1

Тема: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Заседание Рабочей группы по вопросам обеспечения безопасности электронных платежей
Комитета ТПП РФ по безопасности предпринимательской деятельности
10.00 09.08.2016 г.Москва, ул. Ильинка, д.6, 3 этаж, малый зал ТПП РФ (ауд.324).

Тема заседания
Обеспечение безопасности безналичных расчетов

1.    Обсуждение проекта документа Положение о требованиях к защите информации в платежной системе Банка России
2.    Вопросы защиты автоматизированного рабочего места Клиента Банка России.
3.    Использование открытых данных в работе кредитно-финансовых организаций
4.    Применение контрольно-кассовой техники в кредитно-финансовых организациях
5.    Разное

От одной организации не более 3 (трех) человек. Регистрация обязательна! Участие бесплатное.
Количество мест ограничено. Проход на мероприятие по списку.
Для регистрации необходимо прислать личное сообщение Dmitry Leviev - заявку
Сроки принятия заявок - 12.00 08.08.2016 МСК
Сроки подтверждения заявок - в течение одного рабочего дня, но не позднее 12.15 08.08.2016 МСК
Тема сообщения - Заседение РГ ТПП РФ по безопасности платежей 09.08.2016
В теле сообщения указать:
Полное Фамилия, Имя, Отчество (при наличии) участника
Полную должность участника

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Регистрация на заседание РГ ТПП РФ завершена

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

3

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Коллеги, просьба выложить документ в том формате, как будете отправлять в ГУБЗИ.

Обычно это таблица из трёх колонок: "текущая формулировка" - "предлагаемая формулировка" - "пояснения".

В первую колонку лучше сразу внести пункты, которые будем править.


Либо предложите свой формат документа.

4

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Принимается

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Коллеги, документ будет выложен?

6

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Разгребу почту - выложу

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

7

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Вот в таком виде пока

Post's attachments

БР_защита информации в ПС БР_2.docx 30.58 kb, 8 downloads since 2016-08-15 

You don't have the permssions to download the attachments of this post.
С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

8

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Dmitry Leviev пишет:

Вот в таком виде пока

В пункте 4.4 Положения предложение «Внесение изменений в журналы операций не допускается.» предлагаем исключить, поскольку в этом случае под требования данного пункта могут попасть.

Не закончено по смыслу обоснование причины внесения изменения.

Принимая во внимание пункт 2.4 Положения, согласно которому Участники должны обеспечивать «соблюдение требований и рекомендаций по порядку установки, настройки, эксплуатации, изложенных в документации на системы защиты информации от несанкционированного доступа (далее – СЗИ от НСД), СКЗИ, средства защиты от воздействий вредоносного кода (далее - СЗ от ВВК), применяемые на Участке ПС БР», предлагаем исключить из Положения пункты 8.2 (за исключением абзаца пятого) – 8.4, поскольку все требования по применению и хранению СКЗИ, равно как и действиях владельцев СКЗИ при их  компрометации.

Не закончено по смыслу обоснование причины внесения изменения.

С уважением,
Андрей Кирьянов

9 (2016-08-15 17:12:57 отредактировано avk)

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

В пункте 3.2 Положения предлагаем уточнить, должно ли попадать в зону действия системы видеонаблюдения все помещение, в котором «формируются, обрабатываются, контролируются и передаются (принимаются) электронные сообщения» или только вход в такое помещение

предлагаю в такой редакции

В пункте 3.2 Положения предлагаем уточнить, за какими объектами необходимо обеспечить видеонаблюдение внутри помещения, в котором «формируются, обрабатываются, контролируются и передаются (принимаются) электронные сообщения» или, как вариант, может быть указано, что следует обеспечить видеонаблюдение только за входом в такое помещение.

