24 января, пятница 17:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Viktor_F
    Подскажите, пож-та, на сколько "глубоко" вы выделяли объекты КИИ? Или вы просто указывали самый верхний уровень, например, АБС, ДБО и т.д?

    Комментарий


    • #62
      Сообщение от Enhot Посмотреть сообщение
      Коллеги, а не подскажите, в чем разница (приказ №236 2 раздел):

      Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов
      и
      Структурное подразделение, ответственное за обеспечение безопасности значимых объектов


      И что скрывается под термином "значимый объект"? Это значимый объект КИИ?

      Если да, то если у меня нет значимых объектов, то как тогда заполнять форму? "нет значимых объектов"
      Форма заполняется на каждый объект. Для значимых пишете в форме категорию значимости. Для незначимых пишете, что необходимость присвоения категории значмости отсутствует. Но форму нужно заполнить на каждый объект.

      Комментарий


      • #63
        Сообщение от КАндрей Посмотреть сообщение
        Стоп, а мы критичность процессов оцениваем с точки зрения бизнеса или по критериям из 127ПП? В пункте б) постановления говорится, что выявляем процессы прекращение которых можнт привести к негативным социальным, политическим, экономическим и экологическим последсвиям, т.е. фактически отсылают к критериям значимости 127ПП. Таким образом, если смотреть на критерии, то ни один процесс у нас не будет являться КРИТИЧЕСКИМ. Разве нет?
        Критичность процессов вы определяете по показателям. Например, есть показатель про прекращение проведение операций по счетам клиентов. Вы проводите операции по счетам клиентов? Если да, то к этим процессам относится этот показатель, и они - критические. АБС, участвующие в этих процессах, - объекты КИИ. Их вы вносите в перечень, направляете перечень в ФСТЭК.

        К каждому объекту КИИ вы применяете критерии основанные на показателе. Если гикнется вот эта АБС, что произойдет с операциями по счетам клиентов? Если подходит хоть один критерий этого показателя, объект значимый соответствующей категории. Если не подходит ни один критерий ни одного изхз показателей, объект незначимый.

        В любом случае по каждому объекту вы заполняете 236ю форму и отправляете в ФСТЭК.

        Комментарий


        • #64
          Сообщение от Evgenich Посмотреть сообщение
          Viktor_F
          Подскажите, пож-та, на сколько "глубоко" вы выделяли объекты КИИ? Или вы просто указывали самый верхний уровень, например, АБС, ДБО и т.д?
          Не очень понятен вопрос про глубину. Там в 236й форме есть отдельный пункт про состав этих систем. Хотя бы в общих чертах перечислить используемое ПО придется.

          Комментарий


          • #65
            malotavr

            Относительно "глубины", вопрос следующий: На сколько глубоко нужно расписывать объект КИИ? Например, АБС. Достаточно просто указать, что есть объект - АБС, или необходимо расписать все элементы, сервера, сетевое оборудование, базы данных и т.п. с которыми она функционирует?
            236 форма заполняется и отправляется во ФСТЭК, как я понимаю, по результатам уже проведенного категорирования. На первой стадии, по формированию перечня объектов и направления этой информации во ФСТЭК, 236 форма не заполняется. Или я не прав?
            Другой вопрос, относительно определения критериев значимости. В каких рамках их рассматривать, в рамках государства или, например в рамках региона, города? Если в рамках государства, вряд ли маленький региональный банк нанесет значимый ущерб, если в рамках региона или города, возможно и нанесет. Например, социальная значимость-Причинение ущерба жизни и здоровью. Если более одного человека, но менее пятидесяти, уже третья категория. Под этот критерий, гипотетически, можно что угодно подвести. Например, клиент не смог оплатить вовремя медицинские услуги, тем самым его здоровью был нанесен некий ущерб.

            Комментарий


            • #66
              Добрый день.

              А у кого какие мысли по ИС на аутсорсинге? С т.з. ГК аутсорсинг это оказание услуг, а не аренда. Т.е. формально, можно в список критичных ИС не включать. Но у банка могут быть критичные бизнес-процессы, которые зависят от этого аутсорсинга. Например, процессинг, ДБО и т.п. Какие буду идеи?

