22 октября, вторник 19:38
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Письмо Деп. информационной безопасности № 56-3-7/473 от 12/08/2019

    В соответствии с требованиями Положения Банка России от 17 апреля
    2019 года № 683-П «Положение об установлении обязательных для кредитных
    организаций требований к обеспечению защиты информации при
    осуществлении банковской деятельности в целях противодействия
    осуществлению переводов денежных средств без согласия клиента»
    кредитные организации обеспечивают реализацию мер защиты информации,
    определенных ГОСТ Р 57580.1-2017, а также предоставляют информацию об
    оценке выполнения требований к обеспечению защиты информации (далее –
    оценка соответствия), проводимой в соответствии с положениями ГОСТ Р
    57580.2-2018

    С учетом вышеизложенного направлять сведения о выполнении оценки
    соответствия организациями банковской сферы Российской Федерации в
    соответствии с требованиями стандарта Банка России СТО БР ИББС-1.2-2014
    «Обеспечение информационной безопасности организаций банковской
    системы Российской Федерации. Методика оценки соответствия
    информационной безопасности организаций банковской системы Российской
    Федерации требованиям СТО БР ИББС-1.0-2014» (далее – СТО БР ИББС-1.2-2014) не требуется.

    Проведение оценки соответствия в соответствии с требованиями СТО
    БР ИББС-1.2-2014 остается на усмотрение кредитной организации.

    Комментарий


    • Сообщение от ost Посмотреть сообщение
      Письмо Деп. информационной безопасности № 56-3-7/473 от 12/08/2019

      В соответствии с требованиями Положения Банка России от 17 апреля
      2019 года № 683-П «Положение об установлении обязательных для кредитных
      организаций требований к обеспечению защиты информации при
      осуществлении банковской деятельности в целях противодействия
      осуществлению переводов денежных средств без согласия клиента»
      кредитные организации обеспечивают реализацию мер защиты информации,
      определенных ГОСТ Р 57580.1-2017, а также предоставляют информацию об
      оценке выполнения требований к обеспечению защиты информации (далее –
      оценка соответствия), проводимой в соответствии с положениями ГОСТ Р
      57580.2-2018

      С учетом вышеизложенного направлять сведения о выполнении оценки
      соответствия организациями банковской сферы Российской Федерации в
      соответствии с требованиями стандарта Банка России СТО БР ИББС-1.2-2014
      «Обеспечение информационной безопасности организаций банковской
      системы Российской Федерации. Методика оценки соответствия
      информационной безопасности организаций банковской системы Российской
      Федерации требованиям СТО БР ИББС-1.0-2014» (далее – СТО БР ИББС-1.2-2014) не требуется.

      Проведение оценки соответствия в соответствии с требованиями СТО
      БР ИББС-1.2-2014 остается на усмотрение кредитной организации.
      Где оригинал?

      Комментарий


      • Сообщение от dnebyshe Посмотреть сообщение
        Где оригинал?
        В личном кабинете на портале 5

        Комментарий


        • А, все, мы тоже получили такое.

          Комментарий


          • Ждем отмены 382-П?

            Комментарий


            • Сообщение от dnebyshe Посмотреть сообщение
              Ждем отмены 382-П?
              Было бы логично.

              Комментарий


              • Сообщение от ost Посмотреть сообщение

                Было бы логично.
                Лукацкий говорил, что в концу 19 года будет новое 382-П, где все требования будут ссылаться на ГОСТ.
                Он вроде как в рабочей группе ЦБ по нормативке.

