Форум ''Интернет и Право''
30 Ноября 2024, 16:37:37 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 [2] 3   Вниз
  Печать  
Автор Тема: ЦБ РФ о наполнении веб-сайтов  (Прочитано 12615 раз)
Urix
Гость


E-mail
« Ответ #10 : 23 Февраля 2004, 09:17:24 »

Цитировать
Вы сказали что в Российский банк деньги не понесете, ну а например в Citibank понесете? Для справки у них при голосовом доступе к состоянию СКС требовалось назвать пин-код карточки.
Важно не то, что и там дури хватает. Важно то, что тот банк несет всю ответственность за ущерб, нанесенный клиенту в результате деятельности банка. Вспомните дефолт...
Поэтому, если я, при заключении договора с банком о передачи ему во временное управление моего имущества оговорю с банком процедуру взаимоотношений, то он будет либо обязан исполнять договор, либо отказаться от договора вообще. Так делается в развитых странах. Но не в России. Как следствие такой банковской политики были авизовки, дефолт.
Вы про эту поправку на Россиию "забыли". И "забыли", как "Герасим" занимался "космическими исследованиями". "Запускал" на деньги вкладчиков одноразовые спутники. В общем, подворовывал. Но так ворует руководство, а в том документа "рассказано" между строк, как будет воровать персонал.
« Последнее редактирование: 23 Февраля 2004, 09:24:36 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #11 : 23 Февраля 2004, 17:05:02 »

Цитировать
Вы сказали что в Российский банк деньги не понесете, ну а например в Citibank понесете? Для справки у них при голосовом доступе к состоянию СКС требовалось назвать пин-код карточки.
Важно не то, что и там дури хватает. Важно то, что тот банк несет всю ответственность за ущерб, нанесенный клиенту в результате деятельности банка. Вспомните дефолт...
Поэтому, если я, при заключении договора с банком о передачи ему во временное управление моего имущества оговорю с банком процедуру взаимоотношений, то он будет либо обязан исполнять договор, либо отказаться от договора вообще. Так делается в развитых странах. Но не в России. Как следствие такой банковской политики были авизовки, дефолт.
Вы про эту поправку на Россиию "забыли". И "забыли", как "Герасим" занимался "космическими исследованиями". "Запускал" на деньги вкладчиков одноразовые спутники. В общем, подворовывал. Но так ворует руководство, а в том документа "рассказано" между строк, как будет воровать персонал.
Urix, ну не уходите вы от конкретики пожалуйста. Мы же с вами о конкретном документе говорим. Я вас настойчиво прошу указать места в документе, где "таится угроза".

А про банки и договора на обслуживание давайте отдельно поговорим. И про авизовки, дефолт, и кто кому что не выплатил и не вернул тоже. Только давайте сначала с этим документом разберемся.
« Последнее редактирование: 23 Февраля 2004, 18:23:05 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #12 : 23 Февраля 2004, 22:23:32 »

Хорошо. Yeoman, специально для Вас. "Угроза таится" во всем документе в целом, поскольку в нем все поставлено с ног на голову. Документ является полностью противоречащим положениям о защите информации. Если это, конечно, не первоапрельская шутка.
Цитировать
3.1. Дистанционное банковское обслуживание с использованием Интернет-технологий предполагает возможность доступа к банковским данным через общедоступные информационные каналы (открытые системы связи).
Основное требование обеспечения информационной безопасности - это создание условий, при которых третьи лица не могут получить доступ к носителям с защищаемой информацией или не могут интерпретировать полученную информацию. Это возможно обеспечить применением защищенных каналов связи, для которых третьи лица не могут получить достиуп к носителю информации (подключение к каналу связи) и/или применение системы кодирования, которая не позволит третьим лицам в течении заранее обусловленного времени прочитать информацию и нанести ущерб обменивающимся информацией сторонам. Первое возможно при применении оптоволоконных каналов связи, второе возможно при применении систем криптографической защиты информации.
Поскольку предполагается осуществление обмена информацией по широковещательным (открытым) каналам связи, то оcтается только второй вариант защиты - криптографичекая защита информации.
Цитировать
3.2. Адрес операционного WEB-сайта КО рекомендуется рассматривать как конфиденциальную информацию и сообщать его только зарегистрированным пользователям систем ДБО в порядке, определяемом КО.

