27 мая, среда 12:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Да и MAC - Чушь Петровна.
    Надо думать в сторону эдакого снэпшота системы, который бы удовлетворял требованиям уникальности конечно.

    Комментарий


    • В антифроде у нас отображается некий CID ПК, при изменении CIDa, система делает оповещение администратору для проверки платежа. это удовлетворяет требованиям?

      Комментарий


      • Сообщение от khusainov rustam Посмотреть сообщение
        некий CID ПК,
        Согласно 3361-у этот CID должен быть прописан в заявлении клиента!!! Или перечень CID (что бы это не было )
        Дмитрий З.

        Комментарий


        • Сообщение от Zahar Посмотреть сообщение
          Согласно 3361-у этот CID должен быть прописан в заявлении клиента!!! Или перечень CID (что бы это не было )
          Заранее этого не сделать((((

          Комментарий


          • Сообщение от khusainov rustam Посмотреть сообщение
            Заранее этого не сделать((((
            Как бы это ЦБ объяснить
            Дмитрий З.

            Комментарий


            • В том-то и дело, что идентификация по IP для физ.лиц это "от лукавого"
              Для юр.лиц это, конечно, возможно, но тоже далеко не всегда
              :-(

              Снэпшот системы... Но ведь поменяю я, например, DVD - снепшот изменится.
              Я должен писать заявление в банк. Офигеть как удобно для клиентов!!

              А в отпуск я поехал и выхожу в ДБО с компа тещи? Эх...
              :-(
              С уважением, Владислав.

              Комментарий


              • Сообщение от Vlad_Kond Посмотреть сообщение
                А в отпуск я поехал и выхожу в ДБО с компа тещи?
                Сурово у Вас отпуск проходит
                Дмитрий З.

                Комментарий


                • Ну по теме снепшота системы, могу вот что сказать.
                  При решении подобной задачи однажды, мы использовали железяки, которые сменяться с малой вероятностью - ID материнки, ID винта, ID процессора. Все это дело замешивали по особому правилу в одну строку, которая становилась ну как бы что ли индивидуальной =) Ну, по крайней мере этой системе уже почти 3 года, коллизий по теме индивидуальности не возникало.
                  Это я не к тому, что надо делать именно так, это я к тому. что можно вот пойти подобным путем.
                  С телефонами, как мне кажется, вполне покатит IMEI, так как ну прям очень простого метода его замены я не слыхал. А те методы, что имеются (не судите строго, это только как бы исключительно только то что я знаю) - явная перепрошивка аппарата.. Рядовому пользователю это маловероятно потребуется. Ну а если кража, то вот и фрод...

                  Ах да, по теме компа тёщи.. А как бы не рекомендуется пользоваться другими компами
                  Рекомендуется использовать специально выделенный комп

                  Комментарий


                  • Сообщение от Zahar Посмотреть сообщение
                    Мне кажется, что в трактовке ЦБ процесс выдачи через банкомат - это перевод ДС. Деньги со счета дистанциооно переведены в наличную форму.
                    P.S. могу быть не прав
                    Нет, данная операция не относится к переводу денежных средств.
                    См. часть 4 статьи 5 161-фз - Внесение·наличных·денежных средств на свой банковский счет или·получение·наличных·денежных средств со своего банковского счета у одного оператора по переводу денежных средств не является переводом денежных средств.

                    Комментарий


                    • Сообщение от ShiCo Посмотреть сообщение
                      у одного оператора по переводу денежных средств
                      А если в банкомате получил деньги "чужак"?
                      Дмитрий З.

                      Комментарий


                      • Сообщение от Zahar Посмотреть сообщение
                        А если в банкомате получил деньги "чужак"?
                        Так как участвует, как минимум два оператора по переводу денежных средств (банк эквайер, банк эмитент), то согласно 161-фз - это перевод денежных средств.

                        Комментарий


                        • На тему 3361-У и по следам публикации на Коммерсанте про идентификацию, были две статьи, с вполне необезличенными комментариями участников банковского сообщества.
                          http://geektimes.ru/post/247532/
                          http://geektimes.ru/post/247638/

                          Комментарий


                          • Еще раз хочу вернуться к обсуждению пункта 2.7.1 из 382-П.
                            технические средства защиты информации от воздействия вредоносного кода это что? Касперские и докторы вебы сюда попадают? А если не попадают ставить 0 или н/о
                            Дмитрий З.

