18 октября, пятница 15:02
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 672-П. Требования к защите информации в ПС БР

    Ну вот и опубликовали.
    http://www.cbr.ru/Queries/UniDbQuery...883?fileId=792

  • #2
    Документ "прекрасен" :
    1. Своим размером.
    2. Полным (или почти?) отсутствием в тексте этого тошнотворного "рекомендуецца, *дуем...".
    3. Наличием "должен", "должны" в каждом абзаце !
    Короче, надо его изучить и в пределах своих возможностей и при наличии всех объективных субъективностей реализовывать...

    Комментарий


    • #3
      Обсуждение данного положения ещё на стадии проекта начинал тут: https://bankir.ru/dom/forum/%D0%B4%D...81%D0%B8%D0%B8

      Комментарий


      • #4
        Выделение сегмента платежной инфраструктуры, а внутри этого сегмента выделение сегментов для формирования и контроля ЭС. Сильно...

        Комментарий


        • #5
          эх, только по 552-П проверили, не успели исправить

          Комментарий


          • #6
            Сообщение от Nikolas_R Посмотреть сообщение
            Выделение сегмента платежной инфраструктуры, а внутри этого сегмента выделение сегментов для формирования и контроля ЭС. Сильно...
            Да, под столом в корсчёте теперь будет стоять уже 6-7 машин. Скоро можно будет сделать их них трон

            Комментарий


            • #7
              Сообщение от idelta Посмотреть сообщение
              Документ "прекрасен" :
              3. Наличием "должен", "должны" в каждом абзаце !
              Не забываем, что незадолго до этого, ЦБ изменил договор и переписал туда слово в слово 552-П (см. Приложение 12 к договору об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России). Так что "должен" осталось, просто немного в другом виде.
              Плюс теперь необходимо исполнять ГОСТ Р 57580.1-2017.

              Т.е. никакой замены документов нет. Набор требований не изменился, а дополнился новыми. Теперь мы исполняем 552-П, 672-П и ГОСТ Р 57580.1-2017. Всё как обычно, чуда не произошло.

              Комментарий


              • #8
                Насколько я понял, 672-П расширяет 382-П в части СБП (сервис быстрых платежей) ?
                И, кстати
                "Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 24 августа 2016 года № 552-П «О требованиях к защите информации в платежной системе Банка России»,"
                Последний раз редактировалось w3d; 27.03.2019, 08:55.

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  Плюс теперь необходимо исполнять ГОСТ Р 57580.1-2017.
                  c 01 июля 2021 как я понял

                  Комментарий


                  • #10
                    Сообщение от Esin Посмотреть сообщение

                    c 01 июля 2021 как я понял
                    Да, про ГОСТ был не совсем прав. Тут время есть.

                    Комментарий


                    • #11
                      Поправте если я не прав, но пункт 3 о выделении сегмента с объектами для переводов вступает в силу с 01.07.21.
                      Т.е 552-П отменили, сегмент теперь не нужен до 21 года?

                      Комментарий


                      • #12
                        Сообщение от dnebyshe Посмотреть сообщение
                        Поправте если я не прав, но пункт 3 о выделении сегмента с объектами для переводов вступает в силу с 01.07.21.
                        Т.е 552-П отменили, сегмент теперь не нужен до 21 года?
                        Сегмент нужен. Но не по 672-П, а по приложению к договору, которое повторяет 552-П.

                        Комментарий


                        • #13
                          в 19 пункте что является основным и резервным способом взаимодействия?
                          Это 1.2 из 4926-У?
                          ЛК АСОИ и электронная почта АСОИ?

                          Комментарий


                          • #14
                            Вот что за мода у ЦБ пошла документы захламлять?

                            IMHO, никакой полезной информации нижеприведенный текст не содержит, а просто бесит..
                            (Собрание законодательства Российской Федерации, 1995, N 15, ст. 1269; 2000, N 1, ст. 9; N 46, ст. 4537; 2002, N 19, ст. 1794; N 30, ст. 3033; 2003, N 2, ст. 156; N 27, ст. 2700; 2004, N 35, ст. 3607; 2005, N 10, ст. 763; 2006, N 17, ст. 1779; N 31, ст. 3452; 2007, N 28, ст. 3348; N 31, ст. 4008; N 50, ст. 6241; 2008, N 52, ст. 6235; 2010, N 31, ст. 4207; N 42, ст. 5297; 2011, N 1, ст. 32; N 29, ст. 4282; 2011, N 30, ст. 4589; N 50, ст. 7366; 2013, N 19, ст. 2324; N 27, ст. 3477; N 48, ст. 6165; N 51, ст. 6689; 2014, N 19, ст. 2335; N 26, ст. 3365; N 26, ст. 3384; N 52, ст. 7557; 2016, N 1, ст. 88; N 27, ст. 4160, ст. 4238; N 28, ст. 4558; 2017, N 1, ст. 46; N 25, ст. 3596; 2018, N 11, ст. 1591)
                            Я повырезал всю подобную хрень из своего экземпляра.
                            Последний раз редактировалось ost; 27.03.2019, 13:04.

