9 апреля, четверг 07:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Estekhin
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Вот как раз в связи с этим проектом они и напряглись
    Странная логика у рисковиков: готовятся к появлению нового документа - Положения Банка России (пока Проект) “О требованиях к системе управления операционным риском…", в котором есть отсылки* к ГОСТ 57580.1-2017, а Приложение В к ГОСТ 57580.1-2017, в котором содержится Перечень событий (с нумерацией!), рекомендуемых для выявления и анализа, в упор не видят.
    * например, п.7.1 Банк, в соответствии с ГОСТ 57580.1-2017, Указом Президента РФ от 05 декабря 2016 года “Об утверждении Доктрины ИБ РФ”, определяет порядок управления риском недостатков процессов обеспечения информационной безопасности

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от iPtich Посмотреть сообщение
    ..... про СТО БР БФБО 1.5-2018 говорили, что форматы согласовывались с ФСБ, чтобы через АСОИ можно было направлять сообщение в Госсопку....
    По результатам общения с коллегами в телеге, возникло аналогичное предположение, что форматы могли согласовывать с Госсопкой. Но подтверждений нет.

    Прокомментировать:


  • iPtich
    Участник ответил
    у меня стойкое ощущение, что про СТО БР БФБО 1.5-2018 говорили, что форматы согласовывались с ФСБ, чтобы через АСОИ можно было направлять сообщение в Госсопку.
    но, к сожалению, никаких письменных подтверждений не нахожу(
    может быть я что-то путаю

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Павлоний Посмотреть сообщение
    можно еще направить всех к Приложению 2 к ПРОЕКТУ Положения Банка России
    Вот как раз в связи с этим проектом они и напряглись.

    Прокомментировать:


  • Павлоний
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Но им-то нужен именно ЦБшный документ
    можно еще направить всех к Приложению 2 к ПРОЕКТУ Положения Банка России
    «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

    интересный документ ... но пока в перспективе )

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Павлоний Посмотреть сообщение
    туда можно послать рисковика
    Послать-то его можно
    Но им-то нужен именно ЦБшный документ "перечень типов инцидентов", для типизации, они привыкли работать с табличкой где все риски пронумерованы, типа 2.6.1, 2.3.4.

    Прокомментировать:


  • Павлоний
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Задавал тот же вопрос неделю назад
    Еще в ГОСТ Р новом есть "Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа"

    туда можно послать рисковика

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Задавал тот же вопрос неделю назад. Никто не ответил.
    В принципе, некая "информация о типах" используется при взаимодействии с ФинЦЕРТ, и перечисленна (не проверял все типы или нет) в Руководстве по работе с АСОИ http://cbr.ru/StaticHtml/File/14408/ASOI_docs.zip
    Для уточнения звонил в ФинЦЕРТ, но там ничего существенного не добавили.
    Ес-но, нигде нет упоминания на "согласование с федеральным органом", что собственно юристов, в частности, и не устраивает.

    Сообщение от Павлоний Посмотреть сообщение
    .....можно подсунуть рисковымюристам СТО БР ИББС-1.3-2016 (? согласованный с федеральным органом исполнительной власти?)........
    Его и подсунул в первую очередь, но, честно говоря, данная типизация выглядит как-то не убедительно...
    Есть еще некоторая типизация инцидентов в 4926-У и в СТО БР БФБО 1.5-2018 https://www.cbr.ru/Content/Document/...9/st-15-18.pdf
    Последний раз редактировалось saches; 09.07.2019, 12:06.

    Прокомментировать:


  • Павлоний
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    рисковики с юристами хотят конкретную ссылку
    Полагаю, что должен бы быть документ ЦБР типа Указания или еще какого нить письма, как они в последнее время практикуют, но ...
    еще есть размышления о "типизации видов" в документах о противодействии переводов без согласия, но там уж слишком все далеко от традиционной медицины...

    можно подсунуть рисковымюристам СТО БР ИББС-1.3-2016 (? согласованный с федеральным органом исполнительной власти?)

