9 апреля, четверг 14:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Положение 683-П Привет, ГОСТ!

    http://cbr.ru/Queries/UniDbQuery/File/50883/812
    Привет ГОСТу и прочие прелести.

  • #2
    Судя по тексту, есть время подготовиться. Самым первым вступают требования прописанные в п.4 (1 января 2020).
    Непонятны следующие моменты:
    Анализ уязвимостей необходимо провести до 1 января 2020 или после? Если после, то в течении какого срока?
    Если организация пользуется сторонней АБС, на чьи плечи ложится проведения анализа уязвимостей? На разработчика АБС или на организацию которая ее пользуется?

    П.С. Так же не понятен момент:
    подпункт 3.1. вступает в силу в 01.01.2021, а про подпункт 3.2. нигде не указано, соответственно он вступает в силу в течении 10 дней после опубликования. Вопрос сколько есть времени на проведение ежегодного анализа на проникновение и анализ уязвимостей?
    Последний раз редактировалось danxiel; 22.05.2019, 12:22.

    Комментарий


    • #3
      Сообщение от danxiel Посмотреть сообщение
      Вопрос сколько есть времени на проведение ежегодного анализа на проникновение и анализ уязвимостей?
      судя по всему так и есть, но с другой стороны - до июля 19 года согласно 382-П.

      поэтому пока не отменили 382-П, я бы ориентировался на сроки указанные в положении

      Комментарий


      • #4
        Коллеги, а кто что думает по поводу понятия "технологический участок" и логирования их кодов при действия работников и клиентов в соответствующих системах?

        Комментарий


        • #5
          ПЭП больше не получиться использовать? одноразовыми паролями по СМС нельзя будет подтвердить платеж физику в ДБО на смартфоне?

          Комментарий


          • #6
            Мне не понятен скоуп данного положения. Безусловно, ДБО - основная цель, но учитывая, что все системы, обрабатывающие информацию об осуществленных банковских операциях, также подлежат защите, то еще множество систем попадают в область действия. В том числе, АБС, к которой уже предъявляются требования в соответствии с 672-П, системы отчетности и т.п. Есть мысли?

            Комментарий


            • #7
              Nikolas_R
              Прежде всего, обязательность исполнения требований ГОСТ 57580.1 и прохождение регулярного внешнего аудита по этим требованиям.
              Т.е. это далеко не только ДБО.
              Всё остальное - "по столько, по скольку", включая попытки как-то разрулить некоторые неоднозначности в уже существующей нормативке,
              + хотелки актуализировавшиеся на момент и по ходу подготовки текста данного Положения.

              Комментарий


              • #8
                saches
                Как мне кажется, требования 672-П и 683-П перекрывают области действия друг друга, так как мы должны применять ГОСТ 57580.1 к АБС по требованиям обоих положений.
                А учитывая, что в область действия 672-П попадают и АРМ пользователей АБС и сеть, то для небольших банков, фактически область действия ГОСТ распространяется на всю инфраструктуру.

                Комментарий


                • #9
                  Сообщение от dnebyshe Посмотреть сообщение
                  ПЭП больше не получиться использовать? одноразовыми паролями по СМС нельзя будет подтвердить платеж физику в ДБО на смартфоне?
                  КМК, само по себе использование ПЭП не противоречит требованиям положения, но возникает вопрос, как гарантируется целостность ЭС?
                  Т.е. возникает альтернатива: или ЭЦП, или ПЭП + средство/способ обеспечения целостности.
                  Если не ошибаюсь, у какого-то банка (или банков) в его ДБО, код, присылаемый клиенту и используемый в кач-ве ПЭП, являлся некой производной хеша (как вариант, контрольной суммой) реквизитов платежного документа, который и подписывался данной ПЭП. Насколько я представляю, это вполне проходной вариант. Какай трактовка, в перспективе, будет у проверяющих, пока хз.
                  Последний раз редактировалось saches; 23.05.2019, 12:25.

