23 февраля, воскресенье 23:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Коллеги. Учитывая требования 683-П До 01,01,2021 в ЦБ нужно будет отправлять аудит по ГОСТу или по 683-П?

    Комментарий


    • #62
      Scamoff
      Насколько я понимаю, ничего никуда направлять не нужно. Банк проводит внешний аудит по ГОСТ и хранит отчет, который может показать особо интересующимся.

      Комментарий


      • #63
        Коллеги, напомните, плиз, перечень типов инцидентов ЦБ опубликовал или нет.
        В пункте 8 он упоминается, а где его можно найти.

        Комментарий


        • #64
          Сообщение от saches Посмотреть сообщение
          Scamoff
          Насколько я понимаю, ничего никуда направлять не нужно. Банк проводит внешний аудит по ГОСТ и хранит отчет, который может показать особо интересующимся.
          Вот ответ Банка России по данному вопросу: "Обязанность кредитной организации проводить внешний аудит по ГОСТ Р 57580.1-2017 и отправлять в Банк России отчеты о его проведении будет установлена нормативным актом Банка России с 1 января 2021 года (проект находится на согласовании во ФСТЭК и ФСБ России). До этого срока кредитные организации, присоединившиеся к комплексу документов СТО БР ИББС, должны проводить аудит/самооценку по СТО БР ИББС 1.0 и отправлять в Банк России отчеты об их проведении"

          Комментарий


          • #65
            Estekhin
            Насколько я понимаю, речь шла о проекте 683-П, в финальной версии которого сказано -
            9.1. Оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 ........
            Кредитные организации должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.


            Т.е., вроде как, ничего отсылать не нужно.

            Комментарий


            • #66
              Сообщение от ost Посмотреть сообщение
              Коллеги, напомните, плиз, перечень типов инцидентов ЦБ опубликовал или нет.
              В пункте 8 он упоминается, а где его можно найти.
              если я правильно понимаю, то под перечнем типов инцидентов имеется в виду СТО БР БФБО-1.5-2018
              ***Настроение бодрое, идем ко дну.

              Комментарий


              • #67
                Сообщение от saches Посмотреть сообщение
                Т.е., вроде как, ничего отсылать не нужно.
                Хранить - не означает не отсылать (отослал и хранишь). Если по СТО БР банки слали в ЦБ отчет об аудите, значит и по ГОСТ Р 57580.1 будут отсылать (тем более, что отправка отчета "будет установлена нормативным актом Банка России")

                Комментарий


                • #68
                  Сообщение от iPtich Посмотреть сообщение
                  если я правильно понимаю, то под перечнем типов инцидентов имеется в виду СТО БР БФБО-1.5-2018
                  Думаю, что не правильно.
                  ЦБ не вправе выдавать рекомендательный документ за обязательный.

                  Комментарий


                  • #69
                    Сообщение от Estekhin Посмотреть сообщение
                    Хранить - не означает не отсылать (отослал и хранишь). Если по СТО БР банки слали в ЦБ отчет об аудите, значит и по ГОСТ Р 57580.1 будут отсылать (тем более, что отправка отчета "будет установлена нормативным актом Банка России")
                    КМК, если появится тот самый нормативный документ, в котором будет сказано, что отчет нужно отправлять, тогда и возникнет необходимость в его отправке. А пока об этом речи нигде нет. Хотя, конечно, дело хозяйское....

                    Комментарий


                    • #70
                      В финансовой организации формируются один или несколько контуров безопасности, для кото·рых может быть установлен разный уровень защиты информации.
                      Допустим, банк делает 2 контура. Теперь во всех документах делать оговорки для какого контура описана эта мера?

                      6.10.1 Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ ..

                      • 0 — не выбрана (при отсутствии у проверяемой организации свидетельств выбора);
                      • 1 — выбрана (при предъявлении проверяемой организацией свидетельств выбора).
                      Я правильно понимаю, что подход в ГОСТе такой же как в 382-П - если не задокументирована мера ("нет свидетельств"), то будет плохая оценка (0 или сильно занижена - у меня пока какая-то плохая версия ГОСТа по оценке, "с интернетов" и формулы там не разобрать толком)?

                      Комментарий


                      • #71
                        Сообщение от iPtich Посмотреть сообщение
                        если я правильно понимаю, то под перечнем типов инцидентов имеется в виду СТО БР БФБО-1.5-2018
                        Стандарт он о форматах обмена, и потом он же не согласован с "федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности", а в 683-П написано, что должен быть согласован:

                        перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России

                        Комментарий


                        • #72
                          Ответ ЦБ на запрос НСФР по 683-П все уже читали?

