6 июня, суббота 14:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • whirlwind, Оценка должна проводиться раз в два года или по требованию ЦБ. (Положение №382-П)

    Комментарий


    • Сообщение от surfer Посмотреть сообщение
      whirlwind, Оценка должна проводиться раз в два года или по требованию ЦБ. (Положение №382-П)
      Пришло требование ЦБ - провести оценку и предоставить ее в ЦБ в сроки, установленные соответствующими НПА!Вопрос в какой срок я должен отправить ее, ведь требование лишь одно в 2831-У:"отчетность отправляется не позднее 30 рабочих дней, со дня завершения проведения оценки". А проводить я ее может буду 2 недели, месяц или пол года.... Вот в чем вопрос был

      Комментарий


      • whirlwind, самооценка вторая и следующая проводиться через 2 года после проведения первой. Т.е. Вам необходимо поднять прошлую самооценку или отчет по 202 форме и посмотреть, когда проводилась первая. Исходя из найденных сроков Вы направляете вторую или следующую самооценку. Наше отделение ЦБ в концее года обзвонила все КО с просьбой предоставить отчет по Самооценке.
        На памяти запрос о проведении первой самооценки по 202 форме была в 2014 году,от этой даты и отталкивайтесь!

        Комментарий


        • whirlwind, Мне кажется, что Рустам все "разжевал". Смотрите предыдущие сроки проведения оценки, плюс два года - вот и срок очередной оценки. 30 дней дается на подготовку и отправку отчета.

          Комментарий


          • Сообщение от surfer Посмотреть сообщение
            whirlwind, Мне кажется, что Рустам все "разжевал". Смотрите предыдущие сроки проведения оценки, плюс два года - вот и срок очередной оценки. 30 дней дается на подготовку и отправку отчета.
            То есть, ели мне пришло письмо от ЦБ с требованием ПРОВЕСТИ (не предоставить, заметьте!!!) оценку, я должен предоставить по вашему мнению прошлую оценку (последний раз я отправлял оценку пол года назад)?

            Комментарий


            • whirlwind, Если ЦБ не просит отвечать на данный запрос,то делаете отчет по 202 форме и выслать его в ЦБ.
              Если в запросе требует ответа, то пишите что самооценка была проведена в определенные сроки, результат будет направлен по 202 форме отчетности до такого -то числа!

              Комментарий


              • Сообщение от whirlwind Посмотреть сообщение
                То есть, ели мне пришло письмо от ЦБ с требованием ПРОВЕСТИ (не предоставить, заметьте!!!) оценку, я должен предоставить по вашему мнению прошлую оценку (последний раз я отправлял оценку пол года назад)?
                Оценка, в том числе, должна проводиться и по запросу оператора ПС. Так что требуют именно провести, то придётся проводить, не прошлую отправлять.

                Комментарий


                • Сообщение от Александр Четвертый Посмотреть сообщение
                  Например, АБС должна отдавать пакет в АРМ КБР, который не сразу подписывает и отправляет доки в ЦБ, а формирует только ЗК на пакет, после чего АРМ КБР отправляет такой пакет с ЗК обратно в АБС. АБС проверяет, что по пути никто ничего не подложил - все эти документы она и хотела отправить, и отдает АРМ КБРу пакет с ЗК на подпись. АРМ КБР проставляет на пакете с ЗК еще КА и отправляет пакет в транспорт -> ЦБ.
                  Если злоумышленник контролирует АБС или АРМ КБР (что фактически в реальности при хищениях через сами банки и происходит) эта схема не работает, она в принципе бессмысленная в описанном вами виде. Даже персонал, кто может "изменить" файлы, в которых содержатся ЭС, передаваемые из АБС в АРМ КБР в большинстве случаев имеет необходимые полномочия в АБС, чтобы обойти эту схему.

                  В принципе, надёжно изолировать АРМ КБР от злоумышленников, вполне возможно, и можно считать его условно доверенной средой (относительно внешнего злоумышленника, не имеющего физического доступа к АРМ КБР), т.е. на нём можно проводить какую-то верификацию поступивших файлов. Тогда можно реализовать на стороне АБС при выгрузке, например, "хитро" скрытый HMAC, который будет в xml файлах вставлять "незаметные" комментарии (или иным образом скрывать такую информацию, применяя стенографические подходы, например, используя пробелы, табуляции и т.п. для сокрытия информации об HMAC, или отправлять его по иному каналу связи до АРМ КБР, по скрытому, сложно обнаруживаемому злоумышленниками), а оператор на АРМ КБР сможет проверить целостность такого файла.
                  Основная задача такого метода скрыть от злоумышленника, что при выгрузке из АБС файл снабжается HMAC. Тогда подмена файла будет легко обнаружена оператором АРМ КБР.
                  Запрятать в коде АБС такую функциональность вполне реально, найти злоумышленнику будет сложно, тем более можно настроить мониторинг и ловушки. Обнаружить, что такое вообще применяется сходу тоже сложно, профессионал может предположить такое, но не сделать ошибку в незнакомой среде и не демаскировать себя вряд ли.

                  Другой уровень проблемы подмена уже не транспортного файла, а манипуляция с информацией на уровне АБС, там можно чудеса творить (деньги из воздуха). Но я считаю, что предложенный мной выше механизм сверки вполне покрывает требования 382-П и документации на АРМ КБР.

                  Сообщение от Александр Четвертый Посмотреть сообщение
                  Это только один из возможных вариантов контроля, описанных в документации на АРМ КБР (руководство администратора).
                  Есть варианты с контролером / двумя ПК вручную / в комбинированном режиме - тут от схемы работы, приемлемой для банка отталкиваются видимо. Хотя описание реального применения той или иной схемы с контролем мало где встречал - судя по соседним разделам по автоматизации обычно все взаимодействие сводится к кучке батников и работе с ключами и пакетами ