11 июля, суббота 17:34
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Gallen
    Участник создал тему Положение 683-П Привет, ГОСТ!

    Положение 683-П Привет, ГОСТ!

    http://cbr.ru/Queries/UniDbQuery/File/50883/812
    Привет ГОСТу и прочие прелести.

  • dnebyshe
    Участник ответил
    683-П распространяется на процессинг на аутсорсинге? (ЦФТ)
    Или тут только ДБО в чистом виде?

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Благодаря этой версии мы отбились от РКН и ФАС.
    Это была защитная версия, но в общем случае ИМХО иметь e-mail клиентов необходимо.
    Тот же ФинЦЕРТ использует мыло как резервный канал для взаимодействия. Бывают конечно банки, которые физлицам услуги не оказывают ....
    Поэтому, думаю, что ваш случай обезмыливания) скорее один из уникальных.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Вы гордитесь таким поступком? С точки зрения получателей это же плохо.
    Не горжусь конечно, но выкрутились и от штрафа отбились.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Вы гордитесь таким поступком? С точки зрения получателей это же плохо.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    Но где то же ваш работник взял адреса e-mail ...
    Принес с собою из личной записной книжки.
    И ни с кем не согласовал.
    Благодаря этой версии мы отбились от РКН и ФАС.

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Я, но это была черная рассылка, а не контакты.
    Но где то же ваш работник взял адреса e-mail ...
    Видимо все таки клиенты их ему дали?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    Это не Вы рассказывали историю про почтовую рассылку, которую не одобрил РКН?)
    Я, но это была черная рассылка, а не контакты.

    Прокомментировать:


  • idelta
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    Это не Вы рассказывали историю про почтовую рассылку
    Это не он. То был ndebyshe. Или м.б. и он...
    Используем почту вовсю... думаем как выполнить очередную 100500-ю рекомендуйку...

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Мы адрес почты не используем ни для контактов ни для выписок ни для ПЭП. Прочитали письмо и выкинули.
    Это не Вы рассказывали историю про почтовую рассылку, которую не одобрил РКН?)

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от UserNick Посмотреть сообщение
    Как то незаметно прошло:
    Мы адрес почты не используем ни для контактов ни для выписок ни для ПЭП. Прочитали письмо и выкинули.

    Прокомментировать:


  • UserNick
    Участник ответил
    Как то незаметно прошло:
    Информационное письмо Банка России от 12.02.2020 № ИН-014-56/6
    О проверке кредитными организациями и некредитными финансовыми организациями принадлежности клиенту адреса электронной почты
    http://www.cbr.ru/StaticHtml/File/59...n-014-56_6.pdf

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Предлагаю не тратить время. Как считаете, так считаете
    Мы тут как раз для того, чтобы тратить время, обсуждая вопросы. Что в последствии позволить сэкономить время внедрения и деньги банка.

    Я не навязываю свою точку зрения, я ее озвучиваю и отстаиваю. А решения принимает каждый сам.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Дк вопрос то денежный
    Еще как денежный, чем уже определить контур безопасности тем меньше средств защиты и контроля процессов.


    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Выглядит не убедительно, хотя бы потому, что по этой трактовке очевидно дублирование области действия 382-П
    Так оно так и есть, и вот что по этому поводу говорит ЦБ. (Из Публикаций Лукацкого)

    В Чем отличия 683-П и 382-П?

    Ответ: Предметы регулирования Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П), Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение № 382-П) разные.

    Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.

    В то же время Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

    Положение № 382-П содержит требования к обеспечению защиты информации при осуществлении переводов денежных средств и распространяется на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры. Положение № 683-П распространяется только на кредитные организации.


    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Дк вопрос то денежный (область действия 683-П и как следствие ГОСТа) - как на него не тратить время? Ну и в самом ГОСТе первое, что нужно сделать, это определить область действия с учетом НПА ЦБ.
    .. финансовой организации необходимо обеспечить: - идентификацию и учет объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Банка России, устанавливающих обязательность применения его положений (далее - область применения);

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Этот абзац вообще как-то лишний для 683-П. Он лишь напоминает про 152-ФЗ и зачем его включили в 683-П не понятно.
    Кстати, а с ключевой информацией разве не так же?
    Вам это не понятно, просто потому, что вы считаете, что п.1 это про область действия этого Положения.

    Сообщение от dnebyshe Посмотреть сообщение
    Область действия 683-П это .......... и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.
    Выглядит не убедительно, хотя бы потому, что по этой трактовке очевидно дублирование области действия 382-П

    Предлагаю не тратить время. Как считаете, так считаете.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    последний абзац п.1
    Этот абзац вообще как-то лишний для 683-П. Он лишь напоминает про 152-ФЗ и зачем его включили в 683-П не понятно.
    Область действия 683-П это Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.