3.3. Не рекомендуется использовать прямые ссылки (точки входа) с информационных WEB-сайтов на операционные сайты КО или приводить на них сведения о таких точках входа (адресах).

3.4. Не рекомендуется назначать адреса URL 3 операционным WEB-сайтам КО и регистрировать их на серверах доменных имен 4 , если это не связано с необходимостью внесения существенных изменений в уже используемые КО в банковской деятельности технологии.

3.5. Доступ к операционным WEB-сайтам КО целесообразно осуществлять с использованием IP-адресации 5 , если применение такого способа не приведет к существенным изменениям уже используемой КО технологии ДБО.
Эти четыре пункта предназначены для сокрытия адресов операционных сайтов. Однако, это глупость несусветная. После неоднократных проверок я установил, что с момента подключения ресурса к свободному IP-адресу проходит в среднем 5-6 минут до начала сканирования ресурса. Т.е., можно с уверенностью сказать, что стойкость метода защиты, основанного на "умолчании" адреса составляет 5 минут. Это не защита, однако этой дури посвящено целых 4 пункта. На ней акцентировано внимание.
Цитировать
3.6. Вход зарегистрированных пользователей на операционные WEB-сайты КО целесообразно осуществлять с применением процедур идентификации 6 или аутентификации пользователей.
Это обязательное условие парольного доступа к ресурсам. Поэтому слово "целесообразно" отменяет ОБЯЗАТЕЛЬНЫЙ характер контроля доступа к ресурсам. Даже соединение по криптографически защищенному каналу не происходит без парольного подтверждения при handshake-е (рукопожатии).
Пароль - это некое секретное слово (в идеале известно только идентифицируемому лицу), которое подтверждает для идентифицирющего, что с ним контактиирует именно то лицо.
Цитировать
3.7. Во всех режимах работы WEB-сайта информационный обмен КО с клиентом целесообразно осуществлять с использованием средств шифрования.

3.8. Электронный документооборот между КО и клиентами через операционный WEB-сайт целесообразно осуществлять с использованием средств аутентификации электронных сообщений 7 (в том числе средств электронной цифровой подписи).
Эти два пункта противоречат предоставлению доступа клиентов к ресурсам банка через широковещательные каналы связи и устанавливает НЕОБЯЗАТЕЛЬНЫОСТЬ применения криптографической защиты.
Цитировать
3.9. Особое внимание с точки зрения обеспечения информационной безопасности целесообразно уделять организации межсетевого информационного взаимодействия WEB-сервера и банковской автоматизированной системы КО с обязательным применением межсетевых экранов (брандмауэров).
Примененпие брандмауэров еще не свидетельствует о защищенности сети. Я несколько раз сталкивался с тем, что в некоторых сетях использовались либо ненастроенные брандмауэры (прозразнычные, работающие в режиме роутера), либо с неизмененными заводскими установками администраторских паролей, которые известны всем.

Подвожу итоги: акцент в этом документе сделан на защите, основанной на "умолчании", в то же время установлен необязательный характер для тех методов, которые в данном случае должны иметь не только обязательный, но и еще регламентированный рахактер и постоянно контролируемый службой безопасности банка. Сети, созданные по такой идеологии, взламываются, обычно в течении 20-25 минут. Минут пять уйдет на сокрытие следов. Следовательно, стойкость таких сетей - не более получаса-часа с момента ее подключения к общедоступным каналам связи. А еще учитывая, что внутри все собрано на продукции MicroSoft, нельзя дать никаких гарантий, что эти сети уже не взломаны и в них не внедрены "подарки". Так же, учитывая наплевательское отношение банкиров и государства по отношению к клиентам и гражданам, когда глава ЦБ РФ за деньги своих вкладчиков "запускал" одноразовые (одномесячные) спутники, когда политика Правительства РФ привела к дефолту, когда...
В общем, Российским банкам, а через них и Правительству, я свои деньги не доверю. Дискредитированы по самое некуда эти "робяты".
« Последнее редактирование: 23 Февраля 2004, 22:52:58 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #13 : 24 Февраля 2004, 00:32:09 »

Ну что же Urix, давайте посмотрим на этот документ моими глазами.

