5 декабря, четверг 17:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • МЫ сейчас еще займемся лингвистическим исследованием и толкованием смыслов?
    Делайте так, как считаете нужным.

    Комментарий


    • Коллеги, с 01.01.2020 вступает в действие пункты 382-П п.2.5.5.1, 683-П п.4.1 о применении для переводов денежных средств прикладного ПО, прошедшего сертификацию ФСТЭК или анализ уязвимостей по уровню ОУД4 (по ГОСТ Р ISO/МЭК 15408-3-2013)
      382-П: ...прикладное ПО автоматизированных систем и приложений... (без какого-либо уточнения)
      683-П: ...прикладное ПО автоматизированных систем и приложений, распространяемых клиентам, а так-же ПО, обрабатывающего защищаемую информацию на участках, используемых для приема сообщений

      Сюда однозначно попадает ДБО и скорее всего АБС тоже, поскольку переводы средств между разными клиентами внутри банка - это тоже переводы.

      Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?
      Кто что об этом думает и кто что собирается делать?

      Комментарий


      • Сообщение от Setevoy Посмотреть сообщение
        Коллеги, с 01.01.2020 вступает в действие пункты 382-П п.2.5.5.1, 683-П п.4.1 о применении для переводов денежных средств прикладного ПО, прошедшего сертификацию ФСТЭК или анализ уязвимостей по уровню ОУД4 (по ГОСТ Р ISO/МЭК 15408-3-2013)
        382-П: ...прикладное ПО автоматизированных систем и приложений... (без какого-либо уточнения)
        683-П: ...прикладное ПО автоматизированных систем и приложений, распространяемых клиентам, а так-же ПО, обрабатывающего защищаемую информацию на участках, используемых для приема сообщений

        Сюда однозначно попадает ДБО и скорее всего АБС тоже, поскольку переводы средств между разными клиентами внутри банка - это тоже переводы.

        Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?
        Кто что об этом думает и кто что собирается делать?
        Разработчики.
        Наш разработчик АБС уже ведет работы, и ценник озвучил на сертифицированное ПО.
        А разработчик ДБО сказал, что у других ДБО тоже такого нет и пока ничего делать не будет.

        Комментарий


        • Сообщение от Setevoy Посмотреть сообщение
          Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?
          Кто что об этом думает и кто что собирается делать?
          Должен только Банк для выполнения требований ЦБ.
          Сделать это может легче, быстрее, дешевле всего разработчик. Но может и сам банк.

          Сообщение от ndebyshe Посмотреть сообщение
          Наш разработчик АБС уже ведет работы, и ценник озвучил на сертифицированное ПО.
          Секрет кто это и какой порядок цены? 1-3млн?
          Сообщение от ndebyshe Посмотреть сообщение
          А разработчик ДБО сказал
          Секрет кто именно?

          Работаем сейчас с рядом Вендоров по этой теме. Для разработчиков это новая, дорогая, не понятная и рисковая тема для них...




          Комментарий


          • Сообщение от Setevoy Посмотреть сообщение
            .....Кто должен сертифицировать прикладное ПО: разработчики или пользователи (банки)?Кто что об этом думает и кто что собирается делать?
            Банк это сделать, скорее всего в принципе не сможет (если это не собственная разработка), т.к. и для сертификации и для контроля по ОУД4 нужны исходники, которыми разработчик делиться не будет. Кроме того, все выявленные в рамках контроля уязвимости, для получения положительного заключения, необходимо будет устранить и пройти контроль заново (возможно в меньшем объеме). Т.е. процесс, особенно при первом заходе, будет итерационным. И нужно учесть, что все последующий патчи, так же должны проходить аналогичный контроль, иначе ввязываться в это, вообще смысла нет.
            А вендоры отмораживаются, это да...

            Комментарий


            • Проблема еще и в том, что сертификация процесс длительный, и обычно занимает минимум полгода.
              А как быть с патчами и обновлениями, например при выходе очередного альбома УФЭБС? Устанавливать нужно к определенной дате, ждать когда их сертифицируют, не получится.
              Если банк будет за сертификацию каждого обновления отстегивать по 2-3 ляма - он раззорится.
              Например другие конторы (например тот-же Касперский) сертифицируют свои продукты за свой счет, клиенты ничего не платят.

              Как вариант - возможно сертифицировать нужно не всю АБС, а отдельные модули.
              Хотелось бы услышать разъяснение ЦБ по этому вопросу.