                          Комментарий


                          • #73
                            Сообщение от ost Посмотреть сообщение
                            Ответ ЦБ на запрос НСФР по 683-П все уже читали?
                            Где?

                            Комментарий


                            • #74
                              Сообщение от Berckut Посмотреть сообщение
                              Где?
                              НСФР вчера разослал участникам. Если вы в НСФР, ищите в банке, кто получает рассылки.

                              Комментарий


                              • #75
                                Сообщение от ost Посмотреть сообщение
                                Ответ ЦБ на запрос НСФР по 683-П все уже читали?
                                Ага - "делайте как хотите, как вариант вот так" (я про целостность сообщений). Хотя бы радует, что не настаивают на использовании усиленной ЭП.
                                Применение рандомных кодов подтверждения, не связанных с реквизитами сообщений каким-то алгоритмом, видимо, будет восприниматься ЦБ в штыки.

                                Комментарий


                                • #76
                                  Сообщение от ost Посмотреть сообщение
                                  Ответ ЦБ на запрос НСФР по 683-П все уже читали?
                                  Возможно торможу, но так и не договорились у себя, что понимать под "получение от клиента подтверждения совершенной банковской операции." о котором идет речь в 10-ом абзаце, п.5.2.1., 683-П.
                                  Требование выглядит странновато и не понятно, как заставить клиента подтверждать свой платеж, когда он уже совершен.
                                  И, например, что делать, если клиент откажется подтверждать совершенный платеж?
                                  У кого какие мысли?

                                  Комментарий


                                  • #77
                                    Сообщение от saches Посмотреть сообщение
                                    У кого какие мысли?
                                    Это лучше у ЦБ спрашивать, что они имели ввиду. Можно предположить, что хотели сделать типа RTS ЕЦБ по PSD2, но как-то хреновенько сделали.
                                    И вообще складывается впечатление, что 5-й пункт про сферического коня в вакууме и несерьёзный. Было бы реальные изменения, так дали бы время на внедрение, а так лишь бы что-то написать.

                                    Комментарий


                                    • #78
                                      ost
                                      Странно, что в запросе НСФР прямо не спросили. Или, типа и так понятно, что и как реализовывать?
                                      Последний раз редактировалось saches; 08.07.2019, 13:53.

                                      Комментарий


                                      • #79
                                        Сообщение от saches Посмотреть сообщение
                                        Странно, что в запросе НСФР прямо не спросили. Или, типа и так понятно, что и как реализовывать?
                                        Скорее, непонятно было чего спрашивать. Ну подтверждение и подтверждение. Одноразовый пароль или ввод пин-кода, вроде как подтверждение...
                                        И потом, сейчас есть свобода трактования, а ну как в ответе напишут какую-нить ересь, а ты потом исполняй.

                                        Комментарий


                                        • #80
                                          Сообщение от ost Посмотреть сообщение
                                          ...... Одноразовый пароль или ввод пин-кода, вроде как подтверждение....
                                          А мы об одном и том же говорим?
                                          Т.е. по факту уже совершенного платежа (т.е. деньги уже ушли, или даже, их уже кто-то получил), клиент должен еще раз ввести пин-код?
                                          А зачем ему это нужно? И что будет если он откажется его вводить?

                                          Комментарий


                                          • #81
                                            saches
                                            тоже размышляем над фразой про подтверждение совершенной банковской операции
                                            может, всё же имелось ввиду подтверждение в процессе совершения операции?
                                            если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...

                                            Комментарий


                                            • #82
                                              Сообщение от saches Посмотреть сообщение
                                              .е. по факту уже совершенного платежа (т.е. деньги уже ушли, или даже, их уже кто-то получил), клиент должен еще раз ввести пин-код?
                                              Я ж говорю, не берите в голову.
                                              Если этот документ буквально понимать, то надо было уже запретить все беспиновые операции по картам в POSах и все 3DS транзакции.

                                              Комментарий


                                              • #83
                                                Сообщение от Yuliana Посмотреть сообщение
                                                .....может, всё же имелось ввиду подтверждение в процессе совершения операции?
                                                если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...
                                                К сожалению, не знаю.
                                                Уведомление клиентов о списание, это ж вроде обязательное требование ЦБ, и, кроме того, с точки зрения несанционированных списаний полезная вещь.
                                                Понятен обзвон клиентов по факту срабатывания антифрода, но как реализовать получение подтверждения клиентов по всем операциям. Не обзванивать же их, ониж сами начнут"материться"....

                                                Комментарий


                                                • #84
                                                  Сообщение от Yuliana Посмотреть сообщение
                                                  если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...
                                                  Конечно нет - с учетом рисковой модели.

