24 января, пятница 17:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от svarog.coop Посмотреть сообщение

    А вам не повезло и у вас имеется значимые объекты КИИ?
    Взаимодействие с ГосСОПКА - обязанность всех субъектов КИИ. Правда, я не очень понимаю, зачем и какой для этого нужен регламент: произошел инцидент - сообщили в НКЦКИ.

    К тому же банки взаимодействуют с ГосСОПКА через ФинЦЕРТ, отдельная процедура взаимодействия с НКЦКИ им не нужна.

    Комментарий


    • Сообщение от Nikolas_R Посмотреть сообщение

      Мы пока на этапе отправки перечня ОКИИ в ФСТЭК, так что едим слона по частям.
      Я понимаю. Вас же интересовало "для ФСТЭК прокатит"? "Для ФСТЭК прокатит" любой перечень: парни его не оценивают, просто принимают к сведению.

      Комментарий


      • Сообщение от svarog.coop Посмотреть сообщение

        А вам не повезло и у вас имеется значимые объекты КИИ?
        ну почему не повезло,хороший опыт. но документов конечно приходиться много готовить

        Комментарий


        • Сообщение от alex.a.fedorov Посмотреть сообщение
          Добрый день, коллеги!

          Подготовил комплект документ для начинающего заниматься категорированием объектов КИИ:

          - Нормативные документы регуляторов;
          - Образцы документов (приказ о создании комиссии, акт категорирования объекта КИИ; список БП банка и перечень объектов КИИ).

          [ATTACH]n4861367[/ATTACH]
          Ни в этом сообщении, ни вообще в теме не нашёл упоминаний о согласовании с ЦБ утверждённого банком перечня ОКИИ перед отправкой в ФСТЭК.

          Правила категорирования объектов КИИ РФ, утв. ПП-127

          пункт 15:
          Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.

          По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения.

          Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов).

          Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

          В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.
          То есть перечень объектов мы сначала составляем и утверждаем, потом согласовываем с ЦБ, и только потом направляем в ФСТЭК, так?
          Кто-нибудь уже согласовывал с ЦБ перечень?

          PS. Вопрос снимается. Местное отделение ЦБ говорит, что было информационное письмо с разъяснениями, где говорилось, что перечень ОКИИ с ЦБ согласовывать не нужно.

          Только вот письма такого я не видел, и представитель ЦБ не смог назвать номер письма. Если у кого есть, выложите, пожалуйста.
          Последний раз редактировалось Airat_Kzn; 29.05.2019, 14:57.

          Комментарий


          • Сообщение от Airat_Kzn Посмотреть сообщение
            То есть перечень объектов мы сначала составляем и утверждаем, потом согласовываем с ЦБ, и только потом направляем в ФСТЭК, так? Кто-нибудь уже согласовывал с ЦБ перечень?
            Мы направляли в региональное отделение на согласование. Они перезвонили, сказали понятия не имеют что с этим делать, и вообще им не особо интересно какие там у нас будут объекты, они в них не разбираются. В итоге ничего письменного от них не дождались, и отправили в ФСТЭК.
            ЦБ в соответствии с ФЗ "О ЦБ" и Конституцией не имеет функций из п.15 правил категорирования.
            По законодательству функции по выработке государственной политики и нормативно-правовому регулированию осуществляет Минфин РФ. Но если им направить они, точно скажут что тут ни при чем.

            Комментарий


            • То есть до Вас тоже не доходило то информационное письмо, о котором говорит ЦБ?

              Комментарий


              • Коллеги, как считаете, Анти-Фрод система же ОКИИ в соответствии с требованиями 167-ФЗ? Так как процесс проверки платежей критичен, без него нельзя...

                Комментарий


                • Сообщение от Nikolas_R Посмотреть сообщение
                  Коллеги, как считаете, Анти-Фрод система же ОКИИ в соответствии с требованиями 167-ФЗ? Так как процесс проверки платежей критичен, без него нельзя...
                  Критическим в терминах правил категорирования, бывает процесс. Критериев "критичности" нет, они оставлены на ваше усмотрение.

                  IMHO, нет смысла отрывать антифрод как процесс от платежного процесса: все равно последствия возможных инцидентов придется оценивать для всего платежного процесса в совокупности.

                  Комментарий


                  • Коллеги. а при отсутствии необходимости присвоения объекту КИИ одной из категорий все равно отправлять форму из 236 приказа?
                    Кто-нибудь уже отправлял такую форму (срок до 1 сентября + 10 раб дней)
                    Если рассматривать перечень КИИ (сеть, АБС, ДБО, КБР) - надо все поля заполнить из формы приказа 236?

                    Может кто-то уже нарисовал что-то похожее? Можете обезличенное выложить?

                    Комментарий


                    • Может можно это дело упростить?

                      Приказ
                      О создании комиссии по категорированию объектов КИИ (критической информационной инфраструктуры)
                      1. выявить объекты критической информационной инфраструктуры.....
                      2. установить каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им категорий значимости

                      далее..

                      А К Т
                      категорирования объектов критической информационной инфраструктуры

                      В ходе работы комиссия по категорированию определила:
                      ..........
                      1. Сведения об объекте критической информационной инфраструктуры:
                      Корпоративная сеть: Тип объекта – ИТС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                      Автоматизированная банковская система: Тип объекта – ИС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                      Дистанционное банковское обслуживание: Тип объекта – ИС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                      Платежный сегмент Банка России: Тип объекта – ИС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                      1. На основании результата анализа значений показателей критериев значимости объекта КИИ в соответствии с постановлением Правительства РФ от 08.02.2018г. № 127 объектам:
                      Корпоративная сеть, Автоматизированная банковская система, Дистанционное банковское обслуживание, Платежный сегмент Банка России
                      комиссия определила отсутствии необходимости присвоения им категорий значимости.


                      Вопрос остается по форме отчета для ФСТЭК. Все ли поля там заполнять?

                      Комментарий


                      • Доброго дня всем. Кто уже заполнял перечень? Автоматизированная банковская система, надо ли конкретно указывать название системы? Дистанционное банковское обслуживание, если на аутсорсинге ДБО? Платежный сегмент Банка России, указываем КБР? Корпоративная сеть, указываем сервер,маршрутизатор? Заранее спасибо

                        Комментарий


                        • Я написал как в посте #47 - там выложен архив, где есть это в xls виде.


                          Комментарий


                          • Я немного упрости АКТ, поскольку для нас это чисто соблюдение формальности
                            В ходе работы комиссия по категорированию определила:
                            1. Сведения об объекте критической информационной инфраструктуры:
                            Корпоративная сеть: Тип объекта – ИТС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                            Автоматизированная банковская система - «ХРЕНБАНК»: Тип объекта – ИС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                            Дистанционное банковское обслуживание - iХрен: Тип объекта – ИС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                            Платежный сегмент Банка России: Тип объекта – ИС, Сфера (область) деятельности, в которой функционирует объект - Банковская сфера и иные сферы финансового рынка.
                            1. На основании результата анализа значений показателей критериев значимости объекта КИИ в соответствии с постановлением Правительства РФ от 08.02.2018г. № 127 объектам:
                            Корпоративная сеть, Автоматизированная банковская система, Дистанционное банковское обслуживание, Платежный сегмент Банка России
                            комиссия определила отсутствии необходимости присвоения им категорий значимости.

                            Комментарий


                            • Airat_Kzn
                              Спасибо

                              Комментарий


                              • ФСБ в атмосфере тайны строит ГИС для учета компьютерных вирусов
                                ФСБ приступила к созданию ГИС национальной базы знаний индикаторов вредоносной активности. Что она будет собой представлять, станет ясно после завершения специализированной НИР. Ее исполнителем сможет стать только подрядчик, имеющий допуск к гостайне. http://www.cnews.ru/news/top/2019-07...a_kompyuternyh

                                Комментарий


                                • Сообщение от UserNick Посмотреть сообщение
                                  ФСБ в атмосфере тайны строит ГИС для учета компьютерных вирусов
                                  ФСБ приступила к созданию ГИС национальной базы знаний индикаторов вредоносной активности. Что она будет собой представлять, станет ясно после завершения специализированной НИР. Ее исполнителем сможет стать только подрядчик, имеющий допуск к гостайне. http://www.cnews.ru/news/top/2019-07...a_kompyuternyh
                                  И опять всё засекретят, глупцы. Сделали ли бы лучше отечественный аналог virustotal и информацию из загружаемых файлов гребли.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    И опять всё засекретят, глупцы. Сделали ли бы лучше отечественный аналог virustotal и информацию из загружаемых файлов гребли.
                                    Вы не поверите