              По поводу 683-П в принципе понятно - ДБО однозначно попадает.
              Основные непонятки по поводу 382-П, поскольку там формулировка довольно неконкретная, и однозначно нельзя сказать, распространяется это на АБС или нет.
              Либо ждем конца года, и потом начинаем чесаться. В инете была инфа, что готовится новое положение вместо 382-П.

              Комментарий


              • Setevoy, у Вас явно слабое и предвзятое понимание по теме сертификации. - Исходным кодом вендоры готовы поделиться, только не с БАнком, а непосредственно с лабораторией ФСТЭК (их пригласить к себе, выдать им стенд) - вопрос решаемый. - с обновлениями тоже все решаемое, и с чего вы взяли, что они будут стоит 2-3 млн?! - сертификация длить в лучшем случае год. - сертифицировать часть АБС будет дороже в разы, чем разом и оптом. - Касперский не корректно сравнить с вендором АБС, ПО разное! У Касперского изначально средство защиты информации для которого есть требования ФСТЭК и дистрибутив он продает отдельно за 1 тр. А Вендору АБС из АБС нужно придумать как сделать и сделать средство защиты информации - задача будет посложнее и стоит денег. Да, ЦБ планирует обновить 382П как и много чего..

                Комментарий


                • при просмотре форума через Firefox он начинает долбиться на какие-то левые сайты web-security.cloud, merfius.com и т.д. и при этом не работают кнопки на этом-же компе через IE никуда не долбится проверял на нескольких компах - везде такая фигня до обеда все работало

                  Комментарий


                  • сайт глючит, тоже самое на IE

                    Комментарий


                    • Посмотрел ЦБшный проект Профиля Защиты, который вроде как должен использоваться при сертификации или контроле ПО на наличие уязвимостей по ОУД4.
                      В соответствии с ГОСТ 15408, при контроле на наличие уязвимостей по ОУД4, необходимо использовать компоненту требований AVA_VAN.3.
                      В проекте профиля указано, что для контроля на наличие уязвимостей, необходимо использовать требования AVA_VAN.5., что соответствует по ГОСТ 15408 уровням доверия ОУД6/ОУД7. Т.е. "глубже" в природе не бывает...

                      Комментарий


                      • saches, при сертификации профиль не применяется, применяется нормативка и требования ФСТЭК на тот класс, на который сертифицируются Средства защиты информации. В т.ч. Требование к уровню доверия который выпустил ФСТЭК от 6 по 1. Поэтому профиль исключительно под вариант анализа с обязательной разработкой ЗБ. Если же профиль попадет во ФСТЭК,то ФСТЭК попросить включить-добавить в него требование по уровню доверия автоматически.

                        Комментарий


                        • Cpx
                          По большому счету, разговор пока вообще не про ФСТЭК, а про содержание Профиля защиты, разрабатываемого ЦБ, и каким образом, и на основании чего, в части анализа уязвимостей, требования ОУД4 превратились в ОУД7 (если судить по тому же ГОСТ 15408).

                          Комментарий


                          • Походу слили форум. 90% функционала не работает, как-то не хочется тут уже ни читать ничего (все посты как непрочитанные светятся), ни отвечать https://bankir.ru/dom/forum/%D0%B0%D...13#post4961674

                            Комментарий


                            • Печально, единственный нормальны ресурс остался... В свое время так itesec форум тоже загнулся, эксперты его покинули.

                              Комментарий


                              • В телеграмме уже есть сообщества по тематике ИБ, а вот насчет других тем по банковской деятельности засада
                                в 173-Т слово комплаенс встречается 206 раз.

                                Комментарий


                                • Телега немного не тот формат ресурса, на котором можно детально разобрать подробно тот или иной аспект.

                                  Комментарий


                                  • Тоже неделю назад появились мысли, что надо искать новую площадку, чтобы потом успеть предложить здесь переехать, пока всё в конец не легло. Но что-то плохо с грибными местами. Если форум сдохнет (хотя похоже уже не "если", а "когда") будет очень большая потеря в работе.

                                    Комментарий


                                    • можно попробовать уйти на ixbt, она точно не закроется

                                      Комментарий


                                      • А вот такой вот вопрос: «6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств …..
                                        В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.»

                                        Это требование уже получается действует (оно куда существеннее для банков, чем требование в самой документации на СКЗИ, т.к. это безальтернативное к исполнение требование положения БР, не оценочное). Есть хоть одна СДБО, где такая процедура проведена?

