15 октября, вторник 21:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

VipNet

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • VipNet

    1. Коллеги кто чем реализует ГОСТ VPN с филиалами? Предлагают VipNet. Очень не хочется.
    2. Как решить вопрос с сертификацией ФСТЭК межсетевого экрана? Обязательно ли его иметь или как-то это можно обыграть.

  • #2
    Сообщение от Marvin Посмотреть сообщение
    Очень не хочется
    Почему не хочется? После построения нам Инфотексом контура биометрии по ГОСТ на VipNete, я думаю теперь строить на нем все контра безопасности.
    Очень гибкая и удобная технология, сертифицированная, но не дешовая.

    Комментарий


    • #3
      Сообщение от dnebyshe Посмотреть сообщение
      Почему не хочется? После построения нам Инфотексом контура биометрии по ГОСТ на VipNete, я думаю теперь строить на нем все контра безопасности.
      Очень гибкая и удобная технология, сертифицированная, но не дешовая.
      Читаю и не верю, что это пишет банк ))) Обычно, когда я предлагал или заикался, о том, что не плохо бы поставить ГОСТ СКЗИ - меня посылали на 3 буквы и говорят оду фразу: "я намучался с ними лет 5-8 назад, поэтому все что угодно кроме СКЗИ", на это им говорю, что Вендоры за это время сильно выросли и провели работу над ошибками))

      п.с. какое кол-во точек офисов (отделений)?

      Комментарий


      • #4
        Сообщение от Cpx Посмотреть сообщение
        Читаю и не верю, что это пишет банк ))) Обычно, когда я предлагал или заикался, о том, что не плохо бы поставить ГОСТ СКЗИ - меня посылали на 3 буквы и говорят оду фразу: "я намучался с ними лет 5-8 назад, поэтому все что угодно кроме СКЗИ", на это им говорю, что Вендоры за это время сильно выросли и провели работу над ошибками))

        п.с. какое кол-во точек офисов (отделений)?
        12

        Комментарий


        • #5
          Сообщение от Marvin Посмотреть сообщение
          1. Коллеги кто чем реализует ГОСТ VPN с филиалами? Предлагают VipNet. Очень не хочется.
          2. Как решить вопрос с сертификацией ФСТЭК межсетевого экрана? Обязательно ли его иметь или как-то это можно обыграть.
          Есть еще Континенты от Кода безопасности (тот же випнет, только в профиль), S-terra - сам не юзал. Возможно есть еще что-то...

          А вы в связи с чем этим озаботились?

          Комментарий


          • #6
            Сообщение от Cpx Посмотреть сообщение
            Читаю и не верю, что это пишет банк ))) ...
            Так раньше, это требовалось только для защиты ПДн, да и не проверял никто..
            Были особо желающие, ставили, потом плевались и меняли обратно на циски...

            Комментарий


            • #7
              Сообщение от saches Посмотреть сообщение
              да и не проверял никто..
              а теперь ЦБ выпустил мотивацию, чтобы их покупать и ставить ))

              Комментарий


              • #8
                Сообщение от saches Посмотреть сообщение
                S-terra - сам не юзал
                У нас оно, работает, но не просто и не дёшево (если делать резервирование, кластеризацию и пр. моменты). Хотя прогресс за 10 лет есть.

                Комментарий


                • #9
                  Сообщение от Zuz Посмотреть сообщение
                  У нас оно, работает, но не просто и не дёшево (если делать резервирование, кластеризацию и пр. моменты). Хотя прогресс за 10 лет есть.
                  Раньше у S-Terr-ы, в т.ч., были модули, которые втыкались в обычные циски, что было удобно, хоть и не бюджетно.
                  Насколько я в курсе, их S-terra больше не выпускает, а жаль...

                  Комментарий


                  • #10
                    Добрый день.
                    Тоже встал вопрос построения защищенной сети с филиалами банка.
                    Установка VipNet HW 50 в одном филиале обойдется примерно в 60-70 тыс.
                    Есть ли решения бюджетней?

                    Комментарий


                    • #11
                      Сообщение от saches Посмотреть сообщение
                      Насколько я в курсе, их S-terra больше не выпускает, а жаль...
                      Сейчас есть виртуальные модули, но только КС1.

                      Сообщение от svarog.coop Посмотреть сообщение
                      Есть ли решения бюджетней?
                      КС2+ вряд ли: С-Терра, Континент дороже (остальное не особо на слуху не пробовал на практике). Но нужно считать целиком проект на определённый период эксплуатации.

                      Комментарий


                      • #12
                        Сообщение от Zuz Посмотреть сообщение
                        Сейчас есть виртуальные модули, но только КС1.....
                        Если, не влом, а можно по подробней, что значит "виртуальный модуль" и как он соотносится с отдельно взятым железным маршрутизатором?
                        Заранее спасибо!