3.1. Дистанционное банковское обслуживание с использованием Интернет-технологий предполагает возможность доступа к банковским данным через общедоступные информационные каналы (открытые системы связи). Вследствие этого особенности организации операционных WEB-сайтов обусловлены необходимостью обеспечения безопасности совершения операций в рамках ДБО и банковских автоматизированных систем КО. Настоящие рекомендации направлены на снижение рисков, связанных с использованием современных компьютерных информационных технологий в банковской деятельности. При этом порядок регистрации клиентов, способ и порядок доступа к операционному WEB-сайту, а также перечень применяемых средств обеспечения информационной безопасности определяются КО самостоятельно.

Обратите внимание на выделенную часть. После этого, с моей точки зрения, обсуждение документа можно закончить. Чтобы ни было написано в этом документе дальше, банк и только банк решает что и как ему защищать.
А уже ваша задача, придя в банк выяснить каким именно образом вы будете защищены при работе с банком через общедоступные сети. И решить для себя, будете вы иметь дело с этим банком или пойдете в другой. И будте уверены, что если вы захотите получить эту инфомрацию, вам ее дадут, а вот если ее от вас начнут скрывать, тогда смело разворачивайтесь с идите в другой банк. И опять же ваша задача, получив для подписания договор(а) на обслуживание внимательно их прочитать и решить будете вы их подписывать или нет.

Этот документ для меня выглядит как попытка ЦБР хотя бы "озвучить" те способы/методы/средства, которые следует применять для обеспечения безопасности иформации при дистанционной работе клиента с банком.

Во всем документе у меня притензии только к пункту 3.6. Так писать, как в нем написано - нельзя. Правда ЦБР в пункте 3.1 уже заранее от всего открестился.  Так что на самом деле, те у кого голова на плечах есть, сделают нормальные системы или закажут тем кто умеет их делать. А те у кого головы нет, сделают все как всегда. Им хоть пошаговые инструкции давай - все едино.

Вот такая картинка у меня выходит.

Urix насчет всего остального, что вы написали:
Честно говоря меня поразила логика ваших рассуждений - вы так интересно трактуете этот документ, особенно пункты 3.7 и 3.8.
Я бы про них сказал так: Там где передается конфиденциальная информация - шифровать и вешать документам MAC'и. Там где передается открытая информация - это можно не делать. По крайней мере я так понимаю термин целесообразно. Тем более что в данном случае речь ведется о WEB-сайт'ах, а они с точки зрения данного документа бывают 2х типов:
информационные - используются для распространения на постоянной основе сведений, характеризующих КО и их деятельность. WEB-сайты данного вида могут также использоваться как средство интерактивного взаимодействия с пользователями для получения от них той или иной информации или передачи информации в их адрес без проведения операций в рамках ДБО;

операционные - используются для осуществления клиентами КО банковских операций и сделок в рамках ДБО.

И в первом случае будет нецелесообразно применять СКЗИ.
« Последнее редактирование: 24 Февраля 2004, 00:36:34 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #14 : 24 Февраля 2004, 06:41:55 »

Цитировать
Чтобы ни было написано в этом документе дальше, банк и только банк решает что и как ему защищать.
В этом документе это прямо не записано, но между строк следует читать следующее: любой банк может проявлять самостоятельность, но излишне самостоятельный банк рискует лишиться лицензии ЦБ РФ на банковскую деятельность. Поскольку ЦБ РФ - вышестоящий в иерархии банков, то его просьбу следует расценивать уже как приказ. Ибо в России всегда действовал принцип "ты начальник - я дурак, я начальник - ты дурак".
Цитировать
Честно говоря меня поразила логика ваших рассуждений - вы так интересно трактуете этот документ, особенно пункты 3.7 и 3.8.
Я так трактую потому, что ЗНАЮ свойства информации. Отсюда следует и все остальное.
Не нравится моя трактовка - трактуйте по своему. Расставляйте свои акценты. Можете и так, как это сделал ЦБ РФ в этом документе. Я Вас убеждать не буду. Российские банки и так уже потеряли меня, как клиента.
« Последнее редактирование: 24 Февраля 2004, 06:54:27 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #15 : 24 Февраля 2004, 10:33:41 »

