6 декабря, пятница 19:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

187-ФЗ "Безопасность критической информационной инфраструктуры" и банки

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Evgenich Посмотреть сообщение
    dnebyshe
    Коллега, не поделитесь шаблонами док-тов?
    Куда отправить?

    Комментарий


    • Сообщение от dnebyshe Посмотреть сообщение
      Куда отправить?
      saches at mail dot ru
      буду крайне признателен

      Комментарий


      • Сообщение от dnebyshe Посмотреть сообщение

        Куда отправить?
        nve6705531@gmail.com

        Спасибо.

        Комментарий


        • Коллеги, я не уверен, что там все правильно, я сильно все упростил, чтобы не отвлекаться на КИИ, поскольку у нас нет значимых и нет категорий.

          Комментарий


          • Коллеги, Приветствую!

            Правильно ли я понимаю, что для нас (Банков) критериями значимости является п.3 "III. Экономическая значимость" в постановлении правительства от 8 февраля 2018 г. N 127. И самым главным из них п. 10 "Прекращение <1> или нарушение <2> проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры" ?
            У меня возникло несколько вопросов:
            1. Какие операциии имеются в виду и как считаются ? (первичные документы - вх. или исх. платежные поручения/требования, транзакции по банковским картам и т.д.) или вообще все операции, включая комиссии по кредитам, за открытие и ведение счетов, начисляемые % по депозитам и т.д. ?
            2. Как будут считаться операции в случае, если у нас например, одна АБС - только для физиков, другая (основная) для юриков, но в ней ведется сводный бух учет ? По идее, счет операций должен быть отдельным по каждой АБС?

            Поделитесь пожалуйста вашими мыслями по подсчету операций в системах.
            Спасибо.

            Комментарий


            • Неужели еще никто не начал определение категорий значимости?

              Комментарий


              • Сообщение от Amorphis Посмотреть сообщение
                Коллеги, Приветствую!

                Правильно ли я понимаю, что для нас (Банков) критериями значимости является п.3 "III. Экономическая значимость" в постановлении правительства от 8 февраля 2018 г. N 127. И самым главным из них п. 10 "Прекращение <1> или нарушение <2> проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры" ?
                У меня возникло несколько вопросов:
                1. Какие операциии имеются в виду и как считаются ? (первичные документы - вх. или исх. платежные поручения/требования, транзакции по банковским картам и т.д.) или вообще все операции, включая комиссии по кредитам, за открытие и ведение счетов, начисляемые % по депозитам и т.д. ?
                2. Как будут считаться операции в случае, если у нас например, одна АБС - только для физиков, другая (основная) для юриков, но в ней ведется сводный бух учет ? По идее, счет операций должен быть отдельным по каждой АБС?

                Поделитесь пожалуйста вашими мыслями по подсчету операций в системах.
                Спасибо.
                1. Оценкой результатов категорирования занимается ФСТЭК, а парни отнюдь не специалисты в банковской сфере. Речь идет об операциях, при нарушении или прекращении которых могут пострадать клиенты. Если ограничитесь только первичкой, никто вас ругать не станет.

                2. Каждая АБС категорируется отдельно. При этом при категорировании АБС для юриков вам нужно будет учесть, что в ней ведеттся бухучет для физиков. Если при взломе второй АБС могут пострадать клиенты-физики, их придется учитывать при оценке показателя для второй АБС.

                Комментарий


                • Коллеги, брали только операции клиентов, посчитали все поступившие платежки и от этого плясали.
                  Вряд ли ФСТЭК будет куда-то капать.

                  Комментарий


                  • Спасибо за информацию!

                    Комментарий


                    • Сообщение от Amorphis Посмотреть сообщение
                      Коллеги, Приветствую!

                      Правильно ли я понимаю, что для нас (Банков) критериями значимости является п.3 "III. Экономическая значимость" в постановлении правительства от 8 февраля 2018 г. N 127. И самым главным из них п. 10 "Прекращение <1> или нарушение <2> проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры" ?
                      У меня возникло несколько вопросов:
                      1. Какие операциии имеются в виду и как считаются ? (первичные документы - вх. или исх. платежные поручения/требования, транзакции по банковским картам и т.д.) или вообще все операции, включая комиссии по кредитам, за открытие и ведение счетов, начисляемые % по депозитам и т.д. ?
                      2. Как будут считаться операции в случае, если у нас например, одна АБС - только для физиков, другая (основная) для юриков, но в ней ведется сводный бух учет ? По идее, счет операций должен быть отдельным по каждой АБС?

                      Поделитесь пожалуйста вашими мыслями по подсчету операций в системах.
                      Спасибо.
                      При категорировании требуется пройтись по всем критериям значимости и если они не применяются, то описать причину неприменения

                      Комментарий


                      • Сообщение от svarog.coop Посмотреть сообщение

                        При категорировании требуется пройтись по всем критериям значимости и если они не применяются, то описать причину неприменения
                        Лукацкий на лекциях говорил, что банкам только экономические.
                        И не надо ничего обосновывать.
                        Есть комиссия, есть акт что комиссия признала что ......нет значимых.
                        Не надо никаких протоколов комиссии, внутренних обоснований.
                        ФСТЭКу это будет не интересно, им диск отправте и форму заполненную.

