23 февраля, воскресенье 17:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от Александр Четвертый Посмотреть сообщение

    А парням больше заняться что ли нечем на деньги налогоплательщиков (500+ тупых заявок)? Например, взять и отобрать для КИИ субъектов из уже "значимых" по 161-ФЗ?
    Никто не требует от вас категорировать все ИС. Выберите только те, которые потенциально могут попасть под критерии ПП-127. Но вместо вас этого никто сделать не сможет

    Комментарий


    • #32
      Сообщение от Sat_Kelman Посмотреть сообщение

      По каждому объекту свою таблицу? Или можно в одной?
      В одной не получится - там по каждой системе довольно подробная информация

      Комментарий


      • #33
        Коллеги, подскажите, пожалуйста.
        Небанковской кредитной организации необходимо проводить категорирование и отправлять результаты во ФСТЭК? к ФинЦЕРТ подключены.

        Комментарий


        • #34
          Сообщение от Mouse Посмотреть сообщение
          Небанковской кредитной организации необходимо проводить категорирование?
          ИМХО, только если найдете у себя в результате проведения Комиссией мероприятий по определению процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности, как субъекта КИИ, управленческих, технологических, производственных, финансово-экономических и (или) иных процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

          Лучше обосновать Вывод, что НКО не имеет объектов КИИ, принадлежащих на праве собственности, аренды или ином законном основании, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов

          Перечень объектов КИИ, подлежащих категорированию, не составлялся по причине отсутствия объектов КИИ, принадлежащих НКО.

          и в итоге, мелким шрифтом, "Комиссия отмечает, что согласно Информационного сообщения от 24 августа 2018 г. № 240/25/3752 Федеральной службы по техническому и экспортному контролю, предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России, в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации, не требуется."


          как вариант )

          Комментарий


          • #35
            Павлоний, спасибо большое за ответ)

            Сообщение от Павлоний Посмотреть сообщение
            Лучше обосновать Вывод
            Ещё хотелось бы уточнить. То есть, нам необходимо выпустить приказ о создании Комиссии по категорированию, в нём обязать провести мероприятия по определению процессов и далее подготовить вывод в виде Акта об отсутствии объектов КИИ (соответственно обосновать данное утверждение)?

            И, так понимаю, в соответствии с тем же информационным сообщением от 24 августа 2018 г. № 240/25/3752 ФСТЭК :

            ...предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России ... не требуется
            нет необходимости составленный Акт отправлять во ФСТЭК? сохраняем его для себя, что были предприняты меры?

            Комментарий


            • #36
              Сообщение от Павлоний Посмотреть сообщение
              что НКО не имеет объектов КИИ, принадлежащих на праве собственности, аренды или ином законном основании, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов
              Кстати да. Вчитался еще раз в 127 ПП.5. Категорирование включает в себя:

              б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);

              То есть комиссия составляет список процессов. Например выделяем ДБО, обмен с ЦБ и корпоративную сеть. Далее смотрим что эти процессы не попадают под социальные, политические, экономические, экологические последствия. Таким образом они и критичными в терминологии 127 ПП и не являются.
              Таким образом дальнейших действий не требуется.
              Пишем письмо что объктов КИИ нет, обосновываем почему ни один показатель неприменим к нам и на этом успокаиваемся.

              Комментарий


              • #37
                Сообщение от Sat_Kelman Посмотреть сообщение

                Кстати да. Вчитался еще раз в 127 ПП.5. Категорирование включает в себя:

                б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);

                То есть комиссия составляет список процессов. Например выделяем ДБО, обмен с ЦБ и корпоративную сеть. Далее смотрим что эти процессы не попадают под социальные, политические, экономические, экологические последствия. Таким образом они и критичными в терминологии 127 ПП и не являются.
                Таким образом дальнейших действий не требуется.
                Пишем письмо что объктов КИИ нет, обосновываем почему ни один показатель неприменим к нам и на этом успокаиваемся.
                Так было бы, если бы у вас не было платежных процессов. Нарушение платежного процесса - экономические последствия, предусмотренные ПП-127, под него там отдельный показатель выделен. Вы не можете назвать не критическим процесс, к которому относится такой показатель. Другоетдело, что при категорировании может окащаться, что по этому показатклю вы не попадаете ни в один из трех критериев, но об этом вы узнаете только при категорировании.

                Поэтому правильная последовательность - такая:
                1. Выделяете процессы, нарушение которых может привести к последствиям, перечисленным в приложении к ПП-127 (без оценки масштабов этих последствий). Это - критические процессы.
                2. Выделяете ИС и сети, которые используются в этих процессах. Это - объекты КИИ. Если таких объектов нет, больше ничего не делаете.
                3. Направляете в ФСТЭК перечень таких объектов.
                4. Для каждого объекта оцениваете, какие угрозы для него актуальны
                5. Для каждой угрозы конкретному объекту смотрите, к каким последствиям в терминах покащателей из приложения эта угроза может привести
                6. Если ваша оценка последствий попадает в один из трех критериев для данного показателя, присваиваете объекту категорию значимости
                7. Если не попадает - не присваиваете объекту категорию значимости. Но объект все равно остается объектом КИИ.
                8. Делаете акты по всем объектам и отправляете в ФСТЭК

                Комментарий


                • #38
                  Сообщение от malotavr Посмотреть сообщение
                  Так было бы, если бы у вас не было платежных процессов.
                  это не для всех применимо ...
                  1. определение процессов, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры - они есть!
                  2. выявление процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы) - их нет!
                  3. определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов - нет ОКИИ!


                  ​​​​​​​Не все платежные процессы связаны с ОКИИ, существуют бизнес-процессы не связанные с информационной инфраструктурой Российской Федерации, понятно, что реестр платежей не примут на бумажке заполненной от руки (... хотя, видимо, никто еще не пробовал так...), но быть готовым к этому надо ..... или не надо уже?





                  Комментарий


                  • #39
                    Сообщение от Павлоний Посмотреть сообщение
                    2. выявление процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы) - их нет!
                    ...
                    ​​​​​​Не все платежные процессы связаны с ОКИИ, существуют бизнес-процессы не связанные с информационной инфраструктурой Российской Федерации, понятно, что реестр платежей не примут на бумажке заполненной от руки (... хотя, видимо, никто еще не пробовал так...), но быть готовым к этому надо ..... или не надо уже?
                    Давайте без абстракций - они вводят в заблуждение или читателей, или вас самого.

                    Есть вполне конкретное "негативное последствие для обеспечения обороны страны, безопасности государства и правопорядка", которое определено в постановлении. Это "прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета" (ПП-127, показатель 10).

                    Все процессы, прекращение которых может привести к такому "негативному последствию", являются критическими. По определению (ПП-127, п. 5б,)

                    Все информационные системы, которые "обрабатывают информацию, необходимую для обеспечения критических процессов", являются ОКИИ. По определению (ПП-127, п. 5в,)

                    Комментарий


                    • #40
                      Сообщение от malotavr Посмотреть сообщение
                      Есть вполне конкретное "негативное последствие для обеспечения обороны страны, безопасности государства и правопорядка", которое определено в постановлении. Это "прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета" (ПП-127, показатель 10).
                      А если кредитная организация "...не системно значимая, не оператор услуг платежной инфраструктуры итд" (ПП-127, показатель 10), то можно считать критических процессов нет?




                      Комментарий


                      • #41
                        Сообщение от malotavr Посмотреть сообщение
                        Давайте без абстракций
                        Я без абстракций, очень хочется разобраться... Зачем "обменному пункту" записываться сначала в субъекты, потом искать процессы, затем учитывать объекты... далее по списку законодательства...

                        Сообщение от malotavr Посмотреть сообщение
                        ПП-127, показатель 10
                        этот пункт разве не про критерии значимости субъектов критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка?

                        Сообщение от malotavr Посмотреть сообщение
                        (ПП-127, п. 5б,)
                        за 5 лет закрыли более 500 банков... и никаких негативных последствий... наоборот - рынок труда полон классных специалистов всех областей, ЦБ отчиталась об улучшении и укрупнении, а теперь всем "обменным пунктам" шагом марш в СКИИ со своими ОКИИ ...

