1 марта, понедельник 03:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проводим самооценку по 382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проводим самооценку по 382-П

    Думаю, такую тему пора создавать и здесь же обсуждать спорные и непонятные формулировки вопросов.
    А то вопросы расползаются по разным темам.

  • #2
    В пункте 2.4.1 ................обеспечивают регистрацию лиц, обладающих правами: по осуществлению доступа к защищаемой информации;
    Кто имеется ввиду? Администраторы предоставляющие доступ или обычные сотрудники имеющие доступ к информации?

    Комментарий


    • #3
      Вы правы Berckut, тема важная. Проводить, выходит, надо в этом году. Но пока не ясно как.

      Комментарий


      • #4
        Самооценка по 382-П

        Коллеги, спасибо им, сделали файлик Excel.
        Заполните его с комментариями и напишите список того что есть и что нужно сделать (закладка "Певроочередные мероприятия").
        Затем составляете план (закладка "План") и осталось дело за малым - реализовать этот план.
        Сам файлик смотрите в архиве, заодно добавил в упрощенном виде список требований по 382-П.
        Вложения

        Комментарий


        • #5
          Уже сам закончил ваять таблицы оценки и тоже собирался выкладывать

          Идею с "планом" реализовал немного по-другому: добавил рядом ещё столбцы, чтобы сразу можно было прописать что необходимо сделать, и какая оценка станет, когда это будет сделано. Так сказать, сразу оценить перспективу от улучшений.

          P.S. Оценка сделана в редакции 3007-У.
          Вложения

          Комментарий


          • #6
            Спасибо за файлы, коллеги! Как я понимаю, их параметры соответствуют текущим требованиям к оценке по 382-П. С января вступит в силу ряд новых требований (3007-У), и тут возникает вопрос, по какой версии проводить оценку. Делать "сегодня", а потом делать снова в январе?

            Комментарий


            • #7
              Если подходить формально то делать надо по действующей редакции.
              Я собираюсь делать по новой. Надеюсь, это не будет воспринято, как нарушение.

              Комментарий


              • #8
                Коллеги, добрый день!

                Возникли сложности с требованием 101: Оператор по переводу денежных средств обеспечивает применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для выявления инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

                Подскажите, пожалуйста, исходя из собственного опыта, что здесь имеется ввиду? Кто о чем пишет?

                И еще один общий вопрос: в графе "Факторы, учитываемые при оценке..." насколько подробно необходимо расписывать обоснование? Достаточно ли, к примеру, просто привести названия документов, регламентирующих данное требование? Или нужно прямо расписывать досконально, что делается по данному направлению?

                Комментарий


                • #9
                  Сообщение от alex.a.fedorov Посмотреть сообщение
                  Коллеги, спасибо им, сделали файлик Excel.
                  Заполните его с комментариями и напишите список того что есть и что нужно сделать (закладка "Певроочередные мероприятия").
                  Затем составляете план (закладка "План") и осталось дело за малым - реализовать этот план.
                  Сам файлик смотрите в архиве, заодно добавил в упрощенном виде список требований по 382-П.
                  Положение о СЗИ есть шаблон дока?

                  Комментарий


                  • #10
                    Согласно п.2.4.1 382-П нам необходимо обеспечить регистрацию лиц, обладающих правами по:
                    - осуществлению доступа к защищаемой информации;
                    - управлению криптографическими ключами;
                    - воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств;
                    - формированию электронных сообщений.

                    Сначала я решил, что если у нас в локальных НПА написано, что всем выдаётся логин/пароль, а доступ к ресурсам назначается по служебной записке, то этого будет достаточно. Но потом посмтрел с другой стороны: а не означает ли это, что в локальных НПА должны быть прописаны такие роли, а в служебках должно быть прямо указано, что именно такие роли назначаются пользователю? Учитывая, что если требование отсутствует в локальном НПА, то итоговая оценка за параметр будет 0, при такой трактовке параметры 1-7 оценки соответствия получат нули.

