20 сентября, четверг 19:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

167-ФЗ от 27.06.2018

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 167-ФЗ от 27.06.2018

    Богат июль на законодательные нововведения по ИБ для банков.
    167-ФЗ подписан Президентом и опубликован на портале pravo.gov 27 июня, вступает в силу через 90 дней, то есть 26.09.2018.
    Не нашел по нему никаких обсуждений на форуме, получается никого не интересует тема и у всех имеются и работают Антифрод-системы в ДБО?
    Насколько понимаю выявление операций, соответствующих признакам осуществления перевода без согласия клиента - это есть внедрение Антифрод-системы, об этом ли идет речь?
    По ст. 3 этого ФЗ перечень признаков таких операций должен определить и разместить на своем сайте ЦБ, но это будут параметры настройки Антифрод-системы, сама система в любом случае уже нужна.
    Поделитесь практическим опытом, инициатива о необходимости приобретения системы должна идти от ИБ или других подразделений? и кто должен заниматься ее администрированием и мониторингом?
    По п.п. б) п.3 ст. 3 этого ФЗ в случае получения от юр.лица уведомления об утрате средства платежа или использования без согласия после списания денежных средств Банк должен отправить уведомление в Банк получателя денежных средств. Как, каким образом его направлять и осуществлять обмен сообщениями? Нужна база электронных почт или телефонов сотрудников во всех банках?

  • #2
    Сообщение от Galivut Посмотреть сообщение
    Богат июль на законодательные нововведения по ИБ для банков.
    167-ФЗ подписан Президентом и опубликован на портале pravo.gov 27 июня, вступает в силу через 90 дней, то есть 26.09.2018.
    Не нашел по нему никаких обсуждений на форуме, получается никого не интересует тема и у всех имеются и работают Антифрод-системы в ДБО?
    Насколько понимаю выявление операций, соответствующих признакам осуществления перевода без согласия клиента - это есть внедрение Антифрод-системы, об этом ли идет речь?
    По ст. 3 этого ФЗ перечень признаков таких операций должен определить и разместить на своем сайте ЦБ, но это будут параметры настройки Антифрод-системы, сама система в любом случае уже нужна.
    Поделитесь практическим опытом, инициатива о необходимости приобретения системы должна идти от ИБ или других подразделений? и кто должен заниматься ее администрированием и мониторингом?
    По п.п. б) п.3 ст. 3 этого ФЗ в случае получения от юр.лица уведомления об утрате средства платежа или использования без согласия после списания денежных средств Банк должен отправить уведомление в Банк получателя денежных средств. Как, каким образом его направлять и осуществлять обмен сообщениями? Нужна база электронных почт или телефонов сотрудников во всех банках?

    Вроде как темой фродмониторинга кто хотел еще озаботился при 382-п.
    инициаитива может быть от кого угодна, администрирование смотря от штата можно и на ИТ возложить, мониторинг на операционистов + контролер в виде их начальника например + ИБ контроль + мониторинг дропов на загрузку в систему.
    Трудно сказать по последнему пункту так как до конца этот момент не регламентирован, но уже существует такой обмен между участниками фродмониторинга.

    Комментарий


    • #3
      Хотим продвигать от службы ИБ, на какие документы ссылаться в подтверждение ее необходимости?
      По сути ведь никаких санкций нет, за то что система антифрода не внедрена. Или какая-то ответственность за это может быть?

      Комментарий


      • #4
        Сообщение от Galivut Посмотреть сообщение
        По ст. 3 этого ФЗ перечень признаков таких операций должен определить и разместить на своем сайте ЦБ, но это будут параметры настройки Антифрод-системы, сама система в любом случае уже нужна.
        Смотря что за признаки. Возможно хватит существующих систем, а возможно и нет.

        Комментарий


        • #5
          Федеральный закон от 27.06.2011 N 161-ФЗ (ред. от 27.06.2018) "О национальной платежной системе" (с изм. и доп., вступ. в силу с 26.09.2018)
          ..... Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России и размещаются на его официальном сайте в информационно-телекоммуникационной сети "Интернет".......
          Подскажите, пожалуйста, их так и не опубликовали еще или я просто их найти не могу на сайте ЦБ?

          Комментарий


          • #6
            Сообщение от BeebooM Посмотреть сообщение
            Подскажите, пожалуйста, их так и не опубликовали еще или я просто их найти не могу на сайте ЦБ?
            Тоже мониторю. Пока не обнаружил.

