30 марта, понедельник 18:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Estekhin
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Т.е., вроде как, ничего отсылать не нужно.
    Хранить - не означает не отсылать (отослал и хранишь). Если по СТО БР банки слали в ЦБ отчет об аудите, значит и по ГОСТ Р 57580.1 будут отсылать (тем более, что отправка отчета "будет установлена нормативным актом Банка России")

    Прокомментировать:


  • iPtich
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Коллеги, напомните, плиз, перечень типов инцидентов ЦБ опубликовал или нет.
    В пункте 8 он упоминается, а где его можно найти.
    если я правильно понимаю, то под перечнем типов инцидентов имеется в виду СТО БР БФБО-1.5-2018

    Прокомментировать:


  • saches
    Участник ответил
    Estekhin
    Насколько я понимаю, речь шла о проекте 683-П, в финальной версии которого сказано -
    9.1. Оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 ........
    Кредитные организации должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.


    Т.е., вроде как, ничего отсылать не нужно.

    Прокомментировать:


  • Estekhin
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Scamoff
    Насколько я понимаю, ничего никуда направлять не нужно. Банк проводит внешний аудит по ГОСТ и хранит отчет, который может показать особо интересующимся.
    Вот ответ Банка России по данному вопросу: "Обязанность кредитной организации проводить внешний аудит по ГОСТ Р 57580.1-2017 и отправлять в Банк России отчеты о его проведении будет установлена нормативным актом Банка России с 1 января 2021 года (проект находится на согласовании во ФСТЭК и ФСБ России). До этого срока кредитные организации, присоединившиеся к комплексу документов СТО БР ИББС, должны проводить аудит/самооценку по СТО БР ИББС 1.0 и отправлять в Банк России отчеты об их проведении"

    Прокомментировать:


  • ost
    Участник ответил
    Коллеги, напомните, плиз, перечень типов инцидентов ЦБ опубликовал или нет.
    В пункте 8 он упоминается, а где его можно найти.

    Прокомментировать:


  • saches
    Участник ответил
    Scamoff
    Насколько я понимаю, ничего никуда направлять не нужно. Банк проводит внешний аудит по ГОСТ и хранит отчет, который может показать особо интересующимся.

    Прокомментировать:


  • Scamoff
    Участник ответил
    Коллеги. Учитывая требования 683-П До 01,01,2021 в ЦБ нужно будет отправлять аудит по ГОСТу или по 683-П?

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    БИФИТ проверку корректности встраивания СКЗИ делать не хочет. ЦБ проверку корректности встраивания СКЗИ в АРМ КБР-Н делать не будет. Так почему же мы тогда должны производителя АБС заставлять это делать?
    мало того, производителю АБС, ЦБ не дает тестовые ключи, а также самый важный документ без которого проверку не сделать - правила пользования на СКЗИ.
    И заставить производителя АБС не получиться, только если он захочет за доп. денежку это сделать. Согласно формуляру, правилам пользования и ПКЗ-2005 это делает эксплуатирующая организация - т.е. банк.

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    malotavr только проблема отнюдь не в "не передавать эту информацию третьим лицам", а в том, как и сколько нужно потратить на защиту и по каким требованиям защищать ИС.
    В случае с "информацией ограниченного доступа", который закреплен законом, кроме ПДн - требований нет, ЦБ сейчас активно выдвигает требования к защите любой информации в любых ИС банка. Возможно правильно, а возможно перебор. А остальные виды тайны: медицина, адвокатская, нотариальная, связи - вообще без требований к защите в ИС...

    Я писал свой пост выше с "оглядкой" на коммерческую тайну, и что только этот может обеспечить требуемый уровень защиты (если его комплексно внедрить: орг, тех, физ безопасность). Успешных примеров по внедрению КТ на моем опыте все 3 компании (2 это огромные гос стурктуры и один коммерс). Где разработали понятные критерии отнесения, а не фиктивные перечни св-й; где поострили организационные процессы, внедрили СЗИ (на всех уровнях), внедрили системы маркирования документов (бумага и электронные копии), мониторинг и т.п.
    В данном случае мы обсуждаем правовой вопрос: применима ли к банковской тайне формулировка "подлежит защите в соответствии с законодательством РФ". Конкретно для платежной информации - да, подлежит, и требования к такой защите установлены обсуждаемым положением 683-П. Я, конечно, помню, что в Криптокоме отвечал не за эти вопросы, но некоторое представление о позиции ЦЛСЗ по этому вопросу все же имею
    Последний раз редактировалось malotavr; 18.06.2019, 19:27.

