2 апреля, четверг 22:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Сообщение от ost Посмотреть сообщение
    Задавал тот же вопрос неделю назад
    Еще в ГОСТ Р новом есть "Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа"

    туда можно послать рисковика

    Комментарий


    • #92
      Сообщение от Павлоний Посмотреть сообщение
      туда можно послать рисковика
      Послать-то его можно
      Но им-то нужен именно ЦБшный документ "перечень типов инцидентов", для типизации, они привыкли работать с табличкой где все риски пронумерованы, типа 2.6.1, 2.3.4.

      Комментарий


      • #93
        Сообщение от ost Посмотреть сообщение
        Но им-то нужен именно ЦБшный документ
        можно еще направить всех к Приложению 2 к ПРОЕКТУ Положения Банка России
        «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

        интересный документ ... но пока в перспективе )

        Комментарий


        • #94
          Сообщение от Павлоний Посмотреть сообщение
          можно еще направить всех к Приложению 2 к ПРОЕКТУ Положения Банка России
          Вот как раз в связи с этим проектом они и напряглись.

          Комментарий


          • #95
            у меня стойкое ощущение, что про СТО БР БФБО 1.5-2018 говорили, что форматы согласовывались с ФСБ, чтобы через АСОИ можно было направлять сообщение в Госсопку.
            но, к сожалению, никаких письменных подтверждений не нахожу(
            может быть я что-то путаю
            ***Настроение бодрое, идем ко дну.

            Комментарий


            • #96
              Сообщение от iPtich Посмотреть сообщение
              ..... про СТО БР БФБО 1.5-2018 говорили, что форматы согласовывались с ФСБ, чтобы через АСОИ можно было направлять сообщение в Госсопку....
              По результатам общения с коллегами в телеге, возникло аналогичное предположение, что форматы могли согласовывать с Госсопкой. Но подтверждений нет.

              Комментарий


              • #97
                Сообщение от ost Посмотреть сообщение
                Вот как раз в связи с этим проектом они и напряглись
                Странная логика у рисковиков: готовятся к появлению нового документа - Положения Банка России (пока Проект) “О требованиях к системе управления операционным риском…", в котором есть отсылки* к ГОСТ 57580.1-2017, а Приложение В к ГОСТ 57580.1-2017, в котором содержится Перечень событий (с нумерацией!), рекомендуемых для выявления и анализа, в упор не видят.
                * например, п.7.1 Банк, в соответствии с ГОСТ 57580.1-2017, Указом Президента РФ от 05 декабря 2016 года “Об утверждении Доктрины ИБ РФ”, определяет порядок управления риском недостатков процессов обеспечения информационной безопасности

                Комментарий


                • #98
                  Сообщение от Estekhin Посмотреть сообщение
                  Странная логика у рисковиков: готовятся к появлению нового документа - Положения Банка России (пока Проект) “О требованиях к системе управления операционным риском…", в котором есть отсылки* к ГОСТ 57580.1-2017, а Приложение В к ГОСТ 57580.1-2017, в котором содержится Перечень событий (с нумерацией!), рекомендуемых для выявления и анализа, в упор не видят.
                  Написано "перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов)". Вполне чётко написано, что это не какая-то табличка из ГОСТ (который к слову даже на сайте ЦБ не публикуется, а покупается за отдельные деньги в Росстандарте) или СТОБР (который, как в нём же и написано, определяет форму и сроки взаимодействия), а вполне себе отдельный документ -- перечень.

                  А эдак уже две версии на просторах инета гуляют, там смотри, отсюда выковыривай...

                  Комментарий


                  • #99
                    Сообщение от ost Посмотреть сообщение

                    а вполне себе отдельный документ -- перечень.

                    .
                    по идее, да.

                    и ГОСТ уже не покупается. на него ссылки есть в документах для обязательного исполнения, он уже должен быть в свободном доступе
                    ***Настроение бодрое, идем ко дну.

                    Комментарий


                    • Сообщение от iPtich Посмотреть сообщение
                      и ГОСТ уже не покупается. на него ссылки есть в документах для обязательного исполнения, он уже должен быть в свободном доступе
                      Уже в Консультанте есть, возможно зависит от подписки.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Уже в Консультанте есть, возможно зависит от подписки.
                        Т.е. всё равно надо заплатить, только Консультанту.
                        А перечень должен висеть на сайте ЦБ.

                        И кстати, в самом стандарте есть дисклаймер:
                        Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и рас-
                        пространен в качестве официального издания без разрешения Федерального агентства по техническо-
                        му регулированию и метрологии

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Уже в Консультанте есть
                          В Гарант-е тоже есть.

