Наверное многие уже получили подобный запрос из ЦБ. Что хочит проверить этим ЦБ, для чего собирает информацию?
-
-
Все понятно же из самих вопросов ;-) ЦБ хочет знать, какова текущая практика борьбы с киберпреступностью в банках. Кто за это отвечает? Как регламентирует? И т.д. После нашумевших в последние дни выступлений Емелина, Игнатьева, Курило по поводу создания центра борьбы с кибермошенничеством и выступлений на очень высоком уровне (Госдума, Минфин и т.д.), надо что-то делать и направить шумиху в правильное русло. Для этого нужно понимать не просто состояние уровня защищенности (для чего нужна 202-я отчетность), и не просто уровень инцидентов (203-я отчетность), а иметь представление, как банки борются с киберпреступностью. Вот и появляется такой опросник, в котором надергано из разных источников куча разных вопросов.
Чем-то напоминает опрос ЦБ по поводу отношения к СТО БР ИББС 3 года назад -
Хороший опросник на самом деле. Практически готовая схема создания нужной нормативной базы, а главное эффектвный способ привлечь к соучастию в работе те внутреннние подразделения, которые в этой ситуации стараются стоять в стороне (СВК и Финмониторинг) без прямый рекомендаций ЦБ...
Наконец-то от опросников ЦБ есть польза.Комментарий
-
к нам тоже прислали... этот опросник.... интересно а есть у кого в банках.... этот самый ВНД по борьбе с ПДИИТ в требуемом, в опроснике, объеме?? мне поручили срочно своять ВНД на эту тему)Мы продолжаем делать то, что мы уже много наделалиКомментарий
-
George-on-Don, а разве такие документы обязательные, согласно 242-П у банков должна быть "Политика информационной безопасности". У нас в рамках данной политики имеются "Политика антивирусной защиты", "Пролитика безопасности при организации парольной защиты информационной системы", "Политика безопасности при работе в сети Интернет", "Политика безопасности при работе с электронной почтой" и прочие.
Вы думаете, что должен иметься некий документ с таким названием типа: "Порядок организации противодействия противоправной деятельности с использованием информационных технологий"?Всё проходит. Пройдет и это. Ничто не проходит.Комментарий
-
Согласен. Как я понял, ПДИИТ - обобщение всех документов по ИБ: Политик, положений, руководств, инструкций и т. д.Сообщение от JMD Посмотреть сообщениеКомментарий
-
у нас посчитали что должен быть))... ну называться он конечно не будет так... я эту тему вставлю в уже существующие ВНД по ИБ... только конечно придется потрудиться для полного раскрытия "образа" т.к. сказать)) т.е. осветить все затрагиваемые там вопросы с учетом конкретного НАШЕГО ДБО ...Сообщение от JMD Посмотреть сообщение
если взять п .7.6. Общие требования по обеспечению информационной безопасности
при использовании ресурсов сети Интернет (СТО БР ИББС 1,0-2010 ) - то эта анкета-опросник касается в основном этих требований .... но только делается акцент именно на реализацию их в системах ДБО в банкеПоследний раз редактировалось George-on-Don; 11.03.2013, 13:48.Мы продолжаем делать то, что мы уже много наделалиКомментарий
-
George-on-Don,согласна с Вами, что в составе документов, разработанных в рамках Политики информационной безопасности, должен быть документ посвященный модели угроз информ. безопасности в системах ДБО, а также способам предотвращения и нейтрализации угроз.Всё проходит. Пройдет и это. Ничто не проходит.Комментарий
-
кроме того в анкете есть вопрос пункт 2,1 в котором в явном виде запрашивается наличие ВНД содержащего обязательные для исполнения в банке положения по организации этого самого ПДИИТСообщение от JMD Посмотреть сообщениеМы продолжаем делать то, что мы уже много наделалиКомментарий
-
кстати есть интересный документ на сайте АРБ " МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента".... http://arb.ru/b2b/docs/1699733/ рекомендую всем его почитать.... странно что о нем почти никто не знает у нас на форумеМы продолжаем делать то, что мы уже много наделалиКомментарий
-
Если не упоминают на форуме, это не значит, что про документ никто не знает. Эти рекомендации еще в декабре 2012 распространял ЦБ, также они распространялись по линии АРБ, также они распространялись среди членов антидроп-клуба. Знаем и успешно применяем.Сообщение от George-on-Don Посмотреть сообщениеКомментарий
