23 июля, вторник 07:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

672-П. Требования к защите информации в ПС БР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Airat_Kzn Посмотреть сообщение
    Вы уже направили список уполномоченных? У меня сомнения, что сотрудники с правами Н, а тем более руководство с правами П дадут свои номера мобильных. Можно ли обойтись без мобилок?
    Сегодня направляем.
    Сначала сделали приказ что право подписывать за председателем правления и лицами его замещающими, право направления за зарегистрированными в ФинЦЕРТе сотрудниками ИБ.
    В списке уполномоченных перечислили руководителя и всех замов, кто может заместить его с правами П. Для них мобильный, электронку и факс. С правами Н направляющих сотрудников ИБ, по ним заполнили все колонки.
    Зачем им там мобильник подписантов - непонятно. Будут звонить и спрашивать а точно вы подписали или за вас подделали подпись. Сомнительно как то.
    По-моему бывало уже такое что в ответ на письма ЦБ по боссам не давали номера мобильников.

    Комментарий


    • Сообщение от Airat_Kzn Посмотреть сообщение
      Спасибо за разъяснения! Вроде как пазл сложился.
      По информации ФинЦЕРТ:
      Будет 3 канала передачи: АСОИ ФинЦЕРТ, почта и факс (по ЛК ЦБ ничего не сказали пока). Уполномоченные лица (как минимум, 2 человека - ответственный и лицо его замещающее), которые непосредственно и будут направлять информацию (рекомендовали назначать из руководящего состава, т.е. это не исполнители, руководители отделов, как минимум). Скорее всего, сотрудник из ФинЦЕРТ будет связываться с этими уполномоченными лицами для подтверждения информации, и уже после этого будут брать в работу обращение.
      Пока это предварительная информация, но в ближайшее время ФинЦЕРТ должны выпустить информационный бюллетень, где более подробно будет описан порядок действий.
      Последний раз редактировалось Zuz; 28.06.2019, 18:56.

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        Ну, вот и презентация от ЦБ, чуть яснее стали некоторые вопросы, в частотности видно, что разделение контуров и сверка должны происходить как я ранее описывал.
        Откровением для меня стало, что результаты по оценке соответствия нужно доводить в рамах Указания № 2831-У.
        Вот смотрю я на слайды 7 и 10 и лезит мне в голову мысль, что по задумке ЦБ машин должно быть 3, объядинять ПК АРМ КБР-Н с КА или ЗК нельзя. По этим схемам получается, что ПК АРМ КБР-Н должен быть в отдельном контуре.

        Комментарий


        • Сообщение от Berckut Посмотреть сообщение
          Вот смотрю я на слайды 7 и 10 и лезит мне в голову мысль, что по задумке ЦБ машин должно быть 3, объядинять ПК АРМ КБР-Н с КА или ЗК нельзя. По этим схемам получается, что ПК АРМ КБР-Н должен быть в отдельном контуре.
          Вы то, что ищете, то и находите Нет пока таких требований - только разделять контур формирования ЭС и контур контроля ревизитов ЭС. Если на слайды ориентироваться, можно подумать, что КА и ЗК вообще в одном контуре живут (7 слайд).

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            Нет пока таких требований
            Я ещё не посмотрел сам вебинар, не уверен, что на слайде только актуальные требования, возможно там именно то, как должно быть.

            Комментарий


            • Сообщение от Airat_Kzn Посмотреть сообщение
              У меня сомнения, что сотрудники с правами Н, а тем более руководство с правами П дадут свои номера мобильных. Можно ли обойтись без мобилок?
              У нас дали без проблем. Тут же вопрос серьёзный.
              В принципе можете свой мобильный написать, проверять никто не будет.

              Комментарий


              • Сообщение от ost Посмотреть сообщение
                У нас дали без проблем. Тут же вопрос серьёзный.
                Должны быть корпоративные мобилки, т.к. за личную кто-нибудь забудет заплатить вовремя, а вопрос "серьёзный". )

                Комментарий


                • Смотрю приложения к договору с ЦБ об обмене ЭС. И получается, что дубль 552-П называется "Приложение Требования к защите информации, выполняемые Клиентом-пользователем СПФС", т.е. его надо выполнять только на участке СПФС (там у них АРМ КБР-СПФС).
                  А если мы не работаем со СПФС, то участка СПФС у нас нет и требование хранить видео 3 года (наследие 552-П) уже не надо выполнять. Я прав?

