10 апреля, пятница 02:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Cpx
    Участник ответил
    Setevoy, у Вас явно слабое и предвзятое понимание по теме сертификации. - Исходным кодом вендоры готовы поделиться, только не с БАнком, а непосредственно с лабораторией ФСТЭК (их пригласить к себе, выдать им стенд) - вопрос решаемый. - с обновлениями тоже все решаемое, и с чего вы взяли, что они будут стоит 2-3 млн?! - сертификация длить в лучшем случае год. - сертифицировать часть АБС будет дороже в разы, чем разом и оптом. - Касперский не корректно сравнить с вендором АБС, ПО разное! У Касперского изначально средство защиты информации для которого есть требования ФСТЭК и дистрибутив он продает отдельно за 1 тр. А Вендору АБС из АБС нужно придумать как сделать и сделать средство защиты информации - задача будет посложнее и стоит денег. Да, ЦБ планирует обновить 382П как и много чего..

    Прокомментировать:


  • Setevoy
    Участник ответил
    Проблема еще и в том, что сертификация процесс длительный, и обычно занимает минимум полгода.
    А как быть с патчами и обновлениями, например при выходе очередного альбома УФЭБС? Устанавливать нужно к определенной дате, ждать когда их сертифицируют, не получится.
    Если банк будет за сертификацию каждого обновления отстегивать по 2-3 ляма - он раззорится.
    Например другие конторы (например тот-же Касперский) сертифицируют свои продукты за свой счет, клиенты ничего не платят.

    Как вариант - возможно сертифицировать нужно не всю АБС, а отдельные модули.
    Хотелось бы услышать разъяснение ЦБ по этому вопросу.

    По поводу 683-П в принципе понятно - ДБО однозначно попадает.
    Основные непонятки по поводу 382-П, поскольку там формулировка довольно неконкретная, и однозначно нельзя сказать, распространяется это на АБС или нет.
    Либо ждем конца года, и потом начинаем чесаться. В инете была инфа, что готовится новое положение вместо 382-П.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Setevoy Посмотреть сообщение
    .....Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?Кто что об этом думает и кто что собирается делать?
    Банк это сделать, скорее всего в принципе не сможет (если это не собственная разработка), т.к. и для сертификации и для контроля по ОУД4 нужны исходники, которыми разработчик делиться не будет. Кроме того, все выявленные в рамках контроля уязвимости, для получения положительного заключения, необходимо будет устранить и пройти контроль заново (возможно в меньшем объеме). Т.е. процесс, особенно при первом заходе, будет итерационным. И нужно учесть, что все последующий патчи, так же должны проходить аналогичный контроль, иначе ввязываться в это, вообще смысла нет.
    А вендоры отмораживаются, это да...

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Setevoy Посмотреть сообщение
    Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?
    Кто что об этом думает и кто что собирается делать?
    Должен только Банк для выполнения требований ЦБ.
    Сделать это может легче, быстрее, дешевле всего разработчик. Но может и сам банк.

    Сообщение от ndebyshe Посмотреть сообщение
    Наш разработчик АБС уже ведет работы, и ценник озвучил на сертифицированное ПО.
    Секрет кто это и какой порядок цены? 1-3млн?
    Сообщение от ndebyshe Посмотреть сообщение
    А разработчик ДБО сказал
    Секрет кто именно?

    Работаем сейчас с рядом Вендоров по этой теме. Для разработчиков это новая, дорогая, не понятная и рисковая тема для них...




    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Setevoy Посмотреть сообщение
    Коллеги, с 01.01.2020 вступает в действие пункты 382-П п.2.5.5.1, 683-П п.4.1 о применении для переводов денежных средств прикладного ПО, прошедшего сертификацию ФСТЭК или анализ уязвимостей по уровню ОУД4 (по ГОСТ Р ISO/МЭК 15408-3-2013)
    382-П: ...прикладное ПО автоматизированных систем и приложений... (без какого-либо уточнения)
    683-П: ...прикладное ПО автоматизированных систем и приложений, распространяемых клиентам, а так-же ПО, обрабатывающего защищаемую информацию на участках, используемых для приема сообщений

    Сюда однозначно попадает ДБО и скорее всего АБС тоже, поскольку переводы средств между разными клиентами внутри банка - это тоже переводы.

    Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?
    Кто что об этом думает и кто что собирается делать?
    Разработчики.
    Наш разработчик АБС уже ведет работы, и ценник озвучил на сертифицированное ПО.
    А разработчик ДБО сказал, что у других ДБО тоже такого нет и пока ничего делать не будет.

    Прокомментировать:


  • Setevoy
    Участник ответил
    Коллеги, с 01.01.2020 вступает в действие пункты 382-П п.2.5.5.1, 683-П п.4.1 о применении для переводов денежных средств прикладного ПО, прошедшего сертификацию ФСТЭК или анализ уязвимостей по уровню ОУД4 (по ГОСТ Р ISO/МЭК 15408-3-2013)
    382-П: ...прикладное ПО автоматизированных систем и приложений... (без какого-либо уточнения)
    683-П: ...прикладное ПО автоматизированных систем и приложений, распространяемых клиентам, а так-же ПО, обрабатывающего защищаемую информацию на участках, используемых для приема сообщений

    Сюда однозначно попадает ДБО и скорее всего АБС тоже, поскольку переводы средств между разными клиентами внутри банка - это тоже переводы.

    Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?
    Кто что об этом думает и кто что собирается делать?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    МЫ сейчас еще займемся лингвистическим исследованием и толкованием смыслов?
    Делайте так, как считаете нужным.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    Ну так можно сказать что словосочетание "банковской операции" относится именно к проведению операции банком!
    Не факт, для клиента это тоже подходит.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Именно - "совершенная банковская операция" и "операция по созданию клиентом документа-основания для такой операции" это не одно и то же.

    Прокомментировать:


  • w3d
    Участник ответил
    Ну так можно сказать что словосочетание "банковской операции" относится именно к проведению операции банком!

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение

    а в положении написано что уже исполнен - "совершенной банковской операции"
    Ну так слово "Совершенной" относительно клиента и относительно банка имеет разное значение.
    Клиент создал, подписал и отправил документ. Для него операция совершена.
    Банк этот документ может принять к исполнения, а может и отвергнуть.
    Если отвергает, у клиента совершенная операция сторнируется.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    в банке документ еще не исполнен
    а в положении написано что уже исполнен - "совершенной банковской операции"

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    После совершения операции КЛИЕНТОМ. Т.е. создал, подписал и отправил документа а банк. И теперь для клиента это ПОСЛЕ. (в банке документ еще не исполнен) Банк высылает клиенту СМС с суммой платежа и одноразовым паролем, и клиент его вводит в форму в ДБО "Подтвердите совершения операции одноразовым паролем"
    Т.е.:
    1. чем-то подписал.;
    2. еще подтвердил смс-кой.

    А подписал-то чем?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    Однако формально клиент должен подтвердить ПОСЛЕ операции
    После совершения операции КЛИЕНТОМ. Т.е. создал, подписал и отправил документа а банк. И теперь для клиента это ПОСЛЕ. (в банке документ еще не исполнен)
    Банк высылает клиенту СМС с суммой платежа и одноразовым паролем, и клиент его вводит в форму в ДБО "Подтвердите совершения операции одноразовым паролем"

    Прокомментировать:


  • w3d
    Участник ответил
    Однако формально клиент должен подтвердить ПОСЛЕ операции

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Добавляем в то же УБО окошечко "windows-стайл" - "Вы точно хотите совершить операцию на сумму.. Подтверждаете?". Профит.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Давайте дождёмся ответов ЦБ.....
    В ЛК на сайте НАУФОР, если зарегаться, становятся доступны ответы ЦБ на вопросы по 684-П, многие из которых пересекаются с 683-П. В частности, есть там и такое-
    Относительно требования «получение от клиента подтверждения совершенной финансовой операции»:

    технология обработки защищаемой информации, применяемая на технологическом участке удостоверения права клиентов распоряжаться денежными средствами, включает два раздельных этапа: подписание клиентом электронных сообщений способом, указанным в подпункте 11.3 Положения № 684-П, и получение от клиента подтверждения совершенной банковской операции. Применение усиленной неквалифицированной электронной подписи в системе дистанционного банковского обслуживания юридических лиц относится к первому из указанных этапов. Для осуществления второго этапа требуется дополнительное подтверждение клиентом совершенной им операции..
    Последний раз редактировалось saches; 27.09.2019, 10:59.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Какой толк махать шашкой-то после драки?
    Давайте дождёмся ответов ЦБ.
    Они должны быть либо в ответе на письмо Алексея Лукацкого, либо подготовят специальные разъяснения.
    Лукацкий говорил, что у него получилось 60 вопросов...

