9 апреля, четверг 03:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от UserNick Посмотреть сообщение
    В любом случае если разойдетесь во мнениях с проверяющими не сможете обосновать свое понимание выполнения требования, устраните несоответствие по предписанию. Однако предварительную работу с разработчиком системы ДБО, думаю провести стоит, уточнив наличие процесса протоколирования действий админов и настояв на необходимости реализовать эту функцию, если она не реализована.
    Мы анализировали системы ДБО на предмет протоколирования действий. Выявили, что в одной известной системе это не осуществляется. Написали разработчику с указанием на 382-П и нам (что в общем то ожидаемо, а что мы хотели, в такой стране живем) пояснили в стиле "вы уж как нидь сами... средствами СУБД там все решайте"
    Не удивили в общем. Но положительного отношения в моих глазах к разработчикам точно не вернуть.
    Компанию называть не буду.
    К чему это? что указать то на необходимость можно, но наиболее вероятно будет простой тратой времени. Требования 382-П использующим ДБО маленьких банкам (не Сбер и аналоги, где разработчик прислушается) последнее время приходится выполняться за счет собственных сил в части допиливания ДБО или придумывания "словесных заплаток" ...

    Комментарий


    • Сообщение от Dolphina12 Посмотреть сообщение
      вы уж как нидь сами... средствами СУБД там все решайте"
      Вообще-то в договоре на сопровождение обычно оговаривается поддержка законодательства. Можно попробовать писать официальный запрос на поддержку 382-П. Если система распространенная и напишут многие - сделают. Не сразу, но сделают.
      Дмитрий З.

      Комментарий


      • Сообщение от Zahar Посмотреть сообщение
        Вообще-то в договоре на сопровождение обычно оговаривается поддержка законодательства. Можно попробовать писать официальный запрос на поддержку 382-П. Если система распространенная и напишут многие - сделают. Не сразу, но сделают.
        +1

        Сообщение от Dolphina12 Посмотреть сообщение
        Компанию называть не буду.
        Зря, думаю страна должна знать своих героев.

        Если большинство будет молчать по принципу "мы не большие, нас слушать не будут", то ситуация вряд ли поменяется, но как правильно написал Zahar если напишут многие, то наверняка прислушаются и сделают.

        Комментарий


        • Сообщение от Zahar Посмотреть сообщение
          Вообще-то в договоре на сопровождение обычно оговаривается поддержка законодательства. Можно попробовать писать официальный запрос на поддержку 382-П. Если система распространенная и напишут многие - сделают. Не сразу, но сделают.
          Нет, не сделают. Ибо "вы уж как нидь сами... средствами СУБД там все решайте" и было красиво в официальном письме пририсовано к якобы выполнению закона (и не единожды же писали). Механизмы у СУБД для реализации протоколирования есть? Есть (и не поспоришь, не хватит одних, те же триггеры можно наваять себе спокойно и протоколировать что душе угодно). Значит закон выполняется (а как контролировать это самое протоколирование, ибо это не механизм ДБО, а именно СУБД, ребяток мало волнует).
          В общем от ветряной мельницы мы устали. Но герои в моем посте себя узнают. И прочувствуют реакцию на их отношение.

          Комментарий


          • Сообщение от UserNick Посмотреть сообщение
            +1
            Извините, - 100

            Ибо мы именно руками в реалии пробовали разобраться.


            Сообщение от UserNick Посмотреть сообщение
            Зря, думаю страна должна знать своих героев.

            Если большинство будет молчать по принципу "мы не большие, нас слушать не будут", то ситуация вряд ли поменяется, но как правильно написал Zahar если напишут многие, то наверняка прислушаются и сделают.
            Нет, ибо такое начнется что недайБог... А организовываться у нас люди, как показала практика, не умеют (или не хотят). Ибо уверена, не только я заглядывала в те журналы и логи и не видела там никакого протоколирования назначения прав. Но сегодня о том, что в одной из систем ДБО (в пром поставке) 382-П и не думает выполняться, другие как то не говорят... (и не только в части протоколирования действий администраторов)

            Комментарий


            • Сообщение от Dolphina12 Посмотреть сообщение
              Нет, ибо такое начнется что недайБог... А организовываться у нас люди, как показала практика, не умеют (или не хотят). Ибо уверена, не только я заглядывала в те журналы и логи и не видела там никакого протоколирования назначения прав. Но сегодня о том, что в одной из систем ДБО (в пром поставке) 382-П и не думает выполняться, другие как то не говорят... (и не только в части протоколирования действий администраторов)
              Не разделяю Ваше мнение про возможный "недайБог" в случае, если на проблемы массово начнут обращать внимание.
              По моим наблюдениям после уменьшения усилиями БР потребителей на рынке банковской автоматизации меняется и отношение разработчиков к банкам и их пожеланиям.
              Если в отношении общения с разработчиками вам больше нравится позиция "хорошо информированного оптимиста", переубеждать Вас не буду, но такое отношение к обсуждаемому вопросу не поддерживаю.

              Комментарий


              • ок. кто пользуется iBank2 и разбирался в его протоколировании?
                недавно они выпустили информационный бюллетень о выполнении требований 382-П. надо глянуть что там пишут

                Комментарий


                • Сообщение от UserNick Посмотреть сообщение
                  Не разделяю Ваше мнение про возможный "недайБог" в случае, если на проблемы массово начнут обращать внимание.
                  По моим наблюдениям после уменьшения усилиями БР потребителей на рынке банковской автоматизации меняется и отношение разработчиков к банкам и их пожеланиям.
                  Если в отношении общения с разработчиками вам больше нравится позиция "хорошо информированного оптимиста", переубеждать Вас не буду, но такое отношение к обсуждаемому вопросу не поддерживаю.
                  Понимаю, что не разделяете. Но несколько лет назад по острой нужде я подняла однажды тему некорректной работы СП того же ДБО... реакция участников запомнилась.
                  Так что нет, спасибо, не надо. У меня "хорошо информированный реализм"
                  Но сами, когда понимаем, что разработчики ДБО живут отрезанной от реалии требований к нам, банкам, законов, не сильно можем противостоять даже путем отказа от ДБО. Дорого и хлопотно. Иногда проще думать в сторону совсем отказа от части услуг, чем перевоспитывать разработчиков, которым сильно безразличны "наезды регуляторов"... И которые в письмах вполне официальны рассказывают, что мол выполняйте свои требования, берите инструменты СУБД и выполняйте на здоровье.
                  Вон DonZhukan только взялся глянуть, насколько заявленное в iBank соответствует реалиям... А мы уже не первый год эту тему детально копаем безо всяких бюллетеней...
                  Пусть коллега сопоставляет, посмотрит реалии ... Потом может (если захочет) расскажет, как оно там на самом деле то... В бюллетене кстати не все требования отражены... Там тот же формализм и красивые фразы.

                  Комментарий


                  • Всем привет
                    Вопрос по поводу получения лицензий ФСБ на СКЗИ
                    Может ли начальник отдела ИТ совмещать должность начальника отдела Информационной Безопасности?
                    Если НЕТ, то где это прописано?

                    Комментарий


                    • Сообщение от Oleg-b2b Посмотреть сообщение
                      Может ли начальник отдела ИТ совмещать должность начальника отдела Информационной Безопасности?
                      Доброе утро!
                      Для ФСБ может, для ЦБ нет
                      п. 2.11.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры:
                      обеспечивают формирование службы информационной безопасности, а также определяют во внутренних документах цели и задачи деятельности этой службы;
                      предоставляют полномочия и выделяют ресурсы, необходимые для выполнения службой информационной безопасности установленных целей и задач.
                      Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры назначают куратора службы информационной безопасности из состава своего органа управления и определяют его полномочия. При этом служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.
                      Дмитрий З.

                      Комментарий


                      • Сообщение от Zahar Посмотреть сообщение
                        для ЦБ нет
                        очень странно
                        При последней проверке ЦБ этот вопрос возникал у нас

                        Комментарий


                        • Возникал - это понятно. Как он решился? У одного сотрудника 2 куратора? Похоже на конфликт интересов.
                          Дмитрий З.

                          Комментарий


                          • Для получения лицензий вообще не важно. Главное чтобы были люди подходящие под требования (диплом + стаж). А на какой должности он работает никого не волнует. Лишь бы в обязанностях было прописано нужное.

                            Комментарий


                            • Сообщение от Zahar Посмотреть сообщение
                              Возникал - это понятно. Как он решился? У одного сотрудника 2 куратора? Похоже на конфликт интересов.
                              нет, у нас все в порядке. Сотрудники ИТ и ИБ не пересекаются, куратора два.
                              Просто был вопрос от ЦБ, где это закреплено.

                              Комментарий


                              • Вопрос был про получение лицензий ФСБ.

                                Комментарий


                                • Sat_Kelman, да.
                                  Но я выделила комментируемый фрагмент

                                  Комментарий


                                  • Добрый день!