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Смотрю приложения к договору с ЦБ об обмене ЭС. И получается, что дубль 552-П называется "Приложение Требования к защите информации, выполняемые Клиентом-пользователем СПФС", т.е. его надо выполнять только на участке СПФС (там у них АРМ КБР-СПФС). А если мы не работаем со СПФС, то участка СПФС у нас нет и требование хранить видео 3 года (наследие 552-П) уже не надо выполнять. Я прав?
                    Да, единственная камера в банке с непонятным требованием хранить записи 3 года это та, что для участка СПФС.
                    Для участка ПС БР требование к хранению записей будут либо не менее 14 дней, либо не менее 90 дней (в зависимости от уровня защиты по ГОСТ).

                    Комментарий


                    • Сообщение от Александр Четвертый Посмотреть сообщение
                      Да, единственная камера в банке с непонятным требованием хранить записи 3 года это та, что для участка СПФС.
                      Это зависит от формулировок в договорах. Они по территориям разные. Где-то явно не прописано, где-то более явно, где-то прямо.
                      А ещё формально данные системы видеонаблюдения суть ПДн и при отзыве согласия на обработку могут отсутсвовать формальные причины такой обработки (даже просто хранения). Нужно передавать на архивное хранение, чтобы вывести хоть как-то из под действия закона 152-ФЗ (но это шаткая конструкция).

                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        данные системы видеонаблюдения суть ПДн и при отзыве согласия на обработку могут отсутсвовать формальные причины такой обработки (даже просто хранения).
                        Всегда можно обосновать п. 7 ч. 1 ст. 6 (обработка персональных данных необходима для осуществления прав и законных интересов оператора).

                        Комментарий


                        • "Данные системы видеонаблюдения" - сложно считать это персональными данными. Вот если у вас в эти данные встроены сведения "кто именно там изображен (как в сериале Person of Interest)", тогда да. Куча организаций имеет камеры по периметру, снимающие поток людей на крупных улицах - они операторы персональных данных с гигантским числом субъектов ПД?

                          В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
                          Федеральный закон «О персональных данных»: научно-практический комментарий под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой Выпуск № 11 2015

                          Комментарий


                          • Сообщение от Александр Четвертый Посмотреть сообщение
                            научно-практический комментарий
                            В том-то и дело, что это только "научно-практический комментарий", который ссылается на мнение некоей рабочей группы, он никакой силы не имеет.

                            Комментарий


                            • Сообщение от ost Посмотреть сообщение
                              никакой силы не имеет.
                              А руководствоваться термином из закона, который имеет силу, но бесполезен в практическом применении, лучше? Потратить N-миллионов на средства защиты видосиков с улицы, потому что закон надо соблюдать?

                              Комментарий


                              • Сообщение от ost Посмотреть сообщение
                                Всегда можно обосновать п. 7 ч. 1 ст. 6 (обработка персональных данных необходима для осуществления прав и законных интересов оператора).
                                Без согласия то? )

                                Сообщение от Александр Четвертый Посмотреть сообщение
                                Куча организаций имеет камеры по периметру, снимающие поток людей на крупных улицах - они операторы персональных данных с гигантским числом субъектов ПД?
                                Формально, да. В этой части есть недоработки в законе, трактовки есть разные. Представьте какой-то IP-адрес или coockie относят к ПДн, а ваше изображение нет.
                                В общем случае ваше изображение ассоциировано с вами, а если это сотрудник, то по нему ещё можно вас и идентифицировать используя, к примеру, информацию из личных дел, что в архиве.

                                Сообщение от ost Посмотреть сообщение
                                В том-то и дело, что это только "научно-практический комментарий", который ссылается на мнение некоей рабочей группы, он никакой силы не имеет.
                                Да, в суде будет сложно, что то доказать суду. Судья будет видеть изображение и сомнений в том, что это ПДн у него не будет.

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение
                                  Потратить N-миллионов на средства защиты видосиков с улицы, потому что закон надо соблюдать?
                                  Всё зависит от модели угроз, в общем случае много тратить не придётся, система и так изолирована, несколько оргмеропритяий, правила работы с носителями, порядок обращения, передача в архив, иничтожение и всё. Это почти ничего не стоит.

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    Всё зависит от модели угроз, в общем случае много тратить не придётся, система и так изолирована, несколько оргмеропритяий, правила работы с носителями, порядок обращения, передача в архив, иничтожение и всё. Это почти ничего не стоит.
                                    Меня как раз оргмероприятия и напрягают - уведомление РКН, уровни защещенности, формальные требования подзаконных актов и пр. геморрой никак не влияющий на безопасность ПД.