                                        Комментарий


                                        • Сообщение от Zuz Посмотреть сообщение
                                          то требование уже получается действует (оно куда существеннее для банков, чем требование в самой документации на СКЗИ, т.к. это безальтернативное к исполнение требование положения БР, не оценочное). Есть хоть одна СДБО, где такая процедура проведена?
                                          Ура! Форму починили.
                                          Какое требование? Формуляры на СКЗИ и ПКЗ-2005 всегда же были. Не понял какое такое новое требования?

                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            Какое требование? Формуляры на СКЗИ и ПКЗ-2005 всегда же были. Не понял какое такое новое требования?
                                            Новое со стороны ЦБ, в явном виде, безальтернативное, без компенсационных мер и прочего, я же процитировал его из 683-П! Одно дело положение ЦБ РФ, другое дело требование документации, которое сразу не видно. В 382-П это было всего лишь требование одного из оценочных показателей и то не в явном виде. По такому требованию в случае нарушения 100% будет приходить предписание.
                                            Пообщался с разработчиками ПО, никто для решений по СДБО / СБП ничего не проводил и проводить не собирается, т.к. для них риск низкий, небольшой административный штраф.

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              Новое со стороны ЦБ, в явном виде, безальтернативное, без компенсационных мер и прочего, я же процитировал его из 683-П!
                                              Так оно не новое, формуляры на СКИЗ были всегда! Просто ЦБ теперь стал тоже на это смотреть, видимо делать им стало нечего и все банки все выполняют из их основные требований, что теперь взялись за "нюансовые" требования (:
                                              п.с. общался с пары вендорами АБС на тему оценки влияния СКЗИ Сигнатуры с их ПО, а потом еще с лабораторией. Если кратко ЦБ делает специально "урезанное" СКЗИ, в котором в 100% случаях нужно делать "оценку" т.к. по другому нельзя интегрироваться... альтернатива разработка нового СКЗИ (формуляры на старою Сигнатуру **106 и **107). Раньше это было на откуп выполнения требований пкз и формуляров отдан в ФСБ, а теперь ЦБ решил взять под свой контроль.
                                              Интересно, кто сейчас будет сертифицировать Сигнатуру 6? Запросов пока не приходили в лабу. И что будет в этот раз написано в формулярах(:? Вендоры готовы провести такую оценку за свой счет.

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                Так оно не новое, формуляры на СКИЗ были всегда!
                                                Конечно были, но явно в таком виде это не звучало (в виде отдельного требования). В 552-П это было, через требование выполнение эксплуатационной документации на СКЗИ, в 382-П аналогично, но там это вообще оценочное требование, может выполняться частично. Если бы оно было в ГОСТ, то в теории могли бы какие-то компенсационные меры применятся из-за экономическим соображениям.
                                                А сейчас это отдельное требование, безальтернативное для всех систем, где есть переводы денежных средств. Т.е. все системы ДБО нужно через такую процедуру прогонять, контуры формирования и контроля в АБС (672-П), системы клиент-банков (коротношения), депозитарии и репозитарии (684-П).

                                                Сообщение от Cpx Посмотреть сообщение
                                                Просто ЦБ теперь стал тоже на это смотреть, видимо делать им стало нечего и все банки все выполняют из их основные требований, что теперь взялись за "нюансовые" требования (:
                                                Почему ЦБ то? Это же требование ФСБ, КМК, его включили при согласовании именно с ними.

                                                Сообщение от Cpx Посмотреть сообщение
                                                п.с. общался с пары вендорами АБС на тему оценки влияния СКЗИ Сигнатуры с их ПО, а потом еще с лабораторией. Если кратко ЦБ делает специально "урезанное" СКЗИ, в котором в 100% случаях нужно делать "оценку" т.к. по другому нельзя интегрироваться...
                                                КМК, можно интегрироваться через вызовы утилиты командной строки, в этом случае я не вижу необходимости осуществлять оценку влияния.

                                                Сообщение от Cpx Посмотреть сообщение
                                                альтернатива разработка нового СКЗИ (формуляры на старою Сигнатуру **106 и **107). Раньше это было на откуп выполнения требований пкз и формуляров отдан в ФСБ, а теперь ЦБ решил взять под свой контроль.
                                                Кто решил тут не ясно, но то, что это отдельное явное требование в нормативных требованиях ЦБ, уже не изменить.

