2 марта, вторник 11:18
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Защита канала сертифицированнцми средствами

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Защита канала сертифицированнцми средствами

    Добрый день!
    На данный момент у банка канал до доп.офисов закрыт Континентами. Планируется расширение. На мою служебку о закупке еще Континентов руководство спрашивает - А почему средства должны быть сертифицированы. Кем и где регламентировано? Кто и как проверит?
    Пока из доводов могу предположить только выдержки из:
    - ПП-1119 (использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации), приказ 58 (использование защищенных каналов связи);
    - п. 5.2.5 СТР-К (Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи, применять криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы);
    - 152-ФЗ ( использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации).
    Чем еще можно аргументировать?
    Правильно ли я понимаю что если нет бумажки (сертификата), то никак не доказать что канал защищен? Пусть даже используется средство с высоким уровнем защиты, но несертифицированное.
    Какие еще есть документы ФСБ регламентирующие использование сертифицированных СКЗИ?
    Последний раз редактировалось Sat_Kelman; 28.02.2013, 09:43.

  • #2
    ФЗ-152 и ПП-1119 точно подходят, а СТР-К для вас не является обязательным к применению документом.

    Сообщение от Sat_Kelman Посмотреть сообщение
    Кто и как проверит?
    на данный момент ФСТЭК и ФСБ не наделены полномочиями проверять коммерческие организации по ФЗ-152, Роскомнадзор в последнее время обращается к этой теме, но наказать за несертифицированные СЗИ в любом случае не сможет. В документах ЦБ не видно требований обязательной сертификации. Правда иногда некоторым пишут из ФСБ (http://bankir.ru/dom/threads/114423-Запрос-из-ФСБ).

    Сообщение от Sat_Kelman Посмотреть сообщение
    Правильно ли я понимаю что если нет бумажки (сертификата), то никак не доказать что канал защищен? Пусть даже используется средство с высоким уровнем защиты, но несертифицированное.
    Скорее сложно доказать, что применяемое СЗИ прошло оценку соответствия (но можно, т.к. сертификация это не единственный способ оценки соответствия в соответствии с ФЗ "О техническом регулировании") . В остальном СЗИ не имеющие "бумажки" ничем не хуже, естественно.

    Сообщение от Sat_Kelman Посмотреть сообщение
    Какие еще есть документы ФСБ регламентирующие использование сертифицированных СКЗИ?
    приходит в голову только Приказ ФАПСИ №152, но тут я что-то упустил (все же СКЗИ вроде как должны быть только сертифицированными)

    Комментарий


    • #3
      Можно сослаться на Положение Банка России 382-П пункт 2.9.1.

      Комментарий


      • #4
        СТР-К, в Вашем случае для банков, носит рекомендательный характер.
        Алексей Лукацкий на недавнем вебинаре Cisco обещался в скором же вебинаре приткрыть завесы - кто обязан, а кто - не очень, использовать сертифицированную криптографию.
        На мой вопрос о НПА, который это регулирует, был получен ответ, что он не для широкой публики.
        Ждёмс.

        Комментарий


        • #5
          SAndreyV, а результаты предстоящего вебинара будут оглашены? Или они только для присутствующих?

          Комментарий


          • #6
            Про будущее мне неизвестно .
            Но, как правило, материалы с вебинара (Cisco) через некоторое время рассылаются зарегистрировавшимся участникам.

            Комментарий


            • #7
              Вот материалы с прошлого семинара http://blogs.cisco.ru/2013/03/04/cryptoimport/
              Может что-то полезное почерпнёте

              Комментарий


              • #8
                Позвольте резюмировать ;-)
                1. Если надо защищать банковские и платежные транзакции, то применяйте любое СКЗИ, официально ввезенное в Россию.
                2. Если надо защищать ПДн, то НА МОМЕНТ НАПИСАНИЯ поста применяйте любое СКЗИ, прошедшее оценку соответствия в любой из 7 форм по закону о техрегулировании
                3. Если надо БУДЕТ защищать ПДн по новому приказу ФСБ, то применять можно только сертифицированные в ФСБ СКЗИ
                4. Если надо защищать БТ по СТО, то применять можно либо сертифицированные в ФСБ СКЗИ либо использовать ИНЫЕ механизмы защиты канала связи, в т.ч. СКЗИ несертифицированные, а также механизмы обезличивания ;-)

                Комментарий


                • #9
                  Сообщение от SAndreyV Посмотреть сообщение
                  Вот материалы с прошлого семинара http://blogs.cisco.ru/2013/03/04/cryptoimport/
                  Может что-то полезное почерпнёте
                  Только не с прошлого, а с самого последнего и актуального ;-)

                  Комментарий


                  • #10
                    Уточню - "с крайнего"

                    Комментарий


                    • #11
                      Почитал, толкового мало проще закрыть каналы от внешнего доступа создать VPN на базе одного провайдера и резерв на базе второго, и использовать стандартное шифрование.

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        1. Если надо защищать банковские и платежные транзакции, то применяйте любое СКЗИ, официально ввезенное в Россию.
                        Т.е. предлагается уходить под 26 статью ФЗ "О банках и банковской деятельности"?
                        Где-то я читал, что в нее планируется вносить изменения. Не знаете какие?

                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        2. Если надо защищать ПДн, то НА МОМЕНТ НАПИСАНИЯ поста применяйте любое СКЗИ, прошедшее оценку соответствия в любой из 7 форм по закону о техрегулировании.
                        Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
                        В качестве "иной формы" наверное можно использовать внутренний документ, что комиссия в составе ... решила.... Нет ли какой "рыбы" на этот счет.

                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        3. Если надо БУДЕТ защищать ПДн по новому приказу ФСБ, то применять можно только сертифицированные в ФСБ СКЗИ.
                        Когда планируется выход этого документа?

                        Комментарий


                        • #13
                          Сообщение от sergey73 Посмотреть сообщение
                          Т.е. предлагается уходить под 26 статью ФЗ "О банках и банковской деятельности"?
                          Нет. Под исключения в законодательстве, в которых говорится, что лицензия ФСБ не нужна на работу с СКЗИ для финансовых и платежных транзакций. А НПА, где было бы написано, что вы обязаны для финансовой информации использовать сертифицированные СКЗИ нет.

                          Сообщение от sergey73 Посмотреть сообщение
                          Где-то я читал, что в нее планируется вносить изменения. Не знаете какие?
                          Знаю. http://lukatsky.blogspot.com/2013/03/ii.html

                          Сообщение от sergey73 Посмотреть сообщение
                          Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
                          В качестве "иной формы" наверное можно использовать внутренний документ, что комиссия в составе ... решила.... Нет ли какой "рыбы" на этот счет.
                          В Интернет поищите "Акт ввода в эксплуатацию"

                          Сообщение от sergey73 Посмотреть сообщение
                          Когда планируется выход этого документа?
                          Скоро ;-)

                          Комментарий

                          Обработка...
                          X