10 декабря, понедельник 22:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от malotavr Посмотреть сообщение
    "Ваши крокодилы, вы их и спасайте!" (c)
    Чего там спасать, сейчас везде в интернет-банках голый браузер и веб-интерфейс.
    Вы серьёзно считаете что всем надо включить в перечень КИИ сайт госуслуг и провести его категорирование?

    Комментарий


    • Сообщение от ost Посмотреть сообщение
      Чего там спасать, сейчас везде в интернет-банках голый браузер и веб-интерфейс.
      Вы серьёзно считаете что всем надо включить в перечень КИИ сайт госуслуг и провести его категорирование?
      Я давно не сталкивался с терминалами, через которые банки работают, например, с системами денежных переводов. Что, вот прямо-таки "голый браузер и веб-интерфейс"? И операционистка ручками все вбивает? Даже у нас в далеком 2008 это было автоматическое перекидывание файлов из АБС на терминал какой-нибудь Золотой Короны с дальнейшей автоматической же отправкой файла в систему денежных переводов. Неужели я настолько отстал от жизни?

      Но даже если это "голый браузер и веб-интерфейс". Если у вас нарушитель расфигачит операционку этого компа "с голым браузером", то на некоторое время денежные переводы будут нарушены. И для того, чтобы понять, обязаны ли вы применять к этому компу требования приказа 239, вы обязаны этот комп прокатегорировать как объект КИИ. По итогам категорирования вы сотрете со лба трудовой пот и скажете, что он незначимый, и что на требвоания ФСТЭК можно забить. Но сперва - прокатегорировать, и только потом - забить.

      З.Ы. Сильно подозреваю, что вы перепутали клиентскую часть ДБО клиента банка с клиентской частью ИС, через которые банк проводит операции с банком-корреспондентом. Это ни фига не "портал госуслуг". Портал госуслуг, кстати, за защиту вашего компа не отвечает - его вы защищаете сами, и если требуется - категорируете тоже сами.

      Комментарий


      • Сообщение от w3d Посмотреть сообщение
        Разве не должны категорировать ИС только системно значимые банки?

        «Показатели критериев значимости», ПП от 8 февраля 2018 г. N 127
        Пункт III.10 Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений)
        Ну, давайте еще несколько раз спросим - на этот вопрос тут всего лишь два раза ответили
        Читаем внимательно процитированный вами текст:

        "Прекращение или нарушение проведения клиентами операций <бла-бла-бла> или операций, осуществляемых субъектом <бла-бла-бла>". Согласно правилам русского языка, в этой конструкции определение "осуществляемых" относится только к тому из двух существительных, которое стоит непосредственно перед определением, то есть только ко второму.

        В устных беседах ЦБ говорит, что они действительно имели в виду только системно значимые банки. Но что они имели в виду, уже никакого значения не имеет: в нормативном акте Правительства написано совсем другое.

        Комментарий


        • malotavr, лень цитировать весь пост, кратко по сути - мне пофиг с какого компа заходить в интернет-банк, ровно также пофиг откуда заходить в госуслуги. Да хоть с мобилы зайду, нужен только логин и пароль.


          Кстати, мой личный пароль для госуслуг в гугле, не удивлюсь, если у 99% юзеров он лежит там же. Привет ФСБ.

          Комментарий


          • malotavr, лень цитировать весь пост, кратко по сути - мне пофиг с какого компа заходить в интернет-банк, ровно также пофиг откуда заходить в госуслуги. Да хоть с мобилы зайду, нужен только логин и пароль. Операционисту там одну платёжку вбить раз в неделю (у нас так), чего париться?
            ​​​​

            Кстати, мой личный пароль для госуслуг в гугле, не удивлюсь, если у 99% юзеров он лежит там же. Привет ФСБ.

            Комментарий


            • Сообщение от ost Посмотреть сообщение
              malotavr, лень цитировать весь пост, кратко по сути - мне пофиг с какого компа заходить в интернет-банк, ровно также пофиг откуда заходить в госуслуги. Да хоть с мобилы зайду, нужен только логин и пароль. Операционисту там одну платёжку вбить раз в неделю (у нас так), чего париться?
              ​​​​

              Кстати, мой личный пароль для госуслуг в гугле, не удивлюсь, если у 99% юзеров он лежит там же. Привет ФСБ.
              В вашем случае и так очевидно, что этот комп никак не будет значимым объектом А "не значимый" он или "не объект вообще" - однофигственно.

              Категорировать нужно, когда есть шанс, что объект попадет в какой-то критерий, и тогда на него нужно посмотреть внимательней.

              Комментарий


              • Сообщение от malotavr Посмотреть сообщение
                Категорировать нужно, когда есть шанс, что объект попадет в какой-то критерий, и тогда на него нужно посмотреть внимательней.
                Строго по закону, катеоорировать надо если система принадлежит субъекту и если она обеспечивает критичный для субъекта процесс. Результат категорирования уже вторичен.

                Так я за что говорю, интерфейсный комп это не система, не надо его трогать.

                Тема незначимых объектов видимо больная для ФСТЭК, ибо их сейчас завалят всяким дерьмом, а его придётся отрабатывать, но закон и ПП написали именно так, ежели ты субъект, то вынь и положь, а то что ты не значимый, то потом разберемся. Ну тут надо было сначала думать, а потом писать, и всяких лукатских вовремя осадить.

                Комментарий


                • Сообщение от malotavr Посмотреть сообщение

                  Ну, давайте еще несколько раз спросим - на этот вопрос тут всего лишь два раза ответили
                  Читаем внимательно процитированный вами текст:

                  "Прекращение или нарушение проведения клиентами операций <бла-бла-бла> или операций, осуществляемых субъектом <бла-бла-бла>". Согласно правилам русского языка, в этой конструкции определение "осуществляемых" относится только к тому из двух существительных, которое стоит непосредственно перед определением, то есть только ко второму.

                  В устных беседах ЦБ говорит, что они действительно имели в виду только системно значимые банки. Но что они имели в виду, уже никакого значения не имеет: в нормативном акте Правительства написано совсем другое.
                  Это уж совсем вырывание отдельных слов из контекста
                  Далее, однако стоит определение этого самого субъекта и в этом же предложении.
                  "субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией"

                  Призовем в тему филологов?

                  Комментарий


                  • Сообщение от w3d Посмотреть сообщение

                    Это уж совсем вырывание отдельных слов из контекста
                    Далее, однако стоит определение этого самого субъекта и в этом же предложении.
                    "субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией"

                    Призовем в тему филологов?
                    В праве нет понятия "контекста", из которого можно что-то "вырвать". Зато есть четкое указание, что неясности в формулировках норм права должны рассматриваться на основе норм русского языка. Поэтому да, в случаях, подобных этому, последнее слово остается за специалистами института им. Виноградова.

                    Комментарий


                    • Сообщение от ost Посмотреть сообщение

                      Строго по закону, катеоорировать надо если система принадлежит субъекту и если она обеспечивает критичный для субъекта процесс. Результат категорирования уже вторичен.

                      Так я за что говорю, интерфейсный комп это не система, не надо его трогать.

                      Тема незначимых объектов видимо больная для ФСТЭК, ибо их сейчас завалят всяким дерьмом, а его придётся отрабатывать, но закон и ПП написали именно так, ежели ты субъект, то вынь и положь, а то что ты не значимый, то потом разберемся. Ну тут надо было сначала думать, а потом писать, и всяких лукатских вовремя осадить.
                      Строго по закону у вас нет оснований утверждать, что интерфейсный комп не является самостоятельной информационной системой Поэтому при решении "категорировать или нет", вам стоит подумать не о том, как ФСТЭК будет разгребать поступающую информацию, а о том, до чего будет докапываться следствие, если из-за атаки на этот комп остановятся платежи.

                      В вашем случае следствие вам не грозит из-за незначительности количества платежеых операций. Но в любом случае нужно принимать решение, исходя из оценки своих рисков, а не проблем ФСТЭК.
                      Последний раз редактировалось malotavr; 06.12.2018, 08:35.

