Нужно ли шифровать каналы передачи данных между серверными Банка

Нужно ли шифровать каналы передачи данных между серверными Банка?

В ходе построения ТЗ на построение резервной серверной возник вопрос, а нужно ли обязательно шифровать каналы связи между основной и резервной серверной Банка?

PCI DSS говорит:
4.1 Для защиты данных о держателях карт во время передачи их через общедоступные сети следует использовать стойкие криптографические алгоритмы и безопасные протоколы (например, такие как SSL/TLS, IPSEC, SSH и т.д.).

Требование Постановы НБУ №254
2.9. Операційна діяльність банку має бути організована таким чином, щоб забезпечити:
конфіденційність інформації про кожну операцію та її контрагентів (інформація про операцію під час її передавання відповідними каналами зв'язку має бути зашифрованою).

Требование Постановы НБУ №267
2.5. Банки зобов'язані під час відправлення (передавання) інформації, що містить банківську таємницю, забезпечити її гарантовану доставку та конфіденційність.
Забороняється відправлення документів з грифом "Банківська таємниця" з використанням факсимільного зв'язку або іншими каналами зв'язку, що не забезпечують захист інформації.
2.6. Під час роботи з документами, що містять банківську таємницю, на електронних носіях банки мають забезпечити дотримання таких вимог:
г) передавання інформації, яка містить банківську таємницю, електронною поштою або в режимі on-line здійснюється лише в захищеному (зашифрованому) вигляді з контролем цілісності та з обов'язковим наданням підтвердження про її надходження з електронним підписом отримувача з використанням засобів захисту;

Все размыто и не точно...и нигде нет четкого требования что "нужно шифровать весь канал"...

Подскажите, есть ли нормативные документы НБУ или иные, которые требуют шифровать весь канал...или хоть как-то регламентирует этот вопрос?

1 day ago

15 comments

Vladimir Gninyuk Четче написать трудно, так как обьектом защиты есть «информация». Цитированные здесь регуляторы не могут требовать «шифрование каналов», так как в общем случае это может быть невозможно, а в некоторых случаях недостаточно.

Если связь между серверными осуществляется посредством «чужих» каналов, то проще (и правильней) зашифровать весь канал, посредством site-to-site VPN.

При этом передача некоторой инфы в таком канале может требовать дополнительной защиты.

Bogdan Bondar VPN и IPSec будут шифровать не весь канал или же дополнительная нагрузка на сервера создаст кучу неудобств и задержек, что недопустимо...

Аппаратно закрыть канал легче всего и надежней, но тут вопрос цены, потому как если шифровать канал 1 ГБит цена одной коробочки на одной стороне 30 000 $, если канал 10 ГБит - цена от 60-100 000 $...

Как мотивировать менеджмент? И нужно ли это реально, вот в чем вопрос...потому как в нете куча статей о том как снимают инфу с оптики без ее повреждения...

Stanislav Varyukhno (Variukhno) Уже сталкивались с этой проблемой. Только поточные "шифрователи" стоят настолько неадекватных денег, что, насколько мне известно, ни один банковский канал сейчас не шифруется. Шифрование же канала оцуенивается от 300 до 500 к у.е., что есть немалые деньги. Т.е. врезайся в оптику и делай что хош. Руковыодство банков надеется на защиту самих телефонных тонеллей, секретность схем прокладки кабелей, и техническую сложность перехвата и подмены трафика. На самом же деле задавшись целью можно врезаться в канал, затратив не многим более 3-4 к у.е. Главное знать где, и чтоб никто приборчик не обнаружил. А дальше дело времени.


Касательно тербований - есть в 27002, но где именно сейчас не вспомню, смотрите защиту локальной сети. Ведь по сути связь между площадками - такая же локалка (только техническая реализация другая), и соответственно защищаться должна на общих основаниях.

А, так вот выше 2.6г - что тут размытого? "передавання інформації, яка містить банківську таємницю" - а это любая информация, которая гуляет между площадками при синхронизации данных.

>Все размыто и не точно...и нигде нет четкого требования что "нужно шифровать >весь канал"...
Ну... Предложите посадить девочку, которая в реальном времени будет оценивать содержимое пакета на принодлежность к БТ, и шифровать его:)

Vladimir Gninyuk Как мотивировать менеджмент? - Минимум - через оценку рисков.

