6 марта, суббота 17:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Запрос из ЦБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Запрос из ЦБ

    Наверное многие уже получили подобный запрос из ЦБ. Что хочит проверить этим ЦБ, для чего собирает информацию?
    Вложения

  • #2
    Все понятно же из самих вопросов ;-) ЦБ хочет знать, какова текущая практика борьбы с киберпреступностью в банках. Кто за это отвечает? Как регламентирует? И т.д. После нашумевших в последние дни выступлений Емелина, Игнатьева, Курило по поводу создания центра борьбы с кибермошенничеством и выступлений на очень высоком уровне (Госдума, Минфин и т.д.), надо что-то делать и направить шумиху в правильное русло. Для этого нужно понимать не просто состояние уровня защищенности (для чего нужна 202-я отчетность), и не просто уровень инцидентов (203-я отчетность), а иметь представление, как банки борются с киберпреступностью. Вот и появляется такой опросник, в котором надергано из разных источников куча разных вопросов.

    Чем-то напоминает опрос ЦБ по поводу отношения к СТО БР ИББС 3 года назад

    Комментарий


    • #3
      Хороший опросник на самом деле. Практически готовая схема создания нужной нормативной базы, а главное эффектвный способ привлечь к соучастию в работе те внутреннние подразделения, которые в этой ситуации стараются стоять в стороне (СВК и Финмониторинг) без прямый рекомендаций ЦБ...
      Наконец-то от опросников ЦБ есть польза.

      Комментарий


      • #4
        к нам тоже прислали... этот опросник.... интересно а есть у кого в банках.... этот самый ВНД по борьбе с ПДИИТ в требуемом, в опроснике, объеме?? мне поручили срочно своять ВНД на эту тему)
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          George-on-Don, а разве такие документы обязательные, согласно 242-П у банков должна быть "Политика информационной безопасности". У нас в рамках данной политики имеются "Политика антивирусной защиты", "Пролитика безопасности при организации парольной защиты информационной системы", "Политика безопасности при работе в сети Интернет", "Политика безопасности при работе с электронной почтой" и прочие.
          Вы думаете, что должен иметься некий документ с таким названием типа: "Порядок организации противодействия противоправной деятельности с использованием информационных технологий"?
          Всё проходит. Пройдет и это. Ничто не проходит.

          Комментарий


          • #6
            Сообщение от JMD Посмотреть сообщение
            George-on-Don, а разве такие документы обязательные, согласно 242-П у банков должна быть "Политика информационной безопасности". У нас в рамках данной политики имеются "Политика антивирусной защиты", "Пролитика безопасности при организации парольной защиты информационной системы", "Политика безопасности при работе в сети Интернет", "Политика безопасности при работе с электронной почтой" и прочие.
            Вы думаете, что должен иметься некий документ с таким названием типа: "Порядок организации противодействия противоправной деятельности с использованием информационных технологий"?
            Согласен. Как я понял, ПДИИТ - обобщение всех документов по ИБ: Политик, положений, руководств, инструкций и т. д.

            Комментарий


            • #7
              Сообщение от JMD Посмотреть сообщение
              George-on-Don, а разве такие документы обязательные, согласно 242-П у банков должна быть "Политика информационной безопасности". У нас в рамках данной политики имеются "Политика антивирусной защиты", "Пролитика безопасности при организации парольной защиты информационной системы", "Политика безопасности при работе в сети Интернет", "Политика безопасности при работе с электронной почтой" и прочие.
              Вы думаете, что должен иметься некий документ с таким названием типа: "Порядок организации противодействия противоправной деятельности с использованием информационных технологий"?
              у нас посчитали что должен быть))... ну называться он конечно не будет так... я эту тему вставлю в уже существующие ВНД по ИБ... только конечно придется потрудиться для полного раскрытия "образа" т.к. сказать)) т.е. осветить все затрагиваемые там вопросы с учетом конкретного НАШЕГО ДБО ...
              если взять п .7.6. Общие требования по обеспечению информационной безопасности
              при использовании ресурсов сети Интернет (СТО БР ИББС 1,0-2010 ) - то эта анкета-опросник касается в основном этих требований .... но только делается акцент именно на реализацию их в системах ДБО в банке
              Последний раз редактировалось George-on-Don; 11.03.2013, 13:48.
              Мы продолжаем делать то, что мы уже много наделали

              Комментарий


              • #8
                George-on-Don,согласна с Вами, что в составе документов, разработанных в рамках Политики информационной безопасности, должен быть документ посвященный модели угроз информ. безопасности в системах ДБО, а также способам предотвращения и нейтрализации угроз.
                Всё проходит. Пройдет и это. Ничто не проходит.

                Комментарий


                • #9
                  Сообщение от JMD Посмотреть сообщение
                  George-on-Don,согласна с Вами, что в составе документов, разработанных в рамках Политики информационной безопасности, должен быть документ посвященный модели угроз информ. безопасности в системах ДБО, а также способам предотвращения и нейтрализации угроз.
                  кроме того в анкете есть вопрос пункт 2,1 в котором в явном виде запрашивается наличие ВНД содержащего обязательные для исполнения в банке положения по организации этого самого ПДИИТ
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    кстати есть интересный документ на сайте АРБ " МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента".... http://arb.ru/b2b/docs/1699733/ рекомендую всем его почитать.... странно что о нем почти никто не знает у нас на форуме
                    Мы продолжаем делать то, что мы уже много наделали

                    Комментарий


                    • #11
                      Сообщение от George-on-Don Посмотреть сообщение
                      кстати есть интересный документ на сайте АРБ " МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента".... http://arb.ru/b2b/docs/1699733/ рекомендую всем его почитать.... странно что о нем почти никто не знает у нас на форуме
                      Если не упоминают на форуме, это не значит, что про документ никто не знает. Эти рекомендации еще в декабре 2012 распространял ЦБ, также они распространялись по линии АРБ, также они распространялись среди членов антидроп-клуба. Знаем и успешно применяем.

                      Комментарий


                      • #12
                        Их распространяли еще в июле ;-) А в декабре вышла вторая версия

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Их распространяли еще в июле ;-) А в декабре вышла вторая версия
                          Да, я и имел в виду вторую редакцию. Про старую смысла нет писать. Алексей, в соседней ветке задал Вам вопрос, где найти текст 21 приказа ФСТЭК, по которому завтра будет проводиться вебинар.

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Их распространяли еще в июле ;-) А в декабре вышла вторая версия
                            )а ко мне эта инфа только сейчас дошла .. не все ж являются членами АРБ и антидроп-клубистами...
                            а что это за клуб такой?? как в него вступить?
                            Мы продолжаем делать то, что мы уже много наделали

                            Комментарий


                            • #15
                              Сообщение от George-on-Don Посмотреть сообщение
                              ) как в него вступить?
                              Написал в личку.

                              Комментарий


                              • #16
                                Сообщение от George-on-Don Посмотреть сообщение
                                у нас посчитали что должен быть))...
                                Я бы головы поотрывал тем кто такие названия придумывает. Во первых они не читаемы, а во вторых понимаются буквально.

                                Комментарий


                                • #17
                                  Сообщение от George-on-Don Посмотреть сообщение
                                  )а ко мне эта инфа только сейчас дошла .. не все ж являются членами АРБ и антидроп-клубистами...
                                  Я не являюсь ни тем, ни другим ;-)

                                  Комментарий


                                  • #18
                                    Сообщение от serg_mur Посмотреть сообщение
                                    Да, я и имел в виду вторую редакцию. Про старую смысла нет писать. Алексей, в соседней ветке задал Вам вопрос, где найти текст 21 приказа ФСТЭК, по которому завтра будет проводиться вебинар.
                                    Когда зарегистрируют в МинЮсте, тогда опубликуют. До этого момента боятся сглазить ;-)

                                    Комментарий


                                    • #19
                                      Что-то у меня все-таки есть сомнения, что под внутренним документом по противодействию имелась ввиду политика ИБ. Может быть это документ, который описывает подходы банка по пресечению мошенничества в ДБО, пластике и т.д.? Описываются основные подходы по применению антифрод системы, взаимодействия между подразделениями банка....

                                      Комментарий


                                      • #20
                                        Сообщение от sergey73 Посмотреть сообщение
                                        Что-то у меня все-таки есть сомнения, что под внутренним документом по противодействию имелась ввиду политика ИБ. Может быть это документ, который описывает подходы банка по пресечению мошенничества в ДБО, пластике и т.д.? Описываются основные подходы по применению антифрод системы, взаимодействия между подразделениями банка....
                                        да... конечно не Политика ИБ... а частная политика ... или подраздел в частной политике имеющей отношение к использованию ДБО и/или доступа к сети интернет
                                        Мы продолжаем делать то, что мы уже много наделали

                                        Комментарий


                                        • #21
                                          Соглашусь с том, что речь идет о документе описывающем защиту ДБО и пластиковых карт. Поэтому и задается вопрос о том, что это документ общего доступа или конфиденциальный. Т.к. далеко не всем сотрудникам нужно знать насчет использования антискримингового оборудования, как осуществляет проверка платежей пришедших по банк-клиенту, где происходит эта проверка, на уровне самой системы ДБО или в АБС и т.д.

