27 февраля, четверг 04:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Gallen
    Участник создал тему Положение 683-П Привет, ГОСТ!

    Положение 683-П Привет, ГОСТ!

    http://cbr.ru/Queries/UniDbQuery/File/50883/812
    Привет ГОСТу и прочие прелести.

  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Предлагаю не тратить время. Как считаете, так считаете
    Мы тут как раз для того, чтобы тратить время, обсуждая вопросы. Что в последствии позволить сэкономить время внедрения и деньги банка.

    Я не навязываю свою точку зрения, я ее озвучиваю и отстаиваю. А решения принимает каждый сам.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Дк вопрос то денежный
    Еще как денежный, чем уже определить контур безопасности тем меньше средств защиты и контроля процессов.


    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Выглядит не убедительно, хотя бы потому, что по этой трактовке очевидно дублирование области действия 382-П
    Так оно так и есть, и вот что по этому поводу говорит ЦБ. (Из Публикаций Лукацкого)

    В Чем отличия 683-П и 382-П?

    Ответ: Предметы регулирования Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П), Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение № 382-П) разные.

    Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.

    В то же время Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

    Положение № 382-П содержит требования к обеспечению защиты информации при осуществлении переводов денежных средств и распространяется на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры. Положение № 683-П распространяется только на кредитные организации.


    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Дк вопрос то денежный (область действия 683-П и как следствие ГОСТа) - как на него не тратить время? Ну и в самом ГОСТе первое, что нужно сделать, это определить область действия с учетом НПА ЦБ.
    .. финансовой организации необходимо обеспечить: - идентификацию и учет объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Банка России, устанавливающих обязательность применения его положений (далее - область применения);

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Этот абзац вообще как-то лишний для 683-П. Он лишь напоминает про 152-ФЗ и зачем его включили в 683-П не понятно.
    Кстати, а с ключевой информацией разве не так же?
    Вам это не понятно, просто потому, что вы считаете, что п.1 это про область действия этого Положения.

    Сообщение от dnebyshe Посмотреть сообщение
    Область действия 683-П это .......... и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.
    Выглядит не убедительно, хотя бы потому, что по этой трактовке очевидно дублирование области действия 382-П

    Предлагаю не тратить время. Как считаете, так считаете.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    последний абзац п.1
    Этот абзац вообще как-то лишний для 683-П. Он лишь напоминает про 152-ФЗ и зачем его включили в 683-П не понятно.
    Область действия 683-П это Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.

    По мнению ЦБ Есть банковская операция "Перевод ДС", а есть банковская операция, связанная с переводом ДС. И это разные банковские операции.
    Вот область 683-П это второе. И как определить какие системы и железки у нас используются для операций. связанных с переводом ДС, и как они и чем именно "связаны" с переводом ДС - это дано на откуп банкам.





    Прокомментировать:


  • saches
    Участник ответил
    dnebyshe
    Так об этом и речь, если есть ПДн, то защищаем, а если нет, то нет. Но это (п.1.) ни как не конкретизирует перечень систем, на которые требования 683-П распространяются.

    А что касается перечисленных вами систем, я думаю вы сами сможете определиться при желании, если обратите внимание на п.1 ГОСТа.

    И, нисколько не настаиваю на своей точке зрения. Считаете иначе, вообще не вопрос...

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Ну вы даете. В таком случае, как вы последний абзац п.1. трактовать планируете?)
    Так как и написано в нем. Если есть в защищаемой информации ПДН то еще и 152-ФЗ не забывать.

    АРМы Операционистов с АБС и ДБО попадают в сегмент 683-П?
    А сервера АСБ и ДБО?

    А что по Вашему в этот сегмент попадает?

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Разве?А пункт 1 говорит: Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.
    Ну вы даете. В таком случае, как вы последний абзац п.1. трактовать планируете?))
    То ли обрабатываем ПДн, то ли не обрабатываем...

    п.1, это просто перечень защищаемой информации, и не более того.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Переписка финмона или кредитчика с клиеном по каналу ДБО, может быть связана с осуществлением перевода?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    683-П вообще никак не регламентирует что именно попадает под требование ГОСТа.
    Разве?
    А пункт 1 говорит:
    Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.
    Сообщение от ost Посмотреть сообщение
    Я спорить не буду, для себя решил, что лучше сделать в этом году. В начале следующего ждём плановую, не хочу проблем.
    Думаю, спорить здесь нужно, только вот получится ли поставить точку в споре без официального ответа из ЦБ ...
    Уже писал сообщение на такую же тему, но по 672-П в теме https://bankir.ru/dom/forum/департамент-технологий/информационная-безопасность/4886897-672-п-требования-к-защите-информации-в-пс-бр/?p=4984775#post4984775
    КМК, нужно выполнить совокупность требований, которые устанавливают:
    1. Срок вступления в силу требования по проведению оценки.
    2. Регулярность проведения оценки от которой зависит крайний срок завершения первой оценки.
    3. Подтверждение уровня защиты проведением оценки.
    4. Обязанность обеспечить установленный уровень защиты с установленной даты.
    Согласен с ost, что всю эту совокупность требований из которой определяется срок проведения первой оценки необходимо выполнить до даты, обозначенной в п. 4. - к 01.01.2021.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    А Вы с сегментом, который по ГОСТ оценивать будете определились? Мне кажется это самое сложное в 683-П.....
    КМК, 683-П вообще никак не регламентирует что именно попадает под требование ГОСТа.
    А исходя из п.1. ГОСТа, остаётся только догадываться, есть ли что-то в Банке, что не попадает под его требования

    Базовый состав мер защиты информации, определяемый настоящим стандартом, применим к совокупности объектов информатизации, в том числе автоматизированным системам (АС), используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств(далее при совместном упоминании - финансовые услуги).