              Комментарий


              • #67
                paulscv
                Вот тут есть часть ответов https://www.securitylab.ru/blog/pers...pad/345115.php

                Комментарий


                • #68
                  Сообщение от Evgenich Посмотреть сообщение
                  malotavr

                  Относительно "глубины", вопрос следующий: На сколько глубоко нужно расписывать объект КИИ? Например, АБС. Достаточно просто указать, что есть объект - АБС, или необходимо расписать все элементы, сервера, сетевое оборудование, базы данных и т.п. с которыми она функционирует?
                  236 форма заполняется и отправляется во ФСТЭК, как я понимаю, по результатам уже проведенного категорирования. На первой стадии, по формированию перечня объектов и направления этой информации во ФСТЭК, 236 форма не заполняется. Или я не прав?
                  Другой вопрос, относительно определения критериев значимости. В каких рамках их рассматривать, в рамках государства или, например в рамках региона, города? Если в рамках государства, вряд ли маленький региональный банк нанесет значимый ущерб, если в рамках региона или города, возможно и нанесет. Например, социальная значимость-Причинение ущерба жизни и здоровью. Если более одного человека, но менее пятидесяти, уже третья категория. Под этот критерий, гипотетически, можно что угодно подвести. Например, клиент не смог оплатить вовремя медицинские услуги, тем самым его здоровью был нанесен некий ущерб.
                  1. Для перечня объектов - достаточно (см. https://fstec.ru/tekhnicheskaya-zash...-n-240-25-3752)
                  Для сведений о категорировании - нет (см. раздел 5 форму направления сведений в приказе 236)

                  2. Критерии значимости - там, где ограничиваются рамки (субъект федерации, город), в критерии так и написано. В банковской деятельности никаких рамок нет (см. показатель 10 - там речь идет о количестве операций).

                  3. Если считаете, что нарушение вашей деятельности может причинить вред чьему-то здоровью, значит, этот показатель к вам применим. Это каждый решает самостоятельно Но, если серьезно, привлеките юристов. Они вам в каждом конкретном случае скажут, можно ли вот это действие считать причиной вот этого ущерба.

                  Комментарий


                  • #69
                    Звонил вчера в ФСТЭК и спросил, что нам делать, т.к. у нас маленький банк и КИИ, с точки зрения ПП 127, у нас нет. Мне ответили, что в этом случае ничего в ФСТЭК предоставлять не нужно. В банке достаточно назначить приказом комиссию и оформить акт, в котором указать, что комиссия не обнаружила в банке КИИ, соответствующих критериям ПП 127.
                    Это показывает (цитирую ФСТЭК) : " что банк ознакомился с законодательными актами и провел соответствующие мероприятия и принял решение."

                    Комментарий


                    • #70
                      Сообщение от kope Посмотреть сообщение
                      Звонил вчера в ФСТЭК и спросил, что нам делать, т.к. у нас маленький банк и КИИ, с точки зрения ПП 127, у нас нет. Мне ответили, что в этом случае ничего в ФСТЭК предоставлять не нужно. В банке достаточно назначить приказом комиссию и оформить акт, в котором указать, что комиссия не обнаружила в банке КИИ, соответствующих критериям ПП 127.
                      Это показывает (цитирую ФСТЭК) : " что банк ознакомился с законодательными актами и провел соответствующие мероприятия и принял решение."
                      Все правильно: если бы у вас не было объектов КИИ - так бы оно и было. Но если вы обслуживаете счета клиентов, то с точки зрения ПП127 объекты КИИ у вас есть - это ваша АБС и иные системы, используемые при проведении операций по счетам клиентов. В этом случае вы обязаны подать в ФСТЭК перечень этих объектов, провести их категорирование и направить в ФСТЭК результаты, ко которым эти объекты КИИ не были признаны значимыми.

                      А так вы дали собеседнику неверную вводную и получили ответ, который к вам не относится.

                      Комментарий


                      • #71
                        Сообщение от malotavr Посмотреть сообщение
                        ......А так вы дали собеседнику неверную вводную и получили ответ, который к вам не относится.
                        Не скажу за все отрасли, но стойкое ощущение, что всю необходимою информацию, касающуюся критичности ИС банков, регуляторы могли бы получить исходя их обязательной ЦБшной отчетности.

                        Комментарий


                        • #72
                          Сообщение от saches Посмотреть сообщение
                          Не скажу за все отрасли, но стойкое ощущение, что всю необходимою информацию, касающуюся критичности ИС банков, регуляторы могли бы получить исходя их обязательной ЦБшной отчетности.
                          Могли бы. Но тут вопрос ещё в том, чтобы сами организации думали своей головой и сами обеспечивали безопасность, причём на всех уровнях.

                          Комментарий


                          • #73
                            Коллеги, какие системы вы включали в перечень КИИ?

                            Я планирую включить:
                            - Карточный процессинг
                            - Основную АБС
                            - Интернет-банк
                            - SWIFT
                            - АРМ КБР

                            Посоветуйте, что добавить, что выбросить.

                            Комментарий


                            • #74
                              Сообщение от ost Посмотреть сообщение
                              ......Посоветуйте, что добавить, что выбросить.
                              С одной стороны, есть сомнения по поводу ДБО, т.к. практически всегда остается возможность доехать ногами.
                              А с другой стороны карточный бэк (или он в процессинге или АБС?) и всякие биржи и [интернет] трейдинг?


                              Комментарий


                              • #75
                                Сообщение от ost Посмотреть сообщение
                                Коллеги, какие системы вы включали в перечень КИИ?

                                Я планирую включить:
                                - Карточный процессинг
                                - Основную АБС
                                - Интернет-банк
                                - SWIFT
                                - АРМ КБР

                                Посоветуйте, что добавить, что выбросить.
                                Мы еще добавили систему, которая обеспечивает поддержание платежной позиции банка (наличия денег на корр счете)

                                Комментарий


                                • #76
                                  Сообщение от saches Посмотреть сообщение
                                  А с другой стороны карточный бэк (или он в процессинге или АБС?) и всякие биржи и [интернет] трейдинг?
                                  У нас нет деления в процессинге на фронт и бэк, поэтому идет одной строкой.
                                  Биржи не актуальны, это доступно только для пары специальных клиентов.

                                  Комментарий


                                  • #77
                                    Сообщение от saches Посмотреть сообщение
                                    есть сомнения по поводу ДБО, т.к. практически всегда остается возможность доехать ногами.
                                    Как показывает практика, сбой интернет-банка это всегда больно. И клиенты недовольны, и в прессу может просочиться...

                                    Комментарий


                                    • #78
                                      Сообщение от ost Посмотреть сообщение
                                      - Основную АБС
                                      Не совсем понятно слово "основная". Какие задачи она решает? Возможно надо включать и "не основную" ....

                                      Комментарий


                                      • #79
                                        Сообщение от UserNick Посмотреть сообщение
                                        Не совсем понятно слово "основная". Какие задачи она решает?
                                        Основная, это которая делает переводы денежных средств, всё остальное, типа внутренняя бухгалтерия, аналитика, матучёт и т.п., не включаем.

                                        Комментарий


                                        • #80
                                          Сообщение от UserNick Посмотреть сообщение
                                          Возможно надо включать и "не основную"
                                          Ваши предложения?

                                          Комментарий


                                          • #81
                                            Сообщение от ost Посмотреть сообщение
                                            Коллеги, какие системы вы включали в перечень КИИ?

                                            Я планирую включить:
                                            - Карточный процессинг
                                            - Основную АБС
                                            - Интернет-банк
                                            - SWIFT
                                            - АРМ КБР

                                            Посоветуйте, что добавить, что выбросить.
                                            Для ФСТЭК этого точно будет достаточно

                                            Комментарий


                                            • #82
                                              Сообщение от ost Посмотреть сообщение
                                              Ваши предложения?
                                              Чтобы предлагать что то конкретное, надо знать несколько больше.
                                              Навскидку:
                                              Какие услуги оказывает банк клиентам? Есть ли лицензия для работы с вкладами? Какие процессы автоматизированы?