60 000 это много или мало? У зампредов машины дороже. Без оценки ситуации (читай рисков) ничего не получится. Вы не найдете ни одного фреймворка по безопасности, который не начинался бы с ISRA.

Vladimir Gninyuk Если от написанного выше, Вы решите покрутить у виска в мой адрес - я не обижусь :-)), но не делайте так в адрес менеджмента, потому как принять решение без "цифр" - не реально, более того, если они будут пытаться "избегать" риска всегда - то компания разорится...

"Принятие" риска - это залог успеха, но менеджмент должен видить реальную картину (и Вы должны ее придумать ;-))

Alexander Eroschev Последнюю фразу записал в блокнотик...

Stanislav Varyukhno (Variukhno) Фраза то умная, но как всегда есть нюансы:) Ну напишите вы, что это хай риск, ну подтвердят... Это для среднего банка от 100 до 300 к у.е расходов... И реально это делается так: ищется прецендент, желательно с реальными убытками, потом идется к менеджменту и задается вопрос - хотите у нас так будет? :)
В менеджменте, извините, клали на риски (любой высоты и крутости), если они не подтверждены реальной потерей бабла (а желательно, чтоб такое было).
Самый жесткий прикол - взламайте, и покажите, что так можно, или уговорите менеджмент оплатить такую возможность "для теста". Тогда выбъете денежку.
А картины вы можете рисовать маслом по салу, менеджерам на это положить... И есть куча примеров из жизни...

Stanislav Varyukhno (Variukhno) А еще лучше - стукните в нацбанк, анонимно, что мол нарушают статью 2.6 г от имени доброжелателя... Нацбанк с радостью наложит штраф, и пообещает, что потом еще придет проверит:) Нацбанк любит штрафы... Но я вам этого не советовал, это так, рассуждения на вольные темы...

Vladimir Gninyuk Станислав, Вы все правильно описали и набросали несколько сценариев для реализации мною написаного. А касательно ньюансов:

* - "В менеджменте, извините, клали на риски...". Предлагаю вместо "клали" использовать термин "принимают" :-)

* - "Ломать" - тоже может не помочь: сотруднику - не поверят, внешнему пентестеру - платить надо (снова экономический фактор).

* - "Стукануть" - не хорошо, тем более если менеджменту предварительно не доведена сумма штрафа (этап "оценки рисков")

А какой реальный штраф за нарушение указаной статьи?

Stanislav Varyukhno (Variukhno) Понятия не имею... Ильченко как всегда на этот вопрос "забила". Кроме того я ушел из банковской сферы за полгода до офф принятия 27001... Но говорили, что вроде какие-то штрафы иметь место быть.

Vladimir Matviychuk, CISA, CISM Наверное Ивченко? Так она сейчас на темной стороне. Работает консультантом и внедряет свои требования. Ей сейчас делиться разъяснениями никакого резону. Нужно спрашивать нацбанк, а те может быть спросят ее, и мотом может быть ответят.
Лучше всего устраивать флэшмоб от нескольких банков - тогда точно что-то произойдет. :)

Volodymyr Styran > Вы не найдете ни одного фреймворка по безопасности, который не начинался бы с ISRA.

PCI DSS? :)

Vladimir Gninyuk ;-).

Не то, что бы в оправдание, но ИМХО PCI DSS - не framework. Точнее оценки сделаны Визой и МастерКард-ом, а на публику вынесены "требования и процедуры".

Как по мне это логично, так как те, кто обрабатывают инфу о держателе рассматриваются, как "элемент" общего СУИБа, а не "автономной системой"...

Stanislav Varyukhno (Variukhno) >Лучше всего устраивать флэшмоб от нескольких банков - тогда точно что-то >произойдет. :)
Банкам ИБ сто лет в обед. Это клиентам банка надо... Банки с радостью все раздадут, продадут и разбазарят, лиш бы моржу не терять, и им НБУ как кость в горле. Это НБУ, как регулятор, должно штрафовать, пинать и проверять.

Vladimir Gninyuk Предлагаю, столь фундаментальное утверждение обсудить отдельно
http://www.linkedin.com/groupItem?view=&gid=1220117&type=member&item=52026433&commentID=37659513&report%2Esuccess=8ULbKyXO6NDvmoK7o030UNOYGZKrvdhBhypZ_w8EpQrrQI-BBjkmxwkEOwBjLE28YyDIxcyEO7_TA_giuRN#commentID_37659513

Comments