28 марта, суббота 20:56
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    Да, любая организация, обрабатывающая карточные данные попадает под требования PCI DSS, но это вовсе не значит, что любая такая организация попадает под требование прохождения ежегодного аудита
    А ну да, не аудит сканирование. Увы мне.



    Комментарий


    • IgorL

      Сообщение от IgorL Посмотреть сообщение
      В настоящее время во ФСТЭК закончена сертификация следующих продуктов, все отчетные документы находятся в органах по сертификации:
      • Lync Server 2013;
      • Windows 8.1;
      • Windows Server 2012 R2.
      Вообще-то там перечень сертифицированного ФСТЭК ПО почти из 50-ти позиций, и 11 с сертификатами ФСБ, и ещё, по крайней мере, можно добавить 10-ку, присутствующую в перечне на сайте ФСБ.

      А что конкретно вас так развеселило? Вот, например, реальная организация, продающая сертифицированное ПО - https://www.altx-soft.ru/.
      При покупке, вместе с дистрибутивом Microsoft, получаете у них токен для доступа к их серверу обновлений. Они обещают получение уже "проверенных" обновлений где-то с задержкой около 3-ех недель. Сам не проверял, но чем не вариант?
      Или вы как-то по другому представляете одновременного исполнения требований регулятора по своевременному накату обновлений на ПО и сохранению свойства его сертифицированности?
      Последний раз редактировалось saches; 26.05.2017, 17:38.

      Комментарий


      • Сообщение от saches Посмотреть сообщение
        обновлений где-то с задержкой около 3-ех недель.
        Это слишком долго.

        Комментарий


        • Сообщение от IgorL Посмотреть сообщение
          Это слишком долго.
          Это нормально.
          Примеры : SWIFT - ежеквартально, Microsoft - ежемесячно, АБС (некоторые...) - не чаще 1 раза в месяц. И .т.д.
          ЦБ для своих изменений всегда даёт намного больше 3-х недель для разгона...
          Приведенная saches для примера механика передачи сертифицированных обновлений к сертифицированному продукту имеет право на "быть" и мы уже пользуемся этим.

          Комментарий


          • Мне вот интересно, а обновления, закрывающие уязвимости, из-за которых было столько "веселья" в начале мая, когда сертифицировали?

            Вопрос был риторическим. Проблема не в том, что это дорого, а в том, что это долго!

            Комментарий


            • Сообщение от Berckut Посмотреть сообщение
              ... Проблема не в том, что это дорого, а в том, что это долго!
              Я бы сказал бессмысленно при таких сроках. Если уязвимость достаточно серьезная за три недели масштаб заражения будет колоссальным. К тому же ПО в банках как правило имеет возможность расширения встроенным языком/подключением пакетов/внешних модулей в том числе самописанных. Без наличия правил их подключения сертификация комплекса - фикция.
              Аудит на соблюдение даже элементарных "гигиенических" правил ИБ куда полезней для реальной защиты банка.

              Комментарий



              • Сообщение от IgorL Посмотреть сообщение
                Я бы сказал бессмысленно
                Сообщение от IgorL Посмотреть сообщение
                Это слишком долго.
                Вопрос не в смысле, а в попытке перенести практики и принципы обеспечения ИБ в то место, где есть деньги (Банки) для привлечения интеграторов всех мастей (местного специалиста будет мало)
                Которые опишут процесс "как это должно быть", запросят ценник за "как это может быть", и взяв чуть денег за всякие технорабочие проекты и обследования отползут, смущенно признаваясь, что "так как у Вас сейчас" - хорошо и все несовпадения с законами и пр. требованиями можно объяснить тем, что описано в том "как это должно быть"...