                  Комментарий


                  • #10
                    Сообщение от Nikolas_R Посмотреть сообщение
                    Как мне кажется, требования 672-П и 683-П перекрывают области действия друг друга, так как мы должны применять ГОСТ 57580.1 к АБС по требованиям обоих положений.
                    Если выкинуть слово АБС, то это вполне обычная ситуация. Например, сюда же можно добавить, в определенной степени, и 152-ФЗ, и ПКЗ2005, и много чего еще.

                    Сообщение от Nikolas_R Посмотреть сообщение
                    А учитывая, что в область действия 672-П попадают и АРМ пользователей АБС и сеть, то для небольших банков, фактически область действия ГОСТ распространяется на всю инфраструктуру.
                    Я бы подходил к 672-П, как к положению по защите информации на участке ПС БР. И тут, крайне желательно, максимально сузить сегмент(-ы) сети попадаемый(-ые) под требования данного Положения. Т.е. подход должен быть полностью аналогичен подходу при реализации требований PCI DSS или Swift. Если же, у банка, под 672-П, попадает вся сеть, то я бы сказал, что он сам себе злобный буратино.
                    Например, есть небольшие банки, где в сегмент ПС БР входят: АРМ КБР (на котором проставляют ЗК/КА), АРМ КБР-Н и УТА( уже, под вопросом). Сетевую обвязку опускаю. Ес-но, не агитирую всем поступать именно так, но это достаточно показательный вариант возможного подхода с целью минимизации гимора, в том числе, и в вопросах ИБ.
                    Последний раз редактировалось saches; 23.05.2019, 12:23.

                    Комментарий


                    • #11
                      Сообщение от saches Посмотреть сообщение
                      у какого-то банка (или банков) в его ДБО, код, присылаемый клиенту и используемый в кач-ве ПЭП, являлся некой производной хеша
                      Это у какого банка и какой длинны этот код?
                      Вообще-то, зная алгоритм вычисления кода, совсем не обязательно получать его через СМС, можно и самому посчитать, так что...

                      Комментарий


                      • #12
                        Сообщение от saches Посмотреть сообщение
                        Если выкинуть слово АБС, то это вполне обычная ситуация.
                        Учитывая, что в 672-П прямо написано:
                        П.2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года N 382-П (далее при совместном упоминании - объекты информационной инфраструктуры).

                        В п.2.1 перечислены такие виды как:

                        информации об остатках денежных средств на банковских счетах;

                        А что иное, если не АБС, обрабатывает эту информацию?

                        Боюсь, что подход исключения АБС из области действия актуален до первой проверки ЦБ. И пусть не вводит в заблуждение наличие дополнительных требований к сегменту ПС БР - по мне так область действия гораздо шире сегмента АРМ КБР.

                        Комментарий


                        • #13
                          ost
                          Скептицизм понятен. Но есть достаточно стандартные подходы: применение "соли", использованием стандартных хеш-функций, ограничение количеством бит, приемлемых для использования в кач-ве ПЭП.
                          И ни кого не отговариваю от использования ЭЦП.

                          Комментарий


                          • #14
                            Nikolas_R
                            Не согласен. С таким подходом и ДБО и карточный бэк (возможно даже с фронтом) попадают под требования 672-П.
                            И, кстати, если вспомнить про требования по защите ПДн в 382-П, то и кадры с зарплатой попадают))
                            Всё, ес-но, имхо, соответственно, предлагаю не продолжать дискуссию.
                            Последний раз редактировалось saches; 23.05.2019, 13:50.

                            Комментарий


                            • #15
                              Коллеги, подскажите, пожалуйста, что подразумевается в "и в отношении которого осуществлен доступ"? Это чей адрес?

                              5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:

                              идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе , программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).