                        Комментарий


                        • Сообщение от dnebyshe Посмотреть сообщение

                          Лукацкий на лекциях говорил, что банкам только экономические.
                          И не надо ничего обосновывать.
                          Есть комиссия, есть акт что комиссия признала что ......нет значимых.
                          Не надо никаких протоколов комиссии, внутренних обоснований.
                          ФСТЭКу это будет не интересно, им диск отправте и форму заполненную.
                          В приказе ФСТЭК №236 о форме направления сведений имеется п.7.2., который обязует определять ущерб по всем критериям или обосновывать отсутствие.
                          Но приказом ФСТЭК № 59 данный пункт признан утратившим силу.
                          Однако, остался действовать п. 8.2 "Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту" и добавлен п.8.3 "Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту"

                          Комментарий


                          • 187-ФЗ мы выполнили, отправили в ФСТЭК конверт.
                            Что еще нужно?
                            Нарушили приказ №59. Да и хрен с ним, попросят обоснования - нарисуем.
                            Мне IDS нет времени настроить и МЭ 4го класса подобрать, а я буду на какую-то КИИ отвлекаться, когда у нас нет этих значимых КИИ.

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение
                              187-ФЗ мы выполнили, отправили в ФСТЭК конверт.
                              Что еще нужно?
                              Нарушили приказ №59. Да и хрен с ним, попросят обоснования - нарисуем.
                              Мне IDS нет времени настроить и МЭ 4го класса подобрать, а я буду на какую-то КИИ отвлекаться, когда у нас нет этих значимых КИИ.
                              Мне и так работодатель уже намекает, что на столе у меня больше бумаг чем денег в банке, а количество приказов, что я штампую, больше всех остальных в сумме по банку.
                              И какая тут безопасность, если нет даже времени на инструктаж новых сотрудников по ИБ.

                              Комментарий


                              • Сообщение от dnebyshe Посмотреть сообщение

                                Куда отправить?
                                Добрый день!
                                Если не затруднит: im01021981 at gmail.com
                                Заранее признателен.

                                Комментарий


                                • Сообщение от dnebyshe Посмотреть сообщение
                                  Коллеги. а при отсутствии необходимости присвоения объекту КИИ одной из категорий все равно отправлять форму из 236 приказа?
                                  Кто-нибудь уже отправлял такую форму (срок до 1 сентября + 10 раб дней)
                                  Если рассматривать перечень КИИ (сеть, АБС, ДБО, КБР) - надо все поля заполнить из формы приказа 236?

                                  Может кто-то уже нарисовал что-то похожее? Можете обезличенное выложить?
                                  Добрый день!
                                  Направляли во ФСТЭК перечень и акт категорирования ещё в декабре 18-ого.
                                  Категорию значимости ни одному из объектов не присваивали.
                                  Подскажите, плз, ибо я так и не понял, до 1ого сентября я должен направить что-то ещё?)

                                  Комментарий


                                  • Коллеги, есть ли у кого-нибудь шаблон служебки на подсчет количества операций ?
                                    Боюсь, что футбол начнется между подразделениями кто и как это должен делать.
                                    Спасибо!

                                    Комментарий


                                    • Сообщение от Дацюк Посмотреть сообщение

                                      Добрый день!
                                      Направляли во ФСТЭК перечень и акт категорирования ещё в декабре 18-ого.
                                      Категорию значимости ни одному из объектов не присваивали.
                                      Подскажите, плз, ибо я так и не понял, до 1ого сентября я должен направить что-то ещё?)
                                      В связи с изменениями в 127 ПП, нужно еще раз провести категорирование.

                                      Комментарий


                                      • Здравствуйте, Коллеги!
                                        Поделитесь информацией, кто должен быть указан в пунктах 2.4 и 2.5 Формы из 236 Приказа ФСТЭК, если нет значимых объектов КИИ? Руководитель субъекта или оно должно быть пустым?

                                        Комментарий


                                        • Сообщение от Evgenich Посмотреть сообщение
                                          Поделитесь информацией, кто должен быть указан в пунктах 2.4 и 2.5 Формы из 236 Приказа ФСТЭК, если нет значимых объектов КИИ?
                                          Поддерживаю вопрос. Если нет значимых объектов КИИ надо ли заполнять разделы 2.4, 2.5, 9.1, 9.2

                                          Комментарий


                                          • Сообщение от Galivut Посмотреть сообщение

                                            Как мы поняли, акты вообще направлять не нужно. Это остается как наше подтверждение выполнения категорирования и исходная информация для заполнения формы со сведениями о результатах категорирования и присвоения уровня значимости.
                                            Направлять:
                                            - сначала перечень объектов с указанием срока категорирования;
                                            - затем, до конца указанного срока, формы со сведениями о результатах категорирования + сопроводительное письмо + все это еще на CD-диске.
                                            Коллеги, подскажите, пжлст, так нужно или не нужно направлять акты?)
                                            А чем плох вариант установить максимальный срок категорирования, т.е. год, направить в ФСТЭК перечень и отдыхать, ожидая новых изменений в 187-ФЗ и таким образом избавляя себя от лишней работы?)
                                            А есть ли такие, кто посчитал ключевым в 452-ом Постановлении слово "Рекомендовать" и вообще забил на всё это дело с перекатегорированием? Мы вот пока больше склоняемся к такому варианту...