                        Комментарий


                        • #13
                          Сообщение от saches Посмотреть сообщение
                          Есть еще Континенты от Кода безопасности (тот же випнет, только в профиль), S-terra - сам не юзал. Возможно есть еще что-то...

                          А вы в связи с чем этим озаботились?
                          Требование службы ИБ

                          Комментарий


                          • #14
                            Сообщение от Marvin Посмотреть сообщение
                            Требование службы ИБ
                            Интересно, как они это обосновывают?

                            Комментарий


                            • #15
                              Сообщение от saches Посмотреть сообщение
                              Если, не влом, а можно по подробней, что значит "виртуальный модуль" и как он соотносится с отдельно взятым железным маршрутизатором?
                              Дык, прямо на сайте у них всё расписано.

                              Сообщение от saches Посмотреть сообщение
                              Интересно, как они это обосновывают?
                              Ну та же почта или банковские приложения. Вряд ли везде применяется нужная криптография. Так проще: закрыл сё КС2 или даже КС3 и норм.

                              Комментарий


                              • #16
                                Про каналы понятно что они должны быть ГОСТ, а где написано что межсетевой экран тоже должен быть сертифицирован? Правда есть такое требование никто не знает?

                                Комментарий


                                • #17
                                  Сообщение от Marvin Посмотреть сообщение
                                  а где написано что межсетевой экран тоже должен быть сертифицирован
                                  Ну, к примеру, в 21 приказе ФСТЭК по ПДн, при определённых условиях, конечно.
                                  Есть в требованиях на СКЗИ (к примеру, на Сигнатуру).

                                  Комментарий


                                  • #18
                                    Сообщение от Marvin Посмотреть сообщение
                                    Про каналы понятно что они должны быть ГОСТ, а где написано что межсетевой экран тоже должен быть сертифицирован? Правда есть такое требование никто не знает?
                                    Пункт 6 из 683-П и пункт 7 из 672-П
                                    ".. обеспечивать в соответствии с ПКЗ-2005 и технической документацией на СКЗИ"
                                    В формуляре на СИГНАТУРУ есть четко написано МЭ 4-го класса по ФСБ если ваша подсеть контачит с Интернетом.
                                    Т.е. как минимум СЕГМЕНТЫ по 672-П должны быть закрыты МЭ 4-го класса по ФСБ

                                    Комментарий


                                    • #19
                                      Сообщение от dnebyshe Посмотреть сообщение
                                      В формуляре на СИГНАТУРУ есть четко написано МЭ 4-го класса по ФСБ
                                      Есть сомнения, что проверяющий из ЦБ будет читать такие документы. Сейчас вон Янтарь встраивают банки для СБП - и врядли кто делает это с согласованием с ФСБ. Странные эти формуляры на ЦБ-шную крипту - все их нарушают и ничего за это, как правило, не бывает.

                                      Сообщение от Marvin Посмотреть сообщение
                                      Про каналы понятно что они должны быть ГОСТ
                                      Нет требований использовать "каналы по ГОСТ". В 382-П есть требование использовать сертифицированные СКЗИ, если они российского производства.

                                      Комментарий


                                      • #20
                                        Сообщение от Александр Четвертый Посмотреть сообщение
                                        требование использовать сертифицированные СКЗИ, если они российского производства.
                                        Вообще да, та же S-terra умеет и не ГОСТ (для версии 4.1).
                                        Кстати и в 378 приказе ФСБ тоже нет ничего про ГОСТ.

                                        Комментарий


                                        • #21
                                          Сообщение от Zuz Посмотреть сообщение
                                          Кстати и в 378 приказе ФСБ тоже нет ничего про ГОСТ.
                                          Они не ГОСТ просто напросто не смогут сертифицировать - скажут, что нет методичек для этого.

                                          Комментарий


                                          • #22
                                            Сообщение от Zuz Посмотреть сообщение
                                            Кстати и в 378 приказе ФСБ тоже нет ничего про ГОСТ.
                                            и не должно.
                                            Сообщение от Александр Четвертый Посмотреть сообщение
                                            Они не ГОСТ просто напросто не смогут сертифицировать - скажут, что нет методичек для этого.
                                            дело не в могут, а в не доверии кроме ГОСТ.

                                            Применять СКЗИ нужно на основании п. 6.12 ГОСТ и РЗИ 14 (глубоко еще не изучал документ) и Приказа 21, (ЕБС за скобками оставим). Есть ПДн в ИС и есть каналы связи, которые необходимо защитить сертифицированными (прошедшими оценку). На основании МУ сделать эти угрозами не актуальными не выйдет (любой проверяющий напишет замечание).

                                            Комментарий


                                            • #23
                                              Касаемо сертифицированных средств у меня такие мысли: по приказу ФСБ 378:
                                              5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119* (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
                                              .....
                                              г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
                                              .....
                                              9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
                                              .....
                                              в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

                                              КС1, а значит только сертифицированный. Если в модели угроз и нарушителей мы определяем угрозы перехвата информации, передаваемой по открытым каналам связи, актуальными.

