29 ноября, воскресенье 16:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вирусная атака, отражение в форме 3203

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вирусная атака, отражение в форме 3203

    Добрый день, комрады.
    Вчера была вирусная атака (Шифратор).
    Пошифровал некоторое количество документов- локализован, данные восстановлены.
    До АБС, карт и т.п. не добрался- надо ли будет указывать инцидент в форме 3203, если да то какой тип.
    Заранее спасибо за ответ.

  • #2
    Если только из советов преподавателя, лекции которого прослушала в начале декабря в Москве.
    То такой вопрос тоже поднимали.

    //Все действия должны быть документированы

    Если к потерям не привело, локализовали, - оформить как "Событие" во внутренних документах, провести внутреннее расследование.
    затем отчет о проведенных работах, и пересмотреть меры по защите (пересмотреть модель угроз в т.ч.) и т.д.

    Если бы последствия были куда серьезнее, повреждение данных, Бд и т.д. -"Инцидент" - 203ф и т.д.

    Комментарий


    • #3
      Есть ещё одно мнение: Если пострадал компьютер, который не является объектом информационной инфраструктуры осуществляющим перевод денежных средств, то можно не включать. Надо только в справке или служебке какой-нить про это указать, чтобы было понятно, почему информация не направлялась.

      Но на самом деле проще включить и отправить. При проверке ЦБ мороки точно меньше будет.

      Комментарий


      • #4
        По 382 есть ограниченный список событий, которые относятся к инцидентам, их всего 3:
        1 - событие привело к несвоевременности переводов
        2 - событие привело или могло привести к переводу лицами, не имеющими на это права
        3 - событие привело к подмене информации в платёжке.
        На мой взгляд, ни к одному из событий шифровальщики отношения не имеют, т.е. формально не являются инцидентами ИБ при переводе денежных средств.
        Но если при этом для лечения вирусного заражения Банк был вынужден остановить платежи и в сроки, оговорённые законодательством или договорами с платёжными системами, не мог обеспечить переводы, то тогда да, это инцидент. Хотя если в целом по Банку переводы отправлялись, просто одна-две-три рабочих станции не работали, то никакими правилами не установлено, сколько компьютеров должно использоваться при переводах.
        ИМХО: если не добрался до АБС, карт, систем переводов и т.п., все переводы в целом по Банку уходили/приходили вовремя - в терминах 382-П это не инцидент.

        Комментарий


        • #5
          если привело к необходимости остановки переводов ден.средств,то указывать надо(т.к. ЦБ эту остановку зафиксирует и задаст Вам вопросы).
          а если сами все почистили в рабочем режиме,без прерываний платежного процесса-зачем указывать?

          Комментарий

          Обработка...
          X