5 июня, пятница 12:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Я думаю, что да) Ведь ДБО (iBank2) это тоже инструмент для перевода ДС. Хотя, если ДБО (iBank2) - не является электронных средств платежа"
    Если является то такого списка, исходя из пункта который Вы привели не следует.

    Комментарий


    • Здравствуйте. Подскажите, вопрос по 3361-У.
      При передаче клиенту, являющемуся юридическим лицом, программного обеспечения, предназначенного для осуществления переводов денежных средств с использованием системы Интернет-банкинга, доводит до клиента программное средство контроля целостности указанного программного обеспечения и инструкцию по эксплуатации (эксплуатационную документацию) такого программного средства либо указывает общедоступный ресурс, с использованием которого клиент имеет возможность получить указанную инструкцию (эксплуатационную документацию).
      Какое ПО можно использовать, может кто подскажет?
      (думаю найти какое - либо бесплатное + по ГОСТу 34.11-2012, подскажите, есть такое?)

      Комментарий


      • whirlwind,
        https://www.cryptopro.ru/faq/vychisl...gost-3411-2012 пойдет?
        Я словно лист на ветру, посмотри как я лечу...

        Комментарий


        • Добрый день, коллеги.

          2.15.2 Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры должны провести первую оценку соотвествия в течение шести месяцев после получения соответствующего статуса

          В какой момент Банк становится оператором по переводу денежных средств? Если оценка была проведена 10.01.2014г. данный пункт выполняется?

          Комментарий


          • Орлиный глаз, Это требование применимо, только к банкам (другим финансовым организациям), получившим лицензию ЦБ после вступления в силу ФЗ -161.

            Комментарий


            • Можно ли ее использовать, в коммерческих целях для вычисления ХЭШей, ведь она входит в состав СКЗИ «КриптоПро CSP», на которое есть отдельное лицензионное соглашение...?

              Вот нашел:
              10. Пользователь не вправе:
              - использовать Изделие в коммерческих целях;
              Это для КриптоПро CSP, а раз cpverify.exe входит в его состав, значит и для него...
              или я не прав?

              Комментарий


              • sha256sum / sha512sum / подпись PGP - чем не устраивает?

                Комментарий


                • Сообщение от khusainov rustam Посмотреть сообщение
                  Орлиный глаз, Это требование применимо, только к банкам (другим финансовым организациям), получившим лицензию ЦБ после вступления в силу ФЗ -161.
                  аналогичная ситуация. так и можно написать в обосновании данного пункта? "предыдущая оценка соответствия проводилась банком на 01.02.2014."

                  и поставить 1цу. хотя от момента вступления 161-ФЗ и данной датой явной больше 6 месяцев прошло. (Банк имеет лиценцию ЦБ точно более 20 лет)

                  Комментарий


                  • Сообщение от Александр Четвертый Посмотреть сообщение
                    sha256sum / sha512sum / подпись PGP - чем не устраивает?
                    Тогда уж GnuPG. PGP вроде только для частного пользования был неограниченным.

                    Комментарий


                    • Сообщение от TanyaOBR Посмотреть сообщение
                      аналогичная ситуация. так и можно написать в обосновании данного пункта? "предыдущая оценка соответствия проводилась банком на 01.02.2014."

                      и поставить 1цу. хотя от момента вступления 161-ФЗ и данной датой явной больше 6 месяцев прошло. (Банк имеет лиценцию ЦБ точно более 20 лет)


                      Тогда наверное правильнее будет ставить не 1, а н/о.

                      Комментарий


                      • На прислал ЦБ письмо сделать внеплановую самооценку по 382-П. Просят обе формы 1 и 2. и сами подтверждающие документы на бумаге и электронно.

                        например, по пункту 2.5.4. "Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают восстановление функционирования технических средств защиты информации, используемых при осуществлении переводов денежных средств, в случаях сбоев и (или) отказов в их работе"
                        туда относится в т.ч. наш "Регламент аварийных работ по восстановлению работоспособности АБС Diasoft 5NT". это внутренний документ, порядок работ (по идее документ служ.польз.)

                        Имеют они право такие документы запрашивать (не Положение и т.п.)?

                        Комментарий


                        • 2.16.2 Информация, направляемая операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, за исключением операционных центров, находящихся за пределами Российской Федерации, оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включает информацию о выявленных угрозах и уязвимостях в обеспечении защиты информации.

