26 апреля, пятница 06:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Документ Политика ИБ - каким он должен быть?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Коллеги, кто может поделиться перечнем сведений, составляющих коммерческую тайну банка?

    Собираюсь комиссии представить примеры, чтобы голову не ломали.

    Комментарий


    • Сообщение от Gallen Посмотреть сообщение
      перечнем сведений, составляющих коммерческую тайну банка?
      например))
      http://www.moskb.ru/files/Polconfident.pdf
      Угол зрения зависит от занимаемого места.

      Комментарий


      • Шекарно!!! Вот то, что нужно! Спасибо огромнейшее)))

        Комментарий


        • Добрый день, коллеги!

          С наступающим!

          Готовили Оферту по открытию и обслуживанию счетов, в которой вставили раздел по блокировке переводов ДС.
          Нарисовали схему блокировки переводов ДС без согласия клиента по 167-ФЗ (прилагается).

          Скорее всего, будет писать отдельный документ, в котором помимо самой процедуры блокировки будем описывать требования по:

          - организации мероприятий противодействия осуществления таких переводов;
          - учету таких переводов;
          - оповещения Банка России о случаях и попытках осуществления переводов ДС без согласия клиента;
          - получения от Банка России черных списков юридических и физических лиц - участников таких операций.


          Схема блокировки.zip
          Вложения

          Комментарий


          • Добрый день, коллеги!

            У коллег проходил аудит по 382-П и возник вопрос по самооценке. Спор возник по п.2.1. 382-П - оценке выполнения требований:
            • оценка 0.75 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но применение соответствующих организационных мер защиты информации или использование технических средств защиты информации осуществляется почти в полном соответствии с указанным порядком;
            • оценка 1 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, и применение соответствующих организационных меры защиты информации и использование технических средств защиты информации осуществляется в полном соответствии с указанным порядком.
            Аудиторы утверждают, что ставить 1 нельзя, если реализованы только организационные меры, при оценке 1 – обязательно должны быть использованы технические средства защиты информации.

            По моему нет разницы какие меры у вас реализованы, организационные или технические, самое главное соответствуют ли они заявленным в нормативных документах требованиям и в какой степени. Если у нас в нормативке написано что достаточно организационных мер, то значит мы принимаем на себя все риски, а оценка показывает в какой степени это реализуется. Тема очень интересная, как соотносятся организационные и технические меры.

            Поспрашивал коллег из банков, ответов-откликов много (больше десятка), отклики разные. По большому гамбургскому счету, реализация технических мер - это хорошо и правильно, но очень далеко от нашей реальности. В большинстве небольшие КО, которые владеют небольшим набором конкретных систем (антивирус, контроль Веб-трафика, может сканер, может в урезанном виде DLP), почти все высказались против. Откликов много, но аргументированной позиции нет. Похоже, что четкого описания как соотносятся организационные и технические меры нет, на бескрайних просторах Интернета ответа не нашел.

            Коллеги, подскажите, пожалуйста, где-то обсуждалось или есть в нормативке такое соотношение организационных и технические мер.

            Комментарий


            • alex.a.fedorov
              Очень похоже на развод со стороны аудиторов, т.к. подобный подход может быть просто неприменим в ряде требований в том числе с точки зрения действующей нормативки. Например, повышении осведомленности персонала. Как следствие, обучающий портал нужно тогда считать ТСЗИ. А где требования ФСТЭК, его сертификация, лицензирование вендоров/интеграторов? И я примерно догадываюсь, что может сказать ФСТЭК по этому поводу.
              Или, например -
              Оператор по переводу денежных средств, имеющий филиалы, обеспечивает взаимодействие и координацию работ служб информационной безопасности.

              И как это реализовывать с помощью ТСЗИ?
              А что за аудитор, не подскажите, если не секрет?
              Последний раз редактировалось saches; 12.03.2019, 17:56.

              Комментарий


              • Бред.
                А если выполенение требования связано только с организационными мерами?
                Я всегда читал это так: должен быть установлен порядок применения орг. мер или использования тех. средств (в зависимости от требований). И указанные в порядке орг. меры, и технические средства должны применяться. Если в порядке не указано, что надо применять тех. средства, значит их неприменение не будет влиять на оценку.
                Собственно говоря, вся оценка на этом построена. Сначала надо написать нормативный документ, а потом уже что-то внедрять. И никого не интересует реальный уровень защиты, если режим защиты формально не определён бумагой.

                Комментарий


                • Судорожно срочно, на коленке за один день написал Порядок блокировки подозрительных операций по 167-ФЗ (схему выкладывал ранее).

                  Порядок блокировки подозрительных операций.zip

                  Комментарий

                  Пользователи, просматривающие эту тему

                  Свернуть

                  Присутствует 1. Участников: 0, гостей: 1.

                  Обработка...
                  X