                                    Комментарий


                                    • Кто-то получал такое письмо от ЦБ - "Информационное письмо о направлении в Банк России информации об осуществлении переводов денежных средств без согласия клиентов с использованием сервиса быстрых платежей"?
                                      О доведении письма Банка России о направлении в БР информации об осуществлении переводов ДС без согласия клиентов с использованием сервиса быстрых пл (1019043 v1).pdf

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение

                                        Вот смотрю я на слайды 7 и 10 и лезит мне в голову мысль, что по задумке ЦБ машин должно быть 3, объядинять ПК АРМ КБР-Н с КА или ЗК нельзя. По этим схемам получается, что ПК АРМ КБР-Н должен быть в отдельном контуре.
                                        Задумка конечно правильная: все АРМы отдельно, и каждый в своем отдельном сегменте.
                                        Но мы для упрощения пока все объединили - все приложения, использующие криптографию, разместили на одном компе:
                                        - отдельный модуль АБС для установки ЗК, КА (при отправке), для проверки КА, ЗК (при приеме)
                                        - АРМ КБР-Н
                                        - АРМ СПФС
                                        и вот этот комп в отдельном сетевом сегменте, отделенном от основной внутренней сети маршрутизатором
                                        все приложения работают одновременно под одним пользователем
                                        все сигнатуровские профили заведены под одним пользователем, все ключи (КА, ЗК, КБРН, СПФС) в одном токене
                                        все работает

                                        Комментарий


                                        • Сообщение от Setevoy Посмотреть сообщение
                                          Но мы для упрощения пока все объединили
                                          Т.е. нарушили все требования?
                                          Зашибись.

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение
                                            Т.е. нарушили все требования?
                                            Нарушили.
                                            А где многоконтурность и сегментация : контур(сегмент) подготовки и хранения ЭС (с ЗК), контур(сегмент) отправки ЭС (проверки ЗК и проставления КА) ... ?

                                            Сообщение от Setevoy Посмотреть сообщение
                                            пока все объединили
                                            Объединили, проверили работоспособность всех составных частей, теперь надо разводить по разным сегментам-контурам ...

                                            Комментарий


                                            • Сообщение от idelta Посмотреть сообщение
                                              Нарушили.
                                              А где многоконтурность и сегментация : контур(сегмент) подготовки и хранения ЭС (с ЗК), контур(сегмент) отправки ЭС (проверки ЗК и проставления КА) ... ?

                                              Объединили, проверили работоспособность всех составных частей, теперь надо разводить по разным сегментам-контурам ...
                                              Да, вынужденно пошли на некоторые нарушения.. теперь будем разводить.
                                              Просто ЦБ практически одновременно замутил переход на ТШ, КБР-Н и АРМ СПФС, а мы еще и с АРМКБР перешли на КА/ЗК внутри АБС.. нужно было все это состыковать и запустить, заниматься остальной фигней некогда было.
                                              Да и организационные моменты еще не разрулили. Т.е. фактически простановкой КА/ЗК и приемом-отправкой занимается один человек (точнее 2, посменно), и метаться при каждой отправке/приеме между тремя-четырьмя разными АРМами довольно проблематично.

                                              Комментарий


                                              • Сообщение от Zuz Посмотреть сообщение
                                                Я ещё не посмотрел сам вебинар, не уверен, что на слайде только актуальные требования, возможно там именно то, как должно быть.
                                                Добрый день!
                                                А где можно посмотреть вебинар?

                                                Комментарий


                                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                                  Кто-то получал такое письмо от ЦБ - "Информационное письмо о направлении в Банк России информации об осуществлении переводов денежных средств без согласия клиентов с использованием сервиса быстрых платежей"?
                                                  [ATTACH]n4913537[/ATTACH]
                                                  А где само письмо? Аттач не качается :-(

                                                  Комментарий


                                                  • Сообщение от Алексей Лукацкий Посмотреть сообщение

                                                    А где само письмо? Аттач не качается :-(
                                                    Да нет, качается

                                                    Комментарий


                                                    • Чот у меня тоже не получается с аттачем (:

                                                      Комментарий


                                                      • Сообщение от anastaciasemohina Посмотреть сообщение
                                                        Чот у меня тоже не получается с аттачем (:
                                                        А так? - https://bankir.ru/dom/filedata/fetch...7&d=1562832450

                                                        Комментарий

                                                        Пользователи, просматривающие эту тему

                                                        Свернуть

                                                        Присутствует 1. Участников: 0, гостей: 1.

                                                        Обработка...
                                                        X