                          1. Отчетности для ЦБ не включает информацию о выявленных угрозах и уязвимостях в обеспечении защиты информации. В случае с Платежной системой ЦБ данный пункт неактуален?
                          2. В правилах Золотой короны указано что нужно предоставлять сведения о выявленных уязвимостях в случае их обнаружения. Достаточно ли документа "Правила ПС ЗК" или необходимо утвердить в банке свой документ, содержащий перечень информации, направляемый оператору ПС?

                          Комментарий


                          • TanyaOBR, да имеют, и скорее всего вас в ближайшие время ожидает проверка по этому направлению.

                            Комментарий


                            • Сообщение от khusainov rustam Посмотреть сообщение
                              TanyaOBR, да имеют, и скорее всего вас в ближайшие время ожидает проверка по этому направлению.
                              да, по некоторому общению с цб по поводу данного письма от цб тоже полагаю что хотят проверить нас.


                              можете подсказать в чем отличие строк 77 и 78 в форме 1 (оцнка 382-П) - п.2.10.4.

                              "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают аутентификацию входных электронных сообщений."

                              и

                              "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями."

                              Комментарий


                              • Сообщение от TanyaOBR Посмотреть сообщение
                                да, по некоторому общению с цб по поводу данного письма от цб тоже полагаю что хотят проверить нас.


                                можете подсказать в чем отличие строк 77 и 78 в форме 1 (оцнка 382-П) - п.2.10.4.

                                "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают аутентификацию входных электронных сообщений."

                                и

                                "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями."
                                Как Я понимаю:
                                1. аутентификация входных электронных сообщений - все входные сообщения (при обмене в ДБО, с ЦБ и другими платежными системами) должны проверяться на подпись, т.е. кто подписал данное сообщение.

                                2. взаимная (двусторонняя) аутентификацию участников обмена электронными сообщениями - тоже самое что и в первом пункте, но добавляется что на другой стороне (клиент ДБО, ЦБ и ПС-мы) так же проверяют подпись сообщений, которые Вы им направили.

                                Если не прав, поправьте меня.

                                Комментарий


                                • позвонили из местного отделения БР, сказали что скоро пришлют письмо с запросом материалов прошлой самооценки

                                  Комментарий


                                  • Сообщение от TanyaOBR Посмотреть сообщение
                                    да, по некоторому общению с цб по поводу данного письма от цб тоже полагаю что хотят проверить нас.


                                    можете подсказать в чем отличие строк 77 и 78 в форме 1 (оцнка 382-П) - п.2.10.4.

                                    "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают аутентификацию входных электронных сообщений."

                                    и

                                    "При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями."
                                    в строке 77 - необходимо обеспечить аутентификацию для входных электронных сообщений...
                                    в строке 78 - необходимо обеспечить взаимную аутентификацию для УЧАСТНИКОВ обмена, которые потом будут отправлять и/или принимать электронные сообщения
                                    Мы продолжаем делать то, что мы уже много наделали

                                    Комментарий


                                    • Сообщение от Орлиный глаз Посмотреть сообщение
                                      2.16.2 Информация, направляемая операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, за исключением операционных центров, находящихся за пределами Российской Федерации, оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включает информацию о выявленных угрозах и уязвимостях в обеспечении защиты информации.

                                      1. Отчетности для ЦБ не включает информацию о выявленных угрозах и уязвимостях в обеспечении защиты информации. В случае с Платежной системой ЦБ данный пункт неактуален?
                                      2. В правилах Золотой короны указано что нужно предоставлять сведения о выявленных уязвимостях в случае их обнаружения. Достаточно ли документа "Правила ПС ЗК" или необходимо утвердить в банке свой документ, содержащий перечень информации, направляемый оператору ПС?
                                      1. Проблемы индейцев шерифа не "беспокоят". Мы на проверке получили за это замечание и касалось оно не только этого пункта. Аналогичные требования есть как минимум по инцидентам. Если в правилах не предусмотрен порядок направления сведений, то это ваши проблемы и для их решения можете отправлять хоть голубями, лишь бы могли доказать факт отправки. Мы всем операторам писали официальный запрос с просьбой хотя бы в ответном письме указать, куда эту информацию скидывать.
                                      2. Нет, должен быть ваш внутренний документ.

                                      Комментарий


                                      • Сообщение от khusainov rustam Посмотреть сообщение
                                        TanyaOBR, да имеют, и скорее всего вас в ближайшие время ожидает проверка по этому направлению.
                                        Вероятно, но не обязательно.

