29 февраля, суббота 08:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Zuz Посмотреть сообщение
    Это достаточно очевидно, но явно не регламентировано, т.к. указано "при встраивании"....
    Уверен, что эти вопросы утрясаются в рамках первой итерации с ИЛ и разработчиком СКЗИ.

    Комментарий


    • Информационное письмо Банка России от 31.12.2019 N ИН-014-56/105 "О неприменении мер к кредитным организациям при реализации отдельных требований Положения Банка России N 683-П"
      В соответствии с пунктом 11 Положения N 683-П пункт 4 указанного Положения вступает в силу с 1 января 2020 года. Принимая во внимание, что для реализации предусмотренных пунктом 4 Положения N 683-П требований кредитным организациям необходимо провести комплекс организационных и технологических мероприятий, Банк России считает целесообразным применять к кредитным организациям меры за несоблюдение указанных требований с 1 июля 2020 года.

      Комментарий


      • Информационное письмо Банка России от 30.01.2020 N ИН-014-56/4
        "О применении подпункта 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П

        ЦБ говорит, что для обеспечения целостности и подлинности сообщений подойдет и ПЭП (SMS, PUSH).
        Короче, не надо криптографию в мобильное приложение внедрять.

        Комментарий


        • Сообщение от ndebyshe Посмотреть сообщение
          Информационное письмо Банка России от 30.01.2020 N ИН-014-56/4
          "О применении подпункта 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П

          ЦБ говорит, что для обеспечения целостности и подлинности сообщений подойдет и ПЭП (SMS, PUSH).
          Короче, не надо криптографию в мобильное приложение внедрять.
          ЦБ на все такие запросы отписывались, что 683-П не запрещает использование паролей и одноразовых кодов, но банк должен соблюсти все требования. Как это вообще возможно, всегда оставалось без ответа. Сейчас ЦБ опять выпустил разъяснения, суть которых сводится к следующему: Да, вы можете использовать пароли и одноразовые коды, но условия применения должны быть прописаны в договоре.

          То есть на главный вопрос, который задают все (как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает) по прежнему остаётся без ответа.

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение
            То есть на главный вопрос, который задают все (как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает) по прежнему остаётся без ответа.
            У меня есть подобный ответ - успех в том, чтобы задать вопрос с вариантами ответа, а задача ЦБ просто подтвердить один из вариантов реализации.
            Вы же требуете написать как нужно сделать, а у всех реализация разная. Пишите конкретный кейс и проблемы на ваш взгляд и варианты решений, ЦБ ответит нормально.

            Комментарий


            • Сообщение от ndebyshe Посмотреть сообщение
              ЦБ говорит, что для обеспечения целостности и подлинности сообщений подойдет и ПЭП (SMS, PUSH).
              КМК, это не так, посмотрите письмо там есть ключевое - про соблюдение технологии.
              Формально пункт 5.1 683-П говорит о способе подписания, и т.к. 63-ФЗ не вводит таких понятий, то чисто технически в договорах на ДБО можно прописать способ подписания, в процессе которого целостность электронных сообщений обеспечивается, к примеру, в рамках HTTPS соединения при передаче от клиента в банк (вообще это у вас должно уже быть в том или ином виде).
              С другой стороны есть технологии, к примеру, HMAC (криптограмма) от реквизитов документа, которая формально является простой ЭП (т.к. не удовлетворяет всем требованиям к усиленной ЭП), но может использоваться и для обеспечения целостности (это может быть или устройство или специальное ПО).
              Формально согласно 63-ФЗ только усиленная ЭП может обеспечить целостность как технология, т.к. простая ЭП не обеспечивает согласно определению такой фактор как целостность.
              Если вспомнить недавнее прошлое, то банки ранее применяли, так называемые телексные ключи, можно сделать нечто подобное и для ДБО, если, конечно, получится сделать это удобным. )))

              Сообщение от Berckut Посмотреть сообщение
              То есть на главный вопрос, который задают все (как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает) по прежнему остаётся без ответа.
              Я выше предложил варианты.

              P.S. Как-то смотрел договор Сбера для их онлайн-банкинга, там было про простую ЭП и про хэш функции для обеспечения целостности, которые тоже были частью простой ЭП, я тогда был поражён многоэтажностью их юридических конструкций, но идеи не оценил.

              Стоит, наверное, посмотреть что там у них по этому поводу. Вот текущая версия, отличается от того что было ранее, стало проще:
              Подписание простой электронной подписью (ПЭП) в Системе - электронный документ считается подписанным ПЭП при регистрации Системой в период единой сессии Клиента следующих событий:
              - успешной идентификации и аутентификации Клиента (применение Клиентом своего ключа ПЭП – пароля входа в Систему); - признака ознакомления Клиента с содержанием электронного документа;
              - признака волеизъявления Клиента о подписании электронного документа;
              - положительного результата контроля подтверждения Клиентом в заданный временной интервал одноразового пароля, переданного Уполномоченному лицу Клиента посредством SMS-сообщений или по сети Интернет в мобильное приложение «Сбербанк Бизнес Онлайн» на основании положительного ответа мобильного устройства Уполномоченного лица Клиента о степени идентичности Биометрических персональных данных Уполномоченного лица Клиента с биометрическими персональными данными, хранящихся в мобильном устройстве, и/или на основании положительного ответа мобильного устройства Уполномоченного лица Клиента о результате проверки правильности ввода Уполномоченным лицом Клиента ПИН-кода, хранящегося в мобильном устройстве, и подтверждающему реквизиты получателя средств и/или реквизиты плательщика, если он использовался при совершении операции, а в случае подписания Документов, связанных с открытием и исполнением аккредитивов, – реквизиты Уполномоченного лица Клиента и реквизиты подписываемого документа / сообщения,