                    Комментарий


                    • #11
                      Добрый день. Нужна помощь с пунктами 2.6.5 и 2.6.6

                      2.6.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для:
                      контроля физического доступа к объектам информационной инфраструктуры (за исключением банкоматов, платежных терминалов и электронных средств платежа), сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, а также доступа в здания и помещения, в которых они размещаются;
                      предотвращения физического воздействия на средства вычислительной техники, эксплуатация которых обеспечивается оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры и которые используются для осуществления переводов денежных средств (далее - средства вычислительной техники), и телекоммуникационное оборудование, эксплуатация которого обеспечивается оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры и которое используется для осуществления переводов денежных средств (далее - телекоммуникационное оборудование), сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа;
                      регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения.

                      2.6.6. В случае принятия оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, указанных в подпункте 2.6.5 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение указанных организационных мер защиты информации и (или) использование указанных технических средств защиты информации.


                      Я не могу понять... Для исполнения п. 2.6.5 необходим документ, где будет написано: "Так и так, мы решили использовать СКУД в банке"? А уже для 2.6.6 необходим документ, в котором будет написано как именно мы будем эту самую СКУД использовать?

                      Комментарий


                      • #12
                        Сообщение от Ortodont Посмотреть сообщение
                        Добрый день. Нужна помощь с пунктами 2.6.5 и 2.6.6

                        2.6.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для:
                        контроля физического доступа к объектам информационной инфраструктуры (за исключением банкоматов, платежных терминалов и электронных средств платежа), сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, а также доступа в здания и помещения, в которых они размещаются;
                        предотвращения физического воздействия на средства вычислительной техники, эксплуатация которых обеспечивается оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры и которые используются для осуществления переводов денежных средств (далее - средства вычислительной техники), и телекоммуникационное оборудование, эксплуатация которого обеспечивается оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры и которое используется для осуществления переводов денежных средств (далее - телекоммуникационное оборудование), сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа;
                        регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения.

                        2.6.6. В случае принятия оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, указанных в подпункте 2.6.5 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение указанных организационных мер защиты информации и (или) использование указанных технических средств защиты информации.


                        Я не могу понять... Для исполнения п. 2.6.5 необходим документ, где будет написано: "Так и так, мы решили использовать СКУД в банке"? А уже для 2.6.6 необходим документ, в котором будет написано как именно мы будем эту самую СКУД использовать?
                        никто не запрещает это совместить в одном документе...
                        Мы продолжаем делать то, что мы уже много наделали

                        Комментарий


                        • #13
                          Сообщение от George-on-Don Посмотреть сообщение
                          никто не запрещает это совместить в одном документе...
                          Ну либо так сделать, да. Вот сам факт выполнения п. 2.6.5 в чем заключается? Именно в фразе:"Мы подумали, посовещались и пришли к выводу, что нам нужна СКУД"? Нужно ли расписывать обоснование того, почему мы поставили СКУД и построили забор вокруг банка?

                          Комментарий


                          • #14
                            Сообщение от Ortodont Посмотреть сообщение
                            Ну либо так сделать, да. Вот сам факт выполнения п. 2.6.5 в чем заключается? Именно в фразе:"Мы подумали, посовещались и пришли к выводу, что нам нужна СКУД"? Нужно ли расписывать обоснование того, почему мы поставили СКУД и построили забор вокруг банка?
                            ну можете и так)) как предложили)) но надо все же наверное написать что то "умное" например, в Политике ИБ банка в разделе "политика использования СКЗИ" укажите что для таких то целей, и для таких то процессов банковских -платежных, технологических ОБЯЗАТЕЛЬНО использование СКЗИ и сошлитесь на ФЗ, ЦБ, и на весь мир враждебный)..., а потом разработайте что то вроде - "инструкции по установке и использованию СКЗИ" где укажите как и каким образом эти СКЗИ в банке используются....
                            или издайте "Приказ об использовании в банке СКЗИ" или пусть решение об использовании СКЗИ будет принято коллегиальным органом - соответствующим - например комитетом по управлению информационной безопасности, или Правлением банка... вариантов много...
                            Мы продолжаем делать то, что мы уже много наделали