            Комментарий


            • #7
              Сообщение от BeebooM Посмотреть сообщение
              Подскажите, пожалуйста, их так и не опубликовали еще или я просто их найти не могу на сайте ЦБ?
              По поводу признаков - они вроде еще в проекте,но можно уже сейчас ознакомиться. посмотрите проект ФЗ №188476-7

              Комментарий


              • #8
                Сообщение от H4mek Посмотреть сообщение
                По поводу признаков - они вроде еще в проекте,но можно уже сейчас ознакомиться. посмотрите проект ФЗ №188476-7
                В этом документе нет установленных признаков и он передан в архив, поскольку был снят с рассмотрения Государственной Думы в связи с отзывом субъектом права законодательной инициативы.

                Комментарий


                • #9
                  Проект указания Банка России «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента»

                  https://www.cbr.ru/analytics/?PrtID=project&proj=1671

                  Комментарий


                  • #10
                    "Проект указания" - это не совсем то
                    Я что-то не увидел там перечня признаков мошеннических операций, там есть только описание возможных векторов атак.

                    Комментарий


                    • #11
                      Сообщение от Setevoy Посмотреть сообщение
                      "Проект указания" - это не совсем то
                      Но другого-то нет и не будет.
                      Можно направить в ЦБ замечания к проекту, но ведь максимум пару слов переставят. IMHO.

                      PS Мнение сложилось после посещения сейшена в ЦБ, "мы регулятор" многое прояснило...

                      Комментарий


                      • #12
                        ost
                        Добрый день!
                        А можете поделиться было ли что-то полезное на "сейшене в ЦБ"?

                        Как же на Ваш взгляд будет реализовано положения закона о том, что

                        ..... Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России и размещаются на его официальном сайте в информационно-телекоммуникационной сети "Интернет".......

                        Комментарий


                        • #13
                          Сообщение от vika Посмотреть сообщение
                          было ли что-то полезное
                          Послушать всегда полезно, опять же можно было задать вопросы. Услышали, что сертифицировать надо только софт ДБО, АБС не надо, увидели как надо формировать сообщения в финцерт (там тоже есть не очевидные моменты).

                          Сообщение от vika Посмотреть сообщение
                          Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России
                          Скорее всего будет вывешен какой-то файлик. Как его сделают (ёксель или ещё как) не имею представления, по содержанию и его внятности тоже никаких идей. Боюсь, что будет нечто общее, типа: "многократные переводы на небольшие суммы", "переводы в адрес подозрительных получателей", "переводы в необычное время" и т.п.

                          Комментарий


                          • #14
                            ost
                            Спасибо, будем ждать

                            Комментарий


                            • #15
                              Может кто еще не видел, на сайте ЦБ появился проект обязательных требований по ИБ в рамках реализации 167-ФЗ.
                              Вложения

                              Комментарий


                              • #16
                                Сообщение от Buzov Посмотреть сообщение
                                Может кто еще не видел, на сайте ЦБ появился проект обязательных требований по ИБ в рамках реализации 167-ФЗ.
                                Тема уже трется в ветке про ГОСТ Р 57580.1-2017 - https://bankir.ru/dom/forum/%D0%B4%D...B8%D0%B9/page5

                                Комментарий


                                • #17
                                  Сообщение от ost Посмотреть сообщение
                                  Боюсь, что будет нечто общее, типа: "многократные переводы на небольшие суммы", "переводы в адрес подозрительных получателей", "переводы в необычное время" и т.п.
                                  Ну вообще в проекте примерно так и написано. В нем два глобальных раздела признаков - первый это совпадение получателя или устройства, с которого делается операция, с инфой в БД ФинЦерта (правда такую информацию он пока не рассылает). Второй признак это информация, полученная на основе анализа всяких аномалий.

                                  С первым еще более менее ясно и хотя бы понятно, как его описать во внутреннем документе (но блокировать IP это тот еще бред, хотя походу всем хочется походить по граблям, по которым гуляет РКН).
                                  А вот как быть с этими аномалиями? Как их в принципе можно описать в документе? "Осуществление операции в нетипичные дни" - для кого и какой день нетипичный, не понятно.. Описывать профили клиентов? Что это за вид документа должен быть? Походит на дублирование логики антифрод системы на бумаге.

                                  Комментарий


                                  • #18
                                    Александр Четвертый
                                    Александр! А где увидеть проект можно?

                                    Комментарий

                                    Пользователи, просматривающие эту тему

                                    Свернуть

                                    Присутствует 1. Участников: 0, гостей: 1.

                                    Обработка...
                                    X