19 ноября, вторник 08:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от w3d Посмотреть сообщение
    Разве "...обеспечивают включение в технические задания на создание (модернизацию) объектов ..." это не подразумевает?
    Нет, это подразумевает, что требования по ИБ должны быть включены в ТЗ, а не то, что ТЗ должно быть разработано. Ну вот куда мне включать требования, если ТЗ нет?

    Комментарий


    • Тогда возникает вопрос - а как вы фиксируете изменения в ИС, если нет ТЗ?

      Комментарий


      • Сообщение от w3d Посмотреть сообщение
        Тогда возникает вопрос - а как вы фиксируете изменения в ИС, если нет ТЗ?
        А надо?

        Комментарий


        • коллеги, помогите с вопросом
          вот есть ЭСП, у него есть реквизиты, к примеру, номер и пароль.
          Есть ли законодательный запрет на передачу клиентом этих реквизитов третьему лицу?
          Может ли клиент сказать организации, которая выпускает ЭСП: "передайте эти реквизиту тому то тому то"

          Комментарий


          • Сообщение от Berckut Посмотреть сообщение

            А надо?
            В пояснительных при проверке написать, что ТЗ разрабатываются в устных согласованиях без письменного оформления, изменения в ИС фиксируются Актами - уже по факту.

            Комментарий


            • Коллеги, вот интересно все таки на счет пентеста - обязательно ли привлекать внешнюю организацию?

              В 382-П как-то не однозначно:

              "...ежегодное тестирование на проникновение и анализ уязвимостей

              Для проведения анализа уязвимостей в ПО следует привлекать организацию..."


              Или имеется комплексный подход включающий и то и это?

              Комментарий


              • Сообщение от diev Посмотреть сообщение
                В пояснительных при проверке написать, что ТЗ разрабатываются в устных согласованиях без письменного оформления, изменения в ИС фиксируются Актами - уже по факту.
                Все-таки вернемся к первоначальному вопросу.

                Исходные данные: есть ТЗ; есть п 2.5.1. "Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств."

                Вопрос:
                1. включать весь перечень требований по ИБ в каждое ТЗ на доработку;
                2. вынести весь перечень требований по ИБ в приложение к договору и в ТЗ просто ссылаться на это приложение?

                Что будет правильнее и безболезненнее при проверках ЦБ?

                Комментарий


                • Сообщение от kirill_1985 Посмотреть сообщение
                  Коллеги, вот интересно все таки на счет пентеста - обязательно ли привлекать внешнюю организацию? В 382-П как-то не однозначно:
                  "...ежегодное тестирование на проникновение и анализ уязвимостей
                  Для проведения анализа уязвимостей в ПО следует привлекать организацию..."
                  Или имеется комплексный подход включающий и то и это?
                  Со слов ДИБ-а ЦБ (что могут загнуть реальные проверяющие, пока без понятия) -
                  "...ежегодный пен-тест и анализ уязвимостей" можете делать самостоятельно. Анализ можно делать любым сканером, например, nessus-ом или чем-то аналогичным.
                  "Для проведения анализа уязвимостей в ПО следует привлекать организацию..." - тут речь о контроле исходников, к которому нужно привлекать лицензиата.

                  Комментарий


                  • [QUOTE=saches;n4888557]
                    Со слов ДИБ-а ЦБ (что могут загнуть реальные проверяющие, пока без понятия) -
                    "...ежегодный пен-тест и анализ уязвимостей" можете делать самостоятельно. Анализ можно делать любым сканером, например, nessus-ом или чем-то аналогичным.

                    согласен, проще периметр протестировать каким-нибудь Сканер ВС от Эшелона и получить заветные 0,5 по данному критерию в оценке, но учитывая ежегодное закручивание гаек со стороны ЦБ такой подход выглядит достаточно авантюрно

                    Комментарий


                    • [QUOTE=kirill_1985;n4888562]
                      Сообщение от saches Посмотреть сообщение
                      ....согласен, проще периметр протестировать каким-нибудь Сканер ВС от Эшелона и получить заветные 0,5 по данному критерию в оценке, но учитывая ежегодное закручивание гаек со стороны ЦБ такой подход выглядит достаточно авантюрно
                      Проще, чем что? Это совершенно различные мероприятия, которые в общем случае, никак не пересекаются:
                      1. пен-тест - делаете сами или нанимаете исполнителя;
                      2. сканирование ресурсов (сканером) на наличие уязвимостей - делаете сами или нанимаете исполнителя;
                      3. анализ исходников - нанимаете исполнителя.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Со слов ДИБ-а ЦБ (что могут загнуть реальные проверяющие, пока без понятия) -
                        "...ежегодный пен-тест и анализ уязвимостей" можете делать самостоятельно. Анализ можно делать любым сканером, например, nessus-ом или чем-то аналогичным.
                        "Для проведения анализа уязвимостей в ПО следует привлекать организацию..." - тут речь о контроле исходников, к которому нужно привлекать лицензиата.
                        Почему анализ исходников-то? Сочетание "пен-тест" и "анализ уязвимостей ПО", как мне кажется прямо указывает но то что ищутся дыры в ПО, доступные снаружи.
                        И соответственно закрываются обновлениями, правилами файрвола, компенсирующими мерами и т.п..