    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    лучше сделать в этом году
    А Вы с сегментом, который по ГОСТ оценивать будете определились? Мне кажется это самое сложное в 683-П.

    Вот рабочее место кредтчика, который проводит начисление процентов или Финмона, который просматривает операции клиента в АБС должны ли попадать в область 683-П?
    Или у продажников, которые могут иметь доступ на чтение информации о клиенте из АБС, но к платежам никакого доступа нет.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.
    Я спорить не буду, для себя решил, что лучше сделать в этом году. В начале следующего ждём плановую, не хочу проблем.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    т.е. как бэ на 1-е января надо уже иметь эту оценку.
    Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А почему? КМК отчёт срока должен начинаться с даты вступления требования в силу.
    Там формулировка п. 9 такая:

    9.2. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
    Кредитные организации должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2023 года.
    а подтверждение соответствия делается только проведением оценки, т.е. как бэ на 1-е января надо уже иметь эту оценку.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Я думаю, что как раз 01.01.21 надо уже иметь подтверждение соответствия.
    А почему? КМК отчёт срока должен начинаться с даты вступления требования в силу.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    т.е. оценку провести до 01.01.23.
    Я думаю, что как раз 01.01.21 надо уже иметь подтверждение соответствия.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Коллеги, поправьте по срокам, если я ошибаюсь.
    пункт 9 вступает в силу с 01.01.21 и говорит о проведении оценки раз в два года.
    Правильно ли я понимаю, что отчет двух лет надо начинать с даты вступления этого требования а не всего документа? т.е. оценку провести до 01.01.23.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    ЦБ говорит, что для обеспечения целостности и подлинности сообщений подойдет и ПЭП (SMS, PUSH).
    КМК, это не так, посмотрите письмо там есть ключевое - про соблюдение технологии.
    Формально пункт 5.1 683-П говорит о способе подписания, и т.к. 63-ФЗ не вводит таких понятий, то чисто технически в договорах на ДБО можно прописать способ подписания, в процессе которого целостность электронных сообщений обеспечивается, к примеру, в рамках HTTPS соединения при передаче от клиента в банк (вообще это у вас должно уже быть в том или ином виде).
    С другой стороны есть технологии, к примеру, HMAC (криптограмма) от реквизитов документа, которая формально является простой ЭП (т.к. не удовлетворяет всем требованиям к усиленной ЭП), но может использоваться и для обеспечения целостности (это может быть или устройство или специальное ПО).
    Формально согласно 63-ФЗ только усиленная ЭП может обеспечить целостность как технология, т.к. простая ЭП не обеспечивает согласно определению такой фактор как целостность.
    Если вспомнить недавнее прошлое, то банки ранее применяли, так называемые телексные ключи, можно сделать нечто подобное и для ДБО, если, конечно, получится сделать это удобным. )))

    Сообщение от Berckut Посмотреть сообщение
    То есть на главный вопрос, который задают все (как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает) по прежнему остаётся без ответа.
    Я выше предложил варианты.

    P.S. Как-то смотрел договор Сбера для их онлайн-банкинга, там было про простую ЭП и про хэш функции для обеспечения целостности, которые тоже были частью простой ЭП, я тогда был поражён многоэтажностью их юридических конструкций, но идеи не оценил.

    Стоит, наверное, посмотреть что там у них по этому поводу. Вот текущая версия, отличается от того что было ранее, стало проще:
    Подписание простой электронной подписью (ПЭП) в Системе - электронный документ считается подписанным ПЭП при регистрации Системой в период единой сессии Клиента следующих событий:
    - успешной идентификации и аутентификации Клиента (применение Клиентом своего ключа ПЭП – пароля входа в Систему); - признака ознакомления Клиента с содержанием электронного документа;
    - признака волеизъявления Клиента о подписании электронного документа;
    - положительного результата контроля подтверждения Клиентом в заданный временной интервал одноразового пароля, переданного Уполномоченному лицу Клиента посредством SMS-сообщений или по сети Интернет в мобильное приложение «Сбербанк Бизнес Онлайн» на основании положительного ответа мобильного устройства Уполномоченного лица Клиента о степени идентичности Биометрических персональных данных Уполномоченного лица Клиента с биометрическими персональными данными, хранящихся в мобильном устройстве, и/или на основании положительного ответа мобильного устройства Уполномоченного лица Клиента о результате проверки правильности ввода Уполномоченным лицом Клиента ПИН-кода, хранящегося в мобильном устройстве, и подтверждающему реквизиты получателя средств и/или реквизиты плательщика, если он использовался при совершении операции, а в случае подписания Документов, связанных с открытием и исполнением аккредитивов, – реквизиты Уполномоченного лица Клиента и реквизиты подписываемого документа / сообщения,