                            Комментарий


                            • #15
                              Сообщение от George-on-Don Посмотреть сообщение
                              ну можете и так)) как предложили)) но надо все же наверное написать что то "умное" например, в Политике ИБ банка в разделе "политика использования СКЗИ" укажите что для таких то целей, и для таких то процессов банковских -платежных, технологических ОБЯЗАТЕЛЬНО использование СКЗИ и сошлитесь на ФЗ, ЦБ, и на весь мир враждебный)..., а потом разработайте что то вроде - "инструкции по установке и использованию СКЗИ" где укажите как и каким образом эти СКЗИ в банке используются....
                              или издайте "Приказ об использовании в банке СКЗИ" или пусть решение об использовании СКЗИ будет принято коллегиальным органом - соответствующим - например комитетом по управлению информационной безопасности, или Правлением банка... вариантов много...
                              Ага, идею ухватил. Спасибо большое) И сразу еще вопрос, приводящий в ступор. Пункт 2.8.1
                              При использовании сети Интернет для осуществления переводов денежных средств оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают снижение тяжести последствий от воздействий на объекты информационной инфраструктуры с целью создания условий для невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств. Расписать перечень мероприятий в плане ОНиВД?

                              Комментарий


                              • #16
                                Сообщение от Ortodont Посмотреть сообщение
                                Добрый день. Нужна помощь с пунктами 2.6.5 и 2.6.6
                                ...
                                Я решил, что это не что иное, как результат оценки рисков или план защиты.

                                Комментарий


                                • #17
                                  В одной из веток мелькала фраза А.Лукуцкого: "Оценка соответствия по приложениям 382-П нужна только для ЦБ. ОПС могут у вас попросить результаты оценки по своим требованиям." (http://bankir.ru/dom/threads/112145-...1#post30497040).

                                  Исходя из этого утверждения, в область внимания оценки соответствия входят только внутренние АБСки+интернет-банки+(в случае, если это явно указано)банкоматы-терминалы+Арм обмена с ЦБ. Объекты же инфраструктуры, посредством которых осуществляется обмен с системами мгновенных ден. переводов, с международными ПС - остаются за пределами оценки соответствия.
                                  Давайте обсудим этот вопрос!

                                  Комментарий


                                  • #18
                                    Сообщение от vilis Посмотреть сообщение
                                    В одной из веток мелькала фраза А.Лукуцкого: "Оценка соответствия по приложениям 382-П нужна только для ЦБ. ОПС могут у вас попросить результаты оценки по своим требованиям." (http://bankir.ru/dom/threads/112145-...1#post30497040).

                                    Исходя из этого утверждения, в область внимания оценки соответствия входят только внутренние АБСки+интернет-банки+(в случае, если это явно указано)банкоматы-терминалы+Арм обмена с ЦБ. Объекты же инфраструктуры, посредством которых осуществляется обмен с системами мгновенных ден. переводов, с международными ПС - остаются за пределами оценки соответствия.
                                    Давайте обсудим этот вопрос!
                                    Одно другому не мешает, ведь ОПС могут быть зарегистрированными субъектами платежных систем. Да и банк по прежнему остается оператором по переводу денежных средств, другими словами, и ЦБ по 382-П оценит, и ОПС свои требования выставят и потребуют исполнять.

                                    Комментарий


                                    • #19
                                      Может, легкий вопрос, но все же... Каким образом вы выполняете этот пункт: Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников, получивших новую роль, связанную с применением организационных мер защиты информации или использованием технических средств защиты информации? Положение об обучении есть, там это прописано. Но вот как отделу ИБ проконтролировать сам момент получения работником роли, связанной с системой защиты?

