24 января, пятница 14:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от malotavr Посмотреть сообщение
    "Ваши крокодилы, вы их и спасайте!" (c)
    Чего там спасать, сейчас везде в интернет-банках голый браузер и веб-интерфейс.
    Вы серьёзно считаете что всем надо включить в перечень КИИ сайт госуслуг и провести его категорирование?

    Комментарий


    • Сообщение от ost Посмотреть сообщение
      Чего там спасать, сейчас везде в интернет-банках голый браузер и веб-интерфейс.
      Вы серьёзно считаете что всем надо включить в перечень КИИ сайт госуслуг и провести его категорирование?
      Я давно не сталкивался с терминалами, через которые банки работают, например, с системами денежных переводов. Что, вот прямо-таки "голый браузер и веб-интерфейс"? И операционистка ручками все вбивает? Даже у нас в далеком 2008 это было автоматическое перекидывание файлов из АБС на терминал какой-нибудь Золотой Короны с дальнейшей автоматической же отправкой файла в систему денежных переводов. Неужели я настолько отстал от жизни?

      Но даже если это "голый браузер и веб-интерфейс". Если у вас нарушитель расфигачит операционку этого компа "с голым браузером", то на некоторое время денежные переводы будут нарушены. И для того, чтобы понять, обязаны ли вы применять к этому компу требования приказа 239, вы обязаны этот комп прокатегорировать как объект КИИ. По итогам категорирования вы сотрете со лба трудовой пот и скажете, что он незначимый, и что на требвоания ФСТЭК можно забить. Но сперва - прокатегорировать, и только потом - забить.

      З.Ы. Сильно подозреваю, что вы перепутали клиентскую часть ДБО клиента банка с клиентской частью ИС, через которые банк проводит операции с банком-корреспондентом. Это ни фига не "портал госуслуг". Портал госуслуг, кстати, за защиту вашего компа не отвечает - его вы защищаете сами, и если требуется - категорируете тоже сами.

      Комментарий


      • Сообщение от w3d Посмотреть сообщение
        Разве не должны категорировать ИС только системно значимые банки?

        «Показатели критериев значимости», ПП от 8 февраля 2018 г. N 127
        Пункт III.10 Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений)
        Ну, давайте еще несколько раз спросим - на этот вопрос тут всего лишь два раза ответили
        Читаем внимательно процитированный вами текст:

        "Прекращение или нарушение проведения клиентами операций <бла-бла-бла> или операций, осуществляемых субъектом <бла-бла-бла>". Согласно правилам русского языка, в этой конструкции определение "осуществляемых" относится только к тому из двух существительных, которое стоит непосредственно перед определением, то есть только ко второму.

        В устных беседах ЦБ говорит, что они действительно имели в виду только системно значимые банки. Но что они имели в виду, уже никакого значения не имеет: в нормативном акте Правительства написано совсем другое.

        Комментарий


        • malotavr, лень цитировать весь пост, кратко по сути - мне пофиг с какого компа заходить в интернет-банк, ровно также пофиг откуда заходить в госуслуги. Да хоть с мобилы зайду, нужен только логин и пароль.


          Кстати, мой личный пароль для госуслуг в гугле, не удивлюсь, если у 99% юзеров он лежит там же. Привет ФСБ.

          Комментарий


          • malotavr, лень цитировать весь пост, кратко по сути - мне пофиг с какого компа заходить в интернет-банк, ровно также пофиг откуда заходить в госуслуги. Да хоть с мобилы зайду, нужен только логин и пароль. Операционисту там одну платёжку вбить раз в неделю (у нас так), чего париться?
            ​​​​

            Кстати, мой личный пароль для госуслуг в гугле, не удивлюсь, если у 99% юзеров он лежит там же. Привет ФСБ.

            Комментарий


            • Сообщение от ost Посмотреть сообщение
              malotavr, лень цитировать весь пост, кратко по сути - мне пофиг с какого компа заходить в интернет-банк, ровно также пофиг откуда заходить в госуслуги. Да хоть с мобилы зайду, нужен только логин и пароль. Операционисту там одну платёжку вбить раз в неделю (у нас так), чего париться?
              ​​​​

              Кстати, мой личный пароль для госуслуг в гугле, не удивлюсь, если у 99% юзеров он лежит там же. Привет ФСБ.
              В вашем случае и так очевидно, что этот комп никак не будет значимым объектом А "не значимый" он или "не объект вообще" - однофигственно.