                            Комментарий


                            • #15
                              Коллеги, я правильно понял, что согласно 672-П нам надо проводить отдельную оценку соответствия?

                              п. 20
                              оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения;
                              оценка соответствия должна проводиться в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия";
                              оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России.

                              Участники ССНП, участники СБП и ОПКЦ должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018.
                              Непонятно, как это состыкуется с п. 21. Нам теперь надо оценку по ГОСТ репортить в ЦБ по 202-й форме?
                              Кто что думает по этому поводу.

                              Комментарий


                              • #16
                                Сообщение от Berckut Посмотреть сообщение
                                ...

                                Т.е. никакой замены документов нет. Набор требований не изменился, а дополнился новыми. Теперь мы исполняем 552-П, 672-П и ГОСТ Р 57580.1-2017. Всё как обычно, чуда не произошло.
                                Нет, теперь мы исполняем 382-П, 672-П и ГОСТ Р 57580.1-2017. Пункт 23 672-П, последний абзац. "Со дня вступления в силу настоящего Положения, считать утратившим силу 552-П".

                                Комментарий


                                • #17
                                  Сообщение от dnebyshe Посмотреть сообщение
                                  Поправте если я не прав, но пункт 3 о выделении сегмента с объектами для переводов вступает в силу с 01.07.21.
                                  Т.е 552-П отменили, сегмент теперь не нужен до 21 года?
                                  Есть мнение, что поскольку пункт 14.3, кроме абзаца шестого не указан в отдельных сроках вступления, он вступает в силу по истечении 10 дней. А в этом пункте русским по белому написано про пункт 1 Правил ... (приложение к 672-П), где указаны два раздельных контура формирования и контроля, которые даже по сотрудникам пересекаться не должны, про разные сегменты сети уже и так понятно. Отдельно доставляет абзац 2 пункта 14.3, где описана необходимость использования двух усиленных электронных подписей, применяемых в этих самых двух контурах. Если я правильно понимаю, сейчас ключи ЦБ для платёжной системы не являются усиленными. Или тут я не прав?

                                  Комментарий


                                  • #18
                                    Сообщение от ost Посмотреть сообщение
                                    Коллеги, я правильно понял, что согласно 672-П нам надо проводить отдельную оценку соответствия?

                                    п. 20


                                    Непонятно, как это состыкуется с п. 21. Нам теперь надо оценку по ГОСТ репортить в ЦБ по 202-й форме?
                                    Кто что думает по этому поводу.
                                    Оценка по ГОСТ я так понимаю с 01.07.2021. Проводить придётся не реже раз в два года или по требованию ЦБ. Насчёт репортить пока не ясно.

                                    Комментарий


                                    • #19
                                      Сообщение от rvroman Посмотреть сообщение

                                      Есть мнение, что поскольку пункт 14.3, кроме абзаца шестого не указан в отдельных сроках вступления, он вступает в силу по истечении 10 дней. А в этом пункте русским по белому написано про пункт 1 Правил ... (приложение к 672-П), где указаны два раздельных контура формирования и контроля, которые даже по сотрудникам пересекаться не должны, про разные сегменты сети уже и так понятно. Отдельно доставляет абзац 2 пункта 14.3, где описана необходимость использования двух усиленных электронных подписей, применяемых в этих самых двух контурах. Если я правильно понимаю, сейчас ключи ЦБ для платёжной системы не являются усиленными. Или тут я не прав?
                                      Разве не усиленные? ЦБ не аккредитованный УЦ?

                                      Комментарий


                                      • #20
                                        Сообщение от rvroman Посмотреть сообщение

                                        Нет, теперь мы исполняем 382-П, 672-П и ГОСТ Р 57580.1-2017. Пункт 23 672-П, последний абзац. "Со дня вступления в силу настоящего Положения, считать утратившим силу 552-П".
                                        552-П утратил силу как самостоятельный документ, но у всех он есть как приложение к договору обмена для СПФС. Слово в слово. Я у себя проверил, так и есть.
                                        так что никуда 552-П не ушел. И контроль ТЗИ так же надо проводить, но не по 552-П, а по приложению к договору.
                                        Последний раз редактировалось dnebyshe; 27.03.2019, 17:27.