                                      Комментарий


                                      • #20
                                        Сообщение от Ortodont Посмотреть сообщение
                                        Может, легкий вопрос, но все же... Каким образом вы выполняете этот пункт: Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников, получивших новую роль, связанную с применением организационных мер защиты информации или использованием технических средств защиты информации? Положение об обучении есть, там это прописано. Но вот как отделу ИБ проконтролировать сам момент получения работником роли, связанной с системой защиты?
                                        назначайте сотрудников приказом на "новые роли"
                                        Мы продолжаем делать то, что мы уже много наделали

                                        Комментарий


                                        • #21
                                          Сообщение от Ortodont Посмотреть сообщение
                                          Может, легкий вопрос, но все же... Каким образом вы выполняете этот пункт: Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников, получивших новую роль, связанную с применением организационных мер защиты информации или использованием технических средств защиты информации? Положение об обучении есть, там это прописано. Но вот как отделу ИБ проконтролировать сам момент получения работником роли, связанной с системой защиты?
                                          У нас все средства защиты являются стандартными за исключением машин с криптографией, поэтому отдельный инструктаж проводится только при выдаче ключей (назначении ролей, связанных с использованием СКЗИ). А так как выдачей ключей занимаюсь я, то и инструктаж провожу я. После инструктажа работник расписывается в журнале. Порядок ведения журналов проверяет СВК.

                                          Комментарий


                                          • #22
                                            Сообщение от alex.a.fedorov Посмотреть сообщение
                                            Сам файлик смотрите в архиве, заодно добавил в упрощенном виде список требований по 382-П.
                                            Alex, у вас там фигурирует положение об антифроде. Поделитесь, что планируете в него писать.

                                            Также не очень понятно, как реализовать требования п.80 (п.2,10,4) "обеспечивают сверку выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе" и п.80 (п.2,10,4) "обеспечивают выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации

                                            Комментарий


                                            • #23
                                              А как можно выполнить этот пункт: п. 26 (2.6.3) При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов.? Сотрудники из департамента банковских карт предлагают поставить пароли на банкоматную винду. Я сам в этом очень плохо разбираюсь, поэтому нужен совет.

                                              Комментарий


                                              • #24
                                                Сообщение от Ortodont Посмотреть сообщение
                                                А как можно выполнить этот пункт: п. 26 (2.6.3) При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов.? Сотрудники из департамента банковских карт предлагают поставить пароли на банкоматную винду. Я сам в этом очень плохо разбираюсь, поэтому нужен совет.
                                                и не только пароли но и уникальный логин для каждого пользователя... (если это возможно в каждом конкретном терминале/банкомате)
                                                Мы продолжаем делать то, что мы уже много наделали

