переводом д/с, в том числе созданные сотрудниками банка, или только сделанные клиентом?

                                              Комментарий


                                              • #24
                                                Сообщение от ost Посмотреть сообщение
                                                Коллеги, есть ли ясность с электронной подписью по п. 5.1.

                                                Какие электронные сообщения ей надо подписывать, все ли, связанные с переводом д/с, в том числе созданные сотрудниками банка, или только сделанные клиентом?
                                                хороший вопрос...

                                                и тогда в продолжении:
                                                1. исходя из 2го абзаца п.1 683-П электронное сообщение - это информация, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде
                                                к банковским операциям (ст.5 ФЗ N 395-I "О банках и банковской деятельности") относятся не только переводы д/с

                                                2. п.5.1. - "..подтвердить составление указанного электронного сообщения уполномоченным на это лицом"
                                                в 63-ФЗ определение в определении ЭП звучит - ".... для определения лица, подписывающего информацию"
                                                то есть определять не принадлежность ЭП, а права сотрудника/клиента на составление?

                                                что-то у меня под вечер мозги подзакипели от этого пункта
                                                ***Настроение бодрое, идем ко дну.

                                                Комментарий


                                                • #25
                                                  есть вариант:
                                                  "КО должны обеспечивать подписание... способом...."
                                                  то есть если мы не подписываем, то и не подписываем
                                                  а вот если решили подписывать, то надо обеспечить целостность и проверку "уполномоченности" лица...

                                                  ***Настроение бодрое, идем ко дну.

                                                  Комментарий


                                                  • #26
                                                    Коллеги, а сертификация частей АБС на сегментах ПРОЦЕССИНГ и КОНТРОЛЬ нужна, или как?
                                                    4.1 Имеет ввиду АБС или только клиентское приложение и сервер ДБО где принимаются распоряжения от клиента?
                                                    А то нас производитель АБС спрашивает необходимость:

                                                    сертификации функционального модуля "Взаимодействие с КБР-Н" программы "ПрограмБанк.АБС" в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации;

                                                    дополнительным исследованиям в части оценки влияния средств визуализации информации на выполнение требований, установленных п.п. 8 и 9 "Требований к средствам электронной подписи", утвержденных приказом ФСБ России от 27.12.2011г. № 796.

                                                    И предлагает нам за это оплатить 50 на 50.

                                                    У сигнатуры есть требование по дополнительным исследованиям в части оценки влияния?

                                                    Сертификацию по НДВ ФСТЭК отменил, а для ОУД4 нет профилей защиты, ЦБ никак не родит его.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от iPtich Посмотреть сообщение
                                                      то есть если мы не подписываем, то и не подписываем
                                                      Ну, тут надо смотреть пункт 5.2.1 а именно вот эту часть

                                                      Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2настоящего пункта, дополнительно должна обеспечивать:

                                                      подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;

                                                      получение от клиента подтверждения совершенной банковской операции.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от dnebyshe Посмотреть сообщение
                                                        Коллеги, а сертификация частей АБС на сегментах ПРОЦЕССИНГ и КОНТРОЛЬ нужна, или как?
                                                        Да вроде как нет. См.

                                                        Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных ...
                                                        Т.е. требование в отношении софта, который предоставляется клиентам и его серверной части. Всё что используется для собственных нужд можно и так юзать.

                                                        Кстати, КБР-Н таки распространяется некоей кредитной организацией своим клиентам. Может надо попросить сертификат показать или заключение об отсутствии уязвимостей?

                                                        Комментарий


                                                        • #29
                                                          Сообщение от ost Посмотреть сообщение
                                                          Может надо попросить сертификат показать или заключение об отсутствии уязвимостей?
                                                          Не покажут, и что?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от ost Посмотреть сообщение

                                                            Ну, тут надо смотреть пункт 5.2.1 а именно вот эту часть

                                                            подписание ЭС со стороны клиента - это само собой
                                                            ***Настроение бодрое, идем ко дну.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X