                                    А кто то в курсе менялся ли файл Excel для проведения самооценки? А то время то подходит к повторению 2013 г.

                                    Комментарий


                                    • Сообщение от Alex_men Посмотреть сообщение
                                      менялся ли файл Excel для проведения самооценки
                                      Конечно менялся!!! Только 3361-У чего стоит
                                      Дмитрий З.

                                      Комментарий


                                      • Zahar, У Вас есть этот файлик с обновлениями?

                                        Комментарий


                                        • Присоединяюсь к коллеге с вопросом где можно достать обновленный файл?

                                          Комментарий


                                          • файл тут http://www.itsec.pro

                                            Комментарий


                                            • Сообщение от khusainov rustam Посмотреть сообщение
                                              файлик с обновлениями
                                              Файлик не мой, но добыт точно из открытого источника (к сожалению не помню откуда). Но автору большое спасибо
                                              Вложения
                                              Дмитрий З.

                                              Комментарий


                                              • Коллеги подскажите кто и как реализует у себя данный пункт:
                                                "Требование о необходимости направления клиенту по альтернативному системе Интернет-банкинга каналу связи сообщения, содержащего сведения о сформированном с использованием системы Интернет-банкинга распоряжении о переводе денежных средств, включая сумму и получателя денежных средств, до подтверждения клиентом указанного распоряжения с использованием одноразового кода подтверждения".

                                                И можно ли в самооценке поставить значение "н/о", если мы это не можем сделать?

                                                Комментарий


                                                • Сообщение от khusainov rustam Посмотреть сообщение
                                                  И можно ли в самооценке поставить значение "н/о", если мы это не можем сделать?
                                                  н\о можно ставить только в случаях если этот пункт к вам не относить как к например к банковскому агенту . В вашем случае если вы вообще ничего не делаете, ставите 0, если направляете и это отраженно в внд то 1

                                                  Комментарий


                                                  • Сообщение от khusainov rustam Посмотреть сообщение
                                                    Коллеги подскажите кто и как реализует у себя данный пункт:
                                                    "Требование о необходимости направления клиенту по альтернативному системе Интернет-банкинга каналу связи сообщения, содержащего сведения о сформированном с использованием системы Интернет-банкинга распоряжении о переводе денежных средств, включая сумму и получателя денежных средств, до подтверждения клиентом указанного распоряжения с использованием одноразового кода подтверждения".

                                                    И можно ли в самооценке поставить значение "н/о", если мы это не можем сделать?
                                                    СМС-подтверждение платежа с указанием соответствующих реквизитов.Альтернативный канал связи- это и есть СМС-сообщение.
                                                    н/о- означает не обязательный пункт.Если Вы-Банк,то н/о поставить не можете.
                                                    Категорию проверки уже не помню...Если во внутренней документации по ИБ не прописано-значит полюбому прописано в договоре и приложениях.Разумеется если у Вас есть этот функционал.

                                                    Комментарий


                                                    • Сообщение от tsv_and Посмотреть сообщение
                                                      СМС-подтверждение платежа с указанием соответствующих реквизитов.Альтернативный канал связи- это и есть СМС-сообщение.
                                                      н/о- означает не обязательный пункт.Если Вы-Банк,то н/о поставить не можете.
                                                      Категорию проверки уже не помню...Если во внутренней документации по ИБ не прописано-значит полюбому прописано в договоре и приложениях.Разумеется если у Вас есть этот функционал.
                                                      В том, то и дело, что в существующей версии ДБО у нас этого функционала нет,
                                                      понял, спасибо за ответ.

                                                      Комментарий


                                                      • Сообщение от tsv_and Посмотреть сообщение
                                                        СМС-подтверждение платежа с указанием соответствующих реквизитов.Альтернативный канал связи- это и есть СМС-сообщение.
                                                        н/о- означает не обязательный пункт..
                                                        Исходя из текста, нужен механизм информирования до совершения платежа,
                                                        а процедура информирование после совершения платежа у нас реализована.

                                                        Комментарий


                                                        • отзвонились сегодня из местного отделения ЦБ по поводу недавней дистанционной проверки 382-П.
                                                          в целом итоговый результат практически не изменился. дополнительных материалов не запрашивали.
                                                          На следующей неделе обещали прислать официальное письмо с результатами и замечаниями.

                                                          Комментарий


                                                          • donZhukan, результат то их устроил?

                                                            Комментарий


                                                            • khusainov rustam, наших местных устроил

                                                              Комментарий

                                                              Обработка...
                                                              X