5 июня, пятница 07:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проводим самооценку по 382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от Berckut Посмотреть сообщение
    У какждого банка есть как минимум один ОПС, который уже определил порядок защиты - это ЦБ
    Про ЦБ разговора и нет, не уточнил сразу. С ЦБ все понятно... Как ЦБ сказал, так мы и пляшем. Я про другие ОПС... Ну в целом я правильно понимаю смысл пунктов 107-110?

    Комментарий


    • #32
      Сообщение от Ortodont Посмотреть сообщение
      Про ЦБ разговора и нет, не уточнил сразу. С ЦБ все понятно... Как ЦБ сказал, так мы и пляшем. Я про другие ОПС... Ну в целом я правильно понимаю смысл пунктов 107-110?
      Да.
      Многие Платёжные системы уже тоже зарегистировались и Правила свои опубликовали, включая требования по предоставлению им отчётности.

      Комментарий


      • #33
        Вопрос по п.20:
        Оператор по переводу денежных средств обеспечивает применение некриптографических средств защиты информации от несанкционированного доступа, В ТОМ ЧИСЛЕ прошедших в установленном порядке процедуру оценки соотвестствия.

        Лично мне не понятна фраза "в том числе". "Прошедшие процедуру соответствия" это обязательное требование к средствам некриптографической защиты информации или просто так сказать совет? И хватит ли наличия в банке банального входа в систему по индивидуальному логину/паролю?
        Последний раз редактировалось Ярослав В.; 23.10.2013, 13:45.

        Комментарий


        • #34
          По п.38 "Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение хищений носителей защищаемой информации." сможет кто подсказать? Я так понимаю это в том числе и защита резервных копий. Что ещё?

          Комментарий


          • #35
            По п.78 "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями"
            Я так понимаю это относится к системе ДБО? или не только. Не совсем понятно, как обеспечивать двухстороннюю аутентификацию. Клиенты в ДБО подписывают платёжки. А со стороны Банка, как я понимаю, только сертификат на сайте?

            Комментарий


            • #36
              Пункт 2.4.3
              Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль и регистрацию действий лиц, которым назначены роли, определенные в подпункте 2.4.1 пункта 2.4 настоящего Положения

              С регистрацией понятно. А что подразумевается под контролем?

              Комментарий


              • #37
                sam_ib, у ключа ЭП всегда есть открытая и закрытая части.

                Комментарий


                • #38
                  Сообщение от sam_ib Посмотреть сообщение
                  По п.38 "Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение хищений носителей защищаемой информации." сможет кто подсказать? Я так понимаю это в том числе и защита резервных копий. Что ещё?
                  Я думаю хранение копий в охраняемых помещениях с ОПС и СКУД (или опечатыванием) в несгораемых сейфах, физическая охрана и доступ в серверную, видеонаблюдение и т.д....

                  Комментарий


                  • #39
                    Rubaka, спасибо. Аутентификация - это процедура проверки подлинности. Как я понял - Вы имеете ввиду, что клиент подписывает ключом электронной подписи платёжку , а банк ключом проверки электронной подписи проверяет её - это является аутентификацией клиента. А со стороны банка?

                    Комментарий


                    • #40
                      Сообщение от Digreon Посмотреть сообщение
                      Пункт 2.4.3
                      Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль и регистрацию действий лиц, которым назначены роли, определенные в подпункте 2.4.1 пункта 2.4 настоящего Положения

                      С регистрацией понятно. А что подразумевается под контролем?
                      Периодические проверки службы ИБ. По идее всего, где имеется доступ к защищаемым ресурсам. А это могут быть: ключи СКЗИ, права юзверей в АБС, админские действия на серваках платёжных процессов, отправка электронных сообщений и т.д.

                      Комментарий


                      • #41
                        Сообщение от surfer Посмотреть сообщение
                        Периодические проверки службы ИБ. По идее всего, где имеется доступ к защищаемым ресурсам. А это могут быть: ключи СКЗИ, права юзверей в АБС, админские действия на серваках платёжных процессов, отправка электронных сообщений и т.д.
                        Понятно. Т.е. в идеале это должно быть прописано в каком-нибудь документе. по менеджменту ИБ, например. + журнал проверок?

