21 октября, воскресенье 06:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Требования ЦБ к построению ИТ систем в банках

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Требования ЦБ к построению ИТ систем в банках

    Не подскажете, есть какие-нибудь нормативные акты, требования письма ЦБ о построении ИТ систем в банках. Типа, что и как должно устанавливаться и использоваться.
    Я кроме стандарта ЦБ "Обеспечение информационной безопасности..." (но это только рекомендуется, а не требуется) ничего не нашел.

    Заранее благодарен за ответы.

    PS: просьба сильно не пинать, искал везде, ничего путного, кроме общих слов не нашел.

  • #2
    и не найдете...
    1. Требования к безопасности в договаре с РКЦ.
    2. Требования к безопасности при работе с Банк-Клиентом.
    3. Требования к безопасности при работе SWIFT

    Остальное от беса. Но для проверяющих, например буржуйские аудиторские фирмы, этого не достаточно. Они задают вопросы по международным стандартам...

    PS: Нужно проходить сертификацию в ФСБ(раньше ФАБСИ) для работы с "крипто" - там вполне осмысленные требования...
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

    Комментарий


    • #3
      То есть реально это РКЦ-шные требования по машине для fastinfo. И все? (Про SWIFT не говорю - там все ясно и никакого отношения к ЦБ не имеет).
      А как-же АБС и пр? Вообще никак не регламентируется?

      Комментарий


      • #4
        по "большому" - не регламентируются... но это не мешает проверке написать десяток замечаний.
        Помнится на одной из такой проверок мы поговорили с проверяющим по поводу "Оранж бук". Давно это было, но проверяющий знал что это такое, и мы довольно быстро прониклись уважением друг к другу... вполне адекватные были и вопросы и ответы...
        Подавая сигналы в рог будь всегда справедлив, но строг. ©

        Комментарий


        • #5
          Romsan
          поговорили с проверяющим по поводу "Оранж бук"
          Везучий ты Мне такие не попадались

          Комментарий


          • #6
            Romsan
            Нужно проходить сертификацию в ФСБ(раньше ФАБСИ)
            Действительно требования там вполне реальные, если это касалось средств сертифицированных ими же.
            Всё остальное отрицалось в принципе. И собственно наш печальный опыт получения данной лицензии затребовал от нас определённых официальных бумаг о том что мы прекратим с ними (не лицензированнымм) взаимотношения в области поставки нам лицнзий криптозащиты.

            ps0
            ааднако ЦБ в этой области ничего противоестественного не говорил, интересовались библиотеками СКЗИ, получали ответ, и более вопросов не было.

            Так что до приёма или "предприёма" BASELII, ЦБ никаких требований насаждать не будет, ну а там посмотрим, всё еще неколько раз поменяется, ну а то что предлагают не лишено зерна истины.
            С уважением

            SunDog

            Комментарий


            • #7
              Сообщение от ps0
              Не подскажете, есть какие-нибудь нормативные акты, требования письма ЦБ о построении ИТ систем в банках.
              242-П, п. 3.5

              Комментарий


              • #8
                ps0
                Не подскажете, есть какие-нибудь нормативные акты, требования письма ЦБ о построении ИТ систем в банках.

                Обмен ЭД с РКЦ вот тут есть: 20-П
                "Единственный способ научиться играть лучше - играть с более сильным соперником!"

                Комментарий


                • #9
                  Спасибо всем. Понял, что все остается на расмотрение ЦБ аудита, а там как повезет...

