5 апреля, воскресенье 02:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от ost Посмотреть сообщение
    Да вроде как нет. См.
    А как насчет пункта 6? Про какие СКЗИ там идет речь? Про СКЗИ для БДО или про СКЗИ в АБС, на сегментах процессинга и контроля платежной системы БР?

    Комментарий


    • #32
      Сообщение от dnebyshe Посмотреть сообщение
      Коллеги, а сертификация частей АБС на сегментах ПРОЦЕССИНГ и КОНТРОЛЬ нужна, или как?
      4.1 Имеет ввиду АБС или только клиентское приложение и сервер ДБО где принимаются распоряжения от клиента?
      А то нас производитель АБС спрашивает необходимость:

      сертификации функционального модуля "Взаимодействие с КБР-Н" программы "ПрограмБанк.АБС" в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации;
      КМК, конечно да, т.к. на эти модули/сегменты распространяются требования 382-П и ГОСТ 57580.1, где так же речь идет о необходимости сертификации. Причем, это в такой же степени относится и к АРМ КБР[-Н]

      Сообщение от dnebyshe Посмотреть сообщение
      ......дополнительным исследованиям в части оценки влияния средств визуализации информации на выполнение требований, установленных п.п. 8 и 9 "Требований к средствам электронной подписи", утвержденных приказом ФСБ России от 27.12.2011г. № 796.
      .......
      У сигнатуры есть требование по дополнительным исследованиям в части оценки влияния?
      Что-то я не понял, какое отношение к контролю встраивания имеет отношение приказ ФСБ № 796.
      Если вендор не догоняет откуда ноги растут, вероятно имеет смысл ткнуть его в формулировки Формуляра и http://www.fsb.ru/fsb/science/single...searchart.html
      У Сигнатуры, как и других СКЗИ, используемых для встраивания, в формуляре присутствует стандартная фраза, касающаяся проведения "оценки влияния".

      Сообщение от dnebyshe Посмотреть сообщение
      И предлагает нам за это оплатить 50 на 50....
      Исходя из количества клиентов вендора, это как-то не гуманно, ИМХО.

      Сообщение от dnebyshe Посмотреть сообщение
      ....Сертификацию по НДВ ФСТЭК отменил, а для ОУД4 нет профилей защиты, ЦБ никак не родит его.
      Насколько я представляю, ФСТЭК отменил документ РД НДВ и, теперь, наличие уязвимостей и НДВ проверяются в рамках контроля соответствия уровням доверия ( ну, или что-то в этом роде). И да, в целом, по процедуре сертификации банковского ПО понимания нет.

      Комментарий


      • #33
        Сообщение от ost Посмотреть сообщение
        Коллеги, есть ли ясность с электронной подписью по п. 5.1....
        Ясности нет, похоже все ждут когда кто-либо напишет запрос в ЦБ и поделится ответом....
        На тематическом канале, в телеге, где периодически А. Сычев комменты пишет, вопрос подвесили, но каких-либо ответов пока не видел.

        Комментарий


        • #34
          Сообщение от saches Посмотреть сообщение
          Ясности нет, похоже все ждут когда кто-либо напишет запрос в ЦБ и поделится ответом....
          На тематическом канале, в телеге, где периодически А. Сычев комменты пишет, вопрос подвесили, но каких-либо ответов пока не видел.
          А что за тематический канал, если не секрет?

          Комментарий


          • #35
            Сообщение от Nikolas_R Посмотреть сообщение
            А что за тематический канал, если не секрет?
            В телеге, называется "ИБ в Финсекторе" оно же, вроде как, https://t.me/ibebs или, внутри телеги (не проверял) t.me/FinSecurity
            Там еще и по теме ЕБС и КИИ каналы есть

            Комментарий


            • #36
              Сообщение от saches Посмотреть сообщение
              У Сигнатуры, как и других СКЗИ, используемых для встраивания, в формуляре присутствует стандартная фраза, касающаяся проведения "оценки влияния".
              не нашел я в формуляре на сигнатуру про проведения оценки
              может это не в формуляре должно быть?
              я искал в