              Категорировать нужно, когда есть шанс, что объект попадет в какой-то критерий, и тогда на него нужно посмотреть внимательней.

              Комментарий


              • Сообщение от malotavr Посмотреть сообщение
                Категорировать нужно, когда есть шанс, что объект попадет в какой-то критерий, и тогда на него нужно посмотреть внимательней.
                Строго по закону, катеоорировать надо если система принадлежит субъекту и если она обеспечивает критичный для субъекта процесс. Результат категорирования уже вторичен.

                Так я за что говорю, интерфейсный комп это не система, не надо его трогать.

                Тема незначимых объектов видимо больная для ФСТЭК, ибо их сейчас завалят всяким дерьмом, а его придётся отрабатывать, но закон и ПП написали именно так, ежели ты субъект, то вынь и положь, а то что ты не значимый, то потом разберемся. Ну тут надо было сначала думать, а потом писать, и всяких лукатских вовремя осадить.

                Комментарий


                • Сообщение от malotavr Посмотреть сообщение

                  Ну, давайте еще несколько раз спросим - на этот вопрос тут всего лишь два раза ответили
                  Читаем внимательно процитированный вами текст:

                  "Прекращение или нарушение проведения клиентами операций <бла-бла-бла> или операций, осуществляемых субъектом <бла-бла-бла>". Согласно правилам русского языка, в этой конструкции определение "осуществляемых" относится только к тому из двух существительных, которое стоит непосредственно перед определением, то есть только ко второму.

                  В устных беседах ЦБ говорит, что они действительно имели в виду только системно значимые банки. Но что они имели в виду, уже никакого значения не имеет: в нормативном акте Правительства написано совсем другое.
                  Это уж совсем вырывание отдельных слов из контекста
                  Далее, однако стоит определение этого самого субъекта и в этом же предложении.
                  "субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией"

                  Призовем в тему филологов?

                  Комментарий


                  • Сообщение от w3d Посмотреть сообщение

                    Это уж совсем вырывание отдельных слов из контекста
                    Далее, однако стоит определение этого самого субъекта и в этом же предложении.
                    "субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией"

                    Призовем в тему филологов?
                    В праве нет понятия "контекста", из которого можно что-то "вырвать". Зато есть четкое указание, что неясности в формулировках норм права должны рассматриваться на основе норм русского языка. Поэтому да, в случаях, подобных этому, последнее слово остается за специалистами института им. Виноградова.

                    Комментарий


                    • Сообщение от ost Посмотреть сообщение

                      Строго по закону, катеоорировать надо если система принадлежит субъекту и если она обеспечивает критичный для субъекта процесс. Результат категорирования уже вторичен.

                      Так я за что говорю, интерфейсный комп это не система, не надо его трогать.

                      Тема незначимых объектов видимо больная для ФСТЭК, ибо их сейчас завалят всяким дерьмом, а его придётся отрабатывать, но закон и ПП написали именно так, ежели ты субъект, то вынь и положь, а то что ты не значимый, то потом разберемся. Ну тут надо было сначала думать, а потом писать, и всяких лукатских вовремя осадить.
                      Строго по закону у вас нет оснований утверждать, что интерфейсный комп не является самостоятельной информационной системой Поэтому при решении "категорировать или нет", вам стоит подумать не о том, как ФСТЭК будет разгребать поступающую информацию, а о том, до чего будет докапываться следствие, если из-за атаки на этот комп остановятся платежи.

                      В вашем случае следствие вам не грозит из-за незначительности количества платежеых операций. Но в любом случае нужно принимать решение, исходя из оценки своих рисков, а не проблем ФСТЭК.
                      Последний раз редактировалось malotavr; 06.12.2018, 08:35.

                      Комментарий


                      • Сообщение от malotavr Посмотреть сообщение
                        вам стоит подумать не о том, как ФСТЭК будет разгребать поступающую информацию, а о том, до чего будет докапываться следствие, если из-за атаки на этот комп остановятся платежи.

                        .
                        Люблю безопасников, когда у них кончается здравый смысл, они всегда начинают тюрьмой угрожать.

                        Ничего не случится из-за атаки на комп, я с мобилы зайду если что.