С уважением,
Андрей Кирьянов

10

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Участники должны разработать и утвердить план обеспечения непрерывности и восстановления деятельности (далее – ОНиВД)

поскольку в соответствующем положении БР терминология изменилась, более корректно использовать формулировку

Участники должны разработать и утвердить план обеспечения непрерывности деятельности и восстановления деятельности (далее – ОНДиВД)

С уважением,
Андрей Кирьянов

11

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

В пункте 3.2 Положения предлагаем уточнить, что именно подлежит контролю с помощью системы видеонаблюдения, должно ли попадать в зону действия системы видеонаблюдения все помещение, в котором «формируются, обрабатываются, контролируются и передаются (принимаются) электронные сообщения» или только вход в такие помещения, в случаях размещения части оборудования в серверных комнатах или дата-центрах требуется ли устанавливать видеонаблюдение за оборудованием внутри серверной стойки.

12

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Пункт 4.4 Положения изложить в следующей редакции:
«4.4. Журналы логического доступа к информационным ресурсам ПС БР, журналы операций и журналы средств защиты информации (далее - Журналы) должны быть доступны только на просмотр.
Доступ к Журналам должны иметь только те работники Участника, которым это положено по должностным обязанностям.
Должна быть обеспечена защита Журналов от внесения в них изменений:
- доступ к Журналам должен также журналироваться;
- по мере создания Журналы (или их копия) должны перемещаться на устройство, обеспечивающее целостность, доступность и конфиденциальность Журналов.
Журналы должны регулярно просматриваться и анализироваться на предмет обнаружения аномальной активности на объектах информационной инфраструктуры в рамках Участка ПС БР.»

13

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Пункт 5.3. предлагаем исключить, поскольку это требование уже изложено в п. 4.4.
Либо изложить в редакции, предложенной в п. 4.4.
"Журналы должны регулярно просматриваться и анализироваться на предмет обнаружения аномальной активности на объектах информационной инфраструктуры в рамках Участка ПС БР."

14

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Пункты 6.1 и 6.2 поменять местами и установить иные критерии контроля целостности.
6.1.    Должен вестись актуальный перечень программного обеспечения на каждом объекте информационной инфраструктуры Участка ПС БР.

6.2.    На объектах информационной инфраструктуры Участка ПС БР должны использоваться технические средства автоматического контроля целостности программного обеспечения или системы обнаружения изменений программного обеспечения.

15 (2016-08-16 13:55:07 отредактировано Dmitry Osipov)

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Пункт 7.2 исключить, поскольку его техническая реализация не всегда возможна, например в случае использования единственного компьютера для развертывания всего комплекса АРМ КБР, или в случае применения OS и устройств, для которых отсутствуют СЗ от ВВК. Либо в данном пункте должны быть предложены альтернативные меры защиты систем (информационных объектов) от ВВК.

16

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Пункт 8.1. изложить в следующей редакции:

8.1. На технических средствах Участка ПС БР могут быть установлены СКЗИ.

Поскольку установка СКЗИ требуется далеко не на всех ТС Участка ПС БР.

17

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Главу 10 исключить.
Поскольку требование информирования об инцидентах уже имеется в 382-П и тем же положением установлен формат направления сообщений.

18

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Считаю полезным попросить ГУБЗИ дополнить документ табличкой (по примеру PCI-DSS) следующего вида:
---------------------------------------------------------------------------------------------------------------------------------------
Требование  |   Что необходимо контролировать                                |  Пояснения
---------------------------------------------------------------------------------------------------------------------------------------
п. 2.1.          |  Проверить установлены ли межсетевые экраны         | Обмен информацией возможен только
                    |  Проверить конфигурацию межсетевых экранов          |  на отчуждаемых носителях
                    |  убедиться, что закрыт доступ (RDP, telnet, ftp, SMB)   |
                    |  из других сегментов вычислительной сети                 |

P.S. Сразу понятно, что требование сформулировано бредово, и надо включать голову.