                                              Кстати попутный вопрос ко всем: надо ли оформлять в качестве системы Microsoft Office или аналог, в случае, если учет информации для критичного процесса ведется в Excel?

                                              Комментарий


                                              • #83
                                                Сообщение от UserNick Посмотреть сообщение
                                                Чтобы предлагать что то конкретное, надо знать несколько больше.
                                                Навскидку:
                                                Какие услуги оказывает банк клиентам? Есть ли лицензия для работы с вкладами? Какие процессы автоматизированы?
                                                Это всё основная АБС делает.

                                                Сообщение от UserNick Посмотреть сообщение
                                                Кстати попутный вопрос ко всем: надо ли оформлять в качестве системы Microsoft Office или аналог, в случае, если учет информации для критичного процесса ведется в Excel?
                                                Учёт не является критическим процессом. Переводы д/с и др. операции - да. Учёт всегда можно сделать задним числом.

                                                имхо, конечно.

                                                Комментарий


                                                • #84
                                                  Сообщение от ost Посмотреть сообщение
                                                  Учёт не является критическим процессом. Переводы д/с и др. операции - да. Учёт всегда можно сделать задним числом.
                                                  Операции тоже можно вести в Excel ... Это разновидность скажем так полуавтоматизированной информационной системы.

                                                  Комментарий


                                                  • #85
                                                    Сообщение от UserNick Посмотреть сообщение
                                                    Операции тоже можно вести в Excel ... Это разновидность скажем так полуавтоматизированной информационной системы.
                                                    Тогда формулируйте точнее, операции или учёт. Академические рассуждения не приветствуются, времени нет.

                                                    Комментарий


                                                    • #86
                                                      Сообщение от ost Посмотреть сообщение
                                                      Тогда формулируйте точнее, операции или учёт.
                                                      Не вижу разницы. Все автоматизированные системы банка можно назвать учетными системами т.к. они таковыми и являются. А докопаться и до столба можно. Вопрос про Excel в силе.

                                                      Комментарий


                                                      • #87
                                                        Сообщение от UserNick Посмотреть сообщение
                                                        Операции тоже можно вести в Excel ... Это разновидность скажем так полуавтоматизированной информационной системы.
                                                        1. Путаете понятия ИС и ПО. Категорируются информационные системы, а не софт.

                                                        2. "Можно вести" или "ведете"? Если вы ведете операции в Excel, то АРМ участников этого процесса и серверы, через которые осуществляется их совместная работа, - ИС, являющаяся объектом КИИ, со всеми вытекающими. Если в случае отказа АБС вы можете проводить операции и в Excel, то это - компенсирующая мера, которая при оценке категории значимости учитываться не должна.

                                                        З.Ы. К слову, Excel совершенно не обязательно чисто файловый процессор. В одном из банков Excel использовался как фронтенд к АБС: СУБД АБС подключалась через экселевскую таблицу как внешний источник данных. Если бы такая схема работы использовалась для обслуживания операций по счетам клиентов, то MS Ofice при категорировании следовало бы включать в состав ПО объекта КИИ.

                                                        Комментарий


                                                        • #88
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Если вы ведете операции в Excel, то АРМ участников этого процесса и серверы, через которые осуществляется их совместная работа, - ИС, являющаяся объектом КИИ, со всеми вытекающими.
                                                          Спасибо за комментарий. Наши мнения совпадают.

                                                          Комментарий


                                                          • #89
                                                            Добрый день, коллеги.
                                                            Планируете ли вы добавлять в перечень объектов КИИ СКС или ЛВС?

                                                            Комментарий


                                                            • #90
                                                              Сообщение от svarog.coop Посмотреть сообщение
                                                              Планируете ли вы добавлять в перечень объектов КИИ СКС или ЛВС?
                                                              Мы добавили.

                                                              Комментарий

                                                              Обработка...
                                                              X