                  Комментарий


                  • #10
                    Сообщение от ps0
                    Спасибо всем. Понял, что все остается на расмотрение ЦБ аудита, а там как повезет...
                    1. Перечень применяемых в Банке автоматизированных систем (АС) и программных комплексов, их состав и назначение.
                    2. Список систем, использующих СКЗИ.
                    3. Документация по внедрению (разработке или приобретению) автоматизированных систем и программных комплексов (договора, акты о тестировании и приеме в эксплуатацию).
                    4. Документы по сопровождению, доработке (модификации) и выводу из эксплуатации автоматизированных систем и программных комплексов.
                    5. Структурная схема сети.
                    6. Перечень применяемого телекоммуникационного оборудования, серверов, баз данных (с указанием модели СВТ, используемых операционных систем и прикладного программного обеспечения) автоматизированных систем.
                    7. Список используемых внешних каналов передачи данных, договора на их покупку/аренду.
                    8. Положение о подразделении информатизации (положения об отделах подразделения информатизации).
                    9. Положение о подразделении информационной безопасности (положения об отделах подразделения информационной безопасности).
                    10. Схема подчиненности подразделений информатизации и информационной безопасности.
                    11. Должностные инструкции руководителей и сотрудников подразделений информатизации и информационной безопасности.
                    12. Порядок ранжирования информации по степени ее конфиденциальности. Перечень защищаемой информации.
                    13. Политика информационной безопасности.
                    14. Документы, регламентирующие процедуры:
                    - администрирования телекоммуникационного оборудования, серверов, баз данных, ПЭВМ.
                    - антивирусной защиты;
                    - использования сети Интернет;
                    - резервного копирования информации, а также действий в непредвиденных обстоятельствах;
                    - криптографической защиты (для всех систем СКЗИ);
                    - удаленного доступа к сети (если есть);
                    - распределения прав пользователей в АС;
                    - ограничения физического и логического доступа к АС;
                    - организации парольной защиты.
                    15. Положение об администраторе информационной безопасности.
                    16. Справки, акты о проверках (проводимых подразделением безопасности и СВК) в части обеспечения информационной безопасности.
                    17. Лицензии на программное обеспечение (системное, прикладное, специальное).

                    Комментарий


                    • #11
                      К нам ЦБ прислал письмо с предложением добровольного "внедрения" Стандарта Банка России СТО БР ИББС-1.0-2006. Кто-нибудь уже делал что-нибудь в этом направлении?

                      Комментарий


                      • #12
                        amt
                        Попробуйте сначала себя оценить по указанной методике на сайте ЦБ . Там, кстати, написано, кто уже внедрял у себя стандарт.

                        Комментарий


                        • #13
                          Почитайте Р-609, наверняка полезное найдете.
                          Непонятно почему документ утратил силу так и не вступив.

                          Комментарий


                          • #14
                            Auburn Все это конечно интересно. Но по практике я могу судить, что внедрение стандарта должно быть заключено в генерировании некоторого числа нормативных документов, типа "список информационных ресурсов банка", "Положение об администраторе прикладной системы" и тому подобное. Генерирование текстов с нуля на основе достаточно абстрактных положений стандарта должно требовать значительных усилий, которые не могут быть оправданы в связи с тем, что каждый отдельный банк не является уникальным явлением природы, а создан и работает в строгом соответствии со множеством регламентирующих документов и это соответствие регулярно проверяется. То есть, я смею надеятся на то, что в природе должны существовать типовые тексты подобных положений и регламентов, или даже набор таких текстов, на основе которых каждый банк может легко сгенерировать свои и, исполняя их, соответствовать расматриваемому стандарту.

                            Очень хотелось бы заполучить такой набор.

                            Комментарий


                            • #15
                              amt
                              Очень хотелось бы заполучить такой набор.
                              Все что вы сказали - верно, и я полностью с вами согласен. И сейчас подумываю о необходимости покупки вот этой вещицы. Там же есть и про управление рисками, так что думаю, чтобы получить что-то наиболее приближенное к реалиям каждого банка и соответствующее требованиям(стандарту) ЦБ, для начала этого будет достаточно.
                              И советую просмотреть, как я понимаю, их вторую компанию, у них неплохая аналитика, может что-нибудь найдете для себя интересное..

                              Комментарий

                              Пользователи, просматривающие эту тему

                              Свернуть

                              Присутствует 1. Участников: 0, гостей: 1.

                              Обработка...
                              X