                      Комментарий


                      • Сообщение от malotavr Посмотреть сообщение
                        вам стоит подумать не о том, как ФСТЭК будет разгребать поступающую информацию, а о том, до чего будет докапываться следствие, если из-за атаки на этот комп остановятся платежи.

                        .
                        Люблю безопасников, когда у них кончается здравый смысл, они всегда начинают тюрьмой угрожать.

                        Ничего не случится из-за атаки на комп, я с мобилы зайду если что.

                        Комментарий


                        • Сообщение от ost Посмотреть сообщение
                          Люблю безопасников, когда у них кончается здравый смысл, они всегда начинают тюрьмой угрожать.
                          Ничего не случится из-за атаки на комп, я с мобилы зайду если что.
                          Хм... Критерии категорирования по показателю 10 начинаются с трех миллионов операций в день. Как я уже сказал, если напрямую между вами и банком-корреспондентом проходит меньше операций, то абсолютно пофиг, будете вы категорировать систему или нет - никакая ответственость за это не предусмотрена, даже если ваш банк сгорит синим пламенем. Соответственно, мы обсуждаем только интерфейсы "клиент-банк", через которые, возможно, проходит больше трех миллионов операций в день. А вот узнать, сколько через них проходит на самом деле - одна из составных частей категорирования.

                          Если ваш здравый смысл подсказывает вам, что в такой системе вы "с мобилы зайдете, если что", то у меня плохие новости насчет вашего здравого смысла. А вот ответственность за остановку обслуживания при таком потоке платежей, если при этом вы не выполнили требования нормативных документов, установлена именно уголовная (274.1 УК РФ). Можете считать это угрозой, я предпочитаю термин "информирование".

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            Люблю безопасников, когда у них кончается здравый смысл, они всегда начинают тюрьмой угрожать. Ничего не случится из-за атаки на комп, я с мобилы зайду если что.
                            Читайте судебную практику Мы вот читаем. Порой и участвовать приходилось

                            Комментарий


                            • Сообщение от malotavr Посмотреть сообщение

                              Соответственно, мы обсуждаем только интерфейсы "клиент-банк", через которые, возможно, проходит больше трех миллионов операций в день.
                              Вы в серьёз считаете, что по прямым коротношениям проходит так много транзакций через клиент-банк?

                              Таки нет, через клиент банк фигачут одну-две платёжки на подкрепление корсчёта или на вывод денег. Остальное через платежные системы идет.

                              ​​

                              Комментарий


                              • Сообщение от Gallen Посмотреть сообщение

                                Читайте судебную практику Мы вот читаем. Порой и участвовать приходилось
                                Я вас поздравляю. С судами у нас юристы работают, вполне так...

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение

                                  Вы в серьёз считаете, что по прямым коротношениям проходит так много транзакций через клиент-банк?

                                  Таки нет, через клиент банк фигачут одну-две платёжки на подкрепление корсчёта или на вывод денег. Остальное через платежные системы идет.

                                  ​​
                                  Вы только что провели категорирование клиент-банка и по его итогам приняли решение, что он не является значимым объектом Причем вы потратили на это меньше времени, чем на то, стобы доказать мне, что этого делать не нужно.

                                  Комментарий


                                  • Сообщение от malotavr Посмотреть сообщение

                                    Вы только что провели категорирование клиент-банка и по его итогам приняли решение, что он не является значимым объектом Причем вы потратили на это меньше времени, чем на то, стобы доказать мне, что этого делать не нужно.
                                    Ни о чём, непонятно какого клиент-банка, собственного или чужого, и к какому процессу он привязан

                                    У вас-то откуда клиент-банк, вы же не в банковском секторе работаете?

                                    Не, я уж как-нибудь сам решу чего и как категорировать.

                                    Последний раз редактировалось ost; 07.12.2018, 01:45.

                                    Комментарий

                                    Пользователи, просматривающие эту тему

                                    Свернуть

                                    Присутствует 1. Участников: 0, гостей: 1.

                                    Обработка...
                                    X