19 мая, воскресенье 19:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций....

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от malotavr Посмотреть сообщение

    к тому времени либо ЦБ создаст свою систему сертификации, что маловероятно, либо формулировки этих требований будет приведена в соответствие новой нормативке.
    ЦБ ничего делать/менять не будет.

    Комментарий


    • Сообщение от malotavr Посмотреть сообщение
      , значит ваша сегодняшняя интерпретация неверна.
      У меня будет бумага с интерпретацией фразы, индульгенция от проверяющих.

      Комментарий


      • Моя практика показала, что при проверках слова представителя ЦБ, произнесённые на каком-то мероприятии, отмазкой не являются.
        К тому же, не забывайте, что скоро мы начнём проводить внешний аудит на сответствие 382-П. И, думаю, для аудиторов эти слова тоже не будут иметь значения.

        Комментарий


        • Сообщение от Berckut Посмотреть сообщение
          при проверках слова представителя ЦБ, произнесённые на каком-то мероприятии, отмазкой не являются.
          Знаю, поэтому уже направил запрос.
          Говорят, что сейчас отвечают в нашу пользу.

          Комментарий


          • Сообщение от ost Посмотреть сообщение
            ЦБ ничего делать/менять не будет.

            Артем Михайлович, перелогиньтесь, пожалуйста

            Давайте вы сперва сейчас, пока это еще возможно, сертифицируете какую-нибудь ДБО на соответствие ЗБ с ОУД4 по ГОСТ 15408. А после этого мы уже с интересом выслушаем ваше мнение о том, что ЦБ не изменит это требование, когда такая сертификация станет невозможна даже теоретически.

            Комментарий


            • Сообщение от malotavr Посмотреть сообщение
              мы уже с интересом выслушаем ваше мнение о том, что ЦБ не изменит это требование, когда такая сертификация станет невозможна даже теоретически.
              Коллега, вы, вероятно, не знакомы с практикой работы ЦБ. Вот вам аналогичный пример с ПСК по картам. https://www.kommersant.ru/doc/3737361
              Позиция ЦБ изложена.

              регулятор обещает усилить контроль, хотя и не готов конкретизировать порядок расчетов (расчетов ПСК по картам, прим. моё) в силу сложности продукта.
              «Особенности расчета ПСК для кредитных карт установлены федеральным законом о потребительском кредите,— уточнили в Банке России.— Для прояснения отдельных положений закона участники рынка и их ассоциации в некоторых случаях также направляют в ЦБ официальные запросы».
              Аналогичная фигня с кредитными историями. Будет ещё одна с информационной безопасностью.

              Комментарий


              • Сообщение от malotavr Посмотреть сообщение
                ...... никто не заставит российских разработчиков ПО заявляться на сертификацию, и никто из зарубежных разработчиков ради российского банковского сектора не понесет в ФСТЭК исходники своего софта (обязательное условие ОУД4). ........
                Хотелось бы еще понять, что не так с нашими разработчиками банковского ПО?
                Почему разработчики СКЗИ и других СЗИ в состоянии сертифицировать свои продукты (это не говоря уже про Microsoft, VMWare, HP, Cisco и т.д.) а наших разработчиков никто заставить не может?
                Есть же, вроде, например, в Белоруссии требование сертифицировать ДБО, и БСС нормально с этим справился - http://www.bssys.com/about/press-cen...bliki_Belarys/
                И, например, ответственность Операторов ПДн (в нашем случае банков) за проведение тематических исследований, как это изложено у регулятора - http://www.fsb.ru/fsb/science/single...searchart.html на мой взгляд, должна быть так же адресована разработчикам ПО.


                Комментарий


                • Кто как понимает эту техническую меру?
                  СМЭ.18 Сокрытие топологии внутренних вычислительных сетей финансовой организации

                  Комментарий


                  • Сообщение от Rubaka Посмотреть сообщение
                    Кто как понимает эту техническую меру?
                    СМЭ.18 Сокрытие топологии внутренних вычислительных сетей финансовой организации
                    NAT

                    Комментарий


                    • Не файрволл/межсетевой экран?

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение

                        NAT
                        Сообщение от w3d Посмотреть сообщение
                        Не файрволл/межсетевой экран?

                        А теперь на нашем канале игра -- "Угадайка". Специалисты по информационной безопасности будут угадывать, что хотел сказать регулятор в своем апофеозном документе:
                        ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденном приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).
                        Что скрывается за скупыми строками документа? Как это лучше всего перевести на простой человеческий язык, понятный большинству инженеров, программистов, системных и сетевых администраторов? Мы постараемся вовлечь в нашу игру представителей регулятора и постараемся узнать, понимают ли они сами формулировки ГОСТа.

                        Итак первый вопрос уже прозвучал в нашей игре, ждем ваших ответов!

                        Комментарий


                        • Сообщение от Berckut Посмотреть сообщение
                          До ввода стандарта в обязаловку остался 1 шаг.
                          http://www.cbr.ru/analytics/default....73#CheckedItem
                          Кто-то в курсе? Приняли это положение?

                          Комментарий


                          • Rubaka
                            Вроде как нет.

                            Комментарий


                            • Коллеги, кто в курсе, когда уже эти документы будут приняты?
                              На встрече с нашими ЦБшниками были озвучены сроки: декабрь 2018 или январь 2019. Вопрос весьма актуальный.

                              Комментарий


                              • Gallen
                                Есть некое предположение, исходя из очень косвенных признаков - второй квартал этого года.
                                Но это не более, чем предположение.

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение
                                  Есть некое предположение, исходя из очень косвенных признаков - второй квартал этого года
                                  По проектам дока, что на замену 552-п идет - вообще четвёртый квартал 2018 года стоял, но что-то затормозилось...

                                  Комментарий


                                  • А фактически, ГОСТ уже вступил таки в силу. См. УКАЗАНИЕ от 8 октября 2018 г. N 4926-У:

                                    2.5. При выявлении информации о технических данных, описывающих компьютерные атаки, направленные на информационную инфраструктуру участников информационного обмена и (или) их клиентов, участники информационного обмена должны осуществлять мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

                                    Комментарий


                                    • Сообщение от Nikolas_R Посмотреть сообщение
                                      А фактически, ГОСТ уже вступил таки в силу. См. УКАЗАНИЕ от 8 октября 2018 г. N 4926-У:

                                      2.5. При выявлении информации о технических данных, описывающих компьютерные атаки, направленные на информационную инфраструктуру участников информационного обмена и (или) их клиентов, участники информационного обмена должны осуществлять мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
                                      В "подвешенном состоянии" , т.к. какой уровень защиты информации применять не установлено еще Банком России .

                                      Комментарий


                                      • Сообщение от Esin Посмотреть сообщение
                                        В "подвешенном состоянии" , т.к. какой уровень защиты информации применять не установлено еще Банком России .
                                        Если не ошибаюсь, за исключением привязки к УЗ имеющихся ИСПДн.
                                        Ну и, для полноты картины, можно еще вспомнить, что ссылка на ГОСТ и необходимость проведения банками ежегодного аудита присутствует в приказе 321 Минцифраза, касающегося биометрии.

                                        Комментарий


                                        • Господа, подскажите пожалуйста где можно посомтреть с какаго числа ГОСТ 57580.1 и ГОСТ 57580.2 будут обязательным к исполнению. В инете как таковых документов не могу найти, а в статьях пишут то 7 мая 2019 года, то с 1 января 2021 года. При этом не приводится ссылки на документы где об этом говорится. Я так понимаю что сейчас ГОСТы 57580.1 и 57580.2 носят рекомендательный характер.

                                          Комментарий


                                          • Сообщение от Stas_Bank Посмотреть сообщение
                                            Господа, подскажите пожалуйста где можно посомтреть с какаго числа ГОСТ 57580.1 и ГОСТ 57580.2 будут обязательным к исполнению. В инете как таковых документов не могу найти, а в статьях пишут то 7 мая 2019 года, то с 1 января 2021 года. При этом не приводится ссылки на документы где об этом говорится. Я так понимаю что сейчас ГОСТы 57580.1 и 57580.2 носят рекомендательный характер.
                                            В Положении Банка России от 09.01.2019 № 672-П - как вариант...

                                            Комментарий


                                            • Сообщение от Estekhin Посмотреть сообщение
                                              В Положении Банка России от 09.01.2019 № 672-П - как вариант...
                                              Огромное спасибо! Выручили, буду изучать =)

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X