                        Комментарий


                        • Сообщение от ost Посмотреть сообщение
                          Люблю безопасников, когда у них кончается здравый смысл, они всегда начинают тюрьмой угрожать.
                          Ничего не случится из-за атаки на комп, я с мобилы зайду если что.
                          Хм... Критерии категорирования по показателю 10 начинаются с трех миллионов операций в день. Как я уже сказал, если напрямую между вами и банком-корреспондентом проходит меньше операций, то абсолютно пофиг, будете вы категорировать систему или нет - никакая ответственость за это не предусмотрена, даже если ваш банк сгорит синим пламенем. Соответственно, мы обсуждаем только интерфейсы "клиент-банк", через которые, возможно, проходит больше трех миллионов операций в день. А вот узнать, сколько через них проходит на самом деле - одна из составных частей категорирования.

                          Если ваш здравый смысл подсказывает вам, что в такой системе вы "с мобилы зайдете, если что", то у меня плохие новости насчет вашего здравого смысла. А вот ответственность за остановку обслуживания при таком потоке платежей, если при этом вы не выполнили требования нормативных документов, установлена именно уголовная (274.1 УК РФ). Можете считать это угрозой, я предпочитаю термин "информирование".

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            Люблю безопасников, когда у них кончается здравый смысл, они всегда начинают тюрьмой угрожать. Ничего не случится из-за атаки на комп, я с мобилы зайду если что.
                            Читайте судебную практику Мы вот читаем. Порой и участвовать приходилось

                            Комментарий


                            • Сообщение от malotavr Посмотреть сообщение

                              Соответственно, мы обсуждаем только интерфейсы "клиент-банк", через которые, возможно, проходит больше трех миллионов операций в день.
                              Вы в серьёз считаете, что по прямым коротношениям проходит так много транзакций через клиент-банк?

                              Таки нет, через клиент банк фигачут одну-две платёжки на подкрепление корсчёта или на вывод денег. Остальное через платежные системы идет.

                              ​​

                              Комментарий


                              • Сообщение от Gallen Посмотреть сообщение

                                Читайте судебную практику Мы вот читаем. Порой и участвовать приходилось
                                Я вас поздравляю. С судами у нас юристы работают, вполне так...

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение

                                  Вы в серьёз считаете, что по прямым коротношениям проходит так много транзакций через клиент-банк?

                                  Таки нет, через клиент банк фигачут одну-две платёжки на подкрепление корсчёта или на вывод денег. Остальное через платежные системы идет.

                                  ​​
                                  Вы только что провели категорирование клиент-банка и по его итогам приняли решение, что он не является значимым объектом Причем вы потратили на это меньше времени, чем на то, стобы доказать мне, что этого делать не нужно.

                                  Комментарий


                                  • Сообщение от malotavr Посмотреть сообщение

                                    Вы только что провели категорирование клиент-банка и по его итогам приняли решение, что он не является значимым объектом Причем вы потратили на это меньше времени, чем на то, стобы доказать мне, что этого делать не нужно.
                                    Ни о чём, непонятно какого клиент-банка, собственного или чужого, и к какому процессу он привязан

                                    У вас-то откуда клиент-банк, вы же не в банковском секторе работаете?

                                    Не, я уж как-нибудь сам решу чего и как категорировать.

                                    Последний раз редактировалось ost; 07.12.2018, 01:45.

                                    Комментарий


                                    • Коллеги, добрый день!

                                      Не подскажете - после сдачи реестра в экспедицию ФСТЭКа нужно от них еще чего-то добиваться? Типа подтверждение обработки какое-то получить?

                                      Комментарий


                                      • Сообщение от White Star Посмотреть сообщение
                                        Не подскажете - после сдачи реестра в экспедицию ФСТЭКа нужно от них еще чего-то добиваться? Типа подтверждение обработки какое-то получить?
                                        У вас штампик о приёмке остался, этого достаточно. Ваша обязанность "направить во ФСТЭК" исполнена.

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          У вас штампик о приёмке остался, этого достаточно. Ваша обязанность "направить во ФСТЭК" исполнена.
                                          +1

                                          По перечню объектов никакая обратная свящь не предусмотрена. ФСТЭК приняла к сведению, что в течение года (а скорее всего - через год) от вас поступят материалы по всем этим системам - исходя из этого планируется их работа.