                        Комментарий


                        • #42
                          Сообщение от Digreon Посмотреть сообщение
                          Понятно. Т.е. в идеале это должно быть прописано в каком-нибудь документе. по менеджменту ИБ, например. + журнал проверок?
                          Мне кажется, что под регистрацией действий лиц подрозумевается ещё и логировании действий пользователей (какое-нибудь СЗИ от НСД наподобие даллас лока) плюс переодическая проверка службой ИБ логов (контроль). Поправьте меня если не прав.

                          Комментарий


                          • #43
                            sam_ib,
                            +1

                            Комментарий


                            • #44
                              Сообщение от Digreon Посмотреть сообщение
                              Понятно. Т.е. в идеале это должно быть прописано в каком-нибудь документе. по менеджменту ИБ, например. + журнал проверок?
                              Не знаю, у кого как. Я прописал в Политике. План проверок на год утверждаю. Журнала проверок нет - есть отчёты, которые доводятся до руководства и куратора по ИБ.

                              Комментарий


                              • #45
                                можете скинуть самооценку на ящик rusik-ag@mail.ru

                                Комментарий


                                • #46
                                  помогите с самооценкой скоро проверка скиньте плиз черновой вариант , я под наш КО сделаю..... rusik-ag@mail.ru

                                  Комментарий


                                  • #47
                                    Дамы и господа, хотелось бы услышать мнение по поводу следующего вопроса: в любом случае, банк является ОПДС в нескольких платежных системах, каким образом тогда вы проверяете и выставляете общую оценку по выполнению требования 382-П. То есть например, по п.1 382-П Банк обеспечивает регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации. При этом в Банке утверждена политика по назначению прав доступа, в которой прописаны требования по регистрации действий сотрудников и тд. в общем для Банка. Если же рассуждать логически необходимо ли создавать по каждой ПС с которой Банк работает отдельный локальный документ, где подробно описывать регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации в рамках конкретной ПС или общего регламента и приказов о назначении будет достаточно для отчета в Банк России? аналогично и с другими требованиями. Благодарю!

                                    Комментарий


                                    • #48
                                      Сообщение от Rusik Посмотреть сообщение
                                      можете скинуть самооценку на ящик rusik-ag@mail.ru
                                      А этот вариант Вам не подходит?

                                      Комментарий


                                      • #49
                                        Сообщение от Natali_Os Посмотреть сообщение
                                        Дамы и господа, хотелось бы услышать мнение по поводу следующего вопроса: в любом случае, банк является ОПДС в нескольких платежных системах, каким образом тогда вы проверяете и выставляете общую оценку по выполнению требования 382-П. То есть например, по п.1 382-П Банк обеспечивает регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации. При этом в Банке утверждена политика по назначению прав доступа, в которой прописаны требования по регистрации действий сотрудников и тд. в общем для Банка. Если же рассуждать логически необходимо ли создавать по каждой ПС с которой Банк работает отдельный локальный документ, где подробно описывать регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации в рамках конкретной ПС или общего регламента и приказов о назначении будет достаточно для отчета в Банк России? аналогично и с другими требованиями. Благодарю!
                                        ИМХО Политика может быть и одна, а документы более низкого уровня - для каждой ПС свои. Пока нет прецедентов и разъяснений от ЦБ по 382-П - каждый считает так, как ему выгодно )))
                                        Удачи!

                                        Комментарий


                                        • #50
                                          Читаю журнал BIS journal в котором говорится что Банк России перенес сроки проведения первой самооценки с 1 июля 2014 на конец 2013. Это правда?

                                          Комментарий


                                          • #51
                                            Сообщение от Ярослав В. Посмотреть сообщение
                                            Читаю журнал BIS journal в котором говорится что Банк России перенес сроки проведения первой самооценки с 1 июля 2014 на конец 2013. Это правда?
                                            Это правда. Все операторы по переводу ДС должны завершить самооценку до 31 декабря 2013 года и не позднее 30 дней с дня завершения самооценки представит в ТУ отчет по ф 0403202.
                                            Указание Банка России от 21 июня 2013 г. N 3024-У
                                            Изменения вступают в силу по истечении 180 дней после дня официального опубликования названного Указания в "Вестнике Банка России"

                                            Комментарий


                                            • #52
                                              Думаю заканчивать с отчетностью, и встал вопрос с документальным оформление. Правильно ли я понимаю что необходимо сделать приказом рабочую группу, разработать план самооценки ( где будет указанна собственно цель, роли рабочей группы, порядок мероприятий и сроки) , потом отчет. Или я что то упустил?

                                              Комментарий


                                              • #53
                                                Сообщение от surfer Посмотреть сообщение
                                                ИМХО Политика может быть и одна, а документы более низкого уровня - для каждой ПС свои. Пока нет прецедентов и разъяснений от ЦБ по 382-П - каждый считает так, как ему выгодно )))
                                                Удачи!
                                                Да, пока требований нету, конечно делай как хочешь, но хочется уж по правилам и по честному.

                                                А тогда если так-если будет общий какой то документ по конткретной ПС, то есть регламентирующий сразу несколько аспектов по конкретной ПС, а не только, как в примере, про регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации, но содержащий информацию про регистрацию различных лиц в том числе будет считаться за документ более низкого уровня и в совокупности с общей политикой по назначению прав доступа, в которой прописаны требования по регистрации действий сотрудников и тд. в общем для банка будет достаточно для закрытия этого требования? При условии, что эти лица назначены приказом и все выполняется в соответствии с этими внутренними документами?
                                                Или же есть еще какие то нюансы, которые нужно учитывать?
                                                спасибо за ответ!

                                                Комментарий


                                                • #54
                                                  А все внимательно прочитали п.2.1 из Приложения 1 к 382-П. Похоже ЦБ подложил знатную плюху!
                                                  Оценки 0.5 - 0.75 выставляются, если применяются организационные ИЛИ технические средства защиты.
                                                  Оценка 1 выставляются, если применяются организационные И технические средства защиты.

                                                  Комментарий


                                                  • #55
                                                    Сообщение от Ярослав В. Посмотреть сообщение
                                                    Вопрос по п.20:
                                                    Оператор по переводу денежных средств обеспечивает применение некриптографических средств защиты информации от несанкционированного доступа, В ТОМ ЧИСЛЕ прошедших в установленном порядке процедуру оценки соотвестствия.

                                                    Лично мне не понятна фраза "в том числе". "Прошедшие процедуру соответствия" это обязательное требование к средствам некриптографической защиты информации или просто так сказать совет? И хватит ли наличия в банке банального входа в систему по индивидуальному логину/паролю?
                                                    Тоже интересует этот пункт, поделитесь пжл советом, кто что писал?

                                                    Комментарий


                                                    • #56
                                                      Сообщение от Lelya1515 Посмотреть сообщение
                                                      Тоже интересует этот пункт, поделитесь пжл советом, кто что писал?
                                                      Аккорд, Даллас лок...

                                                      Комментарий


                                                      • #57
                                                        2.5.5 Оператор по переводу денежных средств обеспечивает реализацию запрета использования защищаемой информации на стадии создания объектов информационной инфраструктуры.
                                                        Что под этим имеется ввиду?

                                                        Комментарий


                                                        • #58
                                                          Сообщение от Ярослав В. Посмотреть сообщение
                                                          2.5.5 Оператор по переводу денежных средств обеспечивает реализацию запрета использования защищаемой информации на стадии создания объектов информационной инфраструктуры.
                                                          Что под этим имеется ввиду?
                                                          Имеется в виду то , что в жизненном цикле допустим АБС не участвуют данные клиентов, такие как номера карт, фио и тд.

                                                          Комментарий


                                                          • #59
                                                            П 2.7.1. Оператор по переводу денежных средств обеспечивает использование технических средств защиты информации от воздействия вредоносного кода на средствах вычислительной техники, включая банкоматы, платежные терминалы, при наличии технической возможности
                                                            Антивирус это техническое средство защиты от вредоносного программного обеспечения?
                                                            И если не техническое то какое средство является техническим?

                                                            Комментарий


                                                            • #60
                                                              Сообщение от Ярослав В. Посмотреть сообщение
                                                              П 2.7.1. Оператор по переводу денежных средств обеспечивает использование технических средств защиты информации от воздействия вредоносного кода на средствах вычислительной техники, включая банкоматы, платежные терминалы, при наличии технической возможности
                                                              Антивирус это техническое средство защиты от вредоносного программного обеспечения?
                                                              И если не техническое то какое средство является техническим?
                                                              Если я правильно понял, то технические - это все за исключением криптографических.

                                                              Комментарий

                                                              Обработка...
                                                              X