6 июля, понедельник 11:10
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Airat_Kzn Посмотреть сообщение
    Вы уже направили список уполномоченных? У меня сомнения, что сотрудники с правами Н, а тем более руководство с правами П дадут свои номера мобильных. Можно ли обойтись без мобилок?
    Сегодня направляем.
    Сначала сделали приказ что право подписывать за председателем правления и лицами его замещающими, право направления за зарегистрированными в ФинЦЕРТе сотрудниками ИБ.
    В списке уполномоченных перечислили руководителя и всех замов, кто может заместить его с правами П. Для них мобильный, электронку и факс. С правами Н направляющих сотрудников ИБ, по ним заполнили все колонки.
    Зачем им там мобильник подписантов - непонятно. Будут звонить и спрашивать а точно вы подписали или за вас подделали подпись. Сомнительно как то.
    По-моему бывало уже такое что в ответ на письма ЦБ по боссам не давали номера мобильников.

    Комментарий


    • Сообщение от Airat_Kzn Посмотреть сообщение
      Спасибо за разъяснения! Вроде как пазл сложился.
      По информации ФинЦЕРТ:
      Будет 3 канала передачи: АСОИ ФинЦЕРТ, почта и факс (по ЛК ЦБ ничего не сказали пока). Уполномоченные лица (как минимум, 2 человека - ответственный и лицо его замещающее), которые непосредственно и будут направлять информацию (рекомендовали назначать из руководящего состава, т.е. это не исполнители, руководители отделов, как минимум). Скорее всего, сотрудник из ФинЦЕРТ будет связываться с этими уполномоченными лицами для подтверждения информации, и уже после этого будут брать в работу обращение.
      Пока это предварительная информация, но в ближайшее время ФинЦЕРТ должны выпустить информационный бюллетень, где более подробно будет описан порядок действий.
      Последний раз редактировалось Zuz; 28.06.2019, 18:56.

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        Ну, вот и презентация от ЦБ, чуть яснее стали некоторые вопросы, в частотности видно, что разделение контуров и сверка должны происходить как я ранее описывал.
        Откровением для меня стало, что результаты по оценке соответствия нужно доводить в рамах Указания № 2831-У.
        Вот смотрю я на слайды 7 и 10 и лезит мне в голову мысль, что по задумке ЦБ машин должно быть 3, объядинять ПК АРМ КБР-Н с КА или ЗК нельзя. По этим схемам получается, что ПК АРМ КБР-Н должен быть в отдельном контуре.

        Комментарий


        • Сообщение от Berckut Посмотреть сообщение
          Вот смотрю я на слайды 7 и 10 и лезит мне в голову мысль, что по задумке ЦБ машин должно быть 3, объядинять ПК АРМ КБР-Н с КА или ЗК нельзя. По этим схемам получается, что ПК АРМ КБР-Н должен быть в отдельном контуре.
          Вы то, что ищете, то и находите Нет пока таких требований - только разделять контур формирования ЭС и контур контроля ревизитов ЭС. Если на слайды ориентироваться, можно подумать, что КА и ЗК вообще в одном контуре живут (7 слайд).

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            Нет пока таких требований
            Я ещё не посмотрел сам вебинар, не уверен, что на слайде только актуальные требования, возможно там именно то, как должно быть.

            Комментарий


            • Сообщение от Airat_Kzn Посмотреть сообщение
              У меня сомнения, что сотрудники с правами Н, а тем более руководство с правами П дадут свои номера мобильных. Можно ли обойтись без мобилок?
              У нас дали без проблем. Тут же вопрос серьёзный.
              В принципе можете свой мобильный написать, проверять никто не будет.

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                У нас дали без проблем. Тут же вопрос серьёзный.
                Должны быть корпоративные мобилки, т.к. за личную кто-нибудь забудет заплатить вовремя, а вопрос "серьёзный". )

                Комментарий


                • Смотрю приложения к договору с ЦБ об обмене ЭС. И получается, что дубль 552-П называется "Приложение Требования к защите информации, выполняемые Клиентом-пользователем СПФС", т.е. его надо выполнять только на участке СПФС (там у них АРМ КБР-СПФС).
                  А если мы не работаем со СПФС, то участка СПФС у нас нет и требование хранить видео 3 года (наследие 552-П) уже не надо выполнять. Я прав?