                                    Вообще судить о сути работы по ее названию - еще большая глупость, чем судить о событиях в мире по заголовкам в РБК, так что пусть этим детишки из CNews занимаются. Вся ГосСОПКА делается по результатам секретных НИР и ОКР. Часть разработок, которые остаются внутренней кухней ФСБ, так секретной и остается, а все то, чем пользуется внешний мир, открывается этому внешнему миру в том объеме, в который достаточен для выполнения этим внешним миром своих обязанностей.

                                    Комментарий


                                    • Возможно, забить на категорирование обойдётся "дешевле":
                                      https://www.anti-malware.ru/news/2019-07-03-1447/30065

                                      Комментарий


                                      • И так коллеги остался месяц до отправки во ФСТЭК.
                                        На какой адрес отправляем? ЧТо кроме бумажных необходимо еще слать?

                                        Комментарий


                                        • Добрый день ,

                                          Нужно ли строить модель угроз для систем, к которым комиссия определила отсутствии необходимости присвоения им категорий значимости?
                                          Последний раз редактировалось FrosCe; 05.08.2019, 07:30.

                                          Комментарий


                                          • Мы не строили. Если нет категории значимости, для чего нужны модели?

                                            Комментарий


                                            • Сообщение от dnebyshe Посмотреть сообщение
                                              И так коллеги остался месяц до отправки во ФСТЭК.
                                              На какой адрес отправляем? ЧТо кроме бумажных необходимо еще слать?
                                              Мы направляли по адресу 105066, г. Москва, ул. Старая Басманная, д. 17 Начальнику 2 управления ФСТЭК России Шевцову Д.Н.
                                              Реестром с описью.

                                              Комментарий


                                              • У меня 4 документа получилось: на АБС, ДБО, Сеть, ПСБР. по форме ФСТЭК, подписаные предправленем.

                                                "Сведения о результатах присвоения объекту критической
                                                информационной инфраструктуры одной из категорий
                                                значимости либо об отсутствии необходимости
                                                присвоения ему одной из таких категорий"

                                                8.1 везде: Не присвоена ни одна из таких категорий.

                                                Что положить в конверт?
                                                Сопроводиловка и 4 бумажных документа?

                                                Или
                                                4 разных конверта отправить, без сопроводиловки, но реестром с описью?


                                                Комментарий


                                                • Зачем вообще нужна модель угроз?

                                                  Комментарий


                                                  • dnebyshe
                                                    Насколько я понимаю, ФСТЭК просит еще диск, на котором должны быть записаны передаваемые документы.

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      dnebyshe
                                                      Насколько я понимаю, ФСТЭК просит еще диск, на котором должны быть записаны передаваемые документы.
                                                      Это я понял. Но в каком виде?
                                                      4 конверта в каждом болванка с файлом и бумажка и все это реестром
                                                      или
                                                      1 конверт, одна болванка с 4мя файлами и 4 бумажки + сопроводительное письмо.

                                                      Комментарий


                                                      • Кстати, а гемор с КИИ это задача ИТ или ИБ?

                                                        Комментарий


                                                        • Сообщение от dnebyshe Посмотреть сообщение

                                                          Это я понял. Но в каком виде?
                                                          4 конверта в каждом болванка с файлом и бумажка и все это реестром
                                                          или
                                                          1 конверт, одна болванка с 4мя файлами и 4 бумажки + сопроводительное письмо.
                                                          Второй вариант

                                                          Комментарий


                                                          • Сообщение от dnebyshe Посмотреть сообщение
                                                            Кстати, а гемор с КИИ это задача ИТ или ИБ?
                                                            По разному. В зависимости от разделения функционала. Например, Весь гимор по внедрению сертифицированных СЗИ может лежать на ИТ.

                                                            Комментарий


                                                            • dnebyshe
                                                              Коллега, не поделитесь шаблонами док-тов?

                                                              Комментарий

                                                              Обработка...
                                                              X