                                            Комментарий


                                            • Сообщение от Дацюк Посмотреть сообщение
                                              А чем плох вариант установить максимальный срок категорирования, т.е. год, направить в ФСТЭК перечень и отдыхать, ожидая новых изменений в 187-ФЗ и таким образом избавляя себя от лишней работы?)
                                              Нормативно просят только объекты до 1 сент. определить, а категорировать еще год по нормативу можно спокойно. Вариант возможен.

                                              Комментарий


                                              • Сообщение от Дацюк Посмотреть сообщение
                                                А чем плох вариант ... отдыхать, ожидая новых изменений в 187-ФЗ и таким образом избавляя себя от лишней работы?)
                                                Тем, что в ближайший год не планируется внесение изменений ни в ФЗ-187, ни в правила категорирования.

                                                Комментарий


                                                • Сообщение от Esin Посмотреть сообщение
                                                  Нормативно просят только объекты до 1 сент. определить, а категорировать еще год по нормативу можно спокойно. Вариант возможен.
                                                  Вот у меня, мой пред прав спрашивает - а зачем нам сейчас вообще считать ОКИИ, если для негосов, это только рекомендуется сделать до 01.09?
                                                  И, если честно, то я не знаю что ему ответить...

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    Вот у меня, мой пред прав спрашивает - а зачем нам сейчас вообще считать ОКИИ, если для негосов, это только рекомендуется сделать до 01.09?
                                                    И, если честно, то я не знаю что ему ответить...
                                                    Правильно спрашивает.Кроме угрозы уголовки в случае инцидента, никаких других стимулов нет. А угроза уголовки слишком призрачна.

                                                    Единственный реалистичный риск - если ФСТЭК после подведения итогов года начнет рассылать предписания "о необходимости выполнить требования федерального закона" с требованием к вот такому сроку предоставить перечень объектов. Срок будет короткий, но никто не мешает подготовить перечень заранее, просто не отсылать.

                                                    Комментарий


                                                    • Здравствуйте, коллеги. Кто может поделиться образцом сопроводительного письма во ФСТЭК по КИИ?

                                                      Комментарий


                                                      • Начальнику 2 управления ФСТЭК России
                                                        Шевцову Д. Н.
                                                        105066, г. Москва, ул. Старая Басманная, д. 17

                                                        Уважаемый, Дмитрий Николаевич!
                                                        %BANK% в соответствии со статьей 7 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» направляет утвержденный перечень объектов критической информационной инфраструктуры, подлежащих категорированию.
                                                        Приложения:
                                                        1. Перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, 1 экз. на 1 л.

                                                        Комментарий


                                                        • Спасибо. Но интересует сопроводительное письмо уже к акту категорирования, т.е. к документу, где проводится категорирование объектов.

                                                          Комментарий


                                                          • Сообщение от Front Посмотреть сообщение
                                                            Спасибо. Но интересует сопроводительное письмо уже к акту категорирования, т.е. к документу, где проводится категорирование объектов.
                                                            105066, г. Москва, ул. Старая Басманная, д. 17

                                                            Начальнику 2 управления ФСТЭК России Шевцову Д.Н.

                                                            Общество с ограниченной ответственностью коммерческий банк "ХренБанк" (рег. 666) в соответствии с Федеральным законом № 187-ФЗ от 26.07.2017г. провело выявление объектов КИИ и их категорирование, и направляет в Ваш адрес «Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» в приложениях к настоящему письму.


                                                            Приложение 1 – Сведения об отсутствии необходимости присвоения объекту КИИ «Корпоративная сеть» категории значимости на 5-ти листах.
                                                            Приложение 2 – Сведения об отсутствии необходимости присвоения объекту КИИ «Автоматизированная банковская система «ХренБанкАБС» категории значимости на 5-ти листах.
                                                            Приложение 3 – Сведения об отсутствии необходимости присвоения объекту КИИ «Платежный сегмент Банка России» категории значимости на 5-ти листах.
                                                            Приложение 4 – Сведения об отсутствии необходимости присвоения объекту КИИ «Дистанционное банковское обслуживание ДБОХРЕНБАНК» категории значимости на 5-ти листах.

                                                            Комментарий


                                                            • Спасибо!

                                                              Комментарий

                                                              Обработка...
                                                              X