30 марта, понедельник 08:07
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 672-П. Требования к защите информации в ПС БР

    Ну вот и опубликовали.
    http://www.cbr.ru/Queries/UniDbQuery...883?fileId=792

  • #2
    Документ "прекрасен" :
    1. Своим размером.
    2. Полным (или почти?) отсутствием в тексте этого тошнотворного "рекомендуецца, *дуем...".
    3. Наличием "должен", "должны" в каждом абзаце !
    Короче, надо его изучить и в пределах своих возможностей и при наличии всех объективных субъективностей реализовывать...

    Комментарий


    • #3
      Обсуждение данного положения ещё на стадии проекта начинал тут: https://bankir.ru/dom/forum/%D0%B4%D...81%D0%B8%D0%B8

      Комментарий


      • #4
        Выделение сегмента платежной инфраструктуры, а внутри этого сегмента выделение сегментов для формирования и контроля ЭС. Сильно...

        Комментарий


        • #5
          эх, только по 552-П проверили, не успели исправить

          Комментарий


          • #6
            Сообщение от Nikolas_R Посмотреть сообщение
            Выделение сегмента платежной инфраструктуры, а внутри этого сегмента выделение сегментов для формирования и контроля ЭС. Сильно...
            Да, под столом в корсчёте теперь будет стоять уже 6-7 машин. Скоро можно будет сделать их них трон

            Комментарий


            • #7
              Сообщение от idelta Посмотреть сообщение
              Документ "прекрасен" :
              3. Наличием "должен", "должны" в каждом абзаце !
              Не забываем, что незадолго до этого, ЦБ изменил договор и переписал туда слово в слово 552-П (см. Приложение 12 к договору об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России). Так что "должен" осталось, просто немного в другом виде.
              Плюс теперь необходимо исполнять ГОСТ Р 57580.1-2017.

              Т.е. никакой замены документов нет. Набор требований не изменился, а дополнился новыми. Теперь мы исполняем 552-П, 672-П и ГОСТ Р 57580.1-2017. Всё как обычно, чуда не произошло.

              Комментарий


              • #8
                Насколько я понял, 672-П расширяет 382-П в части СБП (сервис быстрых платежей) ?
                И, кстати
                "Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 24 августа 2016 года № 552-П «О требованиях к защите информации в платежной системе Банка России»,"
                Последний раз редактировалось w3d; 27.03.2019, 08:55.

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  Плюс теперь необходимо исполнять ГОСТ Р 57580.1-2017.
                  c 01 июля 2021 как я понял

                  Комментарий


                  • #10
                    Сообщение от Esin Посмотреть сообщение

                    c 01 июля 2021 как я понял
                    Да, про ГОСТ был не совсем прав. Тут время есть.

                    Комментарий


                    • #11
                      Поправте если я не прав, но пункт 3 о выделении сегмента с объектами для переводов вступает в силу с 01.07.21.
                      Т.е 552-П отменили, сегмент теперь не нужен до 21 года?

                      Комментарий


                      • #12
                        Сообщение от dnebyshe Посмотреть сообщение
                        Поправте если я не прав, но пункт 3 о выделении сегмента с объектами для переводов вступает в силу с 01.07.21.
                        Т.е 552-П отменили, сегмент теперь не нужен до 21 года?
                        Сегмент нужен. Но не по 672-П, а по приложению к договору, которое повторяет 552-П.

                        Комментарий


                        • #13
                          в 19 пункте что является основным и резервным способом взаимодействия?
                          Это 1.2 из 4926-У?
                          ЛК АСОИ и электронная почта АСОИ?

                          Комментарий


                          • #14
                            Вот что за мода у ЦБ пошла документы захламлять?

                            IMHO, никакой полезной информации нижеприведенный текст не содержит, а просто бесит..
                            (Собрание законодательства Российской Федерации, 1995, N 15, ст. 1269; 2000, N 1, ст. 9; N 46, ст. 4537; 2002, N 19, ст. 1794; N 30, ст. 3033; 2003, N 2, ст. 156; N 27, ст. 2700; 2004, N 35, ст. 3607; 2005, N 10, ст. 763; 2006, N 17, ст. 1779; N 31, ст. 3452; 2007, N 28, ст. 3348; N 31, ст. 4008; N 50, ст. 6241; 2008, N 52, ст. 6235; 2010, N 31, ст. 4207; N 42, ст. 5297; 2011, N 1, ст. 32; N 29, ст. 4282; 2011, N 30, ст. 4589; N 50, ст. 7366; 2013, N 19, ст. 2324; N 27, ст. 3477; N 48, ст. 6165; N 51, ст. 6689; 2014, N 19, ст. 2335; N 26, ст. 3365; N 26, ст. 3384; N 52, ст. 7557; 2016, N 1, ст. 88; N 27, ст. 4160, ст. 4238; N 28, ст. 4558; 2017, N 1, ст. 46; N 25, ст. 3596; 2018, N 11, ст. 1591)
                            Я повырезал всю подобную хрень из своего экземпляра.
                            Последний раз редактировалось ost; 27.03.2019, 13:04.

