27 февраля, четверг 05:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • khusainov rustam,
    вопрос - есть ли в Вашем договоре порядок установления ограничения? если нет, и пользователь просто написал Вам письмо "не хочу слать платежи в ххх" - то Вы только нарушили 3361-у, не дав ему такое право. А вот если в договоре процесс установки ограничений указан, но платеж прошел - то imho все грустно.
    Я словно лист на ветру, посмотри как я лечу...

    Комментарий


    • Mc`Sim,надо поглядеть договор и что-то мне подсказывает, что там это зафиксировано.

      Комментарий


      • Коллеги, сегодня пришел запрос от местного ЦБ с просьбой предоставить им предложения по совершенствованию 382-П.
        Если у кого-то какие либо предложения- прошу озвучить, Может, действительно сможем усовершенствовать данное указание.

        Комментарий


        • Сообщение от khusainov rustam Посмотреть сообщение
          Коллеги, сегодня пришел запрос от местного ЦБ с просьбой предоставить им предложения по совершенствованию 382-П.
          Если у кого-то какие либо предложения- прошу озвучить, Может, действительно сможем усовершенствовать данное указание.
          На сколько я знаю, в ближайшее время всем придёт

          Комментарий


          • Коллеги, не могу четко понять, какой срок хранения логов на действия (события) в системах, попадающие под 382-П?
            5 лет? В каком пункте это требование?

            Комментарий


            • Сообщение от Шауро Евгений Посмотреть сообщение
              Коллеги, не могу четко понять, какой срок хранения логов на действия (события) в системах, попадающие под 382-П?
              5 лет? В каком пункте это требование?
              5 лет - 382-п, п. 2.6.3, абзац где-то 15-й - 20-й

              Комментарий


              • Здравствуйте!
                Коллеги, подвернулась временная работа разовая. Сделать для одной рнко работы по 382-п. Организация молодая и маленькая, так что нормативки нет. Вопрос в цене. Сколько запросить? Чтобы и себя не обидеть и не наглеть (а то и отшить могут) за сколько вы бы сделали?

                Комментарий


                • Sat_Kelman,
                  Ценник зависит от региона и кошелька клиента. В Москве тупо за комплект шаблонов документов (без корректировок) просят от 30 т.руб.
                  Интегратор за работы по "адаптации" шаблонов документации просили 300 т.р. Про Ёбург не знаю...

                  Комментарий


                  • Sat_Kelman, В казани, за шаблолн документов по ПДн в 12 году брали от 150 - до 500 т.р.

                    Комментарий


                    • Коллеги, кто уже отправил отчет по 202 форме в ЦБ? Возникли ли у ЦБ какие-либо вопросы?

                      Комментарий


                      • отправил 30.09.2015. Весной была проверка дистанционная, запрашивали Приложение 1, по итогам были замечания. Новая оценка получилась ниже, чем была ранее. Пока тишина, ждемс.

                        Комментарий


                        • В этом отчетном периоде у банка появился платежный агент, чего ранее не было.
                          Возник вопрос, как проводить оценку. Включать ли в нее степень исполнения требований агентом? Если да, то как?
                          В 382п не нашла прямого указания на то, что это нужно или не нужно делать.

                          Допустим, у нас по одному требованию 1, а у БПА 0.25 или даже 0 (нет дока).

                          Комментарий


                          • Расхождение какое-то...
                            Есть пункт в приложении 1
                            "обобщающий показатель EV1 - характеризующий выполнение группы требований к обеспечению защиты информации при осуществлении переводов денежных средств, определенных в пунктах 2.4 - 2.10, 2.18 и 2.19 настоящего Положения, и вычисляемый как среднее арифметическое оценок выполнения указанных требований, умноженное на корректирующий коэффициент ;"

                            А таблица в конце ему не соответствует, т.к. требования по банкоматам отнесены ко второму обобщающему показателю