                                                  Комментарий


                                                  • #85
                                                    Сообщение от Yuliana Посмотреть сообщение
                                                    saches
                                                    тоже размышляем над фразой про подтверждение совершенной банковской операции
                                                    может, всё же имелось ввиду подтверждение в процессе совершения операции?
                                                    если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...
                                                    Все требования, установленные разделом 5, необходимо рассматривать в контексте этапов перевода денежных средств (в терминах 683-П - "технологических участков", п.5.2). Конкретно "подтверждение в процессе совершения операции" относится к технологическому участку "формирование (подготовка), передача и прием электронных сообщений". Так как сам перевод денежных средств осуществляется позднее, то не правильно привязывать сюда необходимость получать подтверждение клиента после того, как деньги были переведены. Соответственно, остаётся только подтверждение отправленного документа.
                                                    Но на самом деле это тоже бред. Никаких исключений не устанволено к этому требованию, а значит, формально, надо получать подтверждения у всех, даже у тех, кто подписывает электронной подписью и отправляет сотни платёжек.
                                                    Вложения

                                                    Комментарий


                                                    • #86
                                                      Коллеги, приветствую!
                                                      Такой вопросик, рисковики с юристами хотят конкретную ссылку на -
                                                      "перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов)."

                                                      Есть такая?

                                                      Комментарий


                                                      • #87
                                                        Сообщение от Berckut Посмотреть сообщение
                                                        Но на самом деле это тоже бред. Никаких исключений не установлено к этому требованию, а значит, формально, надо получать подтверждения у всех, даже у тех, кто подписывает электронной подписью и отправляет сотни платёжек.
                                                        +100500
                                                        Юрики будут просто счастливы. Кроме того, после вступления в силу 683-П оплата PayPass картой поездок в транспорте является неустранимым нарушением, в транспорте пин-падов нет и не будет, формально это надо запрещать, и количество щастья у физиков тоже прибавится.

                                                        Комментарий


                                                        • #88
                                                          Сообщение от saches Посмотреть сообщение
                                                          рисковики с юристами хотят конкретную ссылку
                                                          Задавал тот же вопрос неделю назад. Никто не ответил.

                                                          Комментарий


                                                          • #89
                                                            Сообщение от saches Посмотреть сообщение
                                                            рисковики с юристами хотят конкретную ссылку
                                                            Полагаю, что должен бы быть документ ЦБР типа Указания или еще какого нить письма, как они в последнее время практикуют, но ...
                                                            еще есть размышления о "типизации видов" в документах о противодействии переводов без согласия, но там уж слишком все далеко от традиционной медицины...

                                                            можно подсунуть рисковымюристам СТО БР ИББС-1.3-2016 (? согласованный с федеральным органом исполнительной власти?)

                                                            – инциденты ИБ, информация о которых получена от клиентов операторов по переводу денежных средств (далее – клиентов), в том числе инциденты ИБ (события ИБ), выявленные клиентами, классифицированные клиентами как потенциальные попытки несанкционированных переводов денежных средств от их имени;
                                                            – инциденты ИБ (события ИБ), выявленные организацией БС РФ, классифицированные организацией БС РФ как попытки реализации угроз ИБ или как приготовление к их реализации;
                                                            инциденты ИБ, информация о которых получена организацией БС РФ от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (далее – FinCert Банка России), а также иных организаций, например, операторов связи, провайдеров сети Интернет.

                                                            Комментарий


                                                            • #90
                                                              Сообщение от ost Посмотреть сообщение
                                                              Задавал тот же вопрос неделю назад. Никто не ответил.
                                                              В принципе, некая "информация о типах" используется при взаимодействии с ФинЦЕРТ, и перечисленна (не проверял все типы или нет) в Руководстве по работе с АСОИ http://cbr.ru/StaticHtml/File/14408/ASOI_docs.zip
                                                              Для уточнения звонил в ФинЦЕРТ, но там ничего существенного не добавили.
                                                              Ес-но, нигде нет упоминания на "согласование с федеральным органом", что собственно юристов, в частности, и не устраивает.

                                                              Сообщение от Павлоний Посмотреть сообщение
                                                              .....можно подсунуть рисковымюристам СТО БР ИББС-1.3-2016 (? согласованный с федеральным органом исполнительной власти?)........
                                                              Его и подсунул в первую очередь, но, честно говоря, данная типизация выглядит как-то не убедительно...
                                                              Есть еще некоторая типизация инцидентов в 4926-У и в СТО БР БФБО 1.5-2018 https://www.cbr.ru/Content/Document/...9/st-15-18.pdf
                                                              Последний раз редактировалось saches; 09.07.2019, 12:06.

                                                              Комментарий

                                                              Обработка...
                                                              X