              а также корректности сохраненного значения Хэш-функции, вычисленного по всем реквизитам электронного документа (номер лицевого счета, номер телефона, номер обязательства и т.д.), идентификатору Уполномоченного лица Клиента, под которым Уполномоченное лицо Клиента было аутентифицировано Системой, и одноразовому паролю, передаваемому Уполномоченному лицу Клиенту посредством SMS-сообщений или по сети Интернет в мобильное приложение «Сбербанк Бизнес Онлайн».

              Но по тексту далее нет нигде про целостность ничего особо нет, для простой ЭП, есть вот такое:
              2.11.1. для работы в канале «Сбербанк Бизнес Онлайн»: 2.11.1.1. c использованием ПЭП и одноразовых паролей, передаваемых посредством SMS-сообщений. При каждом подписании документа/сообщения в Системе, Система запрашивает одноразовый пароль, который Уполномоченное лицо Клиента получает на мобильный телефон посредством SMS-сообщения. SMS-сообщение с одноразовым паролем содержит основные реквизиты подписываемого документа/сообщения, которые Клиент обязан проверять;

              Т.е. можно считать, что для обеспечения целостности проводится сверка ключевых документов, а на стороне банка эта информация хешируется для фиксации изменений.
              Последний раз редактировалось Zuz; 12.02.2020, 09:24.

              Комментарий


              • Коллеги, поправьте по срокам, если я ошибаюсь.
                пункт 9 вступает в силу с 01.01.21 и говорит о проведении оценки раз в два года.
                Правильно ли я понимаю, что отчет двух лет надо начинать с даты вступления этого требования а не всего документа? т.е. оценку провести до 01.01.23.

                Комментарий


                • Сообщение от dnebyshe Посмотреть сообщение
                  т.е. оценку провести до 01.01.23.
                  Я думаю, что как раз 01.01.21 надо уже иметь подтверждение соответствия.

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Я думаю, что как раз 01.01.21 надо уже иметь подтверждение соответствия.
                    А почему? КМК отчёт срока должен начинаться с даты вступления требования в силу.

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      А почему? КМК отчёт срока должен начинаться с даты вступления требования в силу.
                      Там формулировка п. 9 такая:

                      9.2. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
                      Кредитные организации должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2023 года.
                      а подтверждение соответствия делается только проведением оценки, т.е. как бэ на 1-е января надо уже иметь эту оценку.

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение
                        т.е. как бэ на 1-е января надо уже иметь эту оценку.
                        Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.

                        Комментарий


                        • Сообщение от Zuz Посмотреть сообщение
                          Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.
                          Я спорить не буду, для себя решил, что лучше сделать в этом году. В начале следующего ждём плановую, не хочу проблем.

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            лучше сделать в этом году
                            А Вы с сегментом, который по ГОСТ оценивать будете определились? Мне кажется это самое сложное в 683-П.

                            Вот рабочее место кредтчика, который проводит начисление процентов или Финмона, который просматривает операции клиента в АБС должны ли попадать в область 683-П?
                            Или у продажников, которые могут иметь доступ на чтение информации о клиенте из АБС, но к платежам никакого доступа нет.

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение
                              А Вы с сегментом, который по ГОСТ оценивать будете определились? Мне кажется это самое сложное в 683-П.....
                              КМК, 683-П вообще никак не регламентирует что именно попадает под требование ГОСТа.
                              А исходя из п.1. ГОСТа, остаётся только догадываться, есть ли что-то в Банке, что не попадает под его требования

                              Базовый состав мер защиты информации, определяемый настоящим стандартом, применим к совокупности объектов информатизации, в том числе автоматизированным системам (АС), используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств(далее при совместном упоминании - финансовые услуги).


                              Комментарий


                              • Сообщение от Zuz Посмотреть сообщение
                                Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.
                                Сообщение от ost Посмотреть сообщение
                                Я спорить не буду, для себя решил, что лучше сделать в этом году. В начале следующего ждём плановую, не хочу проблем.
                                Думаю, спорить здесь нужно, только вот получится ли поставить точку в споре без официального ответа из ЦБ ...
                                Уже писал сообщение на такую же тему, но по 672-П в теме https://bankir.ru/dom/forum/департамент-технологий/информационная-безопасность/4886897-672-п-требования-к-защите-информации-в-пс-бр/?p=4984775#post4984775
                                КМК, нужно выполнить совокупность требований, которые устанавливают:
                                1. Срок вступления в силу требования по проведению оценки.
                                2. Регулярность проведения оценки от которой зависит крайний срок завершения первой оценки.
                                3. Подтверждение уровня защиты проведением оценки.
                                4. Обязанность обеспечить установленный уровень защиты с установленной даты.
                                Согласен с ost, что всю эту совокупность требований из которой определяется срок проведения первой оценки необходимо выполнить до даты, обозначенной в п. 4. - к 01.01.2021.