                                              Как вариант можно попробовать: обезличивание, внесение шума, шифрование на хосте.

                                              Комментарий


                                              • #24

                                                Сообщение от svarog.coop Посмотреть сообщение
                                                Как вариант можно попробовать: обезличивание, внесение шума, шифрование на хосте.
                                                Не вариант, у Банка нет оснований заниматься обезличиванием данных и доп. обработкой. Тут от РКН сразу прилететь список замечаний о нарушении 152-ФЗ.

                                                Шифровать/расшифровать файлы/пакеты можно, но ничего хорошего от это не стоит ждать.

                                                Комментарий


                                                • #25

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Александр Четвертый Посмотреть сообщение
                                                    Они не ГОСТ просто напросто не смогут сертифицировать
                                                    Вообще для многих сертифицированных СКЗИ указаны в документации и международные алгоритмы и они работают. По мне их вполне можно использовать.

                                                    Сообщение от Cpx Посмотреть сообщение
                                                    На основании МУ сделать эти угрозами не актуальными не выйдет (любой проверяющий напишет замечание).
                                                    О каких СЗИ речь (СКЗИ, МЭ, антивирус, иное)? И о каких именно актуальных угрозах? ПП 1119 даёт полное право выбирать актуальные угрозы оператору ПДн с учётом оценки возможного вреда (в части НДВ), и применять СЗИ, прошедшие оценку соответствия только в том случае, если такие СЗИ требуются для нейтрализации актуальных угроз (я трактую это буквально, что если мне нужно именно прошедшие оценку соответствия СЗИ для нейтрализации угроз, к примеру, если актуальны угрозы по НДВ, тогда и применяем).

                                                    Сообщение от Cpx Посмотреть сообщение
                                                    Не вариант, у Банка нет оснований заниматься обезличиванием данных и доп. обработкой.
                                                    Это офтопик уже, но не соглашусь. 152-ФЗ даёт прямо такое право (обезличивать можно, к примеру вместо уничтожения). Если у оператора остаются методы, которые позволяют восстановить "обезличенную информацию", что уже псевдообезличивание равно как шифрование и последующее расшифрование.

                                                    Сообщение от svarog.coop Посмотреть сообщение
                                                    КС1, а значит только сертифицированный.
                                                    Верно, если выбрали СКЗИ для защиты ИСПДн 378 приказ не даёт уже никакого манёвра.
                                                    Последний раз редактировалось Zuz; 16.09.2019, 16:40.

                                                    Комментарий


                                                    • #27
                                                      Хорошая была фраза в СТО БР ИББС-1.0-2014
                                                      7.11.4. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ.

                                                      Если строить на Випнетах вот, что собрал:
                                                      ViPNet Coordinator HW1000 для головной организации
                                                      От 250000 до 325400 руб

                                                      VipNet Coordinator HW50 для представительств
                                                      Есть модель с поддержкой 3G
                                                      ПАК ViPNet Coordinator HW50 A 4.x (для 2 туннелированных адресов) – 54700
                                                      ПАК ViPNet Coordinator HW50 A 4.x (+3G) (для 2 туннелированных адресов) – 78700
                                                      ПАК ViPNet Coordinator HW50 B 4.x (для 5 туннелированных адресов) – 63800
                                                      ПАК ViPNet Coordinator HW50 B 4.x (+3G) (для 5 туннелированных адресов) – 91800


                                                      ViPNet Client 2 for Android Для мобильных устройств
                                                      Поддержка: Android 5.x, 6.x, 7.x, 8.x. 9.x, iOS 11.x.; 12.x, Sailfish Mobile OS RUS
                                                      ПО ViPNet Client for Android 2.x (КС1) [1-10] - 7790 ([11-20] – 7400)

                                                      Комментарий


                                                      • #28
                                                        Сообщение от svarog.coop Посмотреть сообщение
                                                        Хорошая была фраза в СТО БР ИББС-1.0-2014 7.11.4. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ.
                                                        Эта фраза никуда не делась, можно её использовать без проблем. Вы можете использовать комплекс СТО БР ИББС путём включения ссылок на него и заимствований не применяя его целиком.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          Это офтопик уже, но не соглашусь. 152-ФЗ даёт прямо такое право (обезличивать можно, к примеру вместо уничтожения). Если у оператора остаются методы, которые позволяют восстановить "обезличенную информацию", что уже псевдообезличивание равно как шифрование и последующее расшифрование.
                                                          В таком случае соглашусь, но все хотят восстановить и начинают использовать методику разработанную для ОГВ (: А это уже нельзя..

                                                          Комментарий


                                                          • #30
                                                            Коллеги, у кого-нибудь есть формуляр на VipNet Client 4 «ФРКЕ-00116-03 30 01»?
                                                            Запросил у разработчика, но пока не дождался.
                                                            Какие требования для реализации КС1?
                                                            Видимо с филиалами связь будем строить без ПАКов.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X