-
Их распространяли еще в июле ;-) А в декабре вышла вторая версияКомментарий
-
Да, я и имел в виду вторую редакцию. Про старую смысла нет писать. Алексей, в соседней ветке задал Вам вопрос, где найти текст 21 приказа ФСТЭК, по которому завтра будет проводиться вебинар.Сообщение от Алексей Лукацкий Посмотреть сообщениеКомментарий
-
)а ко мне эта инфа только сейчас дошла .. не все ж являются членами АРБ и антидроп-клубистами...Сообщение от Алексей Лукацкий Посмотреть сообщение
а что это за клуб такой?? как в него вступить?Мы продолжаем делать то, что мы уже много наделалиКомментарий
-
-
Я бы головы поотрывал тем кто такие названия придумывает. Во первых они не читаемы, а во вторых понимаются буквально.Сообщение от George-on-Don Посмотреть сообщениеКомментарий
-
-
Когда зарегистрируют в МинЮсте, тогда опубликуют. До этого момента боятся сглазить ;-)Сообщение от serg_mur Посмотреть сообщениеКомментарий
-
Что-то у меня все-таки есть сомнения, что под внутренним документом по противодействию имелась ввиду политика ИБ. Может быть это документ, который описывает подходы банка по пресечению мошенничества в ДБО, пластике и т.д.? Описываются основные подходы по применению антифрод системы, взаимодействия между подразделениями банка....Комментарий
-
да... конечно не Политика ИБ... а частная политика ... или подраздел в частной политике имеющей отношение к использованию ДБО и/или доступа к сети интернетСообщение от sergey73 Посмотреть сообщениеМы продолжаем делать то, что мы уже много наделалиКомментарий
-
Соглашусь с том, что речь идет о документе описывающем защиту ДБО и пластиковых карт. Поэтому и задается вопрос о том, что это документ общего доступа или конфиденциальный. Т.к. далеко не всем сотрудникам нужно знать насчет использования антискримингового оборудования, как осуществляет проверка платежей пришедших по банк-клиенту, где происходит эта проверка, на уровне самой системы ДБО или в АБС и т.д.Комментарий
-
никто не спорит... ставьте гриф "только для служебного использования", или "конфиденциально"...Сообщение от sergey73 Посмотреть сообщениеМы продолжаем делать то, что мы уже много наделалиКомментарий
-
Гриф "конфиденциально" из 149 ФЗ, а как гриф "только для служебного использования" оправдать? внутренним распоряжением? на сколько я знаю, нет НПА регламентирующего данный гриф.Сообщение от George-on-Don Посмотреть сообщение[OFF]Красим белим, иногда защищаем[/OFF]Комментарий
-
а чем не устраивает ФЗ 149?? Статья 6. Обладатель информацииСообщение от akitukitua Посмотреть сообщение
1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.Мы продолжаем делать то, что мы уже много наделалиКомментарий
-
В 149-ФЗ нет ничего про гриф "конфиденциально", да и вообще ни про какие грифы (есть про "конфиденциальность информации"). ДСП - да, под большим вопросом (НПА есть - ПП №1233, но там как бы про федеральные органы исполнительной власти, да и должен быть ФЗ).Сообщение от akitukitua Посмотреть сообщениеКомментарий
-
если банк или кто-либо еще является обладателем информации, он безусловно может ставить любые пометки (грифы) и защищать ее как хочет, но охраноспособность такой информации будет практически никакой, если указанная информация не относится к определенному виду информации ограниченного досупа (виду тайны), статус которой должен устанавливать соответствующий ФЗ (в соответствии с тем же 149-ФЗ)Сообщение от George-on-Don Посмотреть сообщениеКомментарий
-
Учитывая, что в российском праве около 60 видов тайн, то сложно найти информацию, которая не попадает ни в одну из них ;-)Комментарий
-
Уважаемые!
в продолжение темы 27-Т из ЦБ пришла инфа о способе предоставления информации по 27-Т, но в этом же письме фигурирует вторая анкета "Информация о применении кредитной организацией технологий дистанционного банковского обслуживания" (Письмо Банка России № 13-Т от 30.01.2013). Кто-нибудь видел это письмо? Поделитесь, пожалуйста.Комментарий
-
Коллеги, а как вы ответили на пункт 8.1-8.3, где спрашивается мнение КО?Комментарий
-
А есть варианты? )Комментарий
Комментарий