                        Сообщение от malotavr Посмотреть сообщение
                        (ПП-127, п. 5в,)
                        если нет критических процессов, то и нет нужды в ИС...

                        Мысль то была такая, что нельзя всех и вся запихнуть в один закон, положение, указание, требование ... это касается и ЕБС и прочих новоинициатив ...
                        Если есть понятие системно значимые, социально значимые, то и указания олжны быть в соответствии отнесения организаций (банков) к этой категории.

                        Мы все тут в большом заблуждении...

                        Комментарий


                        • #42
                          Сообщение от Esin Посмотреть сообщение
                          А если кредитная организация "...не системно значимая, не оператор услуг платежной инфраструктуры итд" (ПП-127, показатель 10), то можно считать критических процессов нет?
                          Если она еще и не с госучастием и не подпадает под остальные показатели - то, наверное, да.

                          Комментарий


                          • #43
                            Процессы, судя по всему есть, категории значимости не присваиваются.

                            Комментарий


                            • #44
                              Коллеги! Перечитываю п.15 ПП-127 и понимаю, что, до направления утвержденного перечня объектов во ФСТЭК, данный перечень необходимо согласовать с государственным органом или российским юридическим лицом и т.д. О каком гос. органе идет речь? По контексту понимаю, что это ЦБ, но, не понятно куда именно направлять на согласование?

                              Комментарий


                              • #45
                                Сообщение от Evgenich Посмотреть сообщение
                                куда именно направлять на согласование
                                не надо согласовывать с ЦБ.

                                Комментарий


                                • #46
                                  Сообщение от Павлоний Посмотреть сообщение
                                  Я без абстракций, очень хочется разобраться... Зачем "обменному пункту" записываться сначала в субъекты, потом искать процессы, затем учитывать объекты... далее по списку законодательства...
                                  Затем, что государство обязало его это сделать..

                                  Сообщение от Павлоний Посмотреть сообщение
                                  этот пункт разве не про критерии значимости субъектов критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка?
                                  1. Да, про показатели и критерии. Показателем является числовое выражение того самого "негативного последствия". Т.е.:
                                  - "прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых..." - негативное последствие, имеющее экономическую значимость;
                                  - "среднедневное cколичество осуществляемых операций" - показатель, характеризующий степень опасности такого последствия;
                                  - "более 3 млн., но менее или равно 70 млн." - критерий определения степени значимости на основе значения этого показателя.

                                  2. Обычная для нормативки недружба с русским языком. "А или Б (в мн. числе), осуществляемых В". В этом случае уточнение "осуществляемых В" может относиться как и к А, и к Б, так и только к Б. Это определятся контекстом.По контексту тут Б - вообще любые операции, а А - операции по счетам или без открытия счета. Если бы уточнение про системную значимость и прочее бла-бла-бла не относилось бы только к Б, то туда автоматом включалось бы и А. Тогда не было бы необходимости выделять А в отдельную формулировку.

                                  Сравните, например, "красные карандаши и карандаши, произведенные за рубежом": российские красные карандаши входят в это понятие?

                                  Поэтому я понимаю этот показатель так:
                                  - прекращение любых операций системно-значимыми и прочими пипец-как-важными организациями;
                                  - прекращение только операций со счетами или без открытия счета остальными организациями.

                                  А так - имеет смысл спросить авторов формулировки на очередной конференции. Иногда то, что они пишут, не соответствует тому, что они подразумевали Например, в показателе 9 подразумевалось снижение налоговых выплат из-за вынужденного простоя предприятия, но вот только налоговое законодательство ущербом бюджету называет нечто совсем другое В ноябре буду модерировать круглый стол на региональной конференции - попробую у докладчика от ФСТЭК уточнить.

                                  Сообщение от Павлоний Посмотреть сообщение
                                  за 5 лет закрыли более 500 банков... и никаких негативных последствий... наоборот - рынок труда полон классных специалистов всех областей, ЦБ отчиталась об улучшении и укрупнении, а теперь всем "обменным пунктам" шагом марш в СКИИ со своими ОКИИ ...
                                  "Quod licet Jovi, non licet bovi" Правительство сочло, что вот так.

                                  В остальном согласен: если нет критических процессов, то нет и ОКИИ, а значит в ФСТЭК ничего отправлять не нужно.
                                  Последний раз редактировалось malotavr; 18.10.2018, 15:56.

                                  Комментарий


                                  • #47
                                    Добрый день, коллеги!

                                    Подготовил комплект документ для начинающего заниматься категорированием объектов КИИ:

                                    - Нормативные документы регуляторов;
                                    - Образцы документов (приказ о создании комиссии, акт категорирования объекта КИИ; список БП банка и перечень объектов КИИ).

                                    187-ФЗ.rar

                                    Комментарий


                                    • #48
                                      Салют, может есть у кого контакты с австрийским банком, слышал что они убедили не признавать свои системы КИИ, интересно каким образом?

                                      Комментарий


                                      • #49
                                        Сообщение от H4mek Посмотреть сообщение
                                        Салют, может есть у кого контакты с австрийским банком, слышал что они убедили не признавать свои системы КИИ, интересно каким образом?
                                        убедили кого?

                                        Комментарий


                                        • #50
                                          Коллеги, а не подскажите, в чем разница (приказ №236 2 раздел):

                                          Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов
                                          и
                                          Структурное подразделение, ответственное за обеспечение безопасности значимых объектов


                                          И что скрывается под термином "значимый объект"? Это значимый объект КИИ?

                                          Если да, то если у меня нет значимых объектов, то как тогда заполнять форму? "нет значимых объектов"

                                          Комментарий


                                          • #51
                                            Сообщение от Enhot Посмотреть сообщение
                                            Если да, то если у меня нет значимых объектов, то как тогда заполнять форму? "нет значимых объектов"
                                            Мы пока так решили написать - значимых объектов нет, общее обеспечение ИБ возложено на....

                                            Комментарий


                                            • #52
                                              Сообщение от Enhot Посмотреть сообщение
                                              Если да, то если у меня нет значимых объектов, то как тогда заполнять форму? "нет значимых объектов"
                                              Добрый день !

                                              По ссылочке http://regulation.gov.ru/projects#de...8898&npa=76034 был проект приказа с пояснениями по заполнению таблички.

                                              Там в Примечаниях подробно все расписано.
                                              Файл с проектом приказа прилагаю.
                                              Вложения

                                              Комментарий


                                              • #53
                                                Сообщение от Viktor_F Посмотреть сообщение

                                                Добрый день !

                                                По ссылочке http://regulation.gov.ru/projects#de...8898&npa=76034 был проект приказа с пояснениями по заполнению таблички.

                                                Там в Примечаниях подробно все расписано.
                                                Файл с проектом приказа прилагаю.
                                                Спасибо, то что надо

                                                Комментарий


                                                • #54
                                                  Коллеги, а если мы маленький региональный банк и ни один из процессов у нас не подпадает по категории ПП 127, т.е. у нас нет критичных процессов. Таким образом у нас нет и объектов КИИ и как следствие нам нечего отправлять во ФСТЭК. Достаточно сделать заключение или акт об отсутствии критичных процессов.
                                                  Я правильно рассуждаю???

                                                  Комментарий


                                                  • #55
                                                    Сообщение от КАндрей Посмотреть сообщение
                                                    Я правильно рассуждаю???
                                                    Добрый день !

                                                    Не совсем.
                                                    По п.3 127 ПП - "Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры."

                                                    Т.е. - объекты КИИ у Вас есть. Например: АБС-ка, система "Клиент-Банк" и т.п.
                                                    Соответственно - необходимо составить и отправить Перечень таких объектов.

                                                    Далее, Вы определяете, что Вашим объектам категория значимости не присваивается.
                                                    И опять же уведомляете об этом ФСТЭК формой из их 126 приказа.

                                                    Вот как-то так получается.

                                                    Комментарий


                                                    • #56
                                                      Сообщение от Viktor_F Посмотреть сообщение

                                                      Добрый день !