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Смотрю приложения к договору с ЦБ об обмене ЭС. И получается, что дубль 552-П называется "Приложение Требования к защите информации, выполняемые Клиентом-пользователем СПФС", т.е. его надо выполнять только на участке СПФС (там у них АРМ КБР-СПФС). А если мы не работаем со СПФС, то участка СПФС у нас нет и требование хранить видео 3 года (наследие 552-П) уже не надо выполнять. Я прав?
                    Да, единственная камера в банке с непонятным требованием хранить записи 3 года это та, что для участка СПФС.
                    Для участка ПС БР требование к хранению записей будут либо не менее 14 дней, либо не менее 90 дней (в зависимости от уровня защиты по ГОСТ).

                    Комментарий


                    • Сообщение от Александр Четвертый Посмотреть сообщение
                      Да, единственная камера в банке с непонятным требованием хранить записи 3 года это та, что для участка СПФС.
                      Это зависит от формулировок в договорах. Они по территориям разные. Где-то явно не прописано, где-то более явно, где-то прямо.
                      А ещё формально данные системы видеонаблюдения суть ПДн и при отзыве согласия на обработку могут отсутсвовать формальные причины такой обработки (даже просто хранения). Нужно передавать на архивное хранение, чтобы вывести хоть как-то из под действия закона 152-ФЗ (но это шаткая конструкция).

                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        данные системы видеонаблюдения суть ПДн и при отзыве согласия на обработку могут отсутсвовать формальные причины такой обработки (даже просто хранения).
                        Всегда можно обосновать п. 7 ч. 1 ст. 6 (обработка персональных данных необходима для осуществления прав и законных интересов оператора).

                        Комментарий


                        • "Данные системы видеонаблюдения" - сложно считать это персональными данными. Вот если у вас в эти данные встроены сведения "кто именно там изображен (как в сериале Person of Interest)", тогда да. Куча организаций имеет камеры по периметру, снимающие поток людей на крупных улицах - они операторы персональных данных с гигантским числом субъектов ПД?

                          В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
                          Федеральный закон «О персональных данных»: научно-практический комментарий под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой Выпуск № 11 2015

                          Комментарий


                          • Сообщение от Александр Четвертый Посмотреть сообщение
                            научно-практический комментарий
                            В том-то и дело, что это только "научно-практический комментарий", который ссылается на мнение некоей рабочей группы, он никакой силы не имеет.

                            Комментарий


                            • Сообщение от ost Посмотреть сообщение
                              никакой силы не имеет.
                              А руководствоваться термином из закона, который имеет силу, но бесполезен в практическом применении, лучше? Потратить N-миллионов на средства защиты видосиков с улицы, потому что закон надо соблюдать?

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                Всегда можно обосновать п. 7 ч. 1 ст. 6 (обработка персональных данных необходима для осуществления прав и законных интересов оператора).
                                Без согласия то? )

                                Сообщение от Александр Четвертый Посмотреть сообщение
                                Куча организаций имеет камеры по периметру, снимающие поток людей на крупных улицах - они операторы персональных данных с гигантским числом субъектов ПД?
                                Формально, да. В этой части есть недоработки в законе, трактовки есть разные. Представьте какой-то IP-адрес или coockie относят к ПДн, а ваше изображение нет.
                                В общем случае ваше изображение ассоциировано с вами, а если это сотрудник, то по нему ещё можно вас и идентифицировать используя, к примеру, информацию из личных дел, что в архиве.

                                Сообщение от ost Посмотреть сообщение
                                В том-то и дело, что это только "научно-практический комментарий", который ссылается на мнение некоей рабочей группы, он никакой силы не имеет.
                                Да, в суде будет сложно, что то доказать суду. Судья будет видеть изображение и сомнений в том, что это ПДн у него не будет.

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение
                                  Потратить N-миллионов на средства защиты видосиков с улицы, потому что закон надо соблюдать?
                                  Всё зависит от модели угроз, в общем случае много тратить не придётся, система и так изолирована, несколько оргмеропритяий, правила работы с носителями, порядок обращения, передача в архив, иничтожение и всё. Это почти ничего не стоит.

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    Всё зависит от модели угроз, в общем случае много тратить не придётся, система и так изолирована, несколько оргмеропритяий, правила работы с носителями, порядок обращения, передача в архив, иничтожение и всё. Это почти ничего не стоит.
                                    Меня как раз оргмероприятия и напрягают - уведомление РКН, уровни защещенности, формальные требования подзаконных актов и пр. геморрой никак не влияющий на безопасность ПД.