    – инциденты ИБ, информация о которых получена от клиентов операторов по переводу денежных средств (далее – клиентов), в том числе инциденты ИБ (события ИБ), выявленные клиентами, классифицированные клиентами как потенциальные попытки несанкционированных переводов денежных средств от их имени;
    – инциденты ИБ (события ИБ), выявленные организацией БС РФ, классифицированные организацией БС РФ как попытки реализации угроз ИБ или как приготовление к их реализации;
    инциденты ИБ, информация о которых получена организацией БС РФ от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (далее – FinCert Банка России), а также иных организаций, например, операторов связи, провайдеров сети Интернет.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    рисковики с юристами хотят конкретную ссылку
    Задавал тот же вопрос неделю назад. Никто не ответил.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    Но на самом деле это тоже бред. Никаких исключений не установлено к этому требованию, а значит, формально, надо получать подтверждения у всех, даже у тех, кто подписывает электронной подписью и отправляет сотни платёжек.
    +100500
    Юрики будут просто счастливы. Кроме того, после вступления в силу 683-П оплата PayPass картой поездок в транспорте является неустранимым нарушением, в транспорте пин-падов нет и не будет, формально это надо запрещать, и количество щастья у физиков тоже прибавится.

    Прокомментировать:


  • saches
    Участник ответил
    Коллеги, приветствую!
    Такой вопросик, рисковики с юристами хотят конкретную ссылку на -
    "перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов)."

    Есть такая?

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от Yuliana Посмотреть сообщение
    saches
    тоже размышляем над фразой про подтверждение совершенной банковской операции
    может, всё же имелось ввиду подтверждение в процессе совершения операции?
    если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...
    Все требования, установленные разделом 5, необходимо рассматривать в контексте этапов перевода денежных средств (в терминах 683-П - "технологических участков", п.5.2). Конкретно "подтверждение в процессе совершения операции" относится к технологическому участку "формирование (подготовка), передача и прием электронных сообщений". Так как сам перевод денежных средств осуществляется позднее, то не правильно привязывать сюда необходимость получать подтверждение клиента после того, как деньги были переведены. Соответственно, остаётся только подтверждение отправленного документа.
    Но на самом деле это тоже бред. Никаких исключений не устанволено к этому требованию, а значит, формально, надо получать подтверждения у всех, даже у тех, кто подписывает электронной подписью и отправляет сотни платёжек.
    Вложения

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от Yuliana Посмотреть сообщение
    если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...
    Конечно нет - с учетом рисковой модели.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Yuliana Посмотреть сообщение
    .....может, всё же имелось ввиду подтверждение в процессе совершения операции?
    если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...
    К сожалению, не знаю.
    Уведомление клиентов о списание, это ж вроде обязательное требование ЦБ, и, кроме того, с точки зрения несанционированных списаний полезная вещь.
    Понятен обзвон клиентов по факту срабатывания антифрода, но как реализовать получение подтверждения клиентов по всем операциям. Не обзванивать же их, ониж сами начнут"материться"....

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    .е. по факту уже совершенного платежа (т.е. деньги уже ушли, или даже, их уже кто-то получил), клиент должен еще раз ввести пин-код?
    Я ж говорю, не берите в голову.
    Если этот документ буквально понимать, то надо было уже запретить все беспиновые операции по картам в POSах и все 3DS транзакции.

    Прокомментировать:


  • Yuliana
    Участник ответил
    saches
    тоже размышляем над фразой про подтверждение совершенной банковской операции
    может, всё же имелось ввиду подтверждение в процессе совершения операции?
    если так, тоже вопрос - у вас все платежные поручения без исключения подтверждаются? кодами в sms дорого очень...

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    ...... Одноразовый пароль или ввод пин-кода, вроде как подтверждение....
    А мы об одном и том же говорим?
    Т.е. по факту уже совершенного платежа (т.е. деньги уже ушли, или даже, их уже кто-то получил), клиент должен еще раз ввести пин-код?
    А зачем ему это нужно? И что будет если он откажется его вводить?

