2 декабря, среда 19:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

552-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 552-П

    "Положение о требованиях к защите информации в платежной системе Банка России"
    (утв. Банком России 24.08.2016 N 552-П)
    (Зарегистрировано в Минюсте России 06.12.2016 N 44582)

    Источник публикации
    Официальный сайт Банка России http://www.cbr.ru/, 09.12.2016
    http://cbr.ru/analytics/?PrtID=na_vr&docid=171

    Начало действия документа - 20.12.2016.
    - - - - - - - - - - - - - - - - - - - - - - - - - -
    В соответствии с пунктом 13.1 данный документ вступает в силу по истечении 10 дней после дня официального опубликования (опубликован на Официальном сайте Банка России http://www.cbr.ru/ - 09.12.2016).

    Участникам платежной системы Банка России следует выполнить требования, установленные данным документом, до 30 июня 2017 года (пункт 13.2 данного документа).

  • #2
    Интересует мнение участников касательно пунктов 3.3 и 3.4. Обязательно ли наличие системы видеонаблюдения за помещениями? Или комментарий в скобках к пункту 3.4 относится и 3.3 тоже? (в случае их использования)

    Комментарий


    • #3
      Тут интересно п. 3.1 почему-то через или вводит оргмеры и технические средства контроля (хотя нужно комбинировать). Т.е., по идее, можно только оргмеры. Тогда п. 3.4 просто уточняет п. 3.3, т.е. если вы используете, то срок такой-то. Если не используете, то нарушаете п. 3.3., если только у вас не приняты оргмеры.

      По оргмерам вопрос открытый. Думаю проверяющие из ЦБ будут смотреть каждый пункт положения (все эти или их мало интересуют), контекст они ловить не будут, т.е. де факто пп. 3.3-3.4 станут обязательными. )))

      Комментарий


      • #4
        Сообщение от Zuz Посмотреть сообщение
        Тут интересно п. 3.1 почему-то через или вводит оргмеры и технические средства контроля (хотя нужно комбинировать). Т.е., по идее, можно только оргмеры. Тогда п. 3.4 просто уточняет п. 3.3, т.е. если вы используете, то срок такой-то. Если не используете, то нарушаете п. 3.3., если только у вас не приняты оргмеры.

        По оргмерам вопрос открытый. Думаю проверяющие из ЦБ будут смотреть каждый пункт положения (все эти или их мало интересуют), контекст они ловить не будут, т.е. де факто пп. 3.3-3.4 станут обязательными. )))
        Опыт общения с проверяющими как раз таки и подводит к этому. Либо уже сейчас писать письмо в ЦБ с просьбой разъяснить данный вопрос.

        Комментарий


        • #5
          Есть "разбор полётов" http://estekhin.blogspot.ru/2016/12/...6-552.html?m=1

          Комментарий


          • #6
            Когда ЦБ выпускает новый документ, где-то начинает грустить один небольшой лес.

            Комментарий


            • #7
              Сообщение от nikchyarog Посмотреть сообщение
              Интересует мнение участников касательно пунктов 3.3 и 3.4. Обязательно ли наличие системы видеонаблюдения за помещениями? Или комментарий в скобках к пункту 3.4 относится и 3.3 тоже? (в случае их использования)
              Я это прочитал так:
              Вы обязаны использовать системы видеонаблюдения и контроля доступа. Если вы их не используете, то это косяк.
              Срок хранения записей системы видеоналюдения 3 года.
              Если используются системы контроля доступа, то срок хранения журнала событий 3 года.

              Даже если "в случае их использования" распространяется и на системы видеонаблюдения, то это всё равно не важно, пункт 3.3 всё равно надо выполнять.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение

                Я это прочитал так:
                Вы обязаны использовать системы видеонаблюдения и контроля доступа. Если вы их не используете, то это косяк.
                Срок хранения записей системы видеоналюдения 3 года.
                Если используются системы контроля доступа, то срок хранения журнала событий 3 года.

                Даже если "в случае их использования" распространяется и на системы видеонаблюдения, то это всё равно не важно, пункт 3.3 всё равно надо выполнять.
                Т.е. вы хотите сказать, что нам еще к видеонаблюдению нужно и СКУД устанавливать?

                Комментарий


                • #9
                  Сообщение от nikchyarog Посмотреть сообщение

                  Т.е. вы хотите сказать, что нам еще к видеонаблюдению нужно и СКУД устанавливать?
                  В тексте стоит "и", а не "или".

                  Комментарий


                  • #10
                    Сообщение от nikchyarog Посмотреть сообщение
                    нам еще к видеонаблюдению нужно и СКУД устанавливать
                    Простейшая СКУД - это электронный замок с "таблеткой". Вряд ли у него есть логи... Хотя почему бы и не быть, объём-то копеечный.
                    Это больше к физическим безопасникам, или специалистам по домофонам

                    Но можно подобрать и недорогую, но понятную СКУД.

                    Комментарий


                    • #11
                      Сообщение от AlexEye70 Посмотреть сообщение

                      Простейшая СКУД - это электронный замок с "таблеткой". Вряд ли у него есть логи... Хотя почему бы и не быть, объём-то копеечный.
                      Это больше к физическим безопасникам, или специалистам по домофонам

                      Но можно подобрать и недорогую, но понятную СКУД.
                      с хранением на 3 года навряд ли простой замок подберете, максимум что я видел это 3 месяца и то что бы достать эти логи придется попотеть.

                      Комментарий


                      • #12
                        2.2. В целях фиксации решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации и обеспечения применения указанных мер участники должны разработать документы в соответствии с перечнем процедур, регламентируемых в целях обеспечения информационной безопасности на участке ПС БР (приложение к настоящему Положению). По этому пункту надо разработать 37 документов, которые указаны в приложении? я правильно понимаю?

                        Комментарий


                        • #13
                          Сообщение от Sofa17 Посмотреть сообщение
                          По этому пункту надо разработать 37 документов, которые указаны в приложении? я правильно понимаю?
                          Не уверен, что правильно. Прямой связи между количеством документов и описанными в них процедурами нет. Это может быть как 1 документ в котором описано выполнение всех процедур так и несколько документов. Наиболее оптимальный вариант это корректировка действующих документов, регламентирующих выполнение перечисленных требований. Впрочем это могут быть и 37 документов

                          Комментарий


                          • #14
                            Коллеги, а вам не кажется, что многие требования перекликаются с 382-П? Можно же сослаться на документы, которые писались к этому Положению.

                            Комментарий


                            • #15
                              Сообщение от kbvlb Посмотреть сообщение
                              многие требования перекликаются с 382-П?
                              или "перекочевали" из Договора между ЦБ и коммерческим банком...

                              Комментарий


                              • #16
                                Сообщение от kbvlb Посмотреть сообщение
                                Коллеги, а вам не кажется, что многие требования перекликаются с 382-П?
                                еще 49-Т и договор об обмене ЭС с БР

                                Комментарий


                                • #17
                                  Сообщение от kbvlb Посмотреть сообщение
                                  Коллеги, а вам не кажется, что многие требования перекликаются с 382-П? Можно же сослаться на документы, которые писались к этому Положению.
                                  Не мона, а нуно
                                  Вы внимательно преамбулу 552-П почитайте, там явно упоминается 382-П.

                                  Комментарий


                                  • #18
                                    Коллеги,а кто-нибудь делал уже выборку, что именно нового ЦБ ввела, помимо того, что уже есть в документах ранее?

                                    Комментарий


                                    • #19
                                      Коллеги, подскажите, пожалуйста, по п 4,2. Указанные журналы формируются средствами системы или каким-то сторонним программным обеспечением. Не уверена, что система даст возможность разграничить доступ.

                                      Комментарий


                                      • #20
                                        Сообщение от anna:) Посмотреть сообщение
                                        Коллеги, подскажите, пожалуйста, по п 4,2. Указанные журналы формируются средствами системы или каким-то сторонним программным обеспечением. Не уверена, что система даст возможность разграничить доступ.
                                        Аккорд, Соболь и т. д.

                                        Комментарий


                                        • #21
                                          Коллеги, добрый день. А как можно интерпретировать этот пункт?!

                                          5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе Интернет-банкинга, а также определения перечня устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы (далее - АБС) участников.

                                          Что АРМ обмена ЭС с ЦБ РФ может обмениваться по технологии Интернет-Банкинга?

                                          Комментарий


                                          • #22
                                            Сообщение от TrushenkoV Посмотреть сообщение
                                            Что АРМ обмена ЭС с ЦБ РФ может обмениваться по технологии Интернет-Банкинга?
                                            Думаю, что системы Интеренет-банкинга в соответствии с этим пунктом являются "специальными компонентами автоматизированной банковской системы".
                                            Как мне кажется тезис про непосредственного взаимодействие АРМ КБР (ПУР) с Интернет-банкингом заложен с целью исключения искажений при передаче ЭС на участках Интернет-банкинг - АБС - АРМ КРБ (ПУР). Может быть в будущем появится требование об обмене с клиентами через системы Интернет-банкинга в форматах УФЭБС.

                                            Комментарий


                                            • #23
                                              Сообщение от UserNick Посмотреть сообщение

                                              Думаю, что системы Интеренет-банкинга в соответствии с этим пунктом являются "специальными компонентами автоматизированной банковской системы".
                                              Как мне кажется тезис про непосредственного взаимодействие АРМ КБР (ПУР) с Интернет-банкингом заложен с целью исключения искажений при передаче ЭС на участках Интернет-банкинг - АБС - АРМ КРБ (ПУР). Может быть в будущем появится требование об обмене с клиентами через системы Интернет-банкинга в форматах УФЭБС.
                                              Что то не так. Интернет -банкинг (если под этим понимать клиентов банка работающих по такой технологии) не может взаимодействовать с АРМ КБР напрямую (минуя АБС). Платежи обязаны побывать в АБС, с тем чтобы поменять (хотя бы )остатки по счетам через компоненту АБС. А потом их отправят в РЦ ЦБ РФ, через АРМ КБР.
                                              Спецы же (по обмену), говорят следующее: что сам АРМ КБР может выступать в качестве клиентской части (как технология сервиса) Интернет-Банкинга для обмена с РЦ ЦБ РФ, добавляя далее, что в кредитных организациях такого нет, а вот может быть в других организациях(бюджетные организации также работающие с РЦ ЦБ РФ) такое возможно.
                                              Вот и решаем, о чем это написано: Интернет-Банкинг - классический сервис клиентов банка, или это сам АРМ КБР общающийся по технологии Интернет-банкинага с РЦ ЦБ РФ. (И наши склоняются к последнему)

                                              Комментарий


                                              • #24
                                                Сообщение от TrushenkoV Посмотреть сообщение
                                                Что то не так. Интернет -банкинг (если под этим понимать клиентов банка работающих по такой технологии) не может взаимодействовать с АРМ КБР напрямую (минуя АБС). Платежи обязаны побывать в АБС, с тем чтобы поменять (хотя бы )остатки по счетам через компоненту АБС. А потом их отправят в РЦ ЦБ РФ, через АРМ КБР.
                                                Спецы же (по обмену), говорят следующее: что сам АРМ КБР может выступать в качестве клиентской части (как технология сервиса) Интернет-Банкинга для обмена с РЦ ЦБ РФ, добавляя далее, что в кредитных организациях такого нет, а вот может быть в других организациях(бюджетные организации также работающие с РЦ ЦБ РФ) такое возможно.
                                                Вот и решаем, о чем это написано: Интернет-Банкинг - классический сервис клиентов банка, или это сам АРМ КБР общающийся по технологии Интернет-банкинага с РЦ ЦБ РФ. (И наши склоняются к последнему)
                                                Думаю, что идея про то, что "АРМ КБР может выступать в качестве клиентской части" фантастическая.
                                                552-П базируется на 382-П. Определение Интернет-банкинга из 382-П:

                                                Сообщение от 382-П
                                                2.8.2. Оператор по переводу денежных средств обеспечивает идентификацию, аутентификацию и авторизацию клиента при составлении, удостоверении и передаче распоряжений в целях осуществления переводов денежных средств с использованием сети "Интернет", в частности, в следующих системах (далее при совместном упоминании - системы Интернет-банкинга)
                                                Услуги Интернет-банкинга в соответствии с этим определением может оказывать только ОПДС (банк), а не какие либо "другие организации(бюджетные организации также работающие с РЦ ЦБ РФ)".
                                                Мне в п .5.1. не понятно, какое отношение имеет "идентификация, аутентификация и авторизации клиента", "а также определение перечня устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга" к тому каким способом поручения клиентов передаются в ЦБ.
                                                Вещи эти с моей точки зрения в настоящее время с АРМ КБР вообще никак не связаны. Такая связь может быть только в случае, если ЦБ будет через АРМ КБР идентифицировать клиентов банков, а также устройства клиентов. Вот уж это то точно с использованием возможностей АРМ КБР в настоящее время недостижимо. А вот посредством "специальной компоненты автоматизированной банковской системы" цели, поставленной в п. 5.1. 552-П, добиться можно.

                                                Комментарий


                                                • #25
                                                  Коллеги, кто как считает? Под формированием ЭС понимается их формирование в АБС или уже загрузка в АРМ КБР? Т.е. стоит ли требования данного Положения распространять на АБС или только на АРМ КБР?

                                                  Комментарий


                                                  • #26
                                                    Еще "п.3.3. Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа."

                                                    располагаться в зоне действия системы видеонаблюдения - направить камеру на входную дверь помещения или же снимать само помещение изнутри?

                                                    Комментарий


                                                    • #27

                                                      Сообщение от Орлиный глаз Посмотреть сообщение
                                                      Еще "п.3.3. Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа."

                                                      располагаться в зоне действия системы видеонаблюдения - направить камеру на входную дверь помещения или же снимать само помещение изнутри?
                                                      Тоже хотелось бы узнать. А так же качество записи минимальное хотелось бы знать.
                                                      Последний раз редактировалось Scorch; 28.12.2016, 11:23.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Орлиный глаз Посмотреть сообщение
                                                        Еще "п.3.3. Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа."

                                                        располагаться в зоне действия системы видеонаблюдения - направить камеру на входную дверь помещения или же снимать само помещение изнутри?
                                                        как хотите так и снимайте, главное что бы монитор и клавиатура во втором случае не попадал в обьектив

                                                        Сообщение от Scorch Посмотреть сообщение

                                                        Тоже хотелось бы узнать. А так же качество записи минимальное хотелось бы знать.
                                                        на сколько бюджета хватит, хотите 1 кадр в секунду, хотите 50. Только не забывайте что хранить Вам 3 года, соответственно надо рассчитывать объем

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Орлиный глаз Посмотреть сообщение
                                                          Коллеги, кто как считает? Под формированием ЭС понимается их формирование в АБС или уже загрузка в АРМ КБР? Т.е. стоит ли требования данного Положения распространять на АБС или только на АРМ КБР?
                                                          считаю это сообщение бредом, во-первых , вы хотите распространить требование 552 на всех пользователей АБС?
                                                          во-вторых ЭС должны соответствовать образцам, установленным в договоре с ЦБ.в том числе подписано и зашифровано
                                                          (Договор об обмене ЭС при переводе денежных средств
                                                          в рамках платежной системы Банка России).

                                                          Комментарий


                                                          • #30
                                                            Сообщение от H4mek Посмотреть сообщение
                                                            вы хотите распространить требование 552 на всех пользователей АБС?
                                                            При чем здесь все пользователи АБС если речь идет только про формирование ЭС? соответственно на тех пользователей АБС, которые формируют ЭС. Если ЭС фактически формируются на АРМ-ах АБС не учитывать эти АРМы как составляющую участка ПС БР как то не совсем правильно.

                                                            Сообщение от H4mek Посмотреть сообщение
                                                            ЭС должны соответствовать образцам, установленным в договоре с ЦБ.в том числе подписано и зашифровано
                                                            Это сообщение как-то относится к моему вопросу или Вы адресат перепутали? Что мешает делать выгрузки файлов установленного формата из АБС, а АРМ КБР использовать только как шлюз?

                                                            P.S. Ваши ответы не менее бредовые...

                                                            Комментарий

                                                            Обработка...
                                                            X