                                          Комментарий


                                          • Добрый день.
                                            Появился проект изменений в ПП-127 (ссылка)
                                            Из того, что бросилось на первый взгляд:
                                            1. Перечень действующих объектов подлежит утверждению субъектом критической информационной инфраструктуры до 1 июня 2019 г.
                                            2. Максимальный срок категорирования не должен превышать шести месяцев со дня утверждения (а не 1 год как раньше).
                                            3. Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры

                                            Комментарий


                                            • Народ, а вам приходило письмо от Департамента ИБ Банка России по вопросу работы с НКЦКИ через АСОИ ФинЦЕРТ?

                                              Комментарий


                                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                                а вам приходило письмо от Департамента ИБ Банка России по вопросу работы с НКЦКИ через АСОИ ФинЦЕРТ?
                                                см. https://bankir.ru/dom/forum/департам...40#post4869740

                                                Комментарий


                                                • Коллеги, подскажите, исходя из Вашего понимания и возможной практики 2 действия комиссии по категорированию:
                                                  г) рассматривает возможные действия нарушителей....;
                                                  д) анализирует угрозы безопасности информации...;
                                                  в каком виде должны быть выражены?
                                                  Получается на каждый объект надо составлять и утверждать модель угроз и модель нарушителя и чтобы там были подписи всех членов комиссии?
                                                  Или я все слишком сложно понял и можно сделать просто таблички (как в форме сведений о категорировании) с угрозами и нарушителями и приложить их к акту категорирования?

                                                  Комментарий


                                                  • Сообщение от Galivut Посмотреть сообщение
                                                    Получается на каждый объект надо составлять и утверждать модель угроз и модель нарушителя и чтобы там были подписи всех членов комиссии?
                                                    Полноценное моделирование угроз и формирование МУ нужно только для значимых объектов КИИ в соответствии с пп. 11 и 11.1 239-го Приказа ФСТЭК, на этапе категорирования достаточно в Акте перечня категорий потенциальных нарушителей, их действий и перечня возможных реализуемых угроз безопасности, могущих привести к возникновению компьютерных инцидентов, с обоснованием неактуальности угроз в случае их отсутствия.

                                                    Так что да, сделаете таблички аналогично форме сведений.

                                                    Комментарий


                                                    • Коллеги, не подскажете - откуда вообще взялся срок отправки перечня до конца 2018 года? Перечитал и ФЗ-187 и ПП-127 - нет там вообще про сроки ничего.

                                                      Комментарий


                                                      • Сообщение от White Star Посмотреть сообщение
                                                        Коллеги, не подскажете - откуда вообще взялся срок отправки перечня до конца 2018 года? Перечитал и ФЗ-187 и ПП-127 - нет там вообще про сроки ничего.
                                                        по-моему только из устных высказываний.

                                                        Комментарий


                                                        • Esin
                                                          24.04.2018 года (прошлого года, обращу внимание) состоялась Коллегия ФСТЭК, на которой вообще были зафиксированы такие сроки в соответствии с решением Коллегии № 59:
                                                          • сформировать комиссии по категорированию до 10 июля 2018
                                                          • разработать и направить перечни ОКИИ во ФСТЭК до 1 августа 2018
                                                          • проведение категорирования до 1 января 2019 г.

                                                          Как видно, сроки были слишком оптимистичны.

                                                          В действующих 187-ФЗ и ПП-127 конкретные даты не указаны, это правда. В проекте поправок к ПП-127 теперь указано, что субъекты КИИ должны утвердить свои перечни до 1 июня 2019, срок категорирования - год с момента утверждения перечня. Поправки должны быть приняты в этом квартале.

                                                          Комментарий


                                                          • Коллеги, добрый день!

                                                            Подскажите, пожалуйста, показатель по 127 Постановлению Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги будет касаться собственного платёжного сервиса (через сайт оплата клиентами различных услуг (ЖКХ, штрафы, налоги и т.д.) онлайн с помощью банковских карт)?

                                                            Комментарий


                                                            • Сообщение от Mouse Посмотреть сообщение
                                                              Коллеги, добрый день!

                                                              Подскажите, пожалуйста, показатель по 127 Постановлению Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги будет касаться собственного платёжного сервиса (через сайт оплата клиентами различных услуг (ЖКХ, штрафы, налоги и т.д.) онлайн с помощью банковских карт)?
                                                              Нет, "оплата клиентами различных услуг" (даже госпошлин за предоставление государственных услуг) государственной услугой не является.

                                                              Комментарий

                                                              Обработка...
                                                              X