    Прокомментировать:


  • Cpx
    Участник ответил
    malotavr только проблема отнюдь не в "не передавать эту информацию третьим лицам", а в том, как и сколько нужно потратить на защиту и по каким требованиям защищать ИС.
    В случае с "информацией ограниченного доступа", который закреплен законом, кроме ПДн - требований нет, ЦБ сейчас активно выдвигает требования к защите любой информации в любых ИС банка. Возможно правильно, а возможно перебор. А остальные виды тайны: медицина, адвокатская, нотариальная, связи - вообще без требований к защите в ИС...

    Я писал свой пост выше с "оглядкой" на коммерческую тайну, и что только этот может обеспечить требуемый уровень защиты (если его комплексно внедрить: орг, тех, физ безопасность). Успешных примеров по внедрению КТ на моем опыте все 3 компании (2 это огромные гос стурктуры и один коммерс). Где разработали понятные критерии отнесения, а не фиктивные перечни св-й; где поострили организационные процессы, внедрили СЗИ (на всех уровнях), внедрили системы маркирования документов (бумага и электронные копии), мониторинг и т.п.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    А что, у кого-то есть подозрение, что банков это не касается? - http://www.fsb.ru/fsb/science/single...searchart.html
    Почему нет? Банки такие же как и все остальные, как раз мало кто читает формуляры и правила пользования, а в них порой такие чудеса написаны... Вот ФСБ об этом напоминает.
    Например, не могу найти правила пользования на СКАД сигнатуру, а ее все банки используют. И есть предположение, что оценку на СКАД сигнатуру делать надо с СПО /АБС.

    Прокомментировать:


  • saches
    Участник ответил
    А что, у кого-то есть подозрение, что банков это не касается? - http://www.fsb.ru/fsb/science/single...searchart.html

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Но это и не значит, что она есть.
    И если рассуждать, откуда появились слова "конфиденциальной", речь выше шла о "доступ к которым ограничен".
    А теперь самое смешное, такие ограничения/перечни св-й конфи характера или коммерческой тайны должны были разработать министерства, ведомства, каждый у себя и для своих отраслевых предприятий (это для гос структур, где-то сделали по формальному признаку, где-то используют не гласные правила к "ДСП"). ЦБ такой перечень сделал? на сколько я знаю нет, обязанность такая возложена на кого? Правильно на банк, а в банке что? Ответ - знаете.
    перечня нет, значит сведений нет, тематика не нужна. Если же банк впереди планеты и перечень есть, нужно заплатить за тематику.

    п.с. самое интересно, что мы все понимаем, что там обрабатываются ПДн, но нет требований по котором ПДн необходимо приравнять к КИ/КТ. Или ограничений, исключений, что их можно обрабатывать без защиты или считать общедоступными или еще какие уловки применить.
    1. Конкретно банковская тайна явля​​​ется информацией ограниченного доступа, поскольку ее конфиденциальность (обязательное требование не передавать эту информацию третьим лицам) установлена федеральным законом ("О банках и банковской деятельности", статья 26).

    2. Незнание закона не освобождает от ответственности. У ЦБ нет обязанности составлять для банков перечни сведений конфиденциального характера. Если кто-то ему это поручил (на самом деле никто не поручал, но допустим), то (не)исполнение этого поручения касается только ЦБ и того, кто это поручение дал. В отличие от гостацны, наличие или отсутствие перечней никак не влияет на конфиденциальность, установленную законом.

    3. Конфиденциальность персональных данных также установлена федеральным законом. Требований "приравнять ПД к КИ" не существует и существовать не может, так как понятие "конфиденциальная информация" как вид защищаемой информации прекратило свое существовование в июле 2006 года.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от malotavr Посмотреть сообщение
    Не, он совсем неправ. У Президента нет полномочий определять, какая информация является конфиденциальной - это прерогатива федеральных законов. Просто этот указ был принят в те годы, когда такого закона еще не было. Сейчас он юридически ничтожен. Точнее, сейчас он говорит: "Парни, имейте в виду, вот эти виды информации в силу федеральных законов относятся к сведениям ограниченного доступа". Это не значит, что нет другой информации ограниченного доступа, конфиденциальность которой должна обеспечиваться в силу закона.
    Но это и не значит, что она есть.
    И если рассуждать, откуда появились слова "конфиденциальной", речь выше шла о "доступ к которым ограничен".
    А теперь самое смешное, такие ограничения/перечни св-й конфи характера или коммерческой тайны должны были разработать министерства, ведомства, каждый у себя и для своих отраслевых предприятий (это для гос структур, где-то сделали по формальному признаку, где-то используют не гласные правила к "ДСП"). ЦБ такой перечень сделал? на сколько я знаю нет, обязанность такая возложена на кого? Правильно на банк, а в банке что? Ответ - знаете.
    перечня нет, значит сведений нет, тематика не нужна. Если же банк впереди планеты и перечень есть, нужно заплатить за тематику.