                            Комментарий


                            • #15
                              Коллеги, я правильно понял, что согласно 672-П нам надо проводить отдельную оценку соответствия?

                              п. 20
                              оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения;
                              оценка соответствия должна проводиться в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия";
                              оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России.

                              Участники ССНП, участники СБП и ОПКЦ должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018.
                              Непонятно, как это состыкуется с п. 21. Нам теперь надо оценку по ГОСТ репортить в ЦБ по 202-й форме?
                              Кто что думает по этому поводу.

                              Комментарий


                              • #16
                                Сообщение от Berckut Посмотреть сообщение
                                ...

                                Т.е. никакой замены документов нет. Набор требований не изменился, а дополнился новыми. Теперь мы исполняем 552-П, 672-П и ГОСТ Р 57580.1-2017. Всё как обычно, чуда не произошло.
                                Нет, теперь мы исполняем 382-П, 672-П и ГОСТ Р 57580.1-2017. Пункт 23 672-П, последний абзац. "Со дня вступления в силу настоящего Положения, считать утратившим силу 552-П".

                                Комментарий


                                • #17
                                  Сообщение от dnebyshe Посмотреть сообщение
                                  Поправте если я не прав, но пункт 3 о выделении сегмента с объектами для переводов вступает в силу с 01.07.21.
                                  Т.е 552-П отменили, сегмент теперь не нужен до 21 года?
                                  Есть мнение, что поскольку пункт 14.3, кроме абзаца шестого не указан в отдельных сроках вступления, он вступает в силу по истечении 10 дней. А в этом пункте русским по белому написано про пункт 1 Правил ... (приложение к 672-П), где указаны два раздельных контура формирования и контроля, которые даже по сотрудникам пересекаться не должны, про разные сегменты сети уже и так понятно. Отдельно доставляет абзац 2 пункта 14.3, где описана необходимость использования двух усиленных электронных подписей, применяемых в этих самых двух контурах. Если я правильно понимаю, сейчас ключи ЦБ для платёжной системы не являются усиленными. Или тут я не прав?

                                  Комментарий


                                  • #18
                                    Сообщение от ost Посмотреть сообщение
                                    Коллеги, я правильно понял, что согласно 672-П нам надо проводить отдельную оценку соответствия?

                                    п. 20


                                    Непонятно, как это состыкуется с п. 21. Нам теперь надо оценку по ГОСТ репортить в ЦБ по 202-й форме?
                                    Кто что думает по этому поводу.
                                    Оценка по ГОСТ я так понимаю с 01.07.2021. Проводить придётся не реже раз в два года или по требованию ЦБ. Насчёт репортить пока не ясно.

                                    Комментарий


                                    • #19
                                      Сообщение от rvroman Посмотреть сообщение

                                      Есть мнение, что поскольку пункт 14.3, кроме абзаца шестого не указан в отдельных сроках вступления, он вступает в силу по истечении 10 дней. А в этом пункте русским по белому написано про пункт 1 Правил ... (приложение к 672-П), где указаны два раздельных контура формирования и контроля, которые даже по сотрудникам пересекаться не должны, про разные сегменты сети уже и так понятно. Отдельно доставляет абзац 2 пункта 14.3, где описана необходимость использования двух усиленных электронных подписей, применяемых в этих самых двух контурах. Если я правильно понимаю, сейчас ключи ЦБ для платёжной системы не являются усиленными. Или тут я не прав?
                                      Разве не усиленные? ЦБ не аккредитованный УЦ?

                                      Комментарий


                                      • #20
                                        Сообщение от rvroman Посмотреть сообщение

                                        Нет, теперь мы исполняем 382-П, 672-П и ГОСТ Р 57580.1-2017. Пункт 23 672-П, последний абзац. "Со дня вступления в силу настоящего Положения, считать утратившим силу 552-П".
                                        552-П утратил силу как самостоятельный документ, но у всех он есть как приложение к договору обмена для СПФС. Слово в слово. Я у себя проверил, так и есть.
                                        так что никуда 552-П не ушел. И контроль ТЗИ так же надо проводить, но не по 552-П, а по приложению к договору.
                                        Последний раз редактировалось dnebyshe; 27.03.2019, 17:27.