    а также корректности сохраненного значения Хэш-функции, вычисленного по всем реквизитам электронного документа (номер лицевого счета, номер телефона, номер обязательства и т.д.), идентификатору Уполномоченного лица Клиента, под которым Уполномоченное лицо Клиента было аутентифицировано Системой, и одноразовому паролю, передаваемому Уполномоченному лицу Клиенту посредством SMS-сообщений или по сети Интернет в мобильное приложение «Сбербанк Бизнес Онлайн».

    Но по тексту далее нет нигде про целостность ничего особо нет, для простой ЭП, есть вот такое:
    2.11.1. для работы в канале «Сбербанк Бизнес Онлайн»: 2.11.1.1. c использованием ПЭП и одноразовых паролей, передаваемых посредством SMS-сообщений. При каждом подписании документа/сообщения в Системе, Система запрашивает одноразовый пароль, который Уполномоченное лицо Клиента получает на мобильный телефон посредством SMS-сообщения. SMS-сообщение с одноразовым паролем содержит основные реквизиты подписываемого документа/сообщения, которые Клиент обязан проверять;

    Т.е. можно считать, что для обеспечения целостности проводится сверка ключевых документов, а на стороне банка эта информация хешируется для фиксации изменений.
    Последний раз редактировалось Zuz; 12.02.2020, 09:24.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    То есть на главный вопрос, который задают все (как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает) по прежнему остаётся без ответа.
    У меня есть подобный ответ - успех в том, чтобы задать вопрос с вариантами ответа, а задача ЦБ просто подтвердить один из вариантов реализации.
    Вы же требуете написать как нужно сделать, а у всех реализация разная. Пишите конкретный кейс и проблемы на ваш взгляд и варианты решений, ЦБ ответит нормально.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Информационное письмо Банка России от 30.01.2020 N ИН-014-56/4
    "О применении подпункта 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П

    ЦБ говорит, что для обеспечения целостности и подлинности сообщений подойдет и ПЭП (SMS, PUSH).
    Короче, не надо криптографию в мобильное приложение внедрять.
    ЦБ на все такие запросы отписывались, что 683-П не запрещает использование паролей и одноразовых кодов, но банк должен соблюсти все требования. Как это вообще возможно, всегда оставалось без ответа. Сейчас ЦБ опять выпустил разъяснения, суть которых сводится к следующему: Да, вы можете использовать пароли и одноразовые коды, но условия применения должны быть прописаны в договоре.

    То есть на главный вопрос, который задают все (как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает) по прежнему остаётся без ответа.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Информационное письмо Банка России от 30.01.2020 N ИН-014-56/4
    "О применении подпункта 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П

    ЦБ говорит, что для обеспечения целостности и подлинности сообщений подойдет и ПЭП (SMS, PUSH).
    Короче, не надо криптографию в мобильное приложение внедрять.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Информационное письмо Банка России от 31.12.2019 N ИН-014-56/105 "О неприменении мер к кредитным организациям при реализации отдельных требований Положения Банка России N 683-П"
    В соответствии с пунктом 11 Положения N 683-П пункт 4 указанного Положения вступает в силу с 1 января 2020 года. Принимая во внимание, что для реализации предусмотренных пунктом 4 Положения N 683-П требований кредитным организациям необходимо провести комплекс организационных и технологических мероприятий, Банк России считает целесообразным применять к кредитным организациям меры за несоблюдение указанных требований с 1 июля 2020 года.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Это достаточно очевидно, но явно не регламентировано, т.к. указано "при встраивании"....
    Уверен, что эти вопросы утрясаются в рамках первой итерации с ИЛ и разработчиком СКЗИ.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Их ответ - да, нужно, или надо иметь веские аргументы, что конкретный апдейт никак не влияет на работу СКЗИ.
    Это достаточно очевидно, но явно не регламентировано, т.к. указано "при встраивании". А новые релизы могут подразумевать изменение не связанных с ПО, компонентов. К примеру, форматы УФЭБС поменялись, изменили код, что с ними работал. Де-факто встраивания не осуществлялось.
    И логично выделить данный компонент АБС в самостоятельное ПО, которое вообще не меняется (по сути как СКЗИ для отдельной АБС, которое можно использовать в составе этой АБС). )))

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    .....И соответственно вопрос: необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)?
    Ранее, задавал этот вопрос Валидате. Их ответ - да, нужно, или надо иметь веские аргументы, что конкретный апдейт никак не влияет на работу СКЗИ.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Думаю в вопросе №9 ДИБ сказал, что речь идет о VPN образующих железках, и там надо применять сертифицированную ФСБ крипту.

    Прокомментировать:

Обработка...
X