                                    Комментарий


                                    • Кто-то получал такое письмо от ЦБ - "Информационное письмо о направлении в Банк России информации об осуществлении переводов денежных средств без согласия клиентов с использованием сервиса быстрых платежей"?
                                      О доведении письма Банка России о направлении в БР информации об осуществлении переводов ДС без согласия клиентов с использованием сервиса быстрых пл (1019043 v1).pdf

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение

                                        Вот смотрю я на слайды 7 и 10 и лезит мне в голову мысль, что по задумке ЦБ машин должно быть 3, объядинять ПК АРМ КБР-Н с КА или ЗК нельзя. По этим схемам получается, что ПК АРМ КБР-Н должен быть в отдельном контуре.
                                        Задумка конечно правильная: все АРМы отдельно, и каждый в своем отдельном сегменте.
                                        Но мы для упрощения пока все объединили - все приложения, использующие криптографию, разместили на одном компе:
                                        - отдельный модуль АБС для установки ЗК, КА (при отправке), для проверки КА, ЗК (при приеме)
                                        - АРМ КБР-Н
                                        - АРМ СПФС
                                        и вот этот комп в отдельном сетевом сегменте, отделенном от основной внутренней сети маршрутизатором
                                        все приложения работают одновременно под одним пользователем
                                        все сигнатуровские профили заведены под одним пользователем, все ключи (КА, ЗК, КБРН, СПФС) в одном токене
                                        все работает

                                        Комментарий


                                        • Сообщение от Setevoy Посмотреть сообщение
                                          Но мы для упрощения пока все объединили
                                          Т.е. нарушили все требования?
                                          Зашибись.

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение
                                            Т.е. нарушили все требования?
                                            Нарушили.
                                            А где многоконтурность и сегментация : контур(сегмент) подготовки и хранения ЭС (с ЗК), контур(сегмент) отправки ЭС (проверки ЗК и проставления КА) ... ?

                                            Сообщение от Setevoy Посмотреть сообщение
                                            пока все объединили
                                            Объединили, проверили работоспособность всех составных частей, теперь надо разводить по разным сегментам-контурам ...

                                            Комментарий


                                            • Сообщение от idelta Посмотреть сообщение
                                              Нарушили.
                                              А где многоконтурность и сегментация : контур(сегмент) подготовки и хранения ЭС (с ЗК), контур(сегмент) отправки ЭС (проверки ЗК и проставления КА) ... ?

                                              Объединили, проверили работоспособность всех составных частей, теперь надо разводить по разным сегментам-контурам ...
                                              Да, вынужденно пошли на некоторые нарушения.. теперь будем разводить.
                                              Просто ЦБ практически одновременно замутил переход на ТШ, КБР-Н и АРМ СПФС, а мы еще и с АРМКБР перешли на КА/ЗК внутри АБС.. нужно было все это состыковать и запустить, заниматься остальной фигней некогда было.
                                              Да и организационные моменты еще не разрулили. Т.е. фактически простановкой КА/ЗК и приемом-отправкой занимается один человек (точнее 2, посменно), и метаться при каждой отправке/приеме между тремя-четырьмя разными АРМами довольно проблематично.

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                Я ещё не посмотрел сам вебинар, не уверен, что на слайде только актуальные требования, возможно там именно то, как должно быть.
                                                Добрый день!
                                                А где можно посмотреть вебинар?

                                                Комментарий


                                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                                  Кто-то получал такое письмо от ЦБ - "Информационное письмо о направлении в Банк России информации об осуществлении переводов денежных средств без согласия клиентов с использованием сервиса быстрых платежей"?
                                                  [ATTACH]n4913537[/ATTACH]
                                                  А где само письмо? Аттач не качается :-(

                                                  Комментарий


                                                  • Сообщение от Алексей Лукацкий Посмотреть сообщение

                                                    А где само письмо? Аттач не качается :-(
                                                    Да нет, качается

                                                    Комментарий


                                                    • Чот у меня тоже не получается с аттачем (:

                                                      Комментарий


                                                      • Сообщение от anastaciasemohina Посмотреть сообщение
                                                        Чот у меня тоже не получается с аттачем (:
                                                        А так? - https://bankir.ru/dom/filedata/fetch...7&d=1562832450

                                                        Комментарий


                                                        • У нас СБП нет, но в процессе подключения.
                                                          Через WEB морду АСОИ можно отправить по инцидентам СБП?

                                                          Комментарий


                                                          • Zuz
                                                            Где можно посмотреть вебинар?
                                                            Ссылку дайте пожалуйста.

                                                            Комментарий


                                                            • AlexGB, семинар был платный, ссылки не будет. (

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X