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Проще, чем что? Это совершенно различные мероприятия, которые в общем случае, никак не пересекаются:
                          1. пен-тест - делаете сами или нанимаете исполнителя;
                          2. сканирование ресурсов (сканером) на наличие уязвимостей - делаете сами или нанимаете исполнителя;
                          3. анализ исходников - нанимаете исполнителя.
                          1. Пентест делаем из дома. Сканером проверяем открытые порты на ip банка. Потом пишем умную бумажку о том, что всё закрыто. Пусть попробуют доказать, что это не тестирование на проникновение, т.к. ни требований к этому процессу, ни вообще что это такое нигде не написано.
                          2. Сканирование на наличие уязвимостей. Ещё не прорабатывал вопрос, но идея такая: У нас стоит Kaspersky Endpoint Security, расширенная лицензия. Вместе с ним в сети ставится Kaspersky Security Center, которые раскидывает агентов на подчинённые тачки. Всё вместе это позволяет периодически запускать задачу анализа установленного на компьютерах ПО и поиска уязвимостей/обновлений для всего обнаруженного ПО. Чем не анализ уязвисмостей? Да ещё и хоть раз в неделю можно делать (за обед успевает пройти).
                          Только одна проблема - можно использовать исключительно на рабочих станциях, для серверов необходимо применять другой антивирь.

                          Комментарий


                          • Сообщение от w3d Посмотреть сообщение

                            Почему анализ исходников-то? Сочетание "пен-тест" и "анализ уязвимостей ПО", как мне кажется прямо указывает но то что ищутся дыры в ПО, доступные снаружи.
                            И соответственно закрываются обновлениями, правилами файрвола, компенсирующими мерами и т.п..
                            Вот мне тоже кажется что анализ исходников это ОУД4 и 21-й год

                            Комментарий


                            • kirill_1985 & w3d
                              По текстовой части Положения, смотреть не очень,.., поэтому рекомендую смотреть Приложение 2, п.п. 14.1 и 14.2.
                              П.14.1. - Это тот самый анализ исходников по ОУД 4 (или как он там сейчас называется у ФСТЭК), который самому, ну никак не провести;
                              П.14.2. - это сканирование и пен-тест, которые, в принципе, можно провести самостоятельно.

                              Последний раз редактировалось saches; 04.04.2019, 13:44.

                              Комментарий


                              • Berckut
                                1. Если уверены, что сможете убедить проверяющих, то почему бы и нет.
                                2. КМК, гимор с Касперским , чтоб получить статистику только по ПК под Winodws себя не оправдывает. Почему бы не воспользоваться сканером, для сканирования всех ресурсов.

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение
                                  kirill_1985 & w3d
                                  По текстовой части Положения, смотреть не очень,.., поэтому рекомендую смотреть Приложение 2, п.п. 14.1 и 14.2.
                                  П.14.1. - Это тот самый анализ исходников по ОУД 4 (или как он там сейчас называется у ФСТЭК), который самому, ну никак не провести;
                                  П.14.2. - это сканирование и пен-тест, которые, в принципе, можно провести самостоятельно.
                                  недавно проходили проверку со стороны регулятора, смотрели в том числе 382-П. Так вот - проверяли по основному тексту положения, Приложение не использовали. Собственно отсюда и все переживания по поводу формулировок...

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    2. Сканирование на наличие уязвимостей.Ещё не прорабатывал вопрос, но идея такая: У нас стоит Kaspersky Endpoint Security...
                                    Еще идея: можно заюзать ScanOVAL от ФСТЭК http://bdu.fstec.ru/scanoval
                                    Получается вполне серьезный способ оценки от уполномоченной федеральной службы.

                                    Комментарий


                                    • Сообщение от kirill_1985 Посмотреть сообщение
                                      недавно проходили проверку со стороны регулятора, смотрели в том числе 382-П. Так вот - проверяли по основному тексту положения, Приложение не использовали. Собственно отсюда и все переживания по поводу формулировок...
                                      Абсолютно не вопрос. Как уже отписал ране, конкретно эти вопросы "самолично" проговаривал с представителями ДИБ ЦБ. Собственно поэтому и трактую их так однозначно. А на счет того, что загнут проверяющие при очередной проверке, можно только предполагать...

                                      Комментарий


                                      • Сообщение от UserNick Посмотреть сообщение
                                        Еще идея: можно заюзать ScanOVAL от ФСТЭК http://bdu.fstec.ru/scanoval....
                                        А кто-нибудь уже юзал? Хотелось бы узнать, какие впечатления?
                                        Если не ошибаюсь, ScanOVAL подходит только для сканирования Windows, т.е. всё остальное, включая сетевые железки, принтеры, VNware/Linux/Unix нужно будет сканировать чем-то еще.