    п.с. самое интересно, что мы все понимаем, что там обрабатываются ПДн, но нет требований по котором ПДн необходимо приравнять к КИ/КТ. Или ограничений, исключений, что их можно обрабатывать без защиты или считать общедоступными или еще какие уловки применить.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Вот какая картина тогда получается:
    БИФИТ проверку корректности встраивания СКЗИ делать не хочет.
    ЦБ проверку корректности встраивания СКЗИ в АРМ КБР-Н делать не будет.
    Так почему же мы тогда должны производителя АБС заставлять это делать?

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение

    Может БИФИТ в чем-то прав?

    Обращаю внимание на союз «и» в пункте 4 Перечня:

    «Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).»

    В Конституции РФ банковская тайна не упомянута.
    Не, он совсем неправ. У Президента нет полномочий определять, какая информация является конфиденциальной - это прерогатива федеральных законов. Просто этот указ был принят в те годы, когда такого закона еще не было.

    Сейчас он юридически ничтожен. Точнее, сейчас он говорит: "Парни, имейте в виду, вот эти виды информации в силу федеральных законов относятся к сведениям ограниченного доступа". Это не значит, что нет другой информации ограниченного доступа, конфиденциальность которой должна обеспечиваться в силу закона.
    Последний раз редактировалось malotavr; 05.06.2019, 10:10.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от Enhot Посмотреть сообщение
    Коллеги, из БИФИТа очень сильно ошибаются. Банковская тайна в перечне присутствует - посмотрите внимательно п.4.:

    4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
    Может БИФИТ в чем-то прав?

    Обращаю внимание на союз «и» в пункте 4 Перечня:

    «Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).»

    В Конституции РФ банковская тайна не упомянута.

    Прокомментировать:


  • ost
    Участник ответил
    Кстати, с третьего квартала 2019-го изменения в 3D Secure. Ниже список того, что больше не катит.


    The following provides examples of authentication methods that do not meet strong authentication requirements and provide the cardholder with challenging or poor consumer experiences and are no longer allowed with Mastercard Identity Check™.

    Authentication method -- Reason why it does not meet the Strong Authentication requirements
    Password or PIN (when used as the only factor) -- Only includes one factor (a something you know – the password). In addition, this is a type of factor that does not offer a strong level of protection against illicit replication and use.
    Answer to a 'secret question' -- Only includes one factor (a something you know – the password). In addition, this is a type of factor
    that does not offer a strong level of protection against illicit replication and use.

    'Bingo Card' or list with codes (distributed by the issuer or by an A TM) whereby a different code is used for each authentication -- Only includes one factor (a something you have – the card or list).
    Variable static password (from which different characters are used for each authentication) -- Only includes one factor (a something you know – the password).
    Card reader not requiring a PIN -- Only includes one factor (a something you have – the plastic card).
    Interactive Card displaying a one-time code without requiring a PIN -- Only includes one factor (a something you have – the plastic card).
    Card displaying a dynamic CVC without requiring a PIN -- Only includes one factor (a something you have – the plastic card).
    Key Fob 'Digipass' that generates a one-time code without requiring a PIN -- Only includes one factor (a something you have – the key fob).
    Interactive Voice Response Systems that ask questions -- Only includes one type of factor (something you know).
    Knowledge Based Questions -- Only includes one type of factor (something you know).

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Т.е. я бы уточнил какая версия формуляра актуальная и, в любом случае, позвонил бы в Валидату и уточнил бы там что они думают по поводу проведения контроля встраивания.
    Уже сделал, коллеги говорят СКЗИ не наше, а ЦБ - звоните/пишите в ЦБ. А там самом-собой не ответят по этому вопросу.
    Чтобы 100% ответить на вопрос надо или не надо проводить оценку - нужны "правила пользования на данное СКЗИ". Самое интересное упоминание о правилах пользования есть лишь в одном документе. при этом в перечне документации оно отсутствует, но по правилам каждое СКЗИ обязано иметь правила пользования СКЗИ.
    Не забываем, что надо или не надо еще зависит:
    - от класса СКЗИ до КС2 не надо, выше уже нужно.
    - обрабатываемой конфи инфы, и тут не однозначно... Коммерческой тайны тут точно нет, ПДн автоматом под КТ как бы "попадает", что такое банковская тайна не понятно с привязкой к КТ. И самый главный вопрос, кто должен классифицировать (КТ, БТ) ЦБ или банк? Если Банк, банк может сказать, что нет КТ, если ЦБ - то продеться делать оценку.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Представитель? Семинар проводит: представитель Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России."

    Представитель это кто - друг сотрудника ЦБ? Для чего такие семинары кроме сбора бабла?

    По делу - раздел 5 содержит какой-то невероятный набор "контроль за контролем" - как это трактовать?

    Прокомментировать:

Обработка...
X