19

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Dmitry Osipov пишет:

В пункте 3.2 Положения предлагаем уточнить, что именно подлежит контролю с помощью системы видеонаблюдения, должно ли попадать в зону действия системы видеонаблюдения все помещение, в котором «формируются, обрабатываются, контролируются и передаются (принимаются) электронные сообщения» или только вход в такие помещения, в случаях размещения части оборудования в серверных комнатах или дата-центрах требуется ли устанавливать видеонаблюдение за оборудованием внутри серверной стойки.

В пункте 3.2 Положения предлагаем уточнить, за чем именно должно осуществляться видеонаблюдение, должно ли попадать в зону действия системы видеонаблюдения всё помещение, в котором «формируются, обрабатываются, контролируются и передаются (принимаются) электронные сообщения» или только вход в такое помещение, а также, для случаев при которых часть оборудования размещается в серверных комнатах или дата-центрах, конкретизировать требуется ли устанавливать видеонаблюдение за  серверными стойками, внутри которых расположено такое оборудование.

С уважением,
Андрей Кирьянов

20

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Dmitry Osipov пишет:

Пункты 6.1 и 6.2 поменять местами и установить иные критерии контроля целостности.
6.1.    Должен вестись актуальный перечень программного обеспечения на каждом объекте информационной инфраструктуры Участка ПС БР.

6.2.    На объектах информационной инфраструктуры Участка ПС БР должны использоваться технические средства автоматического контроля целостности программного обеспечения или системы обнаружения изменений программного обеспечения.

Пункты 6.1 и 6.2 поменять местами и установить иные критерии контроля целостности.
6.1.    Для каждого объекта информационной инфраструктуры Участка ПС БР должен быть определен перечень используемого программного обеспечения, который должен актуализироваться по мере внесения изменений.

6.2.    На каждом объекте информационной инфраструктуры Участка ПС БР при наличии технической возможности должно применяться программное обеспечение или технические средства, выполняющее в автоматическом режиме контроль целостности используемого программного обеспечения.

С уважением,
Андрей Кирьянов

21

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Совсем забыл.
п. 2.1 изложить в следующей редакции:
"2.1.    Участники должны ограничить доступ к автоматизированному рабочему месту (далее – АРМ) обмена электронными сообщениями (далее – ЭС) с ПС БР и сегменту локальной вычислительной сети (далее – ЛВС), в котором расположен АРМ обмена ЭС с ПС БР (далее – Участок ПС БР)."

В противном случае получается, что обмен информацией должен осуществляться только на отчуждаемых носителях информации, что является неприемлемым в современных условиях.

22

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Вариант 2

Post's attachments

БР_защита информации в ПС БР_2_ver2.docx 39.04 kb, 2 downloads since 2016-08-17 

You don't have the permssions to download the attachments of this post.
С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

23 (2016-08-17 18:41:49 отредактировано Dmitry Osipov)

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

Подредактировал свой кусок и вставил про п.2.1
выделено желтым цветом. (Это в самом начале документа).

Post's attachments

БР_защита информации в ПС БР_2_ver2.01.docx 38.95 kb, 11 downloads since 2016-08-17 

You don't have the permssions to download the attachments of this post.

24

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

По п 3.2 считаю, что про внутри стойки это перебор
Предлагаю вместо "требуется ли устанавливать видеонаблюдение за оборудованием внутри серверной стойки" использовать "требуется ли устанавливать видеонаблюдение за соответствующими серверными стойками".
В замечаниях к п. 8.1, 8.2 ошибки в окончаниях и используемых предлогах.
В замечаниях по п. 11.1 предлагаю дополнить формулировку "Пункт 11.1 Положения в связи с изменением в Положении Банка России" на "Пункт 11.1 Положения в связи с изменением в Положении Банка России 242-П от 16.12.2003"

С уважением,
Андрей Кирьянов

25

Re: Заседание РГ ОБЭП Комитета БПД ТПП РФ 09.08.2016

avk пишет:

видеонаблюдение за соответствующими серверными стойками

Кто ж в датацентре позволит поставить свою камеру вне стойки?
Арендуй юнит в стойке и ставь, по другому никак.