                                                      Не совсем.
                                                      По п.3 127 ПП - "Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры."

                                                      Т.е. - объекты КИИ у Вас есть. Например: АБС-ка, система "Клиент-Банк" и т.п.
                                                      Соответственно - необходимо составить и отправить Перечень таких объектов.

                                                      Далее, Вы определяете, что Вашим объектам категория значимости не присваивается.
                                                      И опять же уведомляете об этом ФСТЭК формой из их 126 приказа.

                                                      Вот как-то так получается.
                                                      Но из п.5. тогоже ПП127 следует, что
                                                      а) мы определяем все такие процессы
                                                      б) выявление среде них критических
                                                      в) определение объектов КИИ которые обрабатывают информацию лоя обеспечения КРИТИЧНЫХ процессов.

                                                      потому и вопрос, нет критичных процессов, нет и объектов КИИ, разве не так?

                                                      Комментарий


                                                      • #57
                                                        Сообщение от КАндрей Посмотреть сообщение
                                                        потому и вопрос, нет критичных процессов, нет и объектов КИИ, разве не так?
                                                        У банка не может не быть критичных для бизнеса процессов. Проведение платежей, обслуживание карт и т.п., если эти процессы встанут, то встанет и банк.

                                                        Теоретически эти процессы могут быть не автоматизированы, но в наше время это вряд ли.

                                                        Так что объекты КИИ у вас обязательно есть.

                                                        Комментарий


                                                        • #58
                                                          Сообщение от ost Посмотреть сообщение

                                                          У банка не может не быть критичных для бизнеса процессов. Проведение платежей, обслуживание карт и т.п., если эти процессы встанут, то встанет и банк.

                                                          Теоретически эти процессы могут быть не автоматизированы, но в наше время это вряд ли.

                                                          Так что объекты КИИ у вас обязательно есть.
                                                          Стоп, а мы критичность процессов оцениваем с точки зрения бизнеса или по критериям из 127ПП? В пункте б) постановления говорится, что выявляем процессы прекращение которых можнт привести к негативным социальным, политическим, экономическим и экологическим последсвиям, т.е. фактически отсылают к критериям значимости 127ПП. Таким образом, если смотреть на критерии, то ни один процесс у нас не будет являться КРИТИЧЕСКИМ. Разве нет?

                                                          Комментарий


                                                          • #59
                                                            КАндрей

                                                            Уважаемый malotavr все описал в посте #46

                                                            - "прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых..." - негативное последствие, имеющее экономическую значимость;

                                                            Комментарий


                                                            • #60
                                                              Сообщение от КАндрей Посмотреть сообщение
                                                              Стоп, а мы критичность процессов оцениваем с точки зрения бизнеса или по критериям из 127ПП? В пункте б) постановления говорится, что выявляем процессы прекращение которых можнт привести к негативным социальным, политическим, экономическим и экологическим последсвиям, т.е. фактически отсылают к критериям значимости 127ПП. Таким образом, если смотреть на критерии, то ни один процесс у нас не будет являться КРИТИЧЕСКИМ. Разве нет?
                                                              Добрый день !

                                                              Пункт 3 Правил:
                                                              3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.
                                                              Дальше, согласен, что написано коряво, но у нас так все законы пишутся .
                                                              5. Категорирование включает в себя:

                                                              а) определение процессов, указанных в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
                                                              б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);
                                                              Объекты, которые выполняют функции по обеспечению основного вида деятельности по ОКВЭД, не могут быть некритичными для организации.

                                                              А вот теперь идет прямая ссылка на перечень показателей -
                                                              4. Определение категорий значимости объектов критической информационной инфраструктуры (далее - категория значимости) осуществляется на основании показателей критериев значимости объектов критической информационной инфраструктуры и их значений, предусмотренных перечнем показателей...

                                                              Здесь Вы вольны в определении категорий.
                                                              Если Вы не входите в список системно значимых - то категория не присваивается.

                                                              Я у себя сделал так.
                                                              Вопросов и замечаний от ФСТЭК не получил.
                                                              Их все устроило.

                                                              Комментарий

                                                              Обработка...
                                                              X