20 ноября, вторник 20:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по оценке 382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы по оценке 382-П

    Добрый день!

    Поставил начальник задачу произвести соответствие между оценкой согласно 382-П и нормативными актами, и в случае нехватки чего-либо указать сроки и документы которые нужно будет править/создать.

    Начали по пунктам разбирать и столкнулись с некоторым непониманием некоторых терминов, точнее разных точек зрения на их интерпретацию.
    Пока не все разобрали но вот некоторые вопросы которые сейчас интересны.

    1. "...обеспечивают регистрацию лиц, обладающих правами по осуществлению доступа..." что подразумевают под регистрацией лиц? У нас мнение такое - если взять к примеру АБС, то там есть регистрация пользователей. В других же системах регистарции как таковой нет, но есть долностные инструкции, а так же порядок организации информационных ресурсов и доступа к ним. Согласно этим документам сотрудники даются те права, которые у него в ДИ.

    2. "...обеспечивают регистрацию лиц, обладающих правами по управлению криптографическими ключами..." Управление мы понимаем как - создание и блокировка. Берем к примеру Банк России (так как он полюбому будет ОПС), какие ключи имеются ввиду, и как обеспечить регистрацию. Тут у нас мнения разошлись, я считаю что к примеру ключи сигнатуры, вербы и прочее подразумевается, и лицо тогда АИБ, я прав? тогда как осуществляется регистрация?

    3. "...обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры..." тут сразу несколько пунктов связаны 2.5.1.-2.5.3, 2.5.5. Во-первых, что подразумевается под созданием объекта инф.структуры? Мы так понимаем это железо+ПО. Если взять тот же Банк России, то мы ничего не создаем, а используем сторонее ПО с уже имещимися механизмами. Тогда на пункты 2.5.1 и 2.5.2 нет оценки? И создание это именно разработка или организация тоже? У нас в том же порядке организации ИР и доступа к ним есть такой пункт: Отдел автоматизации организует ИР путем установки и настройки программных и технических средств. Если понимать создание как разработка, то тогда в пунктах 2.5.3. и 2.5.5. н\о, так как нам Банк России диктует и дает ПО. Если же понимать создание как - организация, то установка и тестирование это наша работа, и получается мы создаем, тогда будет оценка.

    Вот пока такие вопросы, и это только начали, а вопросов пока больше чем ответов.
    Выскажите ваше мнение по данным вопросам. Заранее благодарен.

  • #2
    Вторая партия вопросов.
    Начнем с того что мы решили так, по каждому пункту мы смотрим: отражение во внутренних документах и фактическое испольнение. Многие фразы можно просто вставить в нормативку, подогнать под стилистику документа и все, а потом уж ставить оценку по исполнению.

    1. пункт 58 2.9.1. Работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ...... Это как понять?
    Фразу пропишем в полтитике ИБ, а как оценивать фактическое исполнение?

    2. 62 пункт непонятен, "применяют СКЗИ, которые поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований"

    3. пункт 78 "обеспечивают взаимную (двустороннюю) аутентификацию участников обмена" Как это вообще реализуемо? На примере Банка России можно пример? Вроде нет такого сейчас.

    4. пункт 80 "сверку выходных электронных сообщений с соответствующими входными" Раньше хоть у Банка России был в конце дня порядок, что мы отправляли запрос, они присылали ответ в котром указывалась сумма за день по всем платежкам, мы отпрвляли ответ что все ОК. Сейчас такого нет. Или в этом пункте подразумевают ED205, ED206???

    5. пункты 108-112 Тут вообще ахтунг, везде фигурируют фразы "... обеспечивают выполнение порядка обеспечения защиты информации..." "...осуществляет контроль (мониторинг) применения...". А к чему тогда вообще те 100 вопросов выше? разве там не обеспечение пордяка, не осуществление контроля? Больше напоминает тест в котором 300 вопросов, а по сути повторяются 30 сказаные по разному.

    Комментарий


    • #3
      1) Должно быть включено логирование.
      2) Должно быть включено логирование. Но приказы то у вас все равно должны быть о назначении этих самых лиц.
      3) Ваш вопрос не понятен. Имеется в виду участите ИБ в развитии ИТ.
      58) Вы руководствуетесь 63-ФЗ? Да, нет, частично.
      62) Формулировки мутные, но по сути надо ответить на вопрос: резервные копии ключей и софта вы делаете или нет?
      78) Читайте мануалы на используемые СКЗИ. может запросто получиться где-то есть, где-то нет. Если добавите куда-нибудь в политику СКЗИ, то это уже 0.25.
      80) Сложный пункт, много в нем вопросов, самые важные это использоваие ЭЦП, кодов аутентификациии. Более того, все должно сводиться к наличию антифродов!

      Комментарий


      • #4
        Сообщение от Шауро Евгений Посмотреть сообщение
        1) Должно быть включено логирование.
        2) Должно быть включено логирование. Но приказы то у вас все равно должны быть о назначении этих самых лиц.
        Не согласен с тем, что это про логирование.
        Раздел называется: "Требования к обеспечению ЗИ при осуществлении ПДС, применяемых для ЗИ при назначении и распределении ролей лиц, связанных с осуществлением ПДС". Т.е. тут отсновной укрол именно на распределение ролей, поэтому предлагаю толковать эти требования с точки зрения выделены ли эти роли и назначены ли лица, ответственные за их выполнение (т.к. отражены ли в должностных инструкциях соответствующие обязанности, назначены ли лица приказами или заявками ответственными за определенные работы.

        Комментарий


        • #5
          Сообщение от IgorBurtsev Посмотреть сообщение
          Раздел называется: "Требования к обеспечению ЗИ при осуществлении ПДС, применяемых для ЗИ при назначении и распределении ролей лиц, связанных с осуществлением ПДС". Т.е. тут отсновной укрол именно на распределение ролей, поэтому предлагаю толковать эти требования с точки зрения выделены ли эти роли и назначены ли лица, ответственные за их выполнение (т.к. отражены ли в должностных инструкциях соответствующие обязанности, назначены ли лица приказами или заявками ответственными за определенные работы.
          Учитывая, что указанные требования выходят из ИББС, необходимо оценивать данные действия как процесс:
          1. Наличие нормативных документов (регламент, положение)
          2. Наличие приказов о закреплении
          3. Внедрение в информационную систему (наличии матрицы доступа)
          4. подтверждение реализации оргмер, в том числе порядок пересмотра
          5. контролируемость процесса - наличие плана проверок, наличие подтверждение проведения проверок.

          Комментарий

          Пользователи, просматривающие эту тему

          Свернуть

          Присутствует 1. Участников: 0, гостей: 1.

          Обработка...
          X