                                        Комментарий


                                        • #21
                                          Сообщение от dnebyshe Посмотреть сообщение

                                          Разве не усиленные? ЦБ не аккредитованный УЦ?
                                          А разве усиленные не от Минкомсвязи цепочку должны строить? Или это про усиленную квалифицированную? Т.е. ЦБ это усиленная неквалифицированная?

                                          Комментарий


                                          • #22
                                            Сообщение от Berckut Посмотреть сообщение

                                            Сегмент нужен. Но не по 672-П, а по приложению к договору, которое повторяет 552-П.
                                            В приложении к договору требования от 552-П только для сегмента СПФС, а не ПСБР.
                                            А в 672-П сегментирование только с 21 года. (пункт 3)

                                            Комментарий


                                            • #23
                                              Сообщение от dnebyshe Посмотреть сообщение

                                              В приложении к договору требования от 552-П только для сегмента СПФС, а не ПСБР.
                                              А в 672-П сегментирование только с 21 года. (пункт 3)
                                              Сегментирование "вчера" по пункту 14.3 абзац 1, с 21 года меры защиты информации, реализующие уровень 2 защиты информации, определённый ГОСТ Р 57580.1-2017.

                                              Комментарий


                                              • #24
                                                Ещё один док в дополнение к ЦБ http://cbr.ru/Queries/UniDbQuery/File/50883/797

                                                Комментарий


                                                • #25
                                                  Сообщение от Gallen Посмотреть сообщение
                                                  Ещё один док в дополнение к ЦБ http://cbr.ru/Queries/UniDbQuery/File/50883/797
                                                  ну это скорее их внутренняя кухня

                                                  Комментарий


                                                  • #26
                                                    Можно часть данных использовать в работе.
                                                    Формы в приложениях не лишены смысла.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от dnebyshe Посмотреть сообщение
                                                      В приложении к договору требования от 552-П только для сегмента СПФС, а не ПСБР.
                                                      Разве? Внимательно просчитали, просто текущий догвоор это не одно ДС и быстро посомтреть пока не получилось.

                                                      Сообщение от rvroman Посмотреть сообщение
                                                      Сегментирование "вчера" по пункту 14.3 абзац 1
                                                      Интеренсо, как быть тем у кого ещё нет КА и КЗ? )




                                                      Комментарий


                                                      • #28
                                                        Сообщение от Zuz Посмотреть сообщение
                                                        Интеренсо, как быть тем у кого ещё нет КА и КЗ? )
                                                        Делать их

                                                        В этой части вступает в силу с 06.04.2019

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          [/SIZE][/FONT][/COLOR][/LEFT]
                                                          Разве? Внимательно просчитали, просто текущий догвоор это не одно ДС и быстро посомтреть пока не получилось.

                                                          Интеренсо, как быть тем у кого ещё нет КА и КЗ? )



                                                          Внимательно, передомною сейчас лежит.
                                                          Приложение №ХХ к договору об обмене ЭС при переводе ДС в рамках ПСБР
                                                          Требования к защите информации, выполняемые клиентом - пользователей СПФС.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от dnebyshe Посмотреть сообщение

                                                            Внимательно, передомною сейчас лежит.
                                                            Приложение №ХХ к договору об обмене ЭС при переводе ДС в рамках ПСБР
                                                            Требования к защите информации, выполняемые клиентом - пользователей СПФС.
                                                            Ну да, действительно не всё так однозначно.

                                                            В п.1.1 договора об обмена указано на кого он распространяется:
                                                            1.1. Договор определяет условия осуществления обмена электронными сообщениями (далее – ЭС) и (или) пакетами ЭС при взаимодействии Сторон при предоставлении Банком Клиенту – пользователю электронного средства платежа (далее – ЭСП) операционных услуг при осуществлении Банком перевода денежных средств в рамках платежной системы Банка России, при предоставлении Банком услуг по передаче финансовых сообщений через систему передачи финансовых сообщений (далее – СПФС) , а также требования к защите информации при осуществлении вышеуказанного обмена ЭС.

                                                            В сноске 1 написано вот что:
                                                            Слова «при предоставлении Банком услуг по передаче финансовых сообщений через систему передачи финансовых сообщений (далее – СПФС)» указываются в Договоре с Клиентом – пользователем СПФС.

                                                            Согласно сноске 63 Приложение 12 включается в Договор с Клиентом – пользователем СПФС.

                                                            Т.е. получается если в нашем договоре этого приложения нет и в пункте 1.1 про СПФС нечего не написано, то это не наш случай и старое 552-П выполнять не надо.

                                                            Комментарий

                                                            500 Портал временно недоступен

                                                            Портал временно недоступен

                                                            Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                            Обновите страницу спустя некоторое время.

                                                            Агенство Bankir.Ru приносит извинения пользователям
                                                            за доставленные неудобства
                                                            Обработка...
                                                            X