                            Комментарий


                            • Zahar, Если поставите "0", то это требование у вас не выполняется, а если поставить "н/о"- это требование к Вам не приемлемо и с него оценка учитываться не будет.
                              Поднимите письмо, по моему 49-Т, там как раз было описано про СЗИ от вредоносного кода.

                              Комментарий


                              • Zahar,
                                мы для себя решили, что здесь имеется в виду именно антивирус. Там, к слову, если обосновать отсутствие технической возможности, то можно и н/о поставить при отсутствии АВПО. На старый банкомат с 256Мб памяти вменяемый антивирус надо еще постараться натянуть.
                                Я словно лист на ветру, посмотри как я лечу...

                                Комментарий


                                • Сообщение от Mc`Sim Посмотреть сообщение
                                  мы для себя решили, что здесь имеется в виду именно антивирус
                                  Спасибо. Сам тоже проконсультировался с толковыми людьми. Мне сказали, что термин "технические средства защиты информации от воздействия вредоносного кода" в 382-П применяется в трактовке ФСТЭК. А там это значит, что "не организационные" и программный отлично туда подходит. К сожалению пока не откопал в каком конкретно документе ФСТЭК это так определено.
                                  Дмитрий З.

                                  Комментарий


                                  • Коллеги, разъясните содержание следующего пункта из 382-П (другими словами переведите на РУССКИЙ язык, что ЦБ имеет в виду):

                                    "Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи"


                                    Заранее спасибо. Жду Вашего ответа.

                                    Комментарий


                                    • Извиняюсь за оффтоп, но по поводу технические средства защиты информации от воздействия вредоносного кода.

                                      Определение средств защиты информации я наше в законе Закон РФ от 21.07.1993 N 5485-1"О государственной тайне". Думаю это определение относится ко всем документам, где есть упоминание "средства защиты информации".

                                      Так вот текст
                                      "...средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации..."

                                      То есть, технические средства защиты информации от вредоносного кода, это техническое средство, в котором реализована функция защиты от вредоносного кода.
                                      В моем понимании, это какая то железяка, со встроенным антивирусом.

                                      Комментарий


                                      • Bruno Kimmelman,
                                        компьютер с запущенным на нем антивирусом - это " железяка, со встроенным антивирусом"?
                                        Я словно лист на ветру, посмотри как я лечу...

                                        Комментарий


                                        • Сообщение от Mc`Sim Посмотреть сообщение
                                          Bruno Kimmelman,
                                          компьютер с запущенным на нем антивирусом - это " железяка, со встроенным антивирусом"?
                                          Если уж говорить отдельно, то это программно-аппаратный комплекс предоставляемый компанией-разработчиком средств защиты информации, в котором реализована защита от вредоносных программ. Но "компьютер", на который поставили антивирусное ПО, так же попадает под категорию средств защиты информации.

                                          Комментарий


                                          • ограничение прав пользователей, использование штатной политики ОС "ограниченного использования ПО - когда то, что разрешено пользователю для изменения, запрещено для записи, а то, что разрешено для исполнения - запрещено для изменения" - в принципе орг-тех или тех меры, дающие 99% защиту от малваря, чего не дает ни один антивирус.

                                            и вообще с точки зрения реальной безопасности - как можно ставить проприентарное ПО, работающее с системными правами и бегающее в интернеты якобы за обновлениями сигнатур, на критичные финансовые объекты? или я параноик?

                                            Комментарий


                                            • Сообщение от egik-lenusik Посмотреть сообщение
                                              Коллеги, разъясните содержание следующего пункта из 382-П (другими словами переведите на РУССКИЙ язык, что ЦБ имеет в виду):

                                              "Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи"
                                              382-П
                                              Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств

                                              2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее - защищаемая информация):
                                              ...
                                              (абз.9) информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры)

                                              Вот эти объекты задействованные при подключении ТУ ДБО к информационно-телекоммуникационным сетям (на практике к сети Интернет) Вам нужно посчитать и контролировать не изменился ли их состав.