                                                Комментарий


                                                • #25
                                                  Сообщение от George-on-Don Посмотреть сообщение
                                                  и не только пароли но и уникальный логин для каждого пользователя... (если это возможно в каждом конкретном терминале/банкомате)
                                                  Ладно, нагрузим ребят, пусть работают. Еще вопрос созрел. В 382-П есть несколько пунктов, которые относятся только к операторам платежной системы. Например, п. 72 (2.10.2).Оператор платежной системы определяет порядок применения организационных мер защиты информации и (или) использования технических средств защиты информации, используемых при проведении операций обмена электронными сообщениями и другой информацией при осуществлении переводов денежных средств . То есть оператор платежной системы должен определить некие свои правила игры. А по п. 73 (2.10.2) оператор по переводу денежных средств (банк), должен играть по этим правилам, грубо говоря. Есть еще несколько пунктов. Те ОПС, с которыми мы работаем, требования выдвигают, но они почти полностью копируют текст 382-П. Вот можно ли создать некий документ "Взаимодействие с операторами платежных систем"? Расписать там какой ОПС чего хочет, когда отчеты ему посылать и т.д. Этим документов можно будет закрыть сразу несколько пунктов.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Ortodont Посмотреть сообщение
                                                    А как можно выполнить этот пункт: п. 26 (2.6.3) При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов.? Сотрудники из департамента банковских карт предлагают поставить пароли на банкоматную винду. Я сам в этом очень плохо разбираюсь, поэтому нужен совет.
                                                    Пишешь в своём внутреннем документе:
                                                    Доступ к ресурсам ... возможен только после прохождения процедур идентификации, аутентификации и авторизации.
                                                    Для идентификации каждому работнику присваивается уникальное имя, под которым он регистрируется в ... .
                                                    Аутентификация производится посредством паролей, либо, при наличии технической возможности, могут использоваться токены, смарт-карты, сертификаты и иные средства аутентификации. Первоначальный пароль получается работником ... . Смена паролей ... с периодичностью ... .
                                                    После аутентификации проводится процедура авторизации – наделение правами доступа к ресурсам ... в соответствии с правами, установленными в базах данных пользователей и их авторизационной информацией. Неавторизованный пользователь доступ к ресурсам ... получить не может.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Ortodont Посмотреть сообщение
                                                      Ладно, нагрузим ребят, пусть работают. Еще вопрос созрел. В 382-П есть несколько пунктов, которые относятся только к операторам платежной системы. Например, п. 72 (2.10.2).Оператор платежной системы определяет порядок применения организационных мер защиты информации и (или) использования технических средств защиты информации, используемых при проведении операций обмена электронными сообщениями и другой информацией при осуществлении переводов денежных средств . То есть оператор платежной системы должен определить некие свои правила игры. А по п. 73 (2.10.2) оператор по переводу денежных средств (банк), должен играть по этим правилам, грубо говоря. Есть еще несколько пунктов. Те ОПС, с которыми мы работаем, требования выдвигают, но они почти полностью копируют текст 382-П. Вот можно ли создать некий документ "Взаимодействие с операторами платежных систем"? Расписать там какой ОПС чего хочет, когда отчеты ему посылать и т.д. Этим документов можно будет закрыть сразу несколько пунктов.
                                                      Перечень отчётов, кому и когда какой пердоставлять должен вестись у вас в СВК.
                                                      Для оператора ПС обычно предоставляется акт готовности к обмену электронными сообщениями, где прописывается, что все меры, определённые договором, выполнены.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Berckut Посмотреть сообщение
                                                        Перечень отчётов, кому и когда какой пердоставлять должен вестись у вас в СВК.
                                                        Для оператора ПС обычно предоставляется акт готовности к обмену электронными сообщениями, где прописывается, что все меры, определённые договором, выполнены.
                                                        Спасибо, поспрашиваю их по поводу ОПС. Посмотрим, что они скажут.

                                                        Комментарий


                                                        • #29
                                                          И снова добрый день. Вопрос по пп. 107-110. Я не понимаю этот язык бюрократии. 107 пункт (не буду текст копировать сюда, с вашего позволения) относится в операторам платежной системы. Они должны распределить обязанности по определению порядка защиты (О, великий русский язык). Банк в 108 пункте должен понять, что именно от него хочет ОПС, в 109 - выполнить то, что хочет ОПС, в 110 - проконтролировать то, что хочет ОПС. Я все верно понимаю? И если ОПС в своих правилах никак не отражает то, что от него требуется в 107 пункте, что тогда делать? Или может я не там ищу?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Ortodont Посмотреть сообщение
                                                            И снова добрый день. Вопрос по пп. 107-110. Я не понимаю этот язык бюрократии. 107 пункт (не буду текст копировать сюда, с вашего позволения) относится в операторам платежной системы. Они должны распределить обязанности по определению порядка защиты (О, великий русский язык). Банк в 108 пункте должен понять, что именно от него хочет ОПС, в 109 - выполнить то, что хочет ОПС, в 110 - проконтролировать то, что хочет ОПС. Я все верно понимаю? И если ОПС в своих правилах никак не отражает то, что от него требуется в 107 пункте, что тогда делать? Или может я не там ищу?
                                                            У какждого банка есть как минимум один ОПС, который уже определил порядок защиты - это ЦБ

                                                            Комментарий

                                                            Обработка...
                                                            X