              СИСТЕМА КРИПТОГРАФИЧЕСКОЙ АВТОРИЗАЦИИ ЭЛЕКТРОННЫХ
              ДОКУМЕНТОВ «СИГНАТУРА» ВЕРСИЯ 5
              «СИГНАТУРА-КЛИЕНТ» ВЕРСИЯ 5
              АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС «СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ
              ЗАЩИТЫ ИНФОРМАЦИИ СКАД «СИГНАТУРА» ВЕРСИЯ 5»
              ФОРМУЛЯР
              ВАМБ.00107-01 30 01
              2014

              Комментарий


              • #37
                У меня, под руками, возможно несколько иной комплект документов, но он определенно с сайта ЦБ и не думаю, что бы в нем что-то принципиально отличалось -

                АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС «СИГНАТУРА-КЛИЕНТ» ВЕРСИЯ 5
                Формуляр
                ВАМБ.00106-01 30 01
                ....
                2.16 Проверка корректности встраивания
                2.16.1 При встраивании «Сигнатура-клиент» в прикладные системы необходимо проводить проверку (оценку) влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, с которыми предполагается его штатное функционирование, на выполнение предъявленных к данному средству требований, в следующих случаях:
                - если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
                ....
                Указанная проверка должна проводиться по техническому заданию (ТЗ), согласованному с Центром защиты информации и специальной связи ФСБ России. Проверка должна производиться специализированными организациями, имеющими лицензию ФСБ России на указанный вид деятельности.


                Т.к., практически аналогичная формулировка присутствует в формулярах и прочих СКЗИ, с учетом 152-ФЗ, 382-П, 683-П, 672-П и т.п., контроль встраивания, вроде как, должен проводиться для АБС, ДБО, ЕБЦ и прочего ПО, использующего сертифицированную криптографию. Ес-но, необходимо учитывать, что если всё делать "по чесноку", то при обновлении ПО/СКЗИ может потребоваться повторная процедура. Ес-но, это зависит от обновлений и, возможно, не в таком объеме.
                Когда вводили 552-П, я по поводу данной оценки звонил в Валидату, но потом забил, т.к. никто особо не требовал её проведения.
                Последний раз редактировалось saches; 29.05.2019, 17:17.

                Комментарий


                • #38
                  Там же АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС «СИГНАТУРА-КЛИЕНТ» ВЕРСИЯ 5
                  Формуляр
                  ВАМБ.00106-01 30 01

                  2.14.6 Требования к встраиванию библиотек
                  а) При встраивании в прикладные системы входящей в состав АПК «Сигнатура-клиент» библиотеки ППИ дополнительных исследований в части оценки влияния средств визуа-лизации информации на выполнение требований, установленных п.п. 8 и 9 «Требований к средствам электронной подписи», утверждённых приказом ФСБ России от 27.12.2011г. № 796, не требуется при одновременном выполнении условий:
                  1) Средство ЭП используется в среде функционирования (СФ), включающей в себя:
                   стандартное программное обеспечение, входящее в состав операционных си-стем семейства Windows, указанных в правилах пользования АПК «Сигнатура-клиент»;
                   «Microsoft Office 2007» и выше или «Adobe Acrobat Reader версии 8.0» и выше.
                  2) Содержание информации при формировании/проверке электронной подписи электронного документа показывается пользователю.
                  3) Электронный документ представлен в форматах ODF (Microsoft Office 2007 или выше), XML (Microsoft Internet Explorer версии 6.0 или выше) или PDF (Adobe Acrobat Reader версии 8.0 или выше).

                  Получается, что при наличии на компе кроме винды и офиса еще и модуля АБС - требуются дополнительные исследования?

                  Комментарий


                  • #39
                    Есть конкретные разъяснения ФСБ - http://www.fsb.ru/fsb/science/single...searchart.html
                    В рамках сертификации, производитель проверяет своё СКЗИ при работе с неким ПО (или СЗИ), если нужно гарантировать, что это СКЗИ работает правильно и с другим ПО (СЗИ), нужно проводить определенную проверку.
                    Т.е. если СКЗИ вызывается из офиса или адоб-ридера, нчего проверять не нужно, если из чего-то другого (или, например, просто работает с другой версией операционки), нужна оценка влияния или очередная сертификация (но это, в общем случае, будет дороже).

                    Комментарий


                    • #40
                      Сообщение от saches Посмотреть сообщение
                      Есть конкретные разъяснения ФСБ - http://www.fsb.ru/fsb/science/single...searchart.html
                      А есть формуляр на СКЗИ и там ссылка на приказ ФСБ России от 27.12.2011г. № 796. в части оценки влияния средств визуализации информации при встраивании.
                      А есть 683-П и там ссылка на ПКЗ-2005 к оценки влияния систем конфиденциальной связи.

                      Так, что из этого должен оценивать вендор?

                      Комментарий


                      • #41
                        dnebyshe
                        Если подходить строго формально:
                        Смотрим п.6. 683-П, в котором так или иначе идет речь о контроле встраивания -

                        6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, осуществляется в соответствии с ..... Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005.....

                        В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ......


                        Ес-но, если речь про АБС, на тему конф связи не обращаем внимание и смотрим далее формуляр на Сигнатуру, т.к. в АБС используется именно это СКЗИ.

                        Если считать, что вот по этой ссылке самая актуальная версия документации - https://www.cbr.ru/Collection/Collec...h_scad_001.zip ,
                        Там я нашел 2 варианта формуляра в файлах:
                        - 00106-01 30 01.pdf и в нем достаточно подробно расписано какие проверки должны проводиться в п. 2.14.6 Требования к встраиванию и 2.16. Проверка корректности встраивания.
                        - 00107-01 30 01.pdf, там всё гораздо скучнее, вышеперечисленных пунктов нет (хотя кое что про встраивание там есть), а есть вот такой -
                        2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ.
                        А это тянет на полноценные тематические исследования и сертификацию.

                        Т.е. я бы уточнил какая версия формуляра актуальная и, в любом случае, позвонил бы в Валидату и уточнил бы там что они думают по поводу проведения контроля встраивания.
                        Если влом, можно конечно ограничиться требованиями п.п.2.14.6 и 2.16 из 00106-01 30 01.pdf

                        Комментарий


                        • #42
                          Коллеги, а что скажите по поводу ответа Бифита?

                          При встраивании СКЗИ «Крипто-КОМ 3.4» в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:
                          • если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;

                          Информация конфиденциального характера указана в перечне сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. N 188). Банковская тайна в этом перечне отсутствует.

                          Таким образом можно обосновать, что оценку влияния … при встраивании СКЗИ «Крипто-КОМ 3.4» в систему «iBank» проводить не обязательно.


                          Нельзя ли эту формулировку применить к сигнатуре на сегментах процессинг и контроль, там где платежи еще вроде как в АБС, но уже с КА и ЗК.

                          АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС «СИГНАТУРА-КЛИЕНТ» ВЕРСИЯ 5
                          Формуляр
                          ВАМБ.00106-01 30 01
                          ....
                          2.16 Проверка корректности встраивания
                          2.16.1 При встраивании «Сигнатура-клиент» в прикладные системы необходимо проводить проверку (оценку) влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, с которыми предполагается его штатное функционирование, на выполнение предъявленных к данному средству требований, в следующих случаях:
                          - если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
                          ....
                          Указанная проверка должна проводиться по техническому заданию (ТЗ), согласованному с Центром защиты информации и специальной связи ФСБ России. Проверка должна производиться специализированными организациями, имеющими лицензию ФСБ России на указанный вид деятельности.

                          Комментарий


                          • #43
                            Коллеги, из БИФИТа очень сильно ошибаются. Банковская тайна в перечне присутствует - посмотрите внимательно п.4.:

                            4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
                            Последний раз редактировалось Enhot; 31.05.2019, 14:31.

                            Комментарий


                            • #44
                              Сообщение от dnebyshe Посмотреть сообщение
                              Коллеги, а что скажите по поводу ответа Бифита?
                              .......
                              • если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
                              ........
                              Что такое "законодательство РФ"?
                              • Законодательство в широком понимании — система нормативных правовых актов, действующих в стране, включая не только законодательные, но и подзаконные нормативные акты.
                              • Законодательство — система нормативных актов, действующих в какой-либо отрасли и (или) регулирующих определённую сферу общественных отношений, как правило соответствует отраслям, подотраслям и институтам права гражданское законодательство, уголовное законодательство, трудовое законодательство, законодательство о банках и банковской деятельности и т.п.
                              Т.е., формально, под определение, имеющее место в Формулярах СКЗИ, попадают все требования по конфиденциальности информации имеющее место, например, в 152-ФЗ, 382-П, 672-П, 683-П и т.д.

                              Юристы-то ваши чего говорят?
                              А Бифит традиционно гонит...Раньше, они еще интересней загибали (ес-но не в официальной переписке), что они же просто продают систему, без данных. А вот те, кто в их систему всякую информацию напихивают, пусть вот сами и разбираются с ее защитой....
                              Последний раз редактировалось saches; 31.05.2019, 12:00.

                              Комментарий


                              • #45
                                26 июня 2019 г.
                                НОО НП «БизнесШколаКонсультант» приглашает Вас на практический Очный/online семинар

                                «Требования к обеспечению защиты информации в кредитных организациях при осуществлении банковской деятельности и деятельности в сфере финансовых рынков в некредитных финансовых организациях»

                                Место проведения: Гостиница «Отель на Казачьем», м. Полянка, 119017, Москва, 1-й Казачий пер., д. 4, зал «Ресторан», 1 этаж.
                                Регистрация участников – 09.45
                                Время проведения – с 10.00 до 13.00
                                Целевая аудитория: Руководители и специалисты служб безопасности, информационной безопасности и информационных технологий. Руководители и специалисты Операционных Управлений, руководители и специалисты отделов платежных систем, руководители и специалисты отделов расчетов.
                                Семинар проводит: представитель Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России.


                                Программа
                                1. Комментарии к Положению Банка России от 17.04.2019 № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”.

                                ЗЫ Если что, мопед не мой, я просто объяву кинул

                                Комментарий


                                • #46
                                  ost
                                  Заранее регистрироваться нигде не надо?

                                  Комментарий


                                  • #47
                                    СТОИМОСТЬ УЧАСТИЯ СОСТАВЛЯЕТ 7900 РУБЛЕЙ. (НДС не облагается)
                                    Организатор оставляет за собой право внесения оперативных изменений в программу семинара.

                                    В стоимость семинара входит: кофе-пауза, напитки. Для иногородних слушателей бронируются номера в Гостиницах г. Москвы.
                                    Каждому участнику выдаются:
                                    Раздаточные материалы (в случае, если они предусмотрены) до или после семинара, Сертификат.

                                    Комментарий


                                    • #48
                                      Представитель? Семинар проводит: представитель Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России."

                                      Представитель это кто - друг сотрудника ЦБ? Для чего такие семинары кроме сбора бабла?

                                      По делу - раздел 5 содержит какой-то невероятный набор "контроль за контролем" - как это трактовать?

                                      Комментарий


                                      • #49
                                        Сообщение от saches Посмотреть сообщение
                                        Т.е. я бы уточнил какая версия формуляра актуальная и, в любом случае, позвонил бы в Валидату и уточнил бы там что они думают по поводу проведения контроля встраивания.
                                        Уже сделал, коллеги говорят СКЗИ не наше, а ЦБ - звоните/пишите в ЦБ. А там самом-собой не ответят по этому вопросу.
                                        Чтобы 100% ответить на вопрос надо или не надо проводить оценку - нужны "правила пользования на данное СКЗИ". Самое интересное упоминание о правилах пользования есть лишь в одном документе. при этом в перечне документации оно отсутствует, но по правилам каждое СКЗИ обязано иметь правила пользования СКЗИ.
                                        Не забываем, что надо или не надо еще зависит:
                                        - от класса СКЗИ до КС2 не надо, выше уже нужно.
                                        - обрабатываемой конфи инфы, и тут не однозначно... Коммерческой тайны тут точно нет, ПДн автоматом под КТ как бы "попадает", что такое банковская тайна не понятно с привязкой к КТ. И самый главный вопрос, кто должен классифицировать (КТ, БТ) ЦБ или банк? Если Банк, банк может сказать, что нет КТ, если ЦБ - то продеться делать оценку.

                                        Комментарий


                                        • #50
                                          Кстати, с третьего квартала 2019-го изменения в 3D Secure. Ниже список того, что больше не катит.


                                          The following provides examples of authentication methods that do not meet strong authentication requirements and provide the cardholder with challenging or poor consumer experiences and are no longer allowed with Mastercard Identity Check™.

                                          Authentication method -- Reason why it does not meet the Strong Authentication requirements
                                          Password or PIN (when used as the only factor) -- Only includes one factor (a something you know – the password). In addition, this is a type of factor that does not offer a strong level of protection against illicit replication and use.
                                          Answer to a 'secret question' -- Only includes one factor (a something you know – the password). In addition, this is a type of factor
                                          that does not offer a strong level of protection against illicit replication and use.

                                          'Bingo Card' or list with codes (distributed by the issuer or by an A TM) whereby a different code is used for each authentication -- Only includes one factor (a something you have – the card or list).
                                          Variable static password (from which different characters are used for each authentication) -- Only includes one factor (a something you know – the password).
                                          Card reader not requiring a PIN -- Only includes one factor (a something you have – the plastic card).
                                          Interactive Card displaying a one-time code without requiring a PIN -- Only includes one factor (a something you have – the plastic card).
                                          Card displaying a dynamic CVC without requiring a PIN -- Only includes one factor (a something you have – the plastic card).
                                          Key Fob 'Digipass' that generates a one-time code without requiring a PIN -- Only includes one factor (a something you have – the key fob).
                                          Interactive Voice Response Systems that ask questions -- Only includes one type of factor (something you know).
                                          Knowledge Based Questions -- Only includes one type of factor (something you know).

                                          Комментарий


                                          • #51
                                            Сообщение от Enhot Посмотреть сообщение
                                            Коллеги, из БИФИТа очень сильно ошибаются. Банковская тайна в перечне присутствует - посмотрите внимательно п.4.:

                                            4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
                                            Может БИФИТ в чем-то прав?

                                            Обращаю внимание на союз «и» в пункте 4 Перечня:

                                            «Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).»

                                            В Конституции РФ банковская тайна не упомянута.

                                            Комментарий


                                            • #52
                                              Сообщение от dnebyshe Посмотреть сообщение

                                              Может БИФИТ в чем-то прав?

                                              Обращаю внимание на союз «и» в пункте 4 Перечня:

                                              «Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).»

                                              В Конституции РФ банковская тайна не упомянута.
                                              Не, он совсем неправ. У Президента нет полномочий определять, какая информация является конфиденциальной - это прерогатива федеральных законов. Просто этот указ был принят в те годы, когда такого закона еще не было.

                                              Сейчас он юридически ничтожен. Точнее, сейчас он говорит: "Парни, имейте в виду, вот эти виды информации в силу федеральных законов относятся к сведениям ограниченного доступа". Это не значит, что нет другой информации ограниченного доступа, конфиденциальность которой должна обеспечиваться в силу закона.
                                              Последний раз редактировалось malotavr; 05.06.2019, 10:10.

                                              Комментарий


                                              • #53
                                                Вот какая картина тогда получается:
                                                БИФИТ проверку корректности встраивания СКЗИ делать не хочет.
                                                ЦБ проверку корректности встраивания СКЗИ в АРМ КБР-Н делать не будет.
                                                Так почему же мы тогда должны производителя АБС заставлять это делать?

                                                Комментарий


                                                • #54
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Не, он совсем неправ. У Президента нет полномочий определять, какая информация является конфиденциальной - это прерогатива федеральных законов. Просто этот указ был принят в те годы, когда такого закона еще не было. Сейчас он юридически ничтожен. Точнее, сейчас он говорит: "Парни, имейте в виду, вот эти виды информации в силу федеральных законов относятся к сведениям ограниченного доступа". Это не значит, что нет другой информации ограниченного доступа, конфиденциальность которой должна обеспечиваться в силу закона.
                                                  Но это и не значит, что она есть.
                                                  И если рассуждать, откуда появились слова "конфиденциальной", речь выше шла о "доступ к которым ограничен".
                                                  А теперь самое смешное, такие ограничения/перечни св-й конфи характера или коммерческой тайны должны были разработать министерства, ведомства, каждый у себя и для своих отраслевых предприятий (это для гос структур, где-то сделали по формальному признаку, где-то используют не гласные правила к "ДСП"). ЦБ такой перечень сделал? на сколько я знаю нет, обязанность такая возложена на кого? Правильно на банк, а в банке что? Ответ - знаете.
                                                  перечня нет, значит сведений нет, тематика не нужна. Если же банк впереди планеты и перечень есть, нужно заплатить за тематику.

                                                  п.с. самое интересно, что мы все понимаем, что там обрабатываются ПДн, но нет требований по котором ПДн необходимо приравнять к КИ/КТ. Или ограничений, исключений, что их можно обрабатывать без защиты или считать общедоступными или еще какие уловки применить.

                                                  Комментарий


                                                  • #55
                                                    Сообщение от Cpx Посмотреть сообщение
                                                    Но это и не значит, что она есть.
                                                    И если рассуждать, откуда появились слова "конфиденциальной", речь выше шла о "доступ к которым ограничен".
                                                    А теперь самое смешное, такие ограничения/перечни св-й конфи характера или коммерческой тайны должны были разработать министерства, ведомства, каждый у себя и для своих отраслевых предприятий (это для гос структур, где-то сделали по формальному признаку, где-то используют не гласные правила к "ДСП"). ЦБ такой перечень сделал? на сколько я знаю нет, обязанность такая возложена на кого? Правильно на банк, а в банке что? Ответ - знаете.
                                                    перечня нет, значит сведений нет, тематика не нужна. Если же банк впереди планеты и перечень есть, нужно заплатить за тематику.

                                                    п.с. самое интересно, что мы все понимаем, что там обрабатываются ПДн, но нет требований по котором ПДн необходимо приравнять к КИ/КТ. Или ограничений, исключений, что их можно обрабатывать без защиты или считать общедоступными или еще какие уловки применить.
                                                    1. Конкретно банковская тайна явля​​​ется информацией ограниченного доступа, поскольку ее конфиденциальность (обязательное требование не передавать эту информацию третьим лицам) установлена федеральным законом ("О банках и банковской деятельности", статья 26).

                                                    2. Незнание закона не освобождает от ответственности. У ЦБ нет обязанности составлять для банков перечни сведений конфиденциального характера. Если кто-то ему это поручил (на самом деле никто не поручал, но допустим), то (не)исполнение этого поручения касается только ЦБ и того, кто это поручение дал. В отличие от гостацны, наличие или отсутствие перечней никак не влияет на конфиденциальность, установленную законом.

                                                    3. Конфиденциальность персональных данных также установлена федеральным законом. Требований "приравнять ПД к КИ" не существует и существовать не может, так как понятие "конфиденциальная информация" как вид защищаемой информации прекратило свое существовование в июле 2006 года.

