4 июля, суббота 08:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проект положения "О требованиях к защите информации в платежной системе Банка России"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проект положения "О требованиях к защите информации в платежной системе Банка России"

    http://www.cbr.ru/analytics/?PrtId=project третий в строчке
    Это, коллеги, полный .... Установлены уровни защиты для конкретных систем и ещё много весёлых введений. Планируется введение в четвертом квартале 2018 года

  • #2
    Gallen, а я скажу ура! Т.к. это положение я понял в отличии от текущей версии 552-П. Единственное, не совсем ясно по контурам контроля и подписи, есть нюансы.

    Кстати, пропало требование к сроку многолетнего хранения видео. ) В ГОСТ сроки мелкие.

    Комментарий


    • #3
      Сообщение от Zuz Посмотреть сообщение
      Gallen, а я скажу ура! Т.к. это положение я понял в отличии от текущей версии 552-П. Единственное, не совсем ясно по контурам контроля и подписи, есть нюансы.

      Кстати, пропало требование к сроку многолетнего хранения видео. ) В ГОСТ сроки мелкие.
      Так и список из 37 докментов пропал, что очень радует!
      По контурам и у меня вопросы. В нынешнем виде я читаю это так: сделайте отдельные вланы под каждый комп оператора, контроля, арм кбр-н. Прямо таки вынуждают загнать всё в виртуалки и забить на доступ к памяти всех виртуалок из-под пользователя, который запустил хост и грузить ключи в вируального дисковода в виде файла, который хранится там же, а не с токена.

      Комментарий


      • #4
        Сообщение от Zuz Посмотреть сообщение
        Кстати, пропало требование к сроку многолетнего хранения видео. ) В ГОСТ сроки мелкие.
        Это да. Что они будут со сроком хранения 3 года делать - не понятно. Но, как понял, будут распространять требования ГОСТ 57580.1-2017 на весь банковский сектор.

        Сообщение от Berckut Посмотреть сообщение
        Так и список из 37 докментов пропал, что очень радует!
        Это вообще счастье! Большинство доков - вообще не понятны. Даже при проверке ЦБ их сотрудники внятного ответа не дали.

        Комментарий


        • #5
          Сообщение от Gallen Посмотреть сообщение
          Что они будут со сроком хранения 3 года делать - не понятно
          Да поняли, наконец, что фигню сморозили, и отменили.
          В ГОСТе для второго уровня защиты не менее 14-ти дней, а для первого 90 дней - за глаза хватит. Я планирую установить срок не менее 30-ти дней и хватит.

          Комментарий


          • #6
            Сообщение от ost Посмотреть сообщение
            Да поняли, наконец, что фигню сморозили, и отменили. В ГОСТе для второго уровня защиты не менее 14-ти дней, а для первого 90 дней - за глаза хватит. Я планирую установить срок не менее 30-ти дней и хватит.
            А мы, наконец-то сможем увеличить срок записи. Руководство нам поставило задачу сделать вообще нереально короткую запись. Только 552-П как раз три года и есть.

            А что делать с остальными требованиями? Там вообще явное использование DLP, использование кучи стандартов и прочее. АйТишники рехнуться и всё ИБ делать каким-то образом.

            Комментарий


            • #7
              Сообщение от Gallen Посмотреть сообщение
              А что делать с остальными требованиями?
              Выполнять.
              Разве есть другие варианты?

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                Так и список из 37 докментов пропал, что очень радует!
                Это да, я не дописал всё что хотел, отвлекли. ))) Но, есть гораздо больший список требований ГОСТ, далеко не все из них понятны и не всегда понятно к какому контуру какие из них нужно применять, как этот вопрос:
                Сообщение от Gallen Посмотреть сообщение
                Там вообще явное использование DLP
                В теории там нечего выполнять: тут нет интернета / электронной почты и пр. Надо посмотреть методику оценки по ГОСТ, есть ли там условия неприменимости требования. Тогда большую часть нужно именно к неприменимости сводить.

                Комментарий


                • #9
                  Сообщение от Zuz Посмотреть сообщение
                  В теории там нечего выполнять: тут нет интернета / электронной почты и пр. Надо посмотреть методику оценки по ГОСТ, есть ли там условия неприменимости требования. Тогда большую часть нужно именно к неприменимости сводить.
                  Прочитал ГОСТ 57580.2-2018
                  Уйти можно, только если в МУ указать и обосновать. А это рехнуться. Ну или что каких-то систем нет

                  Комментарий


                  • #10
                    Коллеги, представители ЦБ прокомментировали данное положение и сказали, что 552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть

                    Комментарий


                    • #11
                      Сообщение от Gallen Посмотреть сообщение
                      Коллеги, представители ЦБ прокомментировали данное положение и сказали, что 552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть
                      По ним дурдом плачет, не? Нам хватает клиентов, которые в ябедах подписываются Гражданка ССР.

                      Комментарий


                      • #12
                        Сообщение от Gallen Посмотреть сообщение
                        Коллеги, представители ЦБ прокомментировали данное положение и сказали, что 552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть
                        Все нормы из действующего 552-п продублированы в договоре с БР в требованиях по ИБ

                        Комментарий


                        • #13
                          Сообщение от Esin Посмотреть сообщение
                          Все нормы из действующего 552-п продублированы в договоре с БР в требованиях по ИБ
                          Кроме как ежеквартального обследования.

                          Комментарий


                          • #14
                            Сообщение от Sat_Kelman Посмотреть сообщение
                            Кроме как ежеквартального обследования.
                            И хранения видео 3 года.

                            Комментарий


                            • #15
                              Сообщение от Gallen Посмотреть сообщение
                              552-П отменят, то его нормы всё равно будут обязательные и документы все должны быть
                              Одно дело положение, другое дело договор. Во втором случае риски ниже, ну и не факт, что форму договора, тоже не изменят современем и уберут эти требвоания, т.к. требования изложены в ГОСТ, зачем они в договоре то?!!

                              Комментарий

                              Обработка...
                              X