                Банковские ИС, за редким исключением, не статичны, но никто и не говорит, что надо все определять, как именно "АБС" и все без разбора сертифицировать или пр. способами подгонять под пока только проекты от Регуляторов.
                Общей практики однозначно не будет, секретные лаборатории Сбера и пр. будут работать над зелено-синими технологиями (куда то надо зарывать),
                но со временем определят необходимый минимум типов ИС, переведут всех на "неизменяемую" отечественную ОС, раздадут всем единый шлюз в БД в ЦБР (или дочерний ЦОД) и вся инфа о всех клиентах будет храниться в "СЕРТИФИЦИРОВАННОМ и ЗАЩИЩЕННОМ" месте...))

                А Банки, как ждали "истины" и "реальных показателей соответствия" от непосредственной и очной проверки и контроля Регуляторов , так и будут ждать...хотя...и мед тоже такая ...

                Комментарий


                • Сообщение от Павлоний Посмотреть сообщение
                  ...вся инфа о всех клиентах будет храниться в "СЕРТИФИЦИРОВАННОМ и ЗАЩИЩЕННОМ" месте...))
                  Судя по тексту и упоре на "переводы денежных средств" забота в сабжевом документе утечки денег, а не инфы клиентов. А здесь большая проблема, если утечка "инфы о клиентах" достаточно просто перекрывается запретительным "забором", то платежи нужно раскладывать с пониманием бухгалтерии, конкретных прав конкретного пользователя конкретного и бизнес-процесса именно в этом банке (они еще пока сильно разные).
                  Наверное не стоит пугаться своих страхов. Будет документ - будет и применение. Исследовать же бизнес-процессы выхода денег из банка полезно (и необходимо) в любом случае. И взгляд со стороны в этом может оказать реальную пользу, привычное кажется безопасным, новостная лента полна внутреннего фрода, против которого бессильны и антивирусы и межсетевые экраны, и АБС в коробочном виде. Даже сертифицированные.
                  Как раньше говорили, IMHO.


                  Комментарий


                  • Павлоний
                    Мне кажется все достаточно проще.
                    Вот, например, PA-DSS, с соответствующими требованиями к разработчикам и разрабатываемым ими ПО, существует с 2008 г.
                    Со временем, эти и подобные им требования, начинают формализовываться и нашими регуляторами в т.ч. и в части банковского ПО.
                    Что, с одной стороны, конечно, правильно, а с другой стороны, уровень и предлагаемый способ реализации этих требований, традиционно вызывает массу вопросов и часто оставляет желать лучшего.
                    В общем, примерно все как всегда....а что, ожидалось что-то другое?

                    Некоторое время назад, общался с представителем разработчика одной из достаточно распространенной системы ДБО.
                    И на вопрос, что они думают о защите ПДн в своей системе, ответ был примерно следующий - "А нам это по барабану....
                    Об этом голова должна болеть у банка".
                    Как-то, такие ответы вызывает некоторое недоумение, особенно после чтения PА DSS, в части того, что должен реализовать разработчик в своем ПО и в документации к этому ПО.
                    Последний раз редактировалось saches; 29.05.2017, 12:31.

                    Комментарий


                    • saches
                      Сегодня где то в новостях мелькнуло - "открытие счета ЮЛ в МФЦ", понятно, что актуально только для Московской галактики, но о чем тогда все потуги законотворчества и соответствия оному , если точек выхода инфо из под контроля все больше и чаще, и новые инициативы от ЦБР про технологии удаленной идентификации только вводят в ступор спецов по ИБ, потом по ИТ, а потом находят активный отклик в мозгах маркетологов от банковской деятельности и всевозможных подразделений "развития"...

                      Надо сделать единую АБС, единый Банк-Клиент, единые типы каналов доставки всего и вся до клиента, соответственно единые требования и начнется "реальная" конкуренция )))
                      (это я про единство в рамках одной фин.системы и единого Регулятора "всех времен и народов"...стандарты в жизнь!!!)

                      Комментарий


                      • Сообщение от idelta Посмотреть сообщение
                        С 1 июля 2018 года АБС должны быть сертифицированными ?
                        Прочитал последний проект изменений к 382-П и показалось, что пора подумать и об этом...
                        Что ж вы все к слову "сертифицированный" прицепились-то

                        В требовании говорится о том, что для АБС должен проводиться анализ уязвимостей. Но если вдруг используется сертифицированная АБС, анализ уязвимостей можно не проводить - он проводится в рамках сертификации.

