29 марта, воскресенье 06:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проект положения "О требованиях к защите информации в платежной системе Банка России"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проект положения "О требованиях к защите информации в платежной системе Банка России"

    http://www.cbr.ru/analytics/?PrtId=project третий в строчке
    Это, коллеги, полный .... Установлены уровни защиты для конкретных систем и ещё много весёлых введений. Планируется введение в четвертом квартале 2018 года

  • #2
    Gallen, а я скажу ура! Т.к. это положение я понял в отличии от текущей версии 552-П. Единственное, не совсем ясно по контурам контроля и подписи, есть нюансы.

    Кстати, пропало требование к сроку многолетнего хранения видео. ) В ГОСТ сроки мелкие.

    Комментарий


    • #3
      Сообщение от Zuz Посмотреть сообщение
      Gallen, а я скажу ура! Т.к. это положение я понял в отличии от текущей версии 552-П. Единственное, не совсем ясно по контурам контроля и подписи, есть нюансы.

      Кстати, пропало требование к сроку многолетнего хранения видео. ) В ГОСТ сроки мелкие.
      Так и список из 37 докментов пропал, что очень радует!
      По контурам и у меня вопросы. В нынешнем виде я читаю это так: сделайте отдельные вланы под каждый комп оператора, контроля, арм кбр-н. Прямо таки вынуждают загнать всё в виртуалки и забить на доступ к памяти всех виртуалок из-под пользователя, который запустил хост и грузить ключи в вируального дисковода в виде файла, который хранится там же, а не с токена.

      Комментарий


      • #4
        Сообщение от Zuz Посмотреть сообщение
        Кстати, пропало требование к сроку многолетнего хранения видео. ) В ГОСТ сроки мелкие.
        Это да. Что они будут со сроком хранения 3 года делать - не понятно. Но, как понял, будут распространять требования ГОСТ 57580.1-2017 на весь банковский сектор.

        Сообщение от Berckut Посмотреть сообщение
        Так и список из 37 докментов пропал, что очень радует!
        Это вообще счастье! Большинство доков - вообще не понятны. Даже при проверке ЦБ их сотрудники внятного ответа не дали.

        Комментарий


        • #5
          Сообщение от Gallen Посмотреть сообщение
          Что они будут со сроком хранения 3 года делать - не понятно
          Да поняли, наконец, что фигню сморозили, и отменили.
          В ГОСТе для второго уровня защиты не менее 14-ти дней, а для первого 90 дней - за глаза хватит. Я планирую установить срок не менее 30-ти дней и хватит.

          Комментарий


          • #6
            Сообщение от ost Посмотреть сообщение
            Да поняли, наконец, что фигню сморозили, и отменили. В ГОСТе для второго уровня защиты не менее 14-ти дней, а для первого 90 дней - за глаза хватит. Я планирую установить срок не менее 30-ти дней и хватит.
            А мы, наконец-то сможем увеличить срок записи. Руководство нам поставило задачу сделать вообще нереально короткую запись. Только 552-П как раз три года и есть.

            А что делать с остальными требованиями? Там вообще явное использование DLP, использование кучи стандартов и прочее. АйТишники рехнуться и всё ИБ делать каким-то образом.

            Комментарий


            • #7
              Сообщение от Gallen Посмотреть сообщение
              А что делать с остальными требованиями?
              Выполнять.
              Разве есть другие варианты?

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                Так и список из 37 докментов пропал, что очень радует!
                Это да, я не дописал всё что хотел, отвлекли. ))) Но, есть гораздо больший список требований ГОСТ, далеко не все из них понятны и не всегда понятно к какому контуру какие из них нужно применять, как этот вопрос:
                Сообщение от Gallen Посмотреть сообщение
                Там вообще явное использование DLP
                В теории там нечего выполнять: тут нет интернета / электронной почты и пр. Надо посмотреть методику оценки по ГОСТ, есть ли там условия неприменимости требования. Тогда большую часть нужно именно к неприменимости сводить.

                Комментарий


                • #9
                  Сообщение от Zuz Посмотреть сообщение
                  В теории там нечего выполнять: тут нет интернета / электронной почты и пр. Надо посмотреть методику оценки по ГОСТ, есть ли там условия неприменимости требования. Тогда большую часть нужно именно к неприменимости сводить.
                  Прочитал ГОСТ 57580.2-2018
                  Уйти можно, только если в МУ указать и обосновать. А это рехнуться. Ну или что каких-то систем нет

                  Комментарий


                  • #10
                    Коллеги, представители ЦБ прокомментировали данное положение и сказали, что 552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть

                    Комментарий


                    • #11
                      Сообщение от Gallen Посмотреть сообщение
                      Коллеги, представители ЦБ прокомментировали данное положение и сказали, что 552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть
                      По ним дурдом плачет, не? Нам хватает клиентов, которые в ябедах подписываются Гражданка ССР.

                      Комментарий


                      • #12
                        Сообщение от Gallen Посмотреть сообщение
                        Коллеги, представители ЦБ прокомментировали данное положение и сказали, что 552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть
                        Все нормы из действующего 552-п продублированы в договоре с БР в требованиях по ИБ

                        Комментарий


                        • #13
                          Сообщение от Esin Посмотреть сообщение
                          Все нормы из действующего 552-п продублированы в договоре с БР в требованиях по ИБ
                          Кроме как ежеквартального обследования.

                          Комментарий


                          • #14
                            Сообщение от Sat_Kelman Посмотреть сообщение
                            Кроме как ежеквартального обследования.
                            И хранения видео 3 года.

                            Комментарий


                            • #15
                              Сообщение от Gallen Посмотреть сообщение
                              552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть
                              Одно дело положение, другое дело договор. Во втором случае риски ниже, ну и не факт, что форму договора, тоже не изменят современем и уберут эти требвоания, т.к. требования изложены в ГОСТ, зачем они в договоре то?!!

                              Комментарий

                              500 Портал временно недоступен

                              Портал временно недоступен

                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                              Обновите страницу спустя некоторое время.

                              Агенство Bankir.Ru приносит извинения пользователям
                              за доставленные неудобства
                              Обработка...
                              X