                          Комментарий


                          • https://www.securitylab.ru/news/499947.php
                            НЕМЕЦКИЕ БАНКИ ОТКАЗАЛИСЬ ОТ ПОДДЕРЖКИ АВТОРИЗАЦИИ ПО ОДНОРАЗОВОМУ SMS-КОДУ

                            Из-за нового законодательства Европейского Союза одноразовые способы SMS-аутентификации останутся в прошлом.
                            Нас это тоже скоро накроет.

                            Комментарий


                            • Может кому пригодится. Делал тут заключение по одной из проблем 683-П.

                              По вопросу о реализации ДБО на базе логинов и паролей с учётом требований Положения Банка России от 17.04.2019 №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» сообщаю следующее:
                              После вступления в силу 683-П у всех банков, обслуживающих клиентов с использованием логинов/паролей и одноразовых кодов подтверждений, направляемых через SMS, возникла проблема соответствия требованиям, установленным пунктом 5.1. Согласно новым требованиям, кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
                              Существуют 3 вида электронных подписей (это определено Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи»):
                              • Простая электронная подпись – пароли, коды и т.п. Обычно – это SMS-сообщения с кодами подтверждения. Этот вид подписи обычно используется для предоставления услуг ДБО физическим лицам. Она несёт повышенные риски совершения мошеннических операций от имени клиентов, но зато проста в использовании и не требует от клиента дополнительных навыков или программного обеспечения для работы. Не может обеспечить целостности передаваемого электронного сообщения (гарантию того, что в процессе передачи в сообщение не было внесено изменений).
                              • Усиленная электронная подпись – классическая электронная подпись, которая получается в результате криптографических преобразований. Используется нами при предоставлении юридическим лицам услуг ДБО. Гарантирует и авторство документа, и его целостность (неизменность).
                              • Усиленная квалифицированная подпись – та же усиленная подпись, только сертификаты ключей для которой выданы в удостоверяющем центре, аккредитованном государством. Помимо прочего, может применяться для обмена документами с государственными органами, например, на портале Госуслуг.

                              Проблема выполнения требований, установленных п.5.1 683-П, заключается в обеспечении целостности (технологии, которая позволяет гарантировать, что в документ не вносились изменения). Она может быть обеспечена только при условии использования полноценной электронной подписи (усиленной электронной подписи). Одноразовые коды подтверждения, которые передаются по SMS, или логины/пароли, которые позволяют идентифицировать вошедшего в личный кабинет, это простая электронная подпись и гарантировать неизменность данных в передаваемом электронном документе она не может. Единого мнения, как осуществлять дальнейшую работу с использованием паролей и кодов, до сих пор нет.
                              Национальный совет финансового рынка направил в Банк России подобный запрос. Согласно ответу Департамента информационной безопасности Банка России простая электронная подпись (логины/пароли, одноразовые коды подтверждения) может быть использована для подписания электронных сообщений, но кредитные организации обязаны принять меры, чтобы обеспечить целостность таких сообщений. Каким образом обеспечить целостность, если сама технология паролей или одноразовых кодов не предоставляет такой возможности, ответа нет. По сути, Банк России ушёл от прямого ответа, отказался и признать, что простая электронная подпись не может быть использована для подписи электронных сообщений, и разъяснить, при каких условиях использование паролей и одноразовых кодов будет являться не противоречащим требованиям.
                              Для выхода из сложившейся ситуации я могу предложить попытаться использовать следующую конструкцию. Клиент подготавливает платёжный документ на веб-сайте в системе Интернет-банкинг или в платёжном приложении на телефоне. Сформированный документ обрабатывается сервисом (в нашем случае это Сервис FAKTURA.RU), после чего клиент получает SMS о том, что им сформирован платёжный документ и код подтверждения. В свою очередь в SMS-сообщении должны быть указаны ключевые данные (сумма, получатель). Введя код подтверждения на сайте, клиент заверяет целостность сформированного сообщения. Само собой это должно быть прописано в договоре между банком и клиентом. Но в данном случае необходимо учитывать, что формально это будет всё таки не обеспечение целостности самого сообщения (платёжного документа), а его подтверждение.
                              Также считаю необходимым обратить внимание ещё на одно требование. Согласно п.5.2.1 683-П от клиента необходимо получать подтверждение совершённой банковской операции.
                              Во-первых, это касается каждой операции. Если раньше мы обязаны были получать подтверждение только в отношении операций, имеющих признаки мошеннических, то в данном случае такое исключение отсутствует. На это же обращают внимание и в ответе Департамента информационно безопасности:
                              «Положение абзаца восьмого подпункта 5.2.1 пункта 5 Положения 683-П распространяется на все банковские операции, не только на операции, соответствующие признакам осуществления переводов денежных средств без согласия клиента».
                              То есть получается, что независимо от того, как мы будем обслуживать клиентов, с использованием электронной подписи на криптографических ключах или паролей и sms-кодов подтверждения, мы обязаны получить подтверждение от клиента о совершённой банковской операции.
                              Во-вторых, вызывает сомнение сама формулировка требования. В чём смысл получать подтверждение совершённой операции, ведь она уже совершена? Возможно, стоит иначе интерпретировать само 683-П. Все требования, установленные разделом 5, необходимо рассматривать в контексте этапов перевода денежных средств (в терминах 683-П - "технологических участков", п.5.2):