                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          Berckut
                                          1. Если уверены, что сможете убедить проверяющих, то почему бы и нет.
                                          2. КМК, гимор с Касперским , чтоб получить статистику только по ПК под Winodws себя не оправдывает. Почему бы не воспользоваться сканером, для сканирования всех ресурсов.
                                          Да тут логика немного другая.
                                          Это всего лишь два требования из двухсот. Т.е. грубо округляя на выполнение 1% требований надо потриатить 800.000 - 1.500.000 рублей. За эти деньги можно закрыть кучу других требований. Так что в этом нету экономического смысла и при наличии других несоответствий (которые есть всегда!), полноценное выполнение этих требований будет осуществляться в последнюю очередь.
                                          Но для исключения нулей в оценке что-то же надо иметь!
                                          А гемора с Касперским нет. Затраты 10 миунт шаманства, потом просто ждём минут 30 и получаем отчёт по всей сети.

                                          Сообщение от UserNick Посмотреть сообщение
                                          Еще идея: можно заюзать ScanOVAL от ФСТЭК http://bdu.fstec.ru/scanoval
                                          Получается вполне серьезный способ оценки от уполномоченной федеральной службы.
                                          Сообщение от saches Посмотреть сообщение
                                          А кто-нибудь уже юзал? Хотелось бы узнать, какие впечатления?
                                          Если не ошибаюсь, ScanOVAL подходит только для сканирования Windows, т.е. всё остальное, включая сетевые железки, принтеры, VNware/Linux/Unix нужно будет сканировать чем-то еще.
                                          Я пробовал, когда только появилась утилита.
                                          Во-первых, она нечего не нашла на компе, где отсутствовали все обвновления. Но это объяснимо - в базу данных ФСТЭК уязвимости попадают не сразу, а после проверки и выяснения всех механизмов эксплуатации.
                                          Во-вторых, она в состоянии опытной эксплуатации.
                                          В-третьих, запускать надо локально на каждом компе, а Каспер у нас уже развёрнут в сети и позволит сделать всё централизовано и массово.

                                          Комментарий


                                          • удалено
                                            Последний раз редактировалось skj; 17.04.2019, 14:28.

                                            Комментарий


                                            • А кто подскажет, какие СЗИ российского производства можно использовать для компьютеров под МЦИ? А то у нас стоял СЗИ Аккорд, но так как мы переходим на Win10, его поддержка не реализована. Надо покупать новый СЗИ, а вот какие можно брать и какие сертифицированы, не понятно.
                                              Последний раз редактировалось w32stator; 16.05.2019, 06:48.

                                              Комментарий


                                              • Сообщение от w32stator Посмотреть сообщение
                                                А кто подскажет, какие СЗИ российского производства можно использовать для компьютеров под МЦИ? А то у нас стоял СЗИ Аккорд, но так как мы переходим на Win10, его поддержка не реализована. Надо покупать новый СЗИ, а вот какие можно брать и какие сертифицированы, не понятно.
                                                ПАК Соболь + Secret net studio. Либо ПАК Соболь+ Dallas Lock

                                                Комментарий


                                                • ... и обзоры положения 683-П
                                                  https://www.securitylab.ru/blog/pers...ger/346387.php
                                                  https://www.securitylab.ru/blog/pers...hin/346386.php

                                                  Комментарий


                                                  • Коллеги, у кого есть непонятки по выполнению мероприятий по анализу уязвимостей ОУД 4? БР рекомендует проводить в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013. Но не понятно, какими документами ФСТЭК России при этом необходимо (либо можно) руководствоваться? Не знаете, когда планируются к изданию документы Банка России в развитие данной темы?

                                                    Комментарий


                                                    • Сообщение от Проверяльщик Посмотреть сообщение
                                                      Коллеги, у кого есть непонятки по выполнению мероприятий по анализу уязвимостей ОУД 4? БР рекомендует проводить в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013. Но не понятно, какими документами ФСТЭК России при этом необходимо (либо можно) руководствоваться? Не знаете, когда планируются к изданию документы Банка России в развитие данной темы?
                                                      Никакими не можно. ГОСТ 15408-3 больше не является методическим документом ФСТЭК, вместо него вступил в силу совсем другой методический документ.

                                                      Вы можете пользоваться ГОСТом как ГОСТом, в нем для выполнения требований уровня ОУД4 достаточно провести любой анализ исходного кода с ручной верификацией результатов.

                                                      Комментарий


                                                      • malotavr
                                                        Спасибо.

                                                        Комментарий


                                                        • Добрый день!
                                                          Товарищи, подскажите кто что думает по поводу нового пункта?
                                                          Что то сам не могу понять на все 100%
                                                          2.10.5. При осуществлении переводов денежных средств с использованием сети Интернет и размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений на перевод денежных средств (далее - технологические меры по использованию раздельных технологий) и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.

                                                          Комментарий


                                                          • kyi-13
                                                            написано "делайте как в сбербанк-онлайн - водка внутри, а снаружи бутылка (по https подготовка сообщений, а по SMS подтверждение) или устанавливайте лимиты на операции сами и дайте клиенту возможность самому установить лимиты".

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X