                            Комментарий


                            • Сообщение от Berckut Посмотреть сообщение
                              В каком контексте рассматривать новые новые пункты 2.5.7-2.5.10? Все требования сводятся к условию, что ОПДС либо разработал сам (в т.ч. привлёк к разработке кого-то), либо купил готовый продукт для осуществления переводов ДС. Но как быть если приобретается не продукт, а услуга?
                              Например, Faktura.ru или IBank. Банк покупает услугу - по сути сторонняя организация предоставляет систему электронного документооборота в которой, как одной из функций, реализован обмен электронными платёжными документами.
                              Добрый день! Подскажите пожал. как нашли решение по заданному вопросу? Интересует может ли банк работать с Faktura, учитывая что ни под одно из требований 382-П (например оператор плат системы, агент и т.д.) она не попадает..Или же достаточно сделать самим или получить внешнюю оценку соответствия их 382-П и все? Может кто вам отвечал или сами нашли решение

                              Комментарий


                              • Сообщение от Мария Швец Посмотреть сообщение
                                Добрый день! Подскажите пожал. как нашли решение по заданному вопросу? Интересует может ли банк работать с Faktura, учитывая что ни под одно из требований 382-П (например оператор плат системы, агент и т.д.) она не попадает..Или же достаточно сделать самим или получить внешнюю оценку соответствия их 382-П и все? Может кто вам отвечал или сами нашли решение
                                Нам Фактура присылала файл, где есть описание того, как ими выполнены требования 382-п
                                Они не попадают под отчетность, но требования по переводам они выполнять все равно должны, как иначе

                                Комментарий


                                • Сообщение от giroskop Посмотреть сообщение
                                  Нам Фактура присылала файл, где есть описание того, как ими выполнены требования 382-п
                                  Они не попадают под отчетность, но требования по переводам они выполнять все равно должны, как иначе
                                  Коллеги! Подскажите, пожалуйста, как решить вопрос с Фактурой в части обработки ими банковской тайны, т.к., как здесь было сказано, Фактура не является участником платежной системы (ни ОПС, ни ОПДС, ни БПА, ни т.д.)?

                                  Комментарий


                                  • Сообщение от Мария Швец Посмотреть сообщение
                                    Добрый день! Подскажите пожал. как нашли решение по заданному вопросу? Интересует может ли банк работать с Faktura, учитывая что ни под одно из требований 382-П (например оператор плат системы, агент и т.д.) она не попадает..Или же достаточно сделать самим или получить внешнюю оценку соответствия их 382-П и все? Может кто вам отвечал или сами нашли решение
                                    Никак. В августе написано письмо в ЦБ с просьбой разъяснить. Ответа до сих пор ждём.

                                    Комментарий


                                    • Сообщение от Berckut Посмотреть сообщение
                                      В августе написано письмо в ЦБ с просьбой разъяснить. Ответа до сих пор ждём.
                                      А дошло ли ваше письмо (входящий номер есть)?
                                      Обязаны были ответить в месячный срок, пусть отпиской, но ответ должен быть.

                                      Комментарий


                                      • Спасибо товарищи, а если нам самим провести оценку Фактура по 382-П? то есть самооценку выполнения требований Положения...? Единственное к кому из указанных в положении участников положения отнести..там ведь разные критерии оценки

                                        Комментарий


                                        • Сообщение от vgostev Посмотреть сообщение
                                          Коллеги! Подскажите, пожалуйста, как решить вопрос с Фактурой в части обработки ими банковской тайны, т.к., как здесь было сказано, Фактура не является участником платежной системы (ни ОПС, ни ОПДС, ни БПА, ни т.д.)?
                                          Faktura.ru можно определить как внешний сервис интернет-банка. Но в таком случае, вообще сложно с юридической точки зрения определить их позицию. Банковской тайной владеют, но не банк.

                                          Комментарий


                                          • 2.8.1. При использовании сети "Интернет" для осуществления переводов денежных средств оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
                                            - применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации, передаваемой по сети "Интернет";
                                            - применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации на объектах информационной инфраструктуры с использованием сети "Интернет";
                                            Допустим имеем 2 офиса, между которыми надо наладить связь (в идеале должно выглядеть, как единая локальная сеть). Понятно, что очевидным решением является VPN.
                                            Но есть ли у кого положительный опыт использования других решений без криптографии, которые, во-первых, оказались достаточно эффективными и защищёнными, во-вторых, удовлетворили ЦБ при проверке?
                                            Выполнение обоих условий обязательно

                                            Комментарий


                                            • Коллеги, пришел запрос от ЦБ на предоставление информации:
                                              Осуществляется ли сверка выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями (п. 2.10.4 Положения 382-П) ?
                                              комментарий к вопросу - Реализовать отправку электронных сообщений на дополнительный контроль в автоматизированную банковскую систему после подписи в АРМ КБР согласно документации к АРМ КБР, либо иными способами (указать, какими именно).
                                              подскажите как необходимо ответить?

                                              Комментарий


                                              • А я вот как раз думаю, что на этот пункт ответить (((

                                                Комментарий


                                                • Я так подозреваю, что речь идёт о FRAUD-анализе.

                                                  Комментарий


                                                  • BankirIS, в рамках АРМ КБР анти-фрод систем нет

                                                    Комментарий


                                                    • Всё, что смог придумать, так это проверку выписок по счёту сюда приплести.

                                                      Комментарий


                                                      • Сообщение от khusainov rustam Посмотреть сообщение
                                                        Реализовать отправку электронных сообщений на дополнительный контроль в автоматизированную банковскую систему после подписи в АРМ КБР согласно документации к АРМ КБР, либо иными способами (указать, какими именно).
                                                        в большинстве случаев взаимодействие с АРМ КБР "автоматизируют" в банках в стиле samba-файлопомойки, в которую что ни плюнь - все подпишется и благополучно уйдет в ЦБ.
                                                        с точки зрения ИБ это не правильно, и об этом говорится в документации администратора ИБ:
                                                        При конфигурировании потоков данных необходимо предусмотреть проведение сверки реквизитов ЭС, подписанных в ПК АРМ КБР, с реквизитами ЭС, поданных на вход ПК АРМ КБР для обработки.
                                                        Например, АБС должна отдавать пакет в АРМ КБР, который не сразу подписывает и отправляет доки в ЦБ, а формирует только ЗК на пакет, после чего АРМ КБР отправляет такой пакет с ЗК обратно в АБС. АБС проверяет, что по пути никто ничего не подложил - все эти документы она и хотела отправить, и отдает АРМ КБРу пакет с ЗК на подпись. АРМ КБР проставляет на пакете с ЗК еще КА и отправляет пакет в транспорт -> ЦБ.

                                                        Это только один из возможных вариантов контроля, описанных в документации на АРМ КБР (руководство администратора).
                                                        Есть варианты с контролером / двумя ПК вручную / в комбинированном режиме - тут от схемы работы, приемлемой для банка отталкиваются видимо. Хотя описание реального применения той или иной схемы с контролем мало где встречал - судя по соседним разделам по автоматизации обычно все взаимодействие сводится к кучке батников и работе с ключами и пакетами ED "некими админами", а вовсе не пользователями.

                                                        Комментарий


                                                        • Сообщение от Александр Четвертый Посмотреть сообщение
                                                          в большинстве случаев взаимодействие с АРМ КБР "автоматизируют" в банках в стиле samba-файлопомойки, в которую что ни плюнь - все подпишется и благополучно уйдет в ЦБ.
                                                          с точки зрения ИБ это не правильно, и об этом говорится в документации администратора ИБ:
                                                          На мой взгляд, такие разработки как АРМ КБР вообще не имеют право на существование. Зачем надо было делать такой АРМ, передача данных которому возможна только через файловую систему, в стиле samba-файлопомойки, или через иной файловый носитель и при этом не предусмотреть элементарных методов проверки целостности файла, хотя бы по хэшу sha?

                                                          Комментарий


                                                          • Здравствуйте, подскажите!
                                                            Пришло письмо от ЦБ с требованием о проведении оценки по 382-П.
                                                            В письме сказано - уложиться в сроки, определенные нормативными документами.
                                                            Я нашел лишь информацию (2831-У), где сказано, что данная отчетность отправляется не позднее 30 рабочих дней, со дня завершения проведения оценки. А сколько я ее буду проводить...?

                                                            Комментарий


                                                            • whirlwind, вы когда делали первую самооценку? вторая и следующая направляется в ЦБ в эти же сроки.Ну или ЦБ запросит у вас отчет предоставить к конкретной дате.

                                                              Комментарий

                                                              Обработка...
                                                              X