Цитировать
В этом документе это прямо не записано, но между строк следует читать следующее: любой банк может проявлять самостоятельность, но излишне самостоятельный банк рискует лишиться лицензии ЦБ РФ на банковскую деятельность. Поскольку ЦБ РФ - вышестоящий в иерархии банков, то его просьбу следует расценивать уже как приказ. Ибо в России всегда действовал принцип "ты начальник - я дурак, я начальник - ты дурак".
Я себе слабо представляю ситуацию: банк сделал так "как считал нужным" - и при этом нарушил хоть один пункт этих рекомендаций. Документ то "резиновый". Можно так, а можно этак. Сделать правильную систему и не нарушить ни одного пункта этого документа можно легко и непринужденно.
Цитировать
Я так трактую потому, что ЗНАЮ свойства информации. Отсюда следует и все остальное.
Не нравится моя трактовка - трактуйте по своему. Расставляйте свои акценты. Можете и так, как это сделал ЦБ РФ в этом документе. Я Вас убеждать не буду. Российские банки и так уже потеряли меня, как клиента.
Без проблем Urix, клиентов у нас хватает  Подмигивающий

А сухой остаток всего: доверяй, но проверяй.

P.S. Очень жаль что "не удалось заслушать начальника транспортного цеха" в лице CyberCop'a. Улыбающийся
« Последнее редактирование: 24 Февраля 2004, 11:53:13 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #16 : 24 Февраля 2004, 12:37:41 »

Цитировать
Сделать правильную систему и не нарушить ни одного пункта этого документа можно легко и непринужденно.
А для этого нужны СУКИ, а не ЖОР-ы или ЛОР-ы. С первыми в банках напряженка.
Цитировать
А сухой остаток всего: доверяй, но проверяй.
Ну такой примерчик, для затравки. Некто положил деньги в банк. Сидит себе дома, чаи гоняет, ждет, когда проценты вырастут. Подходит время снимать проценты, заходит по сети на операционный сайт банка, а счет закрыт. Он в банк, разбираться. А в банке ему говорят: уважаемый, это Вы сами два месяца назад закрыли счет через Internet. Секретное слово никто, кроме Вас, не знает. Значит, это сделали Вы. Извиняйте, если что не так. А будете тут руками махать, так мы еще и милицию вызовем. Или скорую помощь.
« Последнее редактирование: 24 Февраля 2004, 12:45:17 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #17 : 24 Февраля 2004, 12:41:41 »

Цитировать
Сделать правильную систему и не нарушить ни одного пункта этого документа можно легко и непринужденно.
А для этого нужны СУКИ, а не ЖОР-ы или ЛОР-ы. С первыми в банках напряженка.

Urix выражайтесь точнее плиз...
« Последнее редактирование: 24 Февраля 2004, 12:42:43 от Yeoman » Записан
Urix
Гость


E-mail
« Ответ #18 : 24 Февраля 2004, 12:46:35 »

ЖОР-ы - Жены Ответственных Работников
ЛОР-ы - Любовницы Ответственных Работников
СУКИ - Случайно Уцелевшие Квалифицированные Инженеры.
« Последнее редактирование: 24 Февраля 2004, 13:08:17 от Urix » Записан
Yeoman
Механик форума
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 354


Бритва Оккама, лучшее оружие в дебрях словоблудия


« Ответ #19 : 24 Февраля 2004, 13:03:04 »

ЖОР-ы - Жены Ответственных Работников
ЛОР-ы - Любовницы Ответственных Работников
СУКИ - Случайно Уцелевшие Квалифицированные Специалисты.
Забавная феня Улыбающийся
Цитировать
А для этого нужны СУКИ, а не ЖОР-ы или ЛОР-ы. С первыми в банках напряженка.

Со случайно уцелевшими тоже проблемы. В основном попадаются просто квалифицированные специалисты. Хотя согласен их немного и собрали их в основном в 30ке лучших банков.
Но отсутсвие специалистов это общая проблема. А не только банков.
« Последнее редактирование: 24 Февраля 2004, 13:03:56 от Yeoman » Записан
Страниц: 1 [2] 3   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines