27 февраля, суббота 10:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

51-Т, Сигнатура, АВ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 51-Т, Сигнатура, АВ

    Здравствуйте!

    Поделитесь, пожалуйста опытом, обеспечения безопасности СКАД «Сигнатура» в соответствии с договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России (далее - Договор).

    В частности, интересует положение в Руководстве администратора информационной безопасности (ВАМБ.00044-02 93 01) системы криптографической авторизации электронных документов «Сигнатура» о необходимости применения средства антивирусной защиты, сертифицированного по требованиям ФСБ России.

    Какой характер носят положения об обеспечении информационной безопасности, изложенные в документации на СКАД «Сигнатура» (http://www.cbr.ru/mcirabis/?Prtid=itest), в рамках в Договора.

  • #2
    Сообщение от Esin Посмотреть сообщение
    Здравствуйте!

    Поделитесь, пожалуйста опытом,

    Какой характер носят положения об обеспечении информационной безопасности, изложенные в документации на СКАД «Сигнатура» (http://www.cbr.ru/mcirabis/?Prtid=itest), в рамках в Договора.
    Делюсь опытомПРИЛОЖЕНИЕ 8.zip

    характер рекомендательный, в смысле у них нет полномочий по проверке, выполнения Вами требований, но если будет конфликтная ситуация, на Вас всех собак повесят. Единственноо, данные бумаги ни с кем не согласованны и в суде грамотный безопасник-юрист-адвокат успешно это доказывают
    [OFF]Красим белим, иногда защищаем[/OFF]

    Комментарий


    • #3
      Сообщение от akitukitua Посмотреть сообщение
      Единственноо, данные бумаги ни с кем не согласованны и в суде грамотный безопасник-юрист-адвокат успешно это доказывают
      Не факт. Нужно смотреть лист утверждения, но с ЦБ он стопудово согласован (см. утверждение о признании работоспособности в формуляре). По идее, с ФСБ эти документы тоже обязаны быть согласованы (это сертификационное требование).

      Если подходить к вопросу формально, то:
      1. Информация, передаваемая в рамках платежной системы, подлежит защите в соответствии с законодательством РФ
      2. В силу п. 1 должны выполняться требования ПКЗ-2005
      3. В силу п. 46 ПКЗ-2005 должны выполняться требования программной документации СКЗИ
      4. В силу п. 50 ПКЗ-2005 ФСБ имеет право проверять и наказывать невыполнение требований программной документации

      Вы правы в том, что за это не наказывают, но это как раз тот самый случай, когда "если вы не сидите - это не ваша заслуга, а наша недоработка".

      Если (не дай бог) пройдет успешная атака на банк, нарушитель получит доступ к АРМ и отправит фродовый платеж на крупную сумму, то использование некошерного антивируса - формальный состав преступления по статье "Халатность". В реальной жизни маловероятно, но с точки зрения буквы закона - однозначно.

      Комментарий


      • #4
        Сообщение от malotavr Посмотреть сообщение
        Не факт. Нужно смотреть лист утверждения, но с ЦБ он стопудово согласован (см. утверждение о признании работоспособности в формуляре). По идее, с ФСБ эти документы тоже обязаны быть согласованы (это сертификационное требование).

        В реальной жизни маловероятно, но с точки зрения буквы закона - однозначно.
        Так я об этом и пишу коллега
        Был у меня опыт привлечённого эксперта по спору в арбитраже.

        Резюме: грамотная связка безопасник-юрист организации- адвокат по корпоративному праву и претензионной работе оставили в дураках (выиграли дело) у местного РКЦ
        [OFF]Красим белим, иногда защищаем[/OFF]

        Комментарий

        Обработка...
        X