21 сентября, пятница 13:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Кейс. Обработка платежного поручения.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Кейс. Обработка платежного поручения.

    Предлагаю маленький практический кейс по ИА. Зубрам ИБ предлагаю показать класс, всем остальным (в том числе и мне) поучиться.
    На входе технологический процесс: Обработка платежного поручения (ПП) клиента.
    Некто приносит ПП в окошко Операциониста (О1).
    О проверяет ПП на платежеспособность (назовем это так):
    - сверяет подпись и печать с Карточкой подписей клиента
    - проверяет срок действия подписи
    - проверяет наличие блокировок по счету
    - проверяет наличие картотеки
    - проверяет остаток на счете

    Если все ОК, вводит документ в АБС. В этом месте идет проверка всяких прочих вещей - ключевание счета, банк получателя и т.д.

    О2 контролирует документ (двойной ввод) и переводит его в состояние готовности к отправке в МЦИ.


    Вопрос: что здесь ИА и кто их владельцы?

    У меня в ИА получается:
    Платежка, Карточка подписей,информация о состоянии счета, информация о картотеке, справочник НСИ, данные платежки в АБС.

    И что-то результат мне не кажется правильным. К тому же я затрудняюсь расставить владельцев.
    Чем больше связей, тем меньше степеней свободы.

  • #2
    ИМХО
    Что то мне подсказывает что ИА здесь являеться платежка(-платежная информация АБС), т.к. весь процес начинался от нее(клиент принес). Владельцем являеться операционист т.к она ее вбивает в АБС.
    Актив - Платежная информация АБС
    Владелец - Операционист

    Комментарий


    • #3
      barmalei, т.е. саму бумажку вы ИА не считаете? Хотя ее надо подшить в документы дня и хранить как зеницу ока?

      А почему вы исключили все источники информации, необходимые для принятия решения? Ведь если хотя бы один из них будет искажен, появитя угроза неправильного платежа.
      Чем больше связей, тем меньше степеней свободы.

      Комментарий


      • #4
        barmalei, т.е. саму бумажку вы ИА не считаете? Хотя ее надо подшить в документы дня и хранить как зеницу ока?
        Это описывается правилами хранения и обработки платежных документов.
        А почему вы исключили все источники информации, необходимые для принятия решения? Ведь если хотя бы один из них будет искажен, появитя угроза неправильного платежа.
        Это все вспомогательные средства.
        Я выделил актив, на основании которого осуществляеться перевод денег.
        Если рассматривать множество вспомогательных инструментов и варианты выхода их из строя - это будет тема другого поста..

        Комментарий


        • #5
          barmalei, а вот по 27001 к ИА относится информация входящая, исходящая, записи и ресурсы.
          Господа, у кого еще какие мнения?
          Чем больше связей, тем меньше степеней свободы.

          Комментарий


          • #6
            Давайте определимся, что такое информационный актив. Для меня это, совокупность информации, процесса, ее обрабатывающего, и физической формы ее представления (хранилища, например). Тройка информация, процесс, хранилище> - это отдельный информационный актив. При таком определении, например, платежное поручение на бумаге и в АБC - это два разных информационных актива (из-за разных форм хранения). Так что я бы рассматривал в качестве информационных активов бумажный архив платежек (вместе с той платежкой, которую принес клиент и которая быдет в этот архив пподшита), картотеку (вместе с карточкой данного клиента), АБС (вместе с данными этой платежки, поскольку они в АБС попадут).

            С архивом все относительно просто, его владельцем является скорее всего операционный департамант. Классифицировать платежку по конфиденциальности/целостности/досттупности мы можем.

            О картотеке мы из кейса знаем слишком мало, поскольку непонятно, она бумажная или электронная (или электронная, дуюлируемая бумажной). Нужна еще одна итерация, в которой этот вопрос прояснится. классифицировать карточки (и картотеку в целом) по конфиденциальности/целостности/досттупности мы можем.

            Об АБС мы из этого кейса не знаем ничего, кроме того, что в АБС фигурирует платежная информация. При этом мы догадываемся, что АБС - комплексная система, состоящая из нескольких компонент. На уровне этого кейса лезть в детали бессмысленно. После того, как будут рассмотрены ВСЕ кейсы, в которых фигурирует АБс, мы будем знать все виды информации, которые хранятся/обрабатываются в АБС. Тогда мы можем разбить АБС на компоненты и смотреть, в какие именно компоненты попаддает каждый из видов информации и классифицировать каждый кусок АБС отдельно.

            Что касается владельцев, то на основании кейса мы идентифицируем пользователя, но не владельца. Владельцем является тот, кто, грубо говоря, платит деньги за его работоспособность. Если картотекой и архивом платежек пользуется только операционный департамент, то он вполне может быть и владельцем этих активов. Про АБС мы ничего сказать не можем.

            Комментарий


            • #7
              Владелец АБС, как таковой - является председатель правления, а владельцев компонент можно найти по начальникам отдела, ответственных за компоненту.

              Комментарий


              • #8
                Сообщение от barmalei Посмотреть сообщение
                Владелец АБС, как таковой - является председатель правления
                Я бы не стал так категорично утверждать, разные бывают ситуации К примеру, очень часто банковские группы используют одну АБС (или одно ядро АБС) на всех

                Комментарий


                • #9
                  malotavr
                  О картотеке мы из кейса знаем слишком мало
                  Прошу извинить - под картотекой понимается 1 и 2 картотека Клиента. Т.е. остатки на 90901, 90902. Эта информация берется из АБС. Таким образом, исходя из вашего определения, относится к ИА АБС?
                  Карточка подписей - это карточка подписей клиента. Она хранится в Отделе открытия счетов, для удобства работы есть база со сканами этих карточек. Ответственность за ведение базы лежит на отделе открытия счетов.
                  Чем больше связей, тем меньше степеней свободы.

                  Комментарий


                  • #10
                    Да, относится, и в этом кейсе она участвует.

                    Комментарий


                    • #11
                      malotavr
                      После того, как будут рассмотрены ВСЕ кейсы, в которых фигурирует АБс, мы будем знать все виды информации, которые хранятся/обрабатываются в АБС. Тогда мы можем разбить АБС на компоненты и смотреть, в какие именно компоненты попаддает каждый из видов информации и классифицировать каждый кусок АБС отдельно.
                      Но классифицировать именно как различные ИА? Т.е. платежная информация, хранящася в АБС - это один ИА, информация о Клиенте - это другой ИА, информация об остатках на счетах - третий.. и т.д.?
                      Чем больше связей, тем меньше степеней свободы.

                      Комментарий


                      • #12
                        В общем случае - да. Все зависит от унгроз и возможности применять контрмеры.

                        Например, исказить информацию в бумажном платежном поручении очень сложно. При этом последствий почти не будет - после того, как платежка введена в АБС бумажный документ не используется.

                        Ту же информацию в АБС могут покривить многие, от пользователей до админов и разработчиков. Последствия могут быть самые разные, зависит от процессов - ошибки в выписках, в отчетности, проведена не та сумма или не тому получателю и т.п.

                        соответственно, у бумажного архива и АБС (даже если мы ограничимся только платежками) будут разные классы по целостности и доступности.

                        Комментарий


                        • #13
                          malotavr, бумажный документ очень важен в случае разрешения споров. Так что, класс по целостности, думаю, будет одинаковый.
                          А вот по доступности, действительно, разный. Бумажный документ помещаем в документы дня и в Архив. А электронная версия должна быть доступна в любой момент.

                          PS. Честно говоря, я надеялась, что обсуждающих будет несколько больше. В чем моя ошибка: элементарный вопрос, архи-сложный вопрос, никчемный вопрос? Ведь всем придется эти ИА так или иначе инвентаризировать.
                          Чем больше связей, тем меньше степеней свободы.

                          Комментарий


                          • #14
                            PS. Честно говоря, я надеялась, что обсуждающих будет несколько больше. В чем моя ошибка: элементарный вопрос, архи-сложный вопрос, никчемный вопрос? Ведь всем придется эти ИА так или иначе инвентаризировать.
                            Действительно странно, что так мало внимания. Ошибки тут явно никакой нет. Вопрос является одним из ключевых в процессе приведения ИБ к стандартам. Через это придется пройти почти каждому специалисту по ИБ в организации. За исключением тех, кто этот процесс уже завершил. Очень интересно, есть ли среди форумчан таковые? Если есть, то что им мешает поделиться опытом с коллегами? Начинать с нуля очень не просто...

                            Комментарий


                            • #15
                              Начинать с нуля очень не просто...
                              Как это верно, Ватсон.

                              После долгих мучений пришли к выводу, что ИА = информация + физический носитель. Как сюда malotavr подвязал еще и процесс, не знаю. Было бы интересно услышать полное определение.

                              Например, ИА - остатки на счетах клиента в СУБД АБС. Этот ИА работает в разных процессах, но остается одним и тем же ИА.

                              И теперь по кейсу у меня получаются ИА:
                              Платежное поручение - бумажный документ (владелец ОПЕРУ)
                              Платежное поручение - электронный документ (владелец ОПЕРУ)
                              Остатки на счетах клиента в АБС (владелец ОПЕРУ)
                              Карточка подписей - отдел открытия счетов
                              Нормативно справочная информация (напр. справочник БИК) - IT

                              Если ИА, лично у меня, появилась ясность в голове и я могу попробовать отстоять свою позицию, то с определением Владельца ИА пока все туго. Кто-нибудь даст определение Владельца ИА?
                              Чем больше связей, тем меньше степеней свободы.

                              Комментарий


                              • #16
                                Владелец актива является ответственным за:
                                A. обеспечение надлежащей классификации информации и активов, связанных со средствами обработки информации;
                                B. разграничение и периодический пересмотр ограничений и классификации доступа, принимая во внимание соответствующие политики контроля доступа.
                                Владение может быть применено к:
                                A. бизнес-процессу;
                                B. определенному набору действий;
                                C. приложению; или
                                D. определенному набору данных;

                                Комментарий


                                • #17
                                  barmalei, вы сказали за что отвечает владелец, но не как его определить. Как только я его найду, так сразу же и поручу пункты А и В
                                  Чем больше связей, тем меньше степеней свободы.

                                  Комментарий


                                  • #18
                                    Сообщение от Чернушка Посмотреть сообщение
                                    Кто-нибудь даст определение Владельца ИА?
                                    Я бы сказал, что владелец - лицо обладающее полномочиями определять порядок использования инфномационного ресурса. Чаще всего это подразделение, инициировавшее создание ресурса, или лицо, в интересах которого ресурс создан.

                                    При таком определении отдел ИТ вряд ли стоит рассматривать в качестве владельца нормативно-справочной информации. ИТ обечивает ее сопровождение, но если понадобится изменить функционал, вряд ли это произойдет по инициативе ИТ.

                                    Комментарий


                                    • #19
                                      При отсутствии выделенного владельца информационного ресурса, владельцем будет выступать руководитель подразделения.

                                      Если же информационный ресурс распределен между несколькими подразделениями, целесообразно выделить одно из них, которое несет ответственность за функционирование данного ресурса и, таким образом, идентифицировать владельца ресурса именно в этом подразделении.

                                      Уважаемый человек предлагает вот такую табличку
                                      http://www.osp.ru/data/430/676/1238/088_t1.gif

                                      Комментарий


                                      • #20
                                        И вот опять "два человека, два мнения". У malotavr владелец тот, в чьих интересах ресурс создан, а у barmalei - тот, кто отвечает за функционирование ресурса. А это слишком часто не одно и то же.
                                        Чем больше связей, тем меньше степеней свободы.

                                        Комментарий


                                        • #21
                                          На самом деле из моего поста не видно что владелец должен отвечать за функционирование актива. Я склоняюсь к подходу что владелец тот, в чьих интересах ресурс создан.
                                          Определение я взял из ИСО 17799-2005

                                          Комментарий


                                          • #22
                                            Отлично. В чьих интересах ведутся: Документы дня, Юридические дела клиентов?
                                            Чем больше связей, тем меньше степеней свободы.

                                            Комментарий


                                            • #23
                                              Документы дня, Юридические дела клиентов
                                              Кто у вас обрабатывает сие дела и документы?

                                              Комментарий


                                              • #24
                                                Чернушка
                                                А если зайти с другой стороны:формально можно считать владельцем того пользователя(подразделение), который(которое) чаще других работает с этим конкретным ресурсом, буде частота обращения одинакова - считаем владельцем того, в чьих интересах ресурс был создан изначально...
                                                Всё в наших руках...(с)

                                                Комментарий


                                                • #25
                                                  barmalei, а причем здесь обрабатывает? Вы должны были спросить - а кому в вашем банке они нужны, разве не так?
                                                  И возвращаясь к НСИ - ей пользуются несколько подразделений Банка, т.е. этот актив был создан сразу для нескольких подразделений. Они все его владельцы?
                                                  Чем больше связей, тем меньше степеней свободы.

                                                  Комментарий


                                                  • #26
                                                    Нужны они банку.
                                                    Вы пытаетесь отыскать владельца.
                                                    И возвращаясь к НСИ - ей пользуются несколько подразделений Банка, т.е. этот актив был создан сразу для нескольких подразделений. Они все его владельцы?
                                                    Если же информационный ресурс распределен между несколькими подразделениями, целесообразно выделить одно из них, которое несет ответственность за функционирование данного ресурса и, таким образом, идентифицировать владельца ресурса именно в этом подразделении.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от barmalei Посмотреть сообщение
                                                      Нужны они банку.
                                                      Вы пытаетесь отыскать владельца.
                                                      Дык, в том то - проблема - кто несет ответственность. В большинстве случаев вам не задумываясь ответят: ИТ. А это неправильно.

                                                      Нормальных ситуаций две:
                                                      1. Создание/модернизация ресурса финансируется из бюджета одного из подразделений. В этом случае это подразделение и является его владельцем. К сожалению, в большинстве банков создание всех информационных ресурсов проходит по бюджету ИТ, так что такая схема не работает.
                                                      2. Создание информационными ресурсами регулируется IT committee. В этом случае владельцем ресурса является то подразделение, которое вынесло на IT Committee предложение по созданию ресурса. Но, опять же, не во всех банках есть IT Committee.

                                                      Комментарий


                                                      • #28
                                                        barmalei, пока еще плохо ориентируюсь в стандартах. Вторая цитатка откуда (про распределение иа между подразделениями)?
                                                        Чем больше связей, тем меньше степеней свободы.

                                                        Комментарий


                                                        • #29
                                                          Товарищи, я хотел помочь Чернушке и обыскал всевозможные стандарты на русском и на английском языке, так и не смог найти определение Владельцу ИА. Это наталкивает на мысль, что владелец ИА и так понятно кто.
                                                          Сам сыр бор не понятен, товарищ malotavr ясно объяснил что такое актив и кто его владелец. Мне кажется дальнейшая детализация просто не уместна.

                                                          2Чернушка, если хотите что бы мы вам помогли, дайте больше информации по конкретному активу.

                                                          2malotavr - это понятно что всем остальным не хочется нести ответственность за свой ресурс, за показания которые они дали в ходе классификации активов и что проще свалить все на ИТ, но ИТ только поддерживает ресурс технически, эксплуатирует его отдел банка, который и является его владельцем, если быть точнее начальник отдела.

                                                          П.С. Цитата принадлежит многоуважаемому товарищу, по имени Искандер, его книга - была моей самой первой по безопасности

                                                          Комментарий


                                                          • #30
                                                            barmalei, мне не нужно помощи по конкретному ИА. Мне нужна, как сказано в стандарте ЦБ, парадигма Я пытаюсь методику написать. И по ходу дела проверяю ее на простых примерах.
                                                            Чем больше связей, тем меньше степеней свободы.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X