    По мнению ЦБ Есть банковская операция "Перевод ДС", а есть банковская операция, связанная с переводом ДС. И это разные банковские операции.
    Вот область 683-П это второе. И как определить какие системы и железки у нас используются для операций. связанных с переводом ДС, и как они и чем именно "связаны" с переводом ДС - это дано на откуп банкам.





    Прокомментировать:


  • saches
    Участник ответил
    dnebyshe
    Так об этом и речь, если есть ПДн, то защищаем, а если нет, то нет. Но это (п.1.) ни как не конкретизирует перечень систем, на которые требования 683-П распространяются.

    А что касается перечисленных вами систем, я думаю вы сами сможете определиться при желании, если обратите внимание на п.1 ГОСТа.

    И, нисколько не настаиваю на своей точке зрения. Считаете иначе, вообще не вопрос...

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    Ну вы даете. В таком случае, как вы последний абзац п.1. трактовать планируете?)
    Так как и написано в нем. Если есть в защищаемой информации ПДН то еще и 152-ФЗ не забывать.

    АРМы Операционистов с АБС и ДБО попадают в сегмент 683-П?
    А сервера АСБ и ДБО?

    А что по Вашему в этот сегмент попадает?

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Разве?А пункт 1 говорит: Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.
    Ну вы даете. В таком случае, как вы последний абзац п.1. трактовать планируете?))
    То ли обрабатываем ПДн, то ли не обрабатываем...

    п.1, это просто перечень защищаемой информации, и не более того.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Переписка финмона или кредитчика с клиеном по каналу ДБО, может быть связана с осуществлением перевода?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    683-П вообще никак не регламентирует что именно попадает под требование ГОСТа.
    Разве?
    А пункт 1 говорит:
    Информация (формируемая работниками и клиентами, авторизационная, ключевая, архивная) и Объекты инфраструктуры, используемые для осуществления банковских операций, связанных с осуществлением перевода ДС.

    Прокомментировать:


  • UserNick
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.
    Сообщение от ost Посмотреть сообщение
    Я спорить не буду, для себя решил, что лучше сделать в этом году. В начале следующего ждём плановую, не хочу проблем.
    Думаю, спорить здесь нужно, только вот получится ли поставить точку в споре без официального ответа из ЦБ ...
    Уже писал сообщение на такую же тему, но по 672-П в теме https://bankir.ru/dom/forum/департамент-технологий/информационная-безопасность/4886897-672-п-требования-к-защите-информации-в-пс-бр/?p=4984775#post4984775
    КМК, нужно выполнить совокупность требований, которые устанавливают:
    1. Срок вступления в силу требования по проведению оценки.
    2. Регулярность проведения оценки от которой зависит крайний срок завершения первой оценки.
    3. Подтверждение уровня защиты проведением оценки.
    4. Обязанность обеспечить установленный уровень защиты с установленной даты.
    Согласен с ost, что всю эту совокупность требований из которой определяется срок проведения первой оценки необходимо выполнить до даты, обозначенной в п. 4. - к 01.01.2021.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    А Вы с сегментом, который по ГОСТ оценивать будете определились? Мне кажется это самое сложное в 683-П.....
    КМК, 683-П вообще никак не регламентирует что именно попадает под требование ГОСТа.
    А исходя из п.1. ГОСТа, остаётся только догадываться, есть ли что-то в Банке, что не попадает под его требования

    Базовый состав мер защиты информации, определяемый настоящим стандартом, применим к совокупности объектов информатизации, в том числе автоматизированным системам (АС), используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств(далее при совместном упоминании - финансовые услуги).


    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    лучше сделать в этом году
    А Вы с сегментом, который по ГОСТ оценивать будете определились? Мне кажется это самое сложное в 683-П.

    Вот рабочее место кредтчика, который проводит начисление процентов или Финмона, который просматривает операции клиента в АБС должны ли попадать в область 683-П?
    Или у продажников, которые могут иметь доступ на чтение информации о клиенте из АБС, но к платежам никакого доступа нет.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.
    Я спорить не буду, для себя решил, что лучше сделать в этом году. В начале следующего ждём плановую, не хочу проблем.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    т.е. как бэ на 1-е января надо уже иметь эту оценку.
    Да, но отчёт срока всё равно с даты требования, а не с даты проведения оценки, которую вы можете провести и ранее.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А почему? КМК отчёт срока должен начинаться с даты вступления требования в силу.
    Там формулировка п. 9 такая:

    9.2. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
    Кредитные организации должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2023 года.
    а подтверждение соответствия делается только проведением оценки, т.е. как бэ на 1-е января надо уже иметь эту оценку.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Я думаю, что как раз 01.01.21 надо уже иметь подтверждение соответствия.
    А почему? КМК отчёт срока должен начинаться с даты вступления требования в силу.

    Прокомментировать:

Обработка...
X