                                                Сообщение от Cpx Посмотреть сообщение
                                                Интересно, кто сейчас будет сертифицировать Сигнатуру 6? Запросов пока не приходили в лабу. И что будет в этот раз написано в формулярах(:?
                                                Думаю будет всё тоже самое, отличие ключевое это поддержка W10. Сигнатуру 6 уже рассылают по банкам, кому нужно протестировать свои системы, там есть и документация, где всё должно быть в общем-то написано.

                                                Сообщение от Cpx Посмотреть сообщение
                                                Вендоры готовы провести такую оценку за свой счет.
                                                Какую такую оценку и кто готов? )

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  КМК, можно интегрироваться через вызовы утилиты командной строки, в этом случае я не вижу необходимости осуществлять оценку влияния.
                                                  технически можно, юридически нельзя - т.у. согласно формуляру 107 это = разработка нового СКЗИ со всеми вытекающими (:
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  Какую такую оценку и кто готов? )
                                                  Ту самую, о которой пишем, которая вытекает из формуляров на СКЗИ при встраивании с ПО. (: Кто - это "государственная тайна", делайте запросы своим вендорам...(:

                                                  Комментарий


                                                  • Сообщение от Cpx Посмотреть сообщение
                                                    технически можно, юридически нельзя - т.у. согласно формуляру 107 это = разработка нового СКЗИ со всеми вытекающими (:
                                                    Вы путаете компоненты (я, конечно, тоже могу путать, но, вроде, разобрался):
                                                    107 (АПК СКЗИ Сигнатура 5, это как КриптоПро CSP),
                                                    а утилита командной строки входит в 106 (АПК Сигнатура-клиент 5).

                                                    Всё это вместе образует СКАД Сигнатура 5. Есть ведомость эксплуатационных документов (00104-01 20 01.pdf), там видно все исполнения и что для чего предназначено (документация на СКЗИ на сайте ЦБ есть в разделе ПС). Кстати, документацию на СКЗИ уничтожаем по актам, а она есть в открытом доступе.

                                                    107 вообще встраивать никуда нельзя (как вы и указали = разработке нового СКЗИ, в документации прямо указано), кроме как через стандартные интерфейсы, это тоже указано в документации. И в теории, оценку влияния не нужно проводить при встраивании в прикладное ПО использующее стандартные интерфейсы СSP и CNG от M$ (прямого требования нет в формуляре).
                                                    Но, обычно, встраивают не АПК СКЗИ Сигнатура 5, а АПК Сигнатура-клиент 5 (там ПО, которое сертификатами управляет, профили пользователей с сертификатами и списками отзыва, отдельный прикладной интерфейс не завязанный на API от M$).

                                                    Сообщение от Cpx Посмотреть сообщение
                                                    Кто - это "государственная тайна", делайте запросы своим вендорам...(:
                                                    Ну, начали уже работу, делаем запросы. Пока не готовы. )))
                                                    Последний раз редактировалось Zuz; 03.12.2019, 16:49.

                                                    Комментарий


                                                    • Сообщение от Zuz Посмотреть сообщение
                                                      ....Кстати, документацию на СКЗИ уничтожаем по актам, а она есть в открытом доступе......
                                                      Наткнулся тут на выложенную 5-ю Сигнатуру Валидату с доками, SDK и "инструкцией по встраиванию" - https://www.moex.com/s1292
                                                      Да и формуляр там прикольный, ни слова, про необходимость оценки влияния, и вообще всё странно...
                                                      Последний раз редактировалось saches; Вчера, 12:40.

                                                      Комментарий


                                                      • Сообщение от Zuz Посмотреть сообщение
                                                        107 (АПК СКЗИ Сигнатура 5, это как КриптоПро CSP), а утилита командной строки входит в 106 (АПК Сигнатура-клиент 5).
                                                        107 это ядро крипто, 106 - это клиент осуществлюящее выозовы, сертификат выдан на Сигнатуру 5 клиентна 106 с условием работы его с 107.