                                        Комментарий


                                        • #21
                                          Сообщение от dnebyshe Посмотреть сообщение

                                          Разве не усиленные? ЦБ не аккредитованный УЦ?
                                          А разве усиленные не от Минкомсвязи цепочку должны строить? Или это про усиленную квалифицированную? Т.е. ЦБ это усиленная неквалифицированная?

                                          Комментарий


                                          • #22
                                            Сообщение от Berckut Посмотреть сообщение

                                            Сегмент нужен. Но не по 672-П, а по приложению к договору, которое повторяет 552-П.
                                            В приложении к договору требования от 552-П только для сегмента СПФС, а не ПСБР.
                                            А в 672-П сегментирование только с 21 года. (пункт 3)

                                            Комментарий


                                            • #23
                                              Сообщение от dnebyshe Посмотреть сообщение

                                              В приложении к договору требования от 552-П только для сегмента СПФС, а не ПСБР.
                                              А в 672-П сегментирование только с 21 года. (пункт 3)
                                              Сегментирование "вчера" по пункту 14.3 абзац 1, с 21 года меры защиты информации, реализующие уровень 2 защиты информации, определённый ГОСТ Р 57580.1-2017.

                                              Комментарий


                                              • #24
                                                Ещё один док в дополнение к ЦБ http://cbr.ru/Queries/UniDbQuery/File/50883/797

                                                Комментарий


                                                • #25
                                                  Сообщение от Gallen Посмотреть сообщение
                                                  Ещё один док в дополнение к ЦБ http://cbr.ru/Queries/UniDbQuery/File/50883/797
                                                  ну это скорее их внутренняя кухня

                                                  Комментарий


                                                  • #26
                                                    Можно часть данных использовать в работе.
                                                    Формы в приложениях не лишены смысла.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от dnebyshe Посмотреть сообщение
                                                      В приложении к договору требования от 552-П только для сегмента СПФС, а не ПСБР.
                                                      Разве? Внимательно просчитали, просто текущий догвоор это не одно ДС и быстро посомтреть пока не получилось.

                                                      Сообщение от rvroman Посмотреть сообщение
                                                      Сегментирование "вчера" по пункту 14.3 абзац 1
                                                      Интеренсо, как быть тем у кого ещё нет КА и КЗ? )




                                                      Комментарий


                                                      • #28
                                                        Сообщение от Zuz Посмотреть сообщение
                                                        Интеренсо, как быть тем у кого ещё нет КА и КЗ? )
                                                        Делать их

                                                        В этой части вступает в силу с 06.04.2019

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          [/SIZE][/FONT][/COLOR][/LEFT]
                                                          Разве? Внимательно просчитали, просто текущий догвоор это не одно ДС и быстро посомтреть пока не получилось.

                                                          Интеренсо, как быть тем у кого ещё нет КА и КЗ? )



                                                          Внимательно, передомною сейчас лежит.
                                                          Приложение №ХХ к договору об обмене ЭС при переводе ДС в рамках ПСБР
                                                          Требования к защите информации, выполняемые клиентом - пользователей СПФС.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от dnebyshe Посмотреть сообщение

                                                            Внимательно, передомною сейчас лежит.
                                                            Приложение №ХХ к договору об обмене ЭС при переводе ДС в рамках ПСБР
                                                            Требования к защите информации, выполняемые клиентом - пользователей СПФС.
                                                            Ну да, действительно не всё так однозначно.

                                                            В п.1.1 договора об обмена указано на кого он распространяется:
                                                            1.1. Договор определяет условия осуществления обмена электронными сообщениями (далее – ЭС) и (или) пакетами ЭС при взаимодействии Сторон при предоставлении Банком Клиенту – пользователю электронного средства платежа (далее – ЭСП) операционных услуг при осуществлении Банком перевода денежных средств в рамках платежной системы Банка России, при предоставлении Банком услуг по передаче финансовых сообщений через систему передачи финансовых сообщений (далее – СПФС) , а также требования к защите информации при осуществлении вышеуказанного обмена ЭС.

                                                            В сноске 1 написано вот что:
                                                            Слова «при предоставлении Банком услуг по передаче финансовых сообщений через систему передачи финансовых сообщений (далее – СПФС)» указываются в Договоре с Клиентом – пользователем СПФС.

                                                            Согласно сноске 63 Приложение 12 включается в Договор с Клиентом – пользователем СПФС.

                                                            Т.е. получается если в нашем договоре этого приложения нет и в пункте 1.1 про СПФС нечего не написано, то это не наш случай и старое 552-П выполнять не надо.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствуют: 2. Участников: 0, гостей: 2.

                                                            Обработка...
                                                            X