                Комментарий


                • Сообщение от dnebyshe Посмотреть сообщение
                  в концу 19 года будет новое 382-П
                  А смысл, если всех уже на ГОСТ перевели? И потом, не помню такого, чтобы было новое со старым номером, либо будет новое -П, либо поправки в старое каким-нибудь -У

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение

                    А смысл, если всех уже на ГОСТ перевели? И потом, не помню такого, чтобы было новое со старым номером, либо будет новое -П, либо поправки в старое каким-нибудь -У
                    теперь будут обозначать контур безопасности и уровень соответствия. сократят 382-П до размеров 683-П и в путь. будем по контурам аудиты проходить)

                    Комментарий


                    • Уже так и начал делать

                      672-П: Контур безопасности ПСБР, СБП

                      Контур безопасности биометрии

                      683-П: Контур безопасности ДБО


                      Комментарий


                      • dnebyshe

                        Для "Контур безопасности биометрии" на что опираетесь? Пока только одни рекомендации же?

                        Комментарий


                        • Сообщение от w3d Посмотреть сообщение
                          dnebyshe

                          Для "Контур безопасности биометрии" на что опираетесь? Пока только одни рекомендации же?
                          на ГОСТ. оценка же по нему будет.
                          ***Настроение бодрое, идем ко дну.

                          Комментарий


                          • Сообщение от w3d Посмотреть сообщение
                            dnebyshe

                            Для "Контур безопасности биометрии" на что опираетесь? Пока только одни рекомендации же?
                            Совершенно верно, на ГОСТ.
                            Но опираемся не мы, а Инфотекс. Они поставщики решения (типового) и они же аттестат выдают.

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение
                              Лукацкий говорил, что в концу 19 года будет новое 382-П, где все требования будут ссылаться на ГОСТ.
                              У многих банков до конца 2019 должна пройти очередная оценка по 382-П (теперь внешняя). Скрестить пальцы и не проводить?

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                до конца 2019 должна пройти очередная оценка по 382-П (теперь внешняя). Скрестить пальцы и не проводить?
                                Я бы не надеялся. Даже если буден новое -П на замену 382, не факт, что вступит в силу немедленно, а не с 21-го года.
                                Следует исходить из той логики, что внешняя оценка теперь навсегда, просто плавно перетечет с правил 382-П на правила ГОСТа.

                                Комментарий


                                • Коллеги, а не противоречит ли требование 382-П и 683-П?

                                  С 1 января 2020 если в нашем ДБО, распространяемым клиентам нет встроенной проверки на вирусы мы по 382-П должны обеспечить раздельные технологии подготовки платежных поручений и их отправки в банк. Т.е. Клиент в ДБО (WEB или мобильное приложение) готовит платежки, а попом подтверждает их на исполнение другим способом.
                                  Если у нас нет такое возможности, то мы должны внести в договор ДБО с клиентом возможность ограничение по параметра операций или дать клиенту возможность самим устанавливать такие ограничения.

                                  Согласно п.5.2.1 683-П от клиента необходимо получать подтверждение совершённой банковской операции.
                                  Это касается каждой операции.

                                  Т.е. 382-П дает нам право урегулировать вопрос подтверждения исполнения договором с клиентом, а 683-П требует подтверждения исполнения и без вариантов.


                                  Комментарий


                                  • Сообщение от dnebyshe Посмотреть сообщение
                                    Согласно п.5.2.1 683-П от клиента необходимо получать подтверждение совершённой банковской операции.
                                    Это касается каждой операции....
                                    А вообще, хоть кто-то понимает, как это можно реализовать, или что под этим подразумевается?


                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      А вообще, хоть кто-то понимает, как это можно реализовать, или что под этим подразумевается?
                                      Вчера методологи из ЦБ на этот вопрос не ответили.

                                      Комментарий


                                      • получение от клиента подтверждения совершенной банковской операции
                                        Тут еще и не сказано, где это подтверждение должно быть реализовано (в том же канале ДБО отдельным шагом, например, не запрещено).
                                        Другой вопрос - для чего это подтверждение задумано автором документа? Зачем подтверждать то, что уже совершено?
                                        В текущих системах банков подтвеждение делается именно до совершения банковской операции (что логично). Какой толк махать шашкой-то после драки?