                                                    Комментарий


                                                    • #56
                                                      А что, у кого-то есть подозрение, что банков это не касается? - http://www.fsb.ru/fsb/science/single...searchart.html

                                                      Комментарий


                                                      • #57
                                                        Сообщение от saches Посмотреть сообщение
                                                        А что, у кого-то есть подозрение, что банков это не касается? - http://www.fsb.ru/fsb/science/single...searchart.html
                                                        Почему нет? Банки такие же как и все остальные, как раз мало кто читает формуляры и правила пользования, а в них порой такие чудеса написаны... Вот ФСБ об этом напоминает.
                                                        Например, не могу найти правила пользования на СКАД сигнатуру, а ее все банки используют. И есть предположение, что оценку на СКАД сигнатуру делать надо с СПО /АБС.

                                                        Комментарий


                                                        • #58
                                                          malotavr только проблема отнюдь не в "не передавать эту информацию третьим лицам", а в том, как и сколько нужно потратить на защиту и по каким требованиям защищать ИС.
                                                          В случае с "информацией ограниченного доступа", который закреплен законом, кроме ПДн - требований нет, ЦБ сейчас активно выдвигает требования к защите любой информации в любых ИС банка. Возможно правильно, а возможно перебор. А остальные виды тайны: медицина, адвокатская, нотариальная, связи - вообще без требований к защите в ИС...

                                                          Я писал свой пост выше с "оглядкой" на коммерческую тайну, и что только этот может обеспечить требуемый уровень защиты (если его комплексно внедрить: орг, тех, физ безопасность). Успешных примеров по внедрению КТ на моем опыте все 3 компании (2 это огромные гос стурктуры и один коммерс). Где разработали понятные критерии отнесения, а не фиктивные перечни св-й; где поострили организационные процессы, внедрили СЗИ (на всех уровнях), внедрили системы маркирования документов (бумага и электронные копии), мониторинг и т.п.

                                                          Комментарий


                                                          • #59
                                                            Сообщение от Cpx Посмотреть сообщение
                                                            malotavr только проблема отнюдь не в "не передавать эту информацию третьим лицам", а в том, как и сколько нужно потратить на защиту и по каким требованиям защищать ИС.
                                                            В случае с "информацией ограниченного доступа", который закреплен законом, кроме ПДн - требований нет, ЦБ сейчас активно выдвигает требования к защите любой информации в любых ИС банка. Возможно правильно, а возможно перебор. А остальные виды тайны: медицина, адвокатская, нотариальная, связи - вообще без требований к защите в ИС...

                                                            Я писал свой пост выше с "оглядкой" на коммерческую тайну, и что только этот может обеспечить требуемый уровень защиты (если его комплексно внедрить: орг, тех, физ безопасность). Успешных примеров по внедрению КТ на моем опыте все 3 компании (2 это огромные гос стурктуры и один коммерс). Где разработали понятные критерии отнесения, а не фиктивные перечни св-й; где поострили организационные процессы, внедрили СЗИ (на всех уровнях), внедрили системы маркирования документов (бумага и электронные копии), мониторинг и т.п.
                                                            В данном случае мы обсуждаем правовой вопрос: применима ли к банковской тайне формулировка "подлежит защите в соответствии с законодательством РФ". Конкретно для платежной информации - да, подлежит, и требования к такой защите установлены обсуждаемым положением 683-П. Я, конечно, помню, что в Криптокоме отвечал не за эти вопросы, но некоторое представление о позиции ЦЛСЗ по этому вопросу все же имею
                                                            Последний раз редактировалось malotavr; 18.06.2019, 19:27.

                                                            Комментарий


                                                            • #60
                                                              Сообщение от dnebyshe Посмотреть сообщение
                                                              БИФИТ проверку корректности встраивания СКЗИ делать не хочет. ЦБ проверку корректности встраивания СКЗИ в АРМ КБР-Н делать не будет. Так почему же мы тогда должны производителя АБС заставлять это делать?
                                                              мало того, производителю АБС, ЦБ не дает тестовые ключи, а также самый важный документ без которого проверку не сделать - правила пользования на СКЗИ.
                                                              И заставить производителя АБС не получиться, только если он захочет за доп. денежку это сделать. Согласно формуляру, правилам пользования и ПКЗ-2005 это делает эксплуатирующая организация - т.е. банк.

                                                              Комментарий

                                                              Обработка...
                                                              X