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Странно, что в запросе НСФР прямо не спросили. Или, типа и так понятно, что и как реализовывать?
    Скорее, непонятно было чего спрашивать. Ну подтверждение и подтверждение. Одноразовый пароль или ввод пин-кода, вроде как подтверждение...
    И потом, сейчас есть свобода трактования, а ну как в ответе напишут какую-нить ересь, а ты потом исполняй.

    Прокомментировать:


  • saches
    Участник ответил
    ost
    Странно, что в запросе НСФР прямо не спросили. Или, типа и так понятно, что и как реализовывать?
    Последний раз редактировалось saches; 08.07.2019, 13:53.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    У кого какие мысли?
    Это лучше у ЦБ спрашивать, что они имели ввиду. Можно предположить, что хотели сделать типа RTS ЕЦБ по PSD2, но как-то хреновенько сделали.
    И вообще складывается впечатление, что 5-й пункт про сферического коня в вакууме и несерьёзный. Было бы реальные изменения, так дали бы время на внедрение, а так лишь бы что-то написать.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Ответ ЦБ на запрос НСФР по 683-П все уже читали?
    Возможно торможу, но так и не договорились у себя, что понимать под "получение от клиента подтверждения совершенной банковской операции." о котором идет речь в 10-ом абзаце, п.5.2.1., 683-П.
    Требование выглядит странновато и не понятно, как заставить клиента подтверждать свой платеж, когда он уже совершен.
    И, например, что делать, если клиент откажется подтверждать совершенный платеж?
    У кого какие мысли?

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Ответ ЦБ на запрос НСФР по 683-П все уже читали?
    Ага - "делайте как хотите, как вариант вот так" (я про целостность сообщений). Хотя бы радует, что не настаивают на использовании усиленной ЭП.
    Применение рандомных кодов подтверждения, не связанных с реквизитами сообщений каким-то алгоритмом, видимо, будет восприниматься ЦБ в штыки.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    Где?
    НСФР вчера разослал участникам. Если вы в НСФР, ищите в банке, кто получает рассылки.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Ответ ЦБ на запрос НСФР по 683-П все уже читали?
    Где?

    Прокомментировать:


  • ost
    Участник ответил
    Ответ ЦБ на запрос НСФР по 683-П все уже читали?

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от iPtich Посмотреть сообщение
    если я правильно понимаю, то под перечнем типов инцидентов имеется в виду СТО БР БФБО-1.5-2018
    Стандарт он о форматах обмена, и потом он же не согласован с "федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности", а в 683-П написано, что должен быть согласован:

    перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    В финансовой организации формируются один или несколько контуров безопасности, для кото·рых может быть установлен разный уровень защиты информации.
    Допустим, банк делает 2 контура. Теперь во всех документах делать оговорки для какого контура описана эта мера?

    6.10.1 Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ ..

    • 0 — не выбрана (при отсутствии у проверяемой организации свидетельств выбора);
    • 1 — выбрана (при предъявлении проверяемой организацией свидетельств выбора).
    Я правильно понимаю, что подход в ГОСТе такой же как в 382-П - если не задокументирована мера ("нет свидетельств"), то будет плохая оценка (0 или сильно занижена - у меня пока какая-то плохая версия ГОСТа по оценке, "с интернетов" и формулы там не разобрать толком)?

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Estekhin Посмотреть сообщение
    Хранить - не означает не отсылать (отослал и хранишь). Если по СТО БР банки слали в ЦБ отчет об аудите, значит и по ГОСТ Р 57580.1 будут отсылать (тем более, что отправка отчета "будет установлена нормативным актом Банка России")
    КМК, если появится тот самый нормативный документ, в котором будет сказано, что отчет нужно отправлять, тогда и возникнет необходимость в его отправке. А пока об этом речи нигде нет. Хотя, конечно, дело хозяйское....

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от iPtich Посмотреть сообщение
    если я правильно понимаю, то под перечнем типов инцидентов имеется в виду СТО БР БФБО-1.5-2018
    Думаю, что не правильно.
    ЦБ не вправе выдавать рекомендательный документ за обязательный.

    Прокомментировать:

Обработка...
X