                                              Комментарий


                                              • Коллеги, срочно нужен план по устранению нарушений требований 382-П. Просит местное ЦБ. Поделитесь рыбой, очень нужно!

                                                Комментарий


                                                • Сообщение от Безопасник Посмотреть сообщение
                                                  Коллеги, срочно нужен план по устранению нарушений требований 382-П. Просит местное ЦБ. Поделитесь рыбой, очень нужно!
                                                  Обычная таблица:
                                                  - № п\п;
                                                  - Мероприятия;
                                                  - Срок выполнения;
                                                  - Ответственный исполнитель.
                                                  Сколько нарушений, столько строк.

                                                  Ну а по содержанию... Тут уж сам

                                                  Комментарий


                                                  • Сообщение от Безопасник Посмотреть сообщение
                                                    Коллеги, срочно нужен план по устранению нарушений требований 382-П. Просит местное ЦБ. Поделитесь рыбой, очень нужно!
                                                    план мероприятий 382-П.zip

                                                    Комментарий


                                                    • В каком контексте рассматривать новые новые пункты 2.5.7-2.5.10? Все требования сводятся к условию, что ОПДС либо разработал сам (в т.ч. привлёк к разработке кого-то), либо купил готовый продукт для осуществления переводов ДС. Но как быть если приобретается не продукт, а услуга?
                                                      Например, Faktura.ru или IBank. Банк покупает услугу - по сути сторонняя организация предоставляет систему электронного документооборота в которой, как одной из функций, реализован обмен электронными платёжными документами.

                                                      2.5.7 При разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных:
                                                      - с выполнением требований к защите информации при осуществлении переводов денежных средств;
                                                      - с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет".
                                                      Оператор по переводу денежных средств контролирует реализацию указанных функций при разработке программного обеспечения с привлечением сторонней организации, а также при закупке готового к использованию без дополнительной доработки программного обеспечения.

                                                      Комментарий


                                                      • Коллеги, подскажите как вы "закрываете" требование пункта 2.6.3

                                                        "При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
                                                        регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);" ?

                                                        Комментарий


                                                        • Tony Mertsalov, клиент может управлять только своими счетами, а его действия логируются системой

                                                          Комментарий


                                                          • Да, но смущает вот эта часть требования "регистрацию действий, связанных с назначением и распределением прав клиентов". Действия клиента ПО логирует, но действия по назначению прав осуществляются не на стороне клиента, получается действия админа, который регистрирует клиента в системе это и есть те самые действия? но как закрыть это требование документально? прокатит ли, например, договор, который заключается с клиентом, где описаны его права итд итп в качестве "заплатки" по этому пункту?

                                                            Комментарий


                                                            • Сообщение от Tony Mertsalov Посмотреть сообщение
                                                              Да, но смущает вот эта часть требования "регистрацию действий, связанных с назначением и распределением прав клиентов". Действия клиента ПО логирует, но действия по назначению прав осуществляются не на стороне клиента, получается действия админа, который регистрирует клиента в системе это и есть те самые действия? но как закрыть это требование документально? прокатит ли, например, договор, который заключается с клиентом, где описаны его права итд итп в качестве "заплатки" по этому пункту?
                                                              Думаю, предложенный юридически -организационный подход предоставления доказательств выполнения требования вполне уместен.
                                                              382-П не славится однозначностью формулировок и Вы вполне можете понять требование как Вам удобно.
                                                              Для выполнения этого пункта можно использовать также программно-технологическое доказательство выполнения требования, описав или предоставив ссылки на документацию ДБО описывающую процесс регистрации(создания) пользователей и протоколирования действий администраторов при этом.
                                                              В любом случае если разойдетесь во мнениях с проверяющими не сможете обосновать свое понимание выполнения требования, устраните несоответствие по предписанию.
                                                              Однако предварительную работу с разработчиком системы ДБО, думаю провести стоит, уточнив наличие процесса протоколирования действий админов и настояв на необходимости реализовать эту функцию, если она не реализована.

                                                              Комментарий

                                                              Обработка...
                                                              X