                              Комментарий


                              • #16
                                ждем когда 382-П сократят до десяти страниц с указанием ссылок на ГОСТы

                                Комментарий


                                • #17
                                  Сообщение от saches Посмотреть сообщение
                                  есть достаточно стандартные подходы: применение "соли", использованием стандартных хеш-функций, ограничение количеством бит, приемлемых для использования в кач-ве ПЭП.
                                  КМК, 683-П ставит крест на использовании СМС с одноразовыми паролями для подтверждения переводов д/с, видимо уже всех достал фрод с применением соц. инженерии, когда у людей эти одноразовые пароли выманивают по телефону, просто решили пойти не путем запрета СМС, а вот так с вывертом с заднего хода. Даже если получится создать OTP приемлемой длины, останутся вопросы к "подтвердить составление распоряжения уполномоченным лицом" так как остается возможность endpoint compromise.

                                  Комментарий


                                  • #18
                                    Сообщение от ost Посмотреть сообщение
                                    КМК, 683-П ставит крест на использовании СМС с одноразовыми паролями для подтверждения переводов д/с......
                                    Вполне возможно, но не факт. Посмотрим... может будут какие-либо разъяснения или станет понятно отношение проверяющих из ЦБ.
                                    Но однозначного запрета в тексте 683-П нет.

                                    Комментарий


                                    • #19
                                      Сообщение от saches Посмотреть сообщение
                                      Вполне возможно, но не факт. Посмотрим... может будут какие-либо разъяснения или станет понятно отношение проверяющих из ЦБ.
                                      Но однозначного запрета в тексте 683-П нет.
                                      А то, вчера ЦБ у нас проводило конференцию по ИБ, где основная идея была Реклама продуктов Инфотекса.
                                      И тут невзначай они начали рассказывать про IDPiont, как раз для усиленных ЭП в мобильных приложениях.
                                      А еще как хорошо Инфотекс делает пентесты.

                                      Комментарий


                                      • #20
                                        Сообщение от saches Посмотреть сообщение
                                        может будут какие-либо разъяснения или станет понятно отношение проверяющих из ЦБ. Но однозначного запрета в тексте 683-П нет.
                                        Чтобы получить разъяснение надо написать запрос в ЦБ, у проверяющих обычно у каждого своё собственное мнение. И с 3DS 2.0 непонятки, там-то СМС не отменяются.

                                        Комментарий


                                        • #21
                                          Сообщение от saches Посмотреть сообщение
                                          ost
                                          Скептицизм понятен. Но есть достаточно стандартные подходы: применение "соли", использованием стандартных хеш-функций, ограничение количеством бит, приемлемых для использования в кач-ве ПЭП.
                                          И ни кого не отговариваю от использования ЭЦП.
                                          мы думаем об этом же, осталось только понять получится ли это правильно юридически прописать, что будет входить ПЭП - пока думаем
                                          мне нравится, что этот пункт вступает в силу через 10 дней после опубликования)) как обычно, проблемы банков ЦБ не волнуют)))
                                          ***Настроение бодрое, идем ко дну.

                                          Комментарий


                                          • #22
                                            Сообщение от Esin Посмотреть сообщение
                                            Коллеги, подскажите, пожалуйста, что подразумевается в "и в отношении которого осуществлен доступ"? Это чей адрес?

                                            5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:

                                            идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе , программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).
                                            видимо, надо логировать на какой сервак (устройство) стучится сотрудник
                                            ***Настроение бодрое, идем ко дну.

                                            Комментарий


                                            • #23
                                              Коллеги, есть ли ясность с электронной подписью по п. 5.1.

                                              Какие электронные сообщения ей надо подписывать, все ли, связанные с переводом д/с, в том числе созданные сотрудниками банка, или только сделанные клиентом?

                                              Комментарий


                                              • #24
                                                Сообщение от ost Посмотреть сообщение
                                                Коллеги, есть ли ясность с электронной подписью по п. 5.1.

                                                Какие электронные сообщения ей надо подписывать, все ли, связанные с переводом д/с, в том числе созданные сотрудниками банка, или только сделанные клиентом?
                                                хороший вопрос...

                                                и тогда в продолжении:
                                                1. исходя из 2го абзаца п.1 683-П электронное сообщение - это информация, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде
                                                к банковским операциям (ст.5 ФЗ N 395-I "О банках и банковской деятельности") относятся не только переводы д/с

                                                2. п.5.1. - "..подтвердить составление указанного электронного сообщения уполномоченным на это лицом"
                                                в 63-ФЗ определение в определении ЭП звучит - ".... для определения лица, подписывающего информацию"
                                                то есть определять не принадлежность ЭП, а права сотрудника/клиента на составление?

                                                что-то у меня под вечер мозги подзакипели от этого пункта
                                                ***Настроение бодрое, идем ко дну.

                                                Комментарий


                                                • #25
                                                  есть вариант:
                                                  "КО должны обеспечивать подписание... способом...."
                                                  то есть если мы не подписываем, то и не подписываем
                                                  а вот если решили подписывать, то надо обеспечить целостность и проверку "уполномоченности" лица...

                                                  ***Настроение бодрое, идем ко дну.

                                                  Комментарий


                                                  • #26
                                                    Коллеги, а сертификация частей АБС на сегментах ПРОЦЕССИНГ и КОНТРОЛЬ нужна, или как?
                                                    4.1 Имеет ввиду АБС или только клиентское приложение и сервер ДБО где принимаются распоряжения от клиента?
                                                    А то нас производитель АБС спрашивает необходимость:

                                                    сертификации функционального модуля "Взаимодействие с КБР-Н" программы "ПрограмБанк.АБС" в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации;

                                                    дополнительным исследованиям в части оценки влияния средств визуализации информации на выполнение требований, установленных п.п. 8 и 9 "Требований к средствам электронной подписи", утвержденных приказом ФСБ России от 27.12.2011г. № 796.

                                                    И предлагает нам за это оплатить 50 на 50.

                                                    У сигнатуры есть требование по дополнительным исследованиям в части оценки влияния?

                                                    Сертификацию по НДВ ФСТЭК отменил, а для ОУД4 нет профилей защиты, ЦБ никак не родит его.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от iPtich Посмотреть сообщение
                                                      то есть если мы не подписываем, то и не подписываем
                                                      Ну, тут надо смотреть пункт 5.2.1 а именно вот эту часть

                                                      Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2настоящего пункта, дополнительно должна обеспечивать:

                                                      подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;

                                                      получение от клиента подтверждения совершенной банковской операции.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от dnebyshe Посмотреть сообщение
                                                        Коллеги, а сертификация частей АБС на сегментах ПРОЦЕССИНГ и КОНТРОЛЬ нужна, или как?
                                                        Да вроде как нет. См.

                                                        Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных ...
                                                        Т.е. требование в отношении софта, который предоставляется клиентам и его серверной части. Всё что используется для собственных нужд можно и так юзать.

                                                        Кстати, КБР-Н таки распространяется некоей кредитной организацией своим клиентам. Может надо попросить сертификат показать или заключение об отсутствии уязвимостей?

                                                        Комментарий


                                                        • #29
                                                          Сообщение от ost Посмотреть сообщение
                                                          Может надо попросить сертификат показать или заключение об отсутствии уязвимостей?
                                                          Не покажут, и что?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от ost Посмотреть сообщение

                                                            Ну, тут надо смотреть пункт 5.2.1 а именно вот эту часть

                                                            подписание ЭС со стороны клиента - это само собой
                                                            ***Настроение бодрое, идем ко дну.

                                                            Комментарий

                                                            500 Портал временно недоступен

                                                            Портал временно недоступен

                                                            Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                            Обновите страницу спустя некоторое время.

                                                            Агенство Bankir.Ru приносит извинения пользователям
                                                            за доставленные неудобства
                                                            Обработка...
                                                            X