                                        Судя по всему ЦБ собирает какую-то статистику и разослало в ТУ соответствующее указание. В каждом ТУ его поняли по своему. В результате, где-то недобздели, где-то перебздели.
                                        Запрос получило очень много банков и каждом регионе он разный. Где-то просят предоставить заверенную копию отчёта по форме 0403202, где-то полный отчёт с факторами, где-то с внутренними документами. Последнее - идиотизм, т.к. что это даст не понятно. Полноценно проверить оценку они всё равно не смогут, т.к. оценить выполнение нельзя.

                                        Комментарий


                                        • Сообщение от Berckut Посмотреть сообщение
                                          где-то с внутренними документами. Последнее - идиотизм, т.к. что это даст не понятно.
                                          Это даст невозможность поправить что либо в последний момент при выездной проверке
                                          Дмитрий З.

                                          Комментарий


                                          • Коллеги, подскажите по пункту:

                                            2.18. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие требования.

                                            Попадают ли под этот критерий банкоматы на которых не осуществляются операции связанные с осуществлением переводов денежных средств? Т.е., имеется ввиду выдача наличных."only cash out."
                                            Последний раз редактировалось Lanister; 18.03.2015, 11:19.

                                            Комментарий


                                            • Lanister, по моему все банкоматы под это требование попадают.

                                              Комментарий


                                              • спрошу и тут... в каком формате проводить классификацию банкоматов? нужно ли создавать комиссию, готовить акт классификации или достаточно просто документа "Результаты классификации..."?

                                                Комментарий


                                                • khusainov rustam, по вашему да. НО! Положение в первую очередь обращено к проблеме обеспечения защиты информации при осуществлении переводов денежных средств, т.е. затрагиваются, на мой взгляд, только аспекты, касающиеся данного процесса, в том числе, и банкоматы непосредственно задействованные в этом процессе. По прежнему жду комментариев к своему вопросу!

                                                  Комментарий


                                                  • Уважаемые коллеги!

                                                    Может кому пригодится след.информация: 19 марта 2015 года в 10.00 по московскому времени состоится бесплатный вебинар: "Информационная безопасность банка: требования Банка России по осведомлённости персонала и как их выполнить". Участие БЕСПЛАТНОЕ. Вот ссылка на регистрацию: http://www.vep.ru/webinars/Webinar_2015-03-19.html

                                                    Комментарий


                                                    • Сообщение от Lanister Посмотреть сообщение
                                                      Попадают ли под этот критерий банкоматы на которых не осуществляются операции связанные с осуществлением переводов денежных средств?
                                                      Мне кажется, что в трактовке ЦБ процесс выдачи через банкомат - это перевод ДС. Деньги со счета дистанциооно переведены в наличную форму.
                                                      P.S. могу быть не прав
                                                      Дмитрий З.

                                                      Комментарий


                                                      • Если мы являемся только участников Плат.системы Контакт.
                                                        1) должны ли мы оценивать (как частник) пункты 2.13.3, 2.14.2. ?

                                                        в них требования начинаются на "Оператор платежной системы устанавливает"

                                                        2) должны описать каким образом они к нам выполняют данные требования или можно поставить н/о
                                                        и в комментарии написать, что не являемся оператором плат.системы, а лишь участником (такой-то)?

                                                        Комментарий


                                                        • Сообщение от Lanister Посмотреть сообщение
                                                          khusainov rustam, по вашему да. НО! Положение в первую очередь обращено к проблеме обеспечения защиты информации при осуществлении переводов денежных средств, т.е. затрагиваются, на мой взгляд, только аспекты, касающиеся данного процесса, в том числе, и банкоматы непосредственно задействованные в этом процессе. По прежнему жду комментариев к своему вопросу!
                                                          Согласен с Вами, что если дословно читать требование, то банкоматы, без возможности перевода д.с. не подпадают под данное требование. Скорее всего разработчики 382-П не учли что бывают такие банкоматы. Но думаю что у проверяющих будет позиция, что все банкоматы подпадают под требования 382-П.

                                                          Комментарий


                                                          • Сообщение от Орлиный глаз Посмотреть сообщение
                                                            Согласен с Вами, что если дословно читать требование, то банкоматы, без возможности перевода д.с. не подпадают под данное требование. Скорее всего разработчики 382-П не учли что бывают такие банкоматы. Но думаю что у проверяющих будет позиция, что все банкоматы подпадают под требования 382-П.
                                                            Согласен с Вами и будет трудно доказать проверяющем,у что ваши банкоматы этого не делают.

                                                            Комментарий


                                                            • donZhukan, Нам сегодня прислали такое письмо)))

                                                              Комментарий

                                                              Обработка...
                                                              X