                              Конкретно "подтверждение совершённой операции" относится к технологическому участку "Удостоверение права клиента распоряжаться денежными средствами". Так как сам перевод денежных средств осуществляется позднее, то не правильно привязывать сюда необходимость получать подтверждение клиента после того, как деньги были переведены. Соответственно, остаётся только подтверждение отправленного документа, несмотря на то, что это не соотносится с понятием банковской операции.
                              Никаких исключений для данного требования не установлено, а значит, формально, надо получать подтверждения у всех, даже у тех, кто подписывает электронной подписью и отправляет сотни платёжек в день. Разъяснения в отношении того, как работать в таких условия, так же как и по вопросу об обеспечения целостности при использовании паролей и кодов, отсутствуют.

                              Комментарий


                              • Сообщение от Berckut Посмотреть сообщение
                                Клиент подготавливает платёжный документ на веб-сайте в системе Интернет-банкинг или в платёжном приложении на телефоне.
                                Это у вас простой сценарий. Учитывая, что в настоящее время основная масса платежей карточные, предлагаю рассмотреть сценарий, в котором клиент делает покупку в Гугуле, на AMAZON или где-нибудь в Y.M*oneamour gibraltar на их сайте. При этом надо ответить на вопросы:
                                - является ли авторизационный запрос сообщением о переводе д/с?
                                - кто формирует авторизационный запрос и сообщение о переводе д/с (клиент, третья компания или банк эквайер этой компании)?
                                - имеется ли у клиента хотя бы теоретическая возможность подписать авторизационный запрос и сообщение о переводе д/с способом, обеспечивающим ...?

                                На мой взгляд, единственное, что в этом сценарии клиент теоретически может подписать так это сообщение, подтверждающее транзакцию, и это в случае подтверждения её по 3DS, а то ведь может и без подтверждения пролететь если сумма маленькая. И тут возникает ещё один вопрос, а является ли "подтверждение совершённой операции" сообщением о переводе д/с? И наконец, собственно расчёты по картам происходят через два-три дня после совершения клиентом покупки на сайте (а иногда и через месяц), нам следует в момент расчётов у клиента запросить подтверждение или как? А можно ли клиенту показать транзакцию в выписке и если он её не опротестовал, то считать транзакцию подтвержденной?

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение
                                  Это у вас простой сценарий
                                  Коллеги, а не слишком ли много сложностей закручено в один абзац.
                                  Правила и порядок подтверждения определены Правилами ПС, Договором или порядком .... с клиентом и, КМК, смысл в получении банком любого подтверждения от клиента с помощью удовлетворяющего стороны способа...
                                  У ЦБ задача перевести всех на крипту, как способ, имеющий наибольшие перспективы в суде... отсюда и целостность и прочие хотелки...имхо.

                                  Комментарий


                                  • Сообщение от Павлоний Посмотреть сообщение
                                    У ЦБ задача перевести всех на крипту, как способ, имеющий наибольшие перспективы в суде
                                    Судя по ответу в НСФР, задачи перевести всех на "крипту" нет.
                                    Ну а уж до "перспективы в суде" ЦБ вообще дела нет, судам вся "крипта" побоку, они не знают, что это такое, да и знать не хотят.

                                    Комментарий


                                    • Сообщение от ost Посмотреть сообщение

                                      Судя по ответу в НСФР, задачи перевести всех на "крипту" нет.
                                      Ну а уж до "перспективы в суде" ЦБ вообще дела нет, судам вся "крипта" побоку, они не знают, что это такое, да и знать не хотят.

                                      Не соглашусь: для суда цифровая подпись уже практически такой же аргумент, как и живая и есть прецеденты дел, когда электронную подпись пытались оспорить и терпели неудачу. В русле того, что сейчас у нас в стране документооборот всеми силами переводится с бумаги на электронный формат, перевод всех банковских клиентов на крипту, возможно, дело совсем скорого будущего. Надо быть к этому готовыми я считаю.

                                      Комментарий


                                      • Сообщение от anastaciasemohina Посмотреть сообщение
                                        для суда цифровая подпись уже практически такой же аргумент, как и живая и есть прецеденты дел, когда электронную подпись пытались оспорить и терпели неудачу
                                        Ага. Вспомните недавний кейс, когда квартиру перерегистрировали по электронной подписи.
                                        Суд рассматривает вопрос комплексно и часто защищает слабую сторону, так что электронная подпись тут банку не поможет.