                                          Комментарий


                                          • #22
                                            Сообщение от sergey73 Посмотреть сообщение
                                            Соглашусь с том, что речь идет о документе описывающем защиту ДБО и пластиковых карт. Поэтому и задается вопрос о том, что это документ общего доступа или конфиденциальный. Т.к. далеко не всем сотрудникам нужно знать насчет использования антискримингового оборудования, как осуществляет проверка платежей пришедших по банк-клиенту, где происходит эта проверка, на уровне самой системы ДБО или в АБС и т.д.
                                            никто не спорит... ставьте гриф "только для служебного использования", или "конфиденциально"...
                                            Мы продолжаем делать то, что мы уже много наделали

                                            Комментарий


                                            • #23
                                              Сообщение от George-on-Don Посмотреть сообщение
                                              никто не спорит... ставьте гриф "только для служебного использования", или "конфиденциально"...
                                              Гриф "конфиденциально" из 149 ФЗ, а как гриф "только для служебного использования" оправдать? внутренним распоряжением? на сколько я знаю, нет НПА регламентирующего данный гриф.
                                              [OFF]Красим белим, иногда защищаем[/OFF]

                                              Комментарий


                                              • #24
                                                Сообщение от akitukitua Посмотреть сообщение
                                                Гриф "конфиденциально" из 149 ФЗ, а как гриф "только для служебного использования" оправдать? внутренним распоряжением? на сколько я знаю, нет НПА регламентирующего данный гриф.
                                                а чем не устраивает ФЗ 149?? Статья 6. Обладатель информации
                                                1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
                                                3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
                                                1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
                                                2) использовать информацию, в том числе распространять ее, по своему усмотрению;
                                                3) передавать информацию другим лицам по договору или на ином установленном законом основании;
                                                4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
                                                5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

                                                4. Обладатель информации при осуществлении своих прав обязан:
                                                1) соблюдать права и законные интересы иных лиц;
                                                2) принимать меры по защите информации;
                                                3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
                                                Мы продолжаем делать то, что мы уже много наделали

                                                Комментарий


                                                • #25
                                                  Сообщение от akitukitua Посмотреть сообщение
                                                  Гриф "конфиденциально" из 149 ФЗ, а как гриф "только для служебного использования" оправдать? внутренним распоряжением? на сколько я знаю, нет НПА регламентирующего данный гриф.
                                                  В 149-ФЗ нет ничего про гриф "конфиденциально", да и вообще ни про какие грифы (есть про "конфиденциальность информации"). ДСП - да, под большим вопросом (НПА есть - ПП №1233, но там как бы про федеральные органы исполнительной власти, да и должен быть ФЗ).

                                                  Комментарий


                                                  • #26
                                                    Сообщение от George-on-Don Посмотреть сообщение
                                                    а чем не устраивает ФЗ 149?? Статья 6. Обладатель информации
                                                    1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
                                                    3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
                                                    1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
                                                    2) использовать информацию, в том числе распространять ее, по своему усмотрению;
                                                    3) передавать информацию другим лицам по договору или на ином установленном законом основании;
                                                    4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
                                                    5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
                                                    4. Обладатель информации при осуществлении своих прав обязан:
                                                    1) соблюдать права и законные интересы иных лиц;
                                                    2) принимать меры по защите информации;
                                                    3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
                                                    если банк или кто-либо еще является обладателем информации, он безусловно может ставить любые пометки (грифы) и защищать ее как хочет, но охраноспособность такой информации будет практически никакой, если указанная информация не относится к определенному виду информации ограниченного досупа (виду тайны), статус которой должен устанавливать соответствующий ФЗ (в соответствии с тем же 149-ФЗ)

                                                    Комментарий


                                                    • #27
                                                      Учитывая, что в российском праве около 60 видов тайн, то сложно найти информацию, которая не попадает ни в одну из них ;-)

                                                      Комментарий


                                                      • #28
                                                        Уважаемые!
                                                        в продолжение темы 27-Т из ЦБ пришла инфа о способе предоставления информации по 27-Т, но в этом же письме фигурирует вторая анкета "Информация о применении кредитной организацией технологий дистанционного банковского обслуживания" (Письмо Банка России № 13-Т от 30.01.2013). Кто-нибудь видел это письмо? Поделитесь, пожалуйста.

                                                        Комментарий


                                                        • #29
                                                          Коллеги, а как вы ответили на пункт 8.1-8.3, где спрашивается мнение КО?

                                                          Комментарий


                                                          • #30
                                                            А есть варианты? )

                                                            Комментарий

                                                            Обработка...
                                                            X