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    получение от клиента подтверждения совершенной банковской операции
    Тут еще и не сказано, где это подтверждение должно быть реализовано (в том же канале ДБО отдельным шагом, например, не запрещено).
    Другой вопрос - для чего это подтверждение задумано автором документа? Зачем подтверждать то, что уже совершено?
    В текущих системах банков подтвеждение делается именно до совершения банковской операции (что логично). Какой толк махать шашкой-то после драки?

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    А вообще, хоть кто-то понимает, как это можно реализовать, или что под этим подразумевается?
    Вчера методологи из ЦБ на этот вопрос не ответили.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Согласно п.5.2.1 683-П от клиента необходимо получать подтверждение совершённой банковской операции.
    Это касается каждой операции....
    А вообще, хоть кто-то понимает, как это можно реализовать, или что под этим подразумевается?


    Прокомментировать:


  • dnebyshe
    Участник ответил
    Коллеги, а не противоречит ли требование 382-П и 683-П?

    С 1 января 2020 если в нашем ДБО, распространяемым клиентам нет встроенной проверки на вирусы мы по 382-П должны обеспечить раздельные технологии подготовки платежных поручений и их отправки в банк. Т.е. Клиент в ДБО (WEB или мобильное приложение) готовит платежки, а попом подтверждает их на исполнение другим способом.
    Если у нас нет такое возможности, то мы должны внести в договор ДБО с клиентом возможность ограничение по параметра операций или дать клиенту возможность самим устанавливать такие ограничения.

    Согласно п.5.2.1 683-П от клиента необходимо получать подтверждение совершённой банковской операции.
    Это касается каждой операции.

    Т.е. 382-П дает нам право урегулировать вопрос подтверждения исполнения договором с клиентом, а 683-П требует подтверждения исполнения и без вариантов.


    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    до конца 2019 должна пройти очередная оценка по 382-П (теперь внешняя). Скрестить пальцы и не проводить?
    Я бы не надеялся. Даже если буден новое -П на замену 382, не факт, что вступит в силу немедленно, а не с 21-го года.
    Следует исходить из той логики, что внешняя оценка теперь навсегда, просто плавно перетечет с правил 382-П на правила ГОСТа.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Лукацкий говорил, что в концу 19 года будет новое 382-П, где все требования будут ссылаться на ГОСТ.
    У многих банков до конца 2019 должна пройти очередная оценка по 382-П (теперь внешняя). Скрестить пальцы и не проводить?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    dnebyshe

    Для "Контур безопасности биометрии" на что опираетесь? Пока только одни рекомендации же?
    Совершенно верно, на ГОСТ.
    Но опираемся не мы, а Инфотекс. Они поставщики решения (типового) и они же аттестат выдают.

    Прокомментировать:


  • iPtich
    Участник ответил
    Сообщение от w3d Посмотреть сообщение
    dnebyshe

    Для "Контур безопасности биометрии" на что опираетесь? Пока только одни рекомендации же?
    на ГОСТ. оценка же по нему будет.

    Прокомментировать:


  • w3d
    Участник ответил
    dnebyshe

    Для "Контур безопасности биометрии" на что опираетесь? Пока только одни рекомендации же?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Уже так и начал делать

    672-П: Контур безопасности ПСБР, СБП

    Контур безопасности биометрии

    683-П: Контур безопасности ДБО


    Прокомментировать:


  • donZhukan
    Участник ответил
    Сообщение от ost Посмотреть сообщение

    А смысл, если всех уже на ГОСТ перевели? И потом, не помню такого, чтобы было новое со старым номером, либо будет новое -П, либо поправки в старое каким-нибудь -У
    теперь будут обозначать контур безопасности и уровень соответствия. сократят 382-П до размеров 683-П и в путь. будем по контурам аудиты проходить)

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    в концу 19 года будет новое 382-П
    А смысл, если всех уже на ГОСТ перевели? И потом, не помню такого, чтобы было новое со старым номером, либо будет новое -П, либо поправки в старое каким-нибудь -У

    Прокомментировать:

Обработка...
X