                                        Комментарий


                                        • Сообщение от anastaciasemohina Посмотреть сообщение
                                          В русле того, что сейчас у нас в стране документооборот всеми силами переводится с бумаги на электронный формат, перевод всех банковских клиентов на крипту, возможно, дело совсем скорого будущего.
                                          Документооборот между банком/ПС и клиентом давно электронный. И там усиленная подпись никогда реально не ценилась - ни физическими лицами, ни юридическими, преимущества усиленной электронной подписи реально клиенту побоку. Потому что клиенты выбирают банк уже исходя из какого-то доверия к нему, и прецедентов разборок именно по непризнанию электронной подписи между банком и клиентом не много. Вы реально вот как клиент какого-то банка моделируете угрозы в стиле "банк подделает за меня платежку и я останусь ни с чем" и считаете ее актуальной? И на этом предположении у Вас все счета в банках с банк-клиентами на усиленной электронной подписи? Вы же понимаете, что усиленная подпись не защищает клиента от внешних мошенников - это защита от угрозы когда именно банк является мошенником.

                                          У нас клиенты сами выбирают вид подписи и по опыту знаю, что усиленную подпись ценит только 1% параноиков, которым не лень мудохаться с настройкой СКЗИ и ПО для этого. За десятки лет ни одного случая оспаривания подписи (именно с претензией, что банк подделал платежный документ за клиента).

                                          Комментарий


                                          • Сообщение от Александр Четвертый Посмотреть сообщение
                                            ......За десятки лет ни одного случая оспаривания подписи (именно с претензией, что банк подделал платежный документ за клиента).
                                            Юрики, хорошо, что хоть не все, имеют обыкновение подавать на банк в суд по факту несанкционированного списания, которые случаются с определенной регулярностью (в следствиие их раздолбайства), где фактически, речь начинает идти именно о факте признания ЭП и обязательства банка исполнить платеж, полученный в виде ЭС, подписанного аналогом собственноручной подписи.

                                            Комментарий


                                            • Коллеги,
                                              мне тут недавно втирали, что те банки, у которых есть свой депозитарий и которые ведут операции на рынке ценных бумаг, вроде как, так же попадают и под 684-П?
                                              кто-нибудь, что-нибудь слышал подобное?

                                              Комментарий


                                              • saches, чем дополнительно грозит банку 684, если он уже под 683?

                                                Комментарий


                                                • Сообщение от ost Посмотреть сообщение
                                                  saches, чем дополнительно грозит банку 684, если он уже под 683?
                                                  На сколько я понимаю, 683-П распространяется на объекты для совершения банковских операций, связанных с переводом денежных средств. Т.е. формально инфраструктура для депозитарной деятельности к 683-П не относится.

                                                  Комментарий


                                                  • Коллеги,
                                                    прошу извинить за занудство, но всё же, кто-то уже слышал (может письма получал), что 684-П распространяется не только на некредитные организации, но и на банки?
                                                    Т.е. вопрос не по содержательной части 684-П.

                                                    Комментарий


                                                    • Сообщение от Александр Четвертый Посмотреть сообщение
                                                      683-П распространяется на
                                                      А 684-П на некредитные финансовые организации, к которым кредитные организации вроде как не относятся. А вообще-то я хз, это лучше у юристов спрашивать.

                                                      Сообщение от Александр Четвертый Посмотреть сообщение
                                                      совершения банковских операций, связанных с переводом денежных средств
                                                      Трудно сказать, какую траву курят разработчики документов и почему они решили, что операции на финансовых рынках не совершаются кредитными организациями.
                                                      Вероятно была цель загнать всех под ГОСТ и сертифицированное ПО.

                                                      Комментарий


                                                      • Сообщение от Александр Четвертый Посмотреть сообщение
                                                        инфраструктура для депозитарной деятельности
                                                        Я туплю, но разве депозитарная деятельность относится к финансовым операциям? Это же просто нечто типа бухучёта, что-то переписали с одного счёта на другой, сделки же депозитарий не совершает.

                                                        Комментарий


                                                        • Сообщение от ost Посмотреть сообщение
                                                          ....Вероятно была цель загнать всех под ГОСТ и сертифицированное ПО.
                                                          В целом, допускаю, что первоначально была идея выпустить 2 отдельных документов для КО и прочих фиников, что и было сделано.
                                                          Но потом, у кого-то, где-то, что-то вдруг кольнуло....

                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение
                                                            разве депозитарная деятельность относится к финансовым операциям? Это же просто нечто типа бухучёта
                                                            Ой не знаю, особо не вникал в это. Странно еще что микрокредитные компании не попали ни туда, ни сюда.

                                                            Комментарий


                                                            • Вау! СТО БР фсё!

                                                              Комментарий

                                                              Обработка...
                                                              X