                                                        Сообщение от Zuz Посмотреть сообщение
                                                        107 вообще встраивать никуда нельзя (как вы и указали = разработке нового СКЗИ, в документации прямо указано), кроме как через стандартные интерфейсы, это тоже указано в документации.
                                                        Почему? можно, также как это делает 106, но это дороже, дольше будет.
                                                        107 трогать нельзя, если дергать то это будет новое СКЗИ, читай пункт 2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ.
                                                        Сообщение от Zuz Посмотреть сообщение
                                                        И в теории, оценку влияния не нужно проводить при встраивании в прикладное ПО использующее стандартные интерфейсы СSP и CNG от M$ (прямого требования нет в формуляре).
                                                        Как нет?
                                                        2.14.6 Требования к встраиванию библиотек
                                                        а) При встраивании в прикладные системы входящей в состав АПК «Сигнатура-клиент» библиотеки ППИ дополнительных исследований в части оценки влияния средств визуализации информации на выполнение требований, установленных п.п. 8 и 9 «Требований к средствам электронной подписи», утверждённых приказом ФСБ России от 27.12.2011г. № 796, не требуется при одновременном выполнении условий, перечисленных выше в подпунктах 1), 2) и 3) раздела б) пункта 2.14.5.
                                                        б) В случаях, не указанных выше в пунктах 2.14.5 и 2.14.6, при встраивании АПК «Сигнатура-клиент» в прикладные системы должна быть проведена проверка выполнения пунктов 8 и 9 раздела II «Требований к средствам электронной подписи» по ТЗ, согласованному с 8 Центром ФСБ России.

                                                        2.16 Проверка корректности встраивания
                                                        2.16.1 При встраивании «Сигнатура-клиент» в прикладные системы необходимо проводить проверку (оценку) влияния аппаратных, программно-аппаратных и программных средств се-ти (системы) конфиденциальной связи, с которыми предполагается его штатное функционирование, на выполнение предъявленных к данному средству требований, в следующих случаях:
                                                        - если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации; (спорный пункт, но можно считать, не относится к Банку т.е. нет законодательного акта, который говорит, что обрабатываемая информация в СКЗИ является конфиденциальной и подлежит защите).
                                                        - при организации криптографической защиты информации конфиденциального ха-рактера в федеральных органах исполнительной власти, органах исполнительной власти субъек-тов Российской Федерации; (не относится к Банку)
                                                        - при организации криптографической защиты информации конфиденциального ха-рактера в организациях независимо от их организационно-правовой формы и формы собственно-сти при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд; (не относится к Банку)
                                                        - если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наде-ленных полномочиями по распоряжению сведениями, содержащимися в данной информации; (не относится к Банку)
                                                        - при обрабатывании информации конфиденциального характера, обладателем кото-рой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств крипто-графической защиты; (не относится к Банку)
                                                        - при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации. (не относится к Банку)

                                                        В остальных случаях указанная проверка носит рекомендательный характер.
                                                        Указанная проверка должна проводиться по техническому заданию (ТЗ), согласованному с Центром защиты информации и специальной связи ФСБ России. Проверка должна производить-ся специализированными организациями, имеющими лицензию ФСБ России на указанный вид де-ятельности.



                                                        Сообщение от saches Посмотреть сообщение
                                                        Валидату с доками
                                                        Так Валиадата (и Криптопро) подумали о своих заказчиках и не стала делать кусок говна в виде Сигнатуры А ЦБ не стал и денег пожалел еще, будем надеется, что в 6й версии изменится к лучшему.




                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          ...Как нет?....
                                                          КМК, это старая версия формуляра. В выложенных патчах присутствует обновленная и, если не ошибаюсь, там уже требуется полная сертификация при встраивании, как отдельного СКЗИ.

                                                          Комментарий


                                                          • Сообщение от Zuz Посмотреть сообщение
                                                            ....... И в теории, оценку влияния не нужно проводить при встраивании в прикладное ПО использующее стандартные интерфейсы СSP......
                                                            А на основании чего поверят, что в ПО используются только стандартные (как правило, перечисленные в отдельном документе) вызовы? Типа "мамой клянусь"?
                                                            Насколько я представляю, в последних версиях формуляров, от подобных формулировок отказались.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              в последних версиях формуляров, от подобных формулировок отказались.
                                                              нет, у меня есть все обновления - все это осталось. Изменится ничего не могло. т.к. доработка и пересертификация не проводилась, нельзя взять и заменить формуляр без этих тяжелых процессов.
                                                              Сообщение от saches Посмотреть сообщение
                                                              Типа "мамой клянусь"?
                                                              Да, только клянется лаборатория ФСБ и не "мамой", а своими "лицензиями".
                                                              Сообщение от saches Посмотреть сообщение
                                                              там уже требуется полная сертификация при встраивании, как отдельного СКЗИ.
                                                              Для 107 - да, а для 106 - допускается оценка при использовании разрешенного API.

                                                              Надеемся, что 6 версия будет нормальной... Сертификат обещали к лету предоставить на нее, но интересно то, что в лабораторию запрос не приходил на сертификацию (:

                                                              Комментарий

                                                              Обработка...
                                                              X