                                        Комментарий


                                        • Сообщение от Александр Четвертый Посмотреть сообщение
                                          Какой толк махать шашкой-то после драки?
                                          Давайте дождёмся ответов ЦБ.
                                          Они должны быть либо в ответе на письмо Алексея Лукацкого, либо подготовят специальные разъяснения.
                                          Лукацкий говорил, что у него получилось 60 вопросов...

                                          Комментарий


                                          • Сообщение от ost Посмотреть сообщение
                                            Давайте дождёмся ответов ЦБ.....
                                            В ЛК на сайте НАУФОР, если зарегаться, становятся доступны ответы ЦБ на вопросы по 684-П, многие из которых пересекаются с 683-П. В частности, есть там и такое-
                                            Относительно требования «получение от клиента подтверждения совершенной финансовой операции»:

                                            технология обработки защищаемой информации, применяемая на технологическом участке удостоверения права клиентов распоряжаться денежными средствами, включает два раздельных этапа: подписание клиентом электронных сообщений способом, указанным в подпункте 11.3 Положения № 684-П, и получение от клиента подтверждения совершенной банковской операции. Применение усиленной неквалифицированной электронной подписи в системе дистанционного банковского обслуживания юридических лиц относится к первому из указанных этапов. Для осуществления второго этапа требуется дополнительное подтверждение клиентом совершенной им операции..
                                            Последний раз редактировалось saches; 27.09.2019, 10:59.

                                            Комментарий


                                            • Добавляем в то же УБО окошечко "windows-стайл" - "Вы точно хотите совершить операцию на сумму.. Подтверждаете?". Профит.

                                              Комментарий


                                              • Однако формально клиент должен подтвердить ПОСЛЕ операции

                                                Комментарий


                                                • Сообщение от w3d Посмотреть сообщение
                                                  Однако формально клиент должен подтвердить ПОСЛЕ операции
                                                  После совершения операции КЛИЕНТОМ. Т.е. создал, подписал и отправил документа а банк. И теперь для клиента это ПОСЛЕ. (в банке документ еще не исполнен)
                                                  Банк высылает клиенту СМС с суммой платежа и одноразовым паролем, и клиент его вводит в форму в ДБО "Подтвердите совершения операции одноразовым паролем"

                                                  Комментарий


                                                  • Сообщение от dnebyshe Посмотреть сообщение
                                                    После совершения операции КЛИЕНТОМ. Т.е. создал, подписал и отправил документа а банк. И теперь для клиента это ПОСЛЕ. (в банке документ еще не исполнен) Банк высылает клиенту СМС с суммой платежа и одноразовым паролем, и клиент его вводит в форму в ДБО "Подтвердите совершения операции одноразовым паролем"
                                                    Т.е.:
                                                    1. чем-то подписал.;
                                                    2. еще подтвердил смс-кой.

                                                    А подписал-то чем?

                                                    Комментарий


                                                    • Сообщение от dnebyshe Посмотреть сообщение
                                                      в банке документ еще не исполнен
                                                      а в положении написано что уже исполнен - "совершенной банковской операции"

                                                      Комментарий


                                                      • Сообщение от Александр Четвертый Посмотреть сообщение

                                                        а в положении написано что уже исполнен - "совершенной банковской операции"
                                                        Ну так слово "Совершенной" относительно клиента и относительно банка имеет разное значение.
                                                        Клиент создал, подписал и отправил документ. Для него операция совершена.
                                                        Банк этот документ может принять к исполнения, а может и отвергнуть.
                                                        Если отвергает, у клиента совершенная операция сторнируется.

                                                        Комментарий


                                                        • Ну так можно сказать что словосочетание "банковской операции" относится именно к проведению операции банком!

                                                          Комментарий


                                                          • Именно - "совершенная банковская операция" и "операция по созданию клиентом документа-основания для такой операции" это не одно и то же.

                                                            Комментарий


                                                            • Сообщение от w3d Посмотреть сообщение
                                                              Ну так можно сказать что словосочетание "банковской операции" относится именно к проведению операции банком!
                                                              Не факт, для клиента это тоже подходит.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X