5 июня, пятница 06:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проводим самооценку по 382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Berckut Посмотреть сообщение
    По п.2.5.1 посылай их... учиться читать. Это категория 3, а значит никакого порядка не требуется, проверяется только выполнение. Т.е. в тех. заданиях должно быть что-то про ИБ.
    По п.2.5.3 должен быть какой-то внутренний документ, где прописан порядок создания объектов или ввода в эксплуатацию. Хорошо, если это документ ИТ, но и какой-нить порядок бухгалтерии сойдёт. В него надо включить что-то типа "служба ИБ проводит проверку выполнения требований и тоже расписывается в акте о приёмке работ (ввода в эксплуатацию).
    Ну кто кого будет учить читать это вопрос конечно интересный, особенно когда есть предписание от ЦБ
    Не смотря на то что это категория 3, ЦБ обычно ожидает что любое действие должно быть регламентировано, нет регламента, значит нет действия а дальше уже на усмотрение конкретного исполнителя.
    Поэтому, я бы написал некий порядок как Вы проверяете на соответсвие требованиям, хоть отдельным документом, хоть включить в "какой-то внутренний документ, где прописан порядок создания объектов или ввода в эксплуатацию". Ну и результат проверки тоже должен быть.

    Комментарий


    • Добрый день!
      Делаем повторную самооценку после проверки ЦБ. Интересно ваше заполнение п. 75 (2.10.4)
      "...обеспечивают защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации."
      Чем закрывали этот пункт?

      Комментарий


      • Сообщение от kbvlb Посмотреть сообщение
        Добрый день!
        Делаем повторную самооценку после проверки ЦБ. Интересно ваше заполнение п. 75 (2.10.4)
        "...обеспечивают защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации."
        Чем закрывали этот пункт?
        Согласно п. 5.22 Политики обеспечения ИБ при переводе денежных средств комплекс мер по обеспечению ИБ технологических процессов банка предусматривает защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения и ложной авторизации электронных сообщений, а также от несоответствия первичным документам и фактическому экономическому содержанию операций
        В банке используются различные СКЗИ, что обеспечивает защиту электронных сообщений от искажения и фальсификации. Для передачи данных используются защищенные каналы, либо протокол HTTPS, обеспечивающие защиту от несанкционированного ознакомления. Процедуры авторизации в системе Клиент-банк происходят по паролю и закрытому ключу пользователя
        При отправке ЭС в Банк России приходят квитанции о принятии и правильности проверки КА. В системе Клиент-банк так же имеется механизм подтверждения получения сообщений

        Комментарий


        • Коллеги, добрый день
          п. 2.6.3:
          "Оператор по переводу денежных средств определяет во внутренних документах:
          порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;
          перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;
          подлежащий регистрации идентификатор устройства;
          порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом подпункта 2.6.3 пункта 2.6 настоящего Положения
          "
          как отражали в документах? можете поделиться "рыбой"?

          Комментарий


          • Сообщение от junglets Посмотреть сообщение
            Коллеги, добрый день
            п. 2.6.3:
            "Оператор по переводу денежных средств определяет во внутренних документах:
            порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;
            перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;
            подлежащий регистрации идентификатор устройства;
            порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом подпункта 2.6.3 пункта 2.6 настоящего Положения
            "
            как отражали в документах? можете поделиться "рыбой"?
            Порядок предоставления услуг Интернет-банкинга и осуществления мониторинга его работы п. 9.6. Уникальный идентификатор клиента в системе «iBank 2» присваивается клиенту автоматически при регистрации. Перечень кодов действий клиентов определять не имеет смысла, т.к. в лог попадают все действия клиента в незакодированном виде. В качестве идентификатора устройства регистрации подлежит IP-адрес клиента и идентификатор ключа проверки ЭП клиента, по которому можно определить идентификатор аппаратного средства усиленной ЭП

            Комментарий


            • спасибо, принцип понял, попробую обыграть в доках

              Комментарий


              • Сообщение от Esin Посмотреть сообщение

                Табличка у Артема Агеева вроде актуальная http://www.itsec.pro/2014/09/382.html (Excel файл для самооценки по методике Положения Банка России 382-П v1.3)

                Если есть деньги в бюджете, то https://rvision.pro/modules/compliancemanager/
                Коллеги, пожалуйста, можете прислать хотя бы по почте данный файл Артема Агеева по Самооценке 382-П v1.3

                Пытаюсь скачать, по указанной ссылке и в других его блогах, где опубликована ссылка (явно на одном ресурсе загружен сам файл, не дает скачивать, пишет, файла нет).

                Было очень удобно его табличками осуществлять самооценку.

                Моя почта t.egorova@gmail.com

                Спасибо большое!

                Комментарий


                • Могу дать свой.
                  Оценку ставить "1" в соответствующей ячейке.
                  Делал свой не потому, что он лучше или хуже, а потому, что при оценке сразу делаю анализ, какие изменения надо внести и как это отразится на результате.
                  Ну или если хочется, то можно оценивать официальный уровень и реальный для себя
                  Вложения

                  Комментарий


                  • Сообщение от Berckut Посмотреть сообщение
                    Могу дать свой.
                    Оценку ставить "1" в соответствующей ячейке.
                    Делал свой не потому, что он лучше или хуже, а потому, что при оценке сразу делаю анализ, какие изменения надо внести и как это отразится на результате.
                    Ну или если хочется, то можно оценивать официальный уровень и реальный для себя
                    Спасибо большое!

                    Комментарий


                    • Всем привет! Хорошего дня!
                      Помогите пожалуйста подскажите, какая обосновывающая формулировка в 18.1,18.2,18.3,18.4,18.5,18.6, какие регулирующие документы использовать?!
                      Заранее спасибо!!!

                      Комментарий


                      • Ладно, я понял что по формулировкам самому придется разбираться у меня другой вопрос существует ли такое: "положение СЗИ" скиньте кто нибудь пожалуйста, а что весь инет обыскал не могу найти!!! Очень нужна помощь!

                        Комментарий


                        • perlos
                          По поводу п.п.18.1,18.2, я бы указал наименования следующих документов:
                          - в котором отражены требования. п.7.3. СТО БР, по обеспечению ИБ ЖЦ АБС;
                          - договора на поставку/сопровождение АБС/ДБО/ПО от операторов платежных систем;
                          - протоколы обновлений ПО (возможность их посмотреть)
                          - ссылку на актуальную инструкцию использования ДБО доступную для клиента.

                          "Положения СЗИ" за исключением СКЗИ (коих в и-нете навалом) никогда не встречал, т.к. они достаточно разнотипны.

                          Комментарий


                          • saches
                            Спасибо большое за ответы, очень признателен за посильную помощь!

                            Комментарий


                            • Доброго времени суток!
                              Произошло небольшое недопонимание с сотрудниками НБ в ряде пунктов 382, помогите пожалуйста с краткой формулировкой обоснования выставленной оценки по следующим пп:
                              2.7.5
                              2.16.2
                              2.17.2
                              2.18.1
                              2.18.6
                              Наименования каких документов указываете!
                              Заранее огромное спасибо!

                              Комментарий


                              • Сообщение от jokerd Посмотреть сообщение
                                Доброго времени суток!
                                Произошло небольшое недопонимание с сотрудниками НБ в ряде пунктов 382, помогите пожалуйста с краткой формулировкой обоснования выставленной оценки по следующим пп:
                                2.7.5
                                2.16.2
                                2.17.2
                                2.18.1
                                2.18.6
                                Наименования каких документов указываете!
                                Заранее огромное спасибо!
                                2.7.5 - Регламент антивирусной защиты и краткий список принимаемых мер из этого регламента.
                                2.16.2 - Письма. Каждый раз при проведении оценки соответствия вы должны были отправлять копии отчёта ещё и операторам платёжных систем, с которыми работаете.
                                2.17.2 - Я веду журнал (он же журнал инцидентов), где отмечаю, что тогда-то был принят новый нормативный акт, а провёл его проверку и принял решение, что никаких дополнительных мер принимать не надо. Или же отмечаю, что были внесены изменения в такие-то локальные нормативные акты.
                                2.18.1, 2.18.6 - Мне пока везёт, у нас нет ТУ ДБО.

                                Комментарий


                                • Дорогие коллеги! Будьте любезны, у кого есть, поделитесь пожалуйста положением о СЗИ, буду очень признателен!

                                  Комментарий


                                  • perlos
                                    Именно СЗИ? или СКЗИ?

                                    Комментарий


                                    • Уважаемые коллеги, поделитесь пожалуйста заполненным отчетом по 382-П, буду искренне благодарен!!!!

                                      Комментарий


                                      • Уважаемые коллеги, 2.4.3 Контроль и регистрация действий лиц, которым назначены роли, определенные в подпункте 2.4.1 пункта 2.4 настоящего Положения
                                        какие нормативные документы используете для обоснования? Подскажите пожалуйста!!!

                                        Комментарий


                                        • Сообщение от perlos Посмотреть сообщение
                                          Уважаемые коллеги, 2.4.3 Контроль и регистрация действий лиц, которым назначены роли, определенные в подпункте 2.4.1 пункта 2.4 настоящего Положения. какие нормативные документы используете для обоснования? Подскажите пожалуйста!!!
                                          Принципы распределения ролей, а так же контроль этих мероприятий, Вы можете изложить в соответствующей частной политике.

                                          Комментарий


                                          • Подскажите, а что у вас подразумевается под учетом объектов информационной инфраструктуры? До какой степени нужно описывать?
                                            Больше интересует учет СВТ. С ними затык есть небольшой.

                                            Комментарий


                                            • Sat_Kelman
                                              Насколько я представляю, в идеале, как и для 552-П. Т.е.:
                                              - перечень и описание объектов информационной инфраструктуры;
                                              - перечень программного обеспечения для каждого объекта информационной инфраструктуры.


                                              А что за затык? Если не секрет.

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                А что за затык? Если не секрет.
                                                Затык в учете. на прошлом месте работы у Ит была программка которая вела учет СВТ и ПО. Там велось все: имя компа, его ИП, номер, где стоит, кто за ним работает, и т.п.

                                                А на новом учета никакого нет, ИТ говорит есть инвентарный - значит учтено.

                                                Комментарий


                                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                                  ........А на новом учета никакого нет, ИТ говорит есть инвентарный - значит учтено.
                                                  Известный закос. Я у себя лечил это аргументом, что ЦБ своим 552-П разъясняет, что он хочет видеть по 382-П в части участка ПС БР, а вообще, всё то же самое надо делать по всем платежным системами и т.п., и намылил всё это в ИТ а копию в СВК/СВА.
                                                  Если СВК/СВА согласовывает предложение ИТ ограничится инвентарным номером, ну и хорошо. Просто ждем когда случится проверка.
                                                  А вообще же, это ж всё та же инвентаризация активов, которая требуется везде, и в 152-ФЗ, и в PCI DSS и в СТО БР что-то было на эту тему.

                                                  Комментарий


                                                  • Есть у кого нибудь Методические рекомендации по Положению Банка России от 24.08.2016 № 552-П от НП "НПС"?
                                                    https://www.plusworld.ru/professionals/388205-2/

                                                    Комментарий


                                                    • w3d, для получения Методических рекомендаций следует обращаться в НП «НПС» по телефону: +7 (495) 663-04-33 доб. 2021 или по адресу press@npc.ru к пресс-секретарю Наталии Трушиной.

                                                      Комментарий

                                                      Обработка...
                                                      X