6 марта, суббота 13:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 382-П п.2.11.3 второй абзац

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Положение 382-П п.2.11.3 второй абзац

    Собственно звучит он так
    "осуществлять контроль(мониторинг) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств"
    И у меня возник вопрос, как вообще происходит это контроль? Что должна делать служба информационной безопасности?

  • #2
    Сообщение от Bruno Kimmelman Посмотреть сообщение
    Собственно звучит он так
    "осуществлять контроль(мониторинг) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств"
    И у меня возник вопрос, как вообще происходит это контроль? Что должна делать служба информационной безопасности?
    Мы каждый год проводим глобальную проверку по основным требованиям, установленным внутренними документами: наличие антивирусов на рабочих местах и актуальность баз, соответствие предоставленных прав доступа в АБС должностным обязанностям и наличие соответствующих служебок, соблюдение внутриобъектового режима, ведение журналов учёта и выдачи СКЗИ и т.д.
    Проводит комисии, состоящая из работников ответственных подразделений.

    Комментарий


    • #3
      Чтобы не открывать новую тему.
      В пункте 2.4.1 ................обеспечивают регистрацию лиц, обладающих правами: по осуществлению доступа к защищаемой информации;
      Кто имеется ввиду? Администраторы предоставляющие доступ или обычные сотрудники имеющие доступ к информации?

      Комментарий


      • #4
        sergey73, здесь имеются в виду все.

        Комментарий


        • #5
          Зачем тогда отдельно выделено "регистрацию своих работников, обладающих правами по формированию электронных сообщений ...."

          Комментарий


          • #6
            Сообщение от sergey73 Посмотреть сообщение
            Зачем тогда отдельно выделено "регистрацию своих работников, обладающих правами по формированию электронных сообщений ...."
            В во втором случае права на создание, а в первом на чтение. Это если в первом приближении ответить.

            Комментарий


            • #7
              Уважаемые коллеги!
              Приглашаем вас принять участие в бесплатном вебинаре по теме: «Реализация требований по защите информации в соответствии с положением Банка России № 382»
              http://dialognauka.ru/press-center/events/10391/

              Комментарий


              • #8
                Сообщение от VSolon Посмотреть сообщение
                В во втором случае права на создание, а в первом на чтение. Это если в первом приближении ответить.
                1. Кто как обеспечивает регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации? Логи в АБС и ДБО? Логи SQL?

                2. Кто как обеспечивает регистрацию лиц, обладающих правами по управлению криптографическими ключами? логи СКАД Сигнатура?

                3. Кто как обеспечивает регистрацию лиц, обладающих правамипо воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа? Например какие воздействия подразумеваются?

                4. регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств? логи АБС с рабочих мест операционистов?

                Комментарий


                • #9
                  Сообщение от Орлиный глаз Посмотреть сообщение
                  1. Кто как обеспечивает регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации?
                  У нас это приказ по организации на допуск конкретных лиц к конкретным обязанностям.

                  Комментарий


                  • #10
                    Сообщение от Орлиный глаз Посмотреть сообщение
                    1. Кто как обеспечивает регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации? Логи в АБС и ДБО? Логи SQL?

                    2. Кто как обеспечивает регистрацию лиц, обладающих правами по управлению криптографическими ключами? логи СКАД Сигнатура?

                    3. Кто как обеспечивает регистрацию лиц, обладающих правамипо воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа? Например какие воздействия подразумеваются?

                    4. регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств? логи АБС с рабочих мест операционистов?
                    Не совсем правильно написал. Как обеспечиваете регистрацию действий лиц... (п. 2.4.3 382-П)

                    Комментарий


                    • #11
                      Сообщение от Орлиный глаз Посмотреть сообщение
                      1. Кто как обеспечивает регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации? Логи в АБС и ДБО? Логи SQL?
                      Подождите. Логи - это "регистрация ДЕЙСТВИЙ", а регистрация ЛИЦ - это служебки на доступ или какая-то база с перечислением тех, кому такой доступ дан.
                      Потом, для начала надо определиться, а что у Вас входит в понятие "защищаемой информации".
                      Например, база ДБО. Тогда сразу вопрос, а КТО и КАК дает к ней доступ.
                      Дали (доступ) - зарегистрировали (служебку или еще как). Вот и получите "регистрацию лиц.

                      Сообщение от Орлиный глаз Посмотреть сообщение
                      2. Кто как обеспечивает регистрацию лиц, обладающих правами по управлению криптографическими ключами? логи СКАД Сигнатура?
                      Опять же, Логи - это ДЕЙСТВИЯ, а не ЛИЦА. Кому у Вас ключи выдаются? Это как-то фиксируется? Ну вот как выдали кому-то, это действие записали - вот и будет "регистрация лиц".
                      Ну и дальше - такой же подход.

                      По крайней мере, в моем представлении это так.

                      Комментарий


                      • #12
                        п.2.8.2. 382-П
                        Оператор по переводу денежных средств обеспечивает формирование для клиентов рекомендаций по защите информации от несанкционированного доступа путем использования ложных (фальсифицированных) ресурсов сети Интернет

                        Тут напрашиваются рекомендации при использовании ДБО через Web- морду. А что если ДБО только через толстый клиент? Как в таком случае можно клиента предупредить об НСД путем использования ложных (фальсифицированных) ресурсов сети Интернет?

                        Комментарий


                        • #13
                          Орлиный глаз,
                          в оценке пишите - не применимо.
                          Я словно лист на ветру, посмотри как я лечу...

                          Комментарий


                          • #14
                            Сообщение от Berrimor Посмотреть сообщение
                            Опять же, Логи - это ДЕЙСТВИЯ, а не ЛИЦА. Кому у Вас ключи выдаются? Это как-то фиксируется? Ну вот как выдали кому-то, это действие записали - вот и будет "регистрация лиц".
                            в этом пункте не совсем так. Для того, чтобы кто-то смог управлять(заметьте, не только получить. По сути здесь мы говорим о администраторах ключевой системы) ключами ему такое право должно быть делегировано приказом о назначении ответственным за это. Этот администратор управляет ключами - создает, хранит, выдает ответисполнителям, получает обратно, уничтожает.
                            Владельцы ключей получают и возвращают носители с ключами с регистрацией этих действий в журнале (у нас бумажный, камрад Беркут распространял здесь электронный).

                            в данном случае могу апеллировать к неоднократному опыту проверки этого процесса ЦБ и ФСБ. Претензий со стороны проверяющих не было никогда.
                            Я словно лист на ветру, посмотри как я лечу...

                            Комментарий


                            • #15
                              Сообщение от Орлиный глаз Посмотреть сообщение
                              п.2.8.2. 382-П
                              Оператор по переводу денежных средств обеспечивает формирование для клиентов рекомендаций по защите информации от несанкционированного доступа путем использования ложных (фальсифицированных) ресурсов сети Интернет

                              Тут напрашиваются рекомендации при использовании ДБО через Web- морду. А что если ДБО только через толстый клиент? Как в таком случае можно клиента предупредить об НСД путем использования ложных (фальсифицированных) ресурсов сети Интернет?
                              Физики (по пластиковым картам) у Вас тоже через толстый сидят?

                              Комментарий


                              • #16
                                Сообщение от khusainov rustam Посмотреть сообщение
                                Физики (по пластиковым картам) у Вас тоже через толстый сидят?
                                Да, ДБО только для юриков и ИП.

                                Комментарий


                                • #17
                                  у меня тоже возник вопрос по 382-п.
                                  - п.12 п. 2.5.4 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль выполнения требований эксплуатационной документации на используемые технические средства защиты информации в течение всего срока их эксплуатации
                                  В каких документах вы указываете контроль за требованиями эксплуатационной документации?
                                  - п.22 п.2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств
                                  Не могу понять этот пункт совсем. Другие форумчали указали в обоснованиях Порядок работы со СФИТом, МЦИ, НО каким образом СФИТ и МЦИ имеют доступ к объектам информационной инфраструктуры Банка? И вообще, они ведь операторы платежной системы, а не участники. Участники платежной системы СФИТ, в прошлом МИГОМ, МЦИ - и есть Банк. Объясните пожалуйста, какой запутанный пункт по моему мнению.

                                  Комментарий

                                  Обработка...
                                  X