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение
                                  683-П вообще никак не регламентирует что именно попадает под требование ГОСТа.
                                  Разве?
                                  А пункт 1 говорит:
                                  Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.

                                  Комментарий


                                  • Переписка финмона или кредитчика с клиеном по каналу ДБО, может быть связана с осуществлением перевода?

                                    Комментарий


                                    • Сообщение от dnebyshe Посмотреть сообщение
                                      Разве?А пункт 1 говорит: Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.
                                      Ну вы даете. В таком случае, как вы последний абзац п.1. трактовать планируете?))
                                      То ли обрабатываем ПДн, то ли не обрабатываем...

                                      п.1, это просто перечень защищаемой информации, и не более того.

                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        Ну вы даете. В таком случае, как вы последний абзац п.1. трактовать планируете?)
                                        Так как и написано в нем. Если есть в защищаемой информации ПДН то еще и 152-ФЗ не забывать.

                                        АРМы Операционистов с АБС и ДБО попадают в сегмент 683-П?
                                        А сервера АСБ и ДБО?

                                        А что по Вашему в этот сегмент попадает?

                                        Комментарий


                                        • dnebyshe
                                          Так об этом и речь, если есть ПДн, то защищаем, а если нет, то нет. Но это (п.1.) ни как не конкретизирует перечень систем, на которые требования 683-П распространяются.

                                          А что касается перечисленных вами систем, я думаю вы сами сможете определиться при желании, если обратите внимание на п.1 ГОСТа.

                                          И, нисколько не настаиваю на своей точке зрения. Считаете иначе, вообще не вопрос...

                                          Комментарий


                                          • Сообщение от saches Посмотреть сообщение
                                            последний абзац п.1
                                            Этот абзац вообще как-то лишний для 683-П. Он лишь напоминает про 152-ФЗ и зачем его включили в 683-П не понятно.
                                            Область действия 683-П это Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.

                                            По мнению ЦБ Есть банковская операция "Перевод ДС", а есть банковская операция, связанная с переводом ДС. И это разные банковские операции.
                                            Вот область 683-П это второе. И как определить какие системы и железки у нас используются для операций. связанных с переводом ДС, и как они и чем именно "связаны" с переводом ДС - это дано на откуп банкам.





                                            Комментарий


                                            • Сообщение от dnebyshe Посмотреть сообщение
                                              Этот абзац вообще как-то лишний для 683-П. Он лишь напоминает про 152-ФЗ и зачем его включили в 683-П не понятно.
                                              Кстати, а с ключевой информацией разве не так же?
                                              Вам это не понятно, просто потому, что вы считаете, что п.1 это про область действия этого Положения.

                                              Сообщение от dnebyshe Посмотреть сообщение
                                              Область действия 683-П это .......... и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.
                                              Выглядит не убедительно, хотя бы потому, что по этой трактовке очевидно дублирование области действия 382-П

                                              Предлагаю не тратить время. Как считаете, так считаете.

                                              Комментарий


                                              • Дк вопрос то денежный (область действия 683-П и как следствие ГОСТа) - как на него не тратить время? Ну и в самом ГОСТе первое, что нужно сделать, это определить область действия с учетом НПА ЦБ.
                                                .. финансовой организации необходимо обеспечить: - идентификацию и учет объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Банка России, устанавливающих обязательность применения его положений (далее - область применения);

                                                Комментарий


                                                • Сообщение от saches Посмотреть сообщение
                                                  Выглядит не убедительно, хотя бы потому, что по этой трактовке очевидно дублирование области действия 382-П
                                                  Так оно так и есть, и вот что по этому поводу говорит ЦБ. (Из Публикаций Лукацкого)

                                                  В Чем отличия 683-П и 382-П?

                                                  Ответ: Предметы регулирования Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П), Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение № 382-П) разные.

                                                  Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.

                                                  В то же время Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

                                                  Положение № 382-П содержит требования к обеспечению защиты информации при осуществлении переводов денежных средств и распространяется на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры. Положение № 683-П распространяется только на кредитные организации.


                                                  Комментарий


                                                  • Сообщение от Александр Четвертый Посмотреть сообщение
                                                    Дк вопрос то денежный
                                                    Еще как денежный, чем уже определить контур безопасности тем меньше средств защиты и контроля процессов.


                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      Предлагаю не тратить время. Как считаете, так считаете
                                                      Мы тут как раз для того, чтобы тратить время, обсуждая вопросы. Что в последствии позволить сэкономить время внедрения и деньги банка.

                                                      Я не навязываю свою точку зрения, я ее озвучиваю и отстаиваю. А решения принимает каждый сам.

                                                      Комментарий

                                                      Обработка...
                                                      X