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          IgorL
                          А разработчику АБС не предлагали провести оценку (или сертификацию) их продукта? Возможно, с учетом того, что это будет нужно нескольким банкам, уровень затрат окажется ниже. И что-то мне кажется, что для проведения оценки понадобятся исходники.
                          Сертификация на ОУД4 - это, как минимум, год работы. Поэтому случаи, когда АБС пройдет сертификацию, можно считать крайне редким исключением, а само требование - требованием о проведении анализа уязвимостей. И да, ОУД.4 требует анализа исходников.
                          Последний раз редактировалось malotavr; 01.06.2017, 16:21.

                          Комментарий


                          • Сообщение от Berckut Посмотреть сообщение
                            Мне вот интересно, а обновления, закрывающие уязвимости, из-за которых было столько "веселья" в начале мая, когда сертифицировали?

                            Вопрос был риторическим. Проблема не в том, что это дорого, а в том, что это долго!
                            Где-то за месяц до эпидемии вируса. А что?

                            Комментарий


                            • Сообщение от IgorL Посмотреть сообщение
                              Я бы сказал бессмысленно при таких сроках. Если уязвимость достаточно серьезная за три недели масштаб заражения будет колоссальным. К тому же ПО в банках как правило имеет возможность расширения встроенным языком/подключением пакетов/внешних модулей в том числе самописанных. Без наличия правил их подключения сертификация комплекса - фикция. Аудит на соблюдение даже элементарных "гигиенических" правил ИБ куда полезней для реальной защиты банка.
                              В реальной жизни применение эксплойтов начинается через несколько недель после выхода патча. EternalBlue начали потихоньку применять недели через две после выпуска патчей, а массовый WannaCry на его основе появился только через два месяца после патча. Первые Conficker/Kido/Downup появились через месяц после публикации патча, а массовые заражения на их основе зарегистрированы через три месяца после публикации патча.

                              Так что задержка в три недели - ваще ниочем. Проблема не в том, что не успевают поставить патчи, а в том, что их так и не ставят. Тем же Conficker'ом отдельные заказчики маялись аж до 2012, то есть больше трех лет.

                              Комментарий


                              • Сообщение от malotavr Посмотреть сообщение

                                Где-то за месяц до эпидемии вируса. А что?
                                Именно сертифицировали? И для XP, которую многие просто вынуждены использовать из-за особенностей прикладного ПО? Мой мир перевернулся!

                                Комментарий


                                • Сообщение от malotavr Посмотреть сообщение

                                  В реальной жизни применение эксплойтов начинается через несколько недель после выхода патча. EternalBlue начали потихоньку применять недели через две после выпуска патчей, а массовый WannaCry на его основе появился только через два месяца после патча. Первые Conficker/Kido/Downup появились через месяц после публикации патча, а массовые заражения на их основе зарегистрированы через три месяца после публикации патча.

                                  Так что задержка в три недели - ваще ниочем. Проблема не в том, что не успевают поставить патчи, а в том, что их так и не ставят. Тем же Conficker'ом отдельные заказчики маялись аж до 2012, то есть больше трех лет.
                                  В реальной жизни атаки с эксплойтом на 445 порт были ДО патчей. Точечные, и потому весьма болезненные, не копейки от шифровальщика. Собственно поэтому патчи появляются, на неизвестные дыры патчей нет. Зато есть сертификаты, по логике призванные свидетельствовать что экслойтов нет. Но они есть, просто не найдены в процессе сертификации.
                                  Так что задержка в три недели для банка, как привлекательного объекта для атаки это очень даже "о чем"! Для массовки наверное, но ей сертификация "ваще ниочем".
                                  Кстати, в приличном банке патчи ставятся после тестирования на совместимость (иначе можно получить проблем больше, чем от дыры), а это еще неделька как минимум.

                                  Комментарий


                                  • Сообщение от malotavr Посмотреть сообщение
                                    ... Поэтому случаи, когда АБС пройдет сертификацию, можно считать крайне редким исключением, а само требование - требованием о проведении анализа уязвимостей. ...
                                    "Можно считать" зависит от регуляторов, разрешат ли они так считать.. И да, в проекте "оценка", сертификация или оценка.

                                    Комментарий


                                    • Сообщение от IgorL Посмотреть сообщение
                                      В реальной жизни атаки с эксплойтом на 445 порт были ДО патчей. Точечные, и потому весьма болезненные, не копейки от шифровальщика. Собственно поэтому патчи появляются, на неизвестные дыры патчей нет.
                                      Не надо фантазировать. KB 4013389, закрывающая эту уязвимость, была выложен 14 марта 2017. EternalBlue, эксплуатирующий эту уязвимость, был выложен в паблик 14 апреля, а первое задокументированное его применение датировано 21 апреля, т.е. больше, чем через месяц после выхода патча. И это - стандартная ситуация для большинства широко известных атак.

                                      Сообщение от IgorL Посмотреть сообщение
                                      Кстати, в приличном банке патчи ставятся после тестирования на совместимость (иначе можно получить проблем больше, чем от дыры), а это еще неделька как минимум.
                                      Приличные организации в этом случае сперва в течение суток после сообщения о проблеме применяют рекомендованные воркэраунды, и потом уже спокойно дожидаются выпуска патчей, тестируют их и устанавлитвают.

                                      Сообщение от IgorL Посмотреть сообщение
                                      "Можно считать" зависит от регуляторов, разрешат ли они так считать..
                                      "- Ни хрена не верю!
                                      - А я тебя ни хрена и не убеждаю. Это факт" (с)

                                      Ждать разрешения от регулятора или прислушаться к словам первоисточника - дело ваше.

                                      Тема "заставить банки искать уязвимости в своем софте" тянется с 2013 года. Сперва на совещаниях я категорически возражал против введения сертификации, и мы написали рекомендательный РС БР ИББС 2.6. За два года его действия выяснилось что рекомендацию проводить анализ уязвимостей никто не выполняет, и ЦБ перевел ее из рекомендации в норматив. Сейчас ГУБЗИ пишет нормативный документ по анализу уязвимостей на основе текста РС, к концу года обещают выложить на обсуждение. При этом сертификацию рассматривают только как возможную альтернативу, так как АБС не подлежат обязательной сертификации, и ЦБ не вправе вводить для них обязательную сертификацию.

                                      Комментарий


                                      • Сообщение от malotavr Посмотреть сообщение

                                        Не надо фантазировать.
                                        Ясно. На этом закончим.

                                        Комментарий


                                        • Финальная редакция проекта 382-П - http://regulation.gov.ru/projects#npa=72864

                                          Краткий обзор отличий - http://lukatsky.blogspot.nl/2017/05/382.html

                                          Комментарий


                                          • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Финальная редакция проекта 382-П - http://regulation.gov.ru/projects#npa=72864
                                            А где сам финальный документ? И с сайта ЦБ он пропал. http://www.cbr.ru/analytics/?PrtID=project&proj=1207

                                            Комментарий


                                            • Сообщение от IgorL Посмотреть сообщение
                                              А где сам финальный документ? ......
                                              В настоящий момент, вроде как, ещё на обсуждении и доступен по ссылке http://regulation.gov.ru/Files/GetFile?fileid=c9178fad-6c64-4eb7-9c57-43b1a8528a5b

                                              Комментарий


                                              • Обращение к экспертному сообществу... возникли споры в представителями Регулятора...

                                                Просьба пояснить текст 382-П (2.4.) в части :
                                                реализация запрета выполнения одним лицом в один момент времени следующих ролей:
                                                - ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;
                                                - ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

                                                какая "эксплуатация" вложена в первый пункт списка? С какой эксплуатацией нельзя совмещать создание (модернизацию)? И кто например для промышленной АБС является "создателем (модернизатором)", если есть инструменты разработки, доработки, обновления версий и пр.?


                                                Комментарий


                                                • Павлоний
                                                  Всегда считал под эксплуатацией работников ОПЕРу и т.п. Те, кто просто работает с ней.
                                                  Модернизация - сотрудники ИТ (накатывают обновления, ставят патчи и др.), т.е. стандартные действия для поддержания работы АБС.
                                                  Что-то более сложное уже делает компания разработчик.

                                                  Комментарий


                                                  • Сообщение от Павлоний Посмотреть сообщение
                                                    возникли споры в представителями Регулятора...
                                                    это тяжко.

                                                    Сообщение от Павлоний Посмотреть сообщение
                                                    какая "эксплуатация" вложена в первый пункт списка?
                                                    по хорошему надо этот вопрос задать автору документа, на мой взгляд надо выделять минимум три роли девелопера (разработчика), администратора и оператора, и рисовать матрицу SoD в которой будет запрет на совмещение этих ролей.

                                                    Комментарий


                                                    • У меня лично... есть четкое осознание, что такое эксплуатация ОИИ в части его использования по назначению,
                                                      эксплуатация ОИИ в части его технического обслуживания и ремонта... но нет понимания о чем идет речь, когда упоминается эксплуатация в контексте запрета совмещения с созданием (модернизацией) ... все логические размышления ничтожны для Регулятора...

                                                      Комментарий


                                                      • Сообщение от Павлоний Посмотреть сообщение
                                                        но нет понимания о чем идет речь, когда упоминается эксплуатация в контексте запрета совмещения с созданием (модернизацией)
                                                        Если у вас покупная система, то теоретически у вас нет роли разработчика. Здесь возможны натяжки, например к созданию/модернизации можно отнести настройку системы или разработку отчетов.

                                                        А что говорит оппонент?

                                                        Комментарий


                                                        • Сообщение от ost Посмотреть сообщение
                                                          А что говорит оппонент?
                                                          трактует наличие в должностных обязанностях сотрудников отдела сопровождения ОИИ функций по внедрению, сопровождению и доработки функционала ОИИ, а также обновления версий, проведения регламентных мероприятий, как нарушение п.п. 2.4 в части НЕ обеспечения запрета выполнения одним лицом в один момент времени ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объектов информационной инфраструктуры...вот

                                                          Комментарий


                                                          • Сообщение от Павлоний Посмотреть сообщение
                                                            У меня лично... есть четкое осознание, что такое эксплуатация ОИИ в части его использования по назначению,
                                                            эксплуатация ОИИ в части его технического обслуживания и ремонта... но нет понимания о чем идет речь, когда упоминается эксплуатация в контексте запрета совмещения с созданием (модернизацией) ... все логические размышления ничтожны для Регулятора...
                                                            Обычно, именно эти требования 382-П сотрудники ИТ используют при аргументации, когда косят от подготовки и отправки рейсов, отчетности и всякой прочей эксплуатации со стороны "пользовательских" подразделений. И, в общем-то, правильно делают.
                                                            А запрет проистекает из-за повышенных рисков в следствии возможных злоупотреблений.
                                                            А что регулятор-то говорит, если не секрет?

                                                            Комментарий


                                                            • Сообщение от Павлоний Посмотреть сообщение
                                                              Обращение к экспертному сообществу... возникли споры в представителями Регулятора...

                                                              Просьба пояснить текст 382-П (2.4.) в части :
                                                              реализация запрета выполнения одним лицом в один момент времени следующих ролей:
                                                              - ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;
                                                              - ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

                                                              какая "эксплуатация" вложена в первый пункт списка? С какой эксплуатацией нельзя совмещать создание (модернизацию)? И кто например для промышленной АБС является "создателем (модернизатором)", если есть инструменты разработки, доработки, обновления версий и пр.?
                                                              У меня плохие новости: без толку выяснять, потому что всё будет зависеть от того, как это понимают проверяющие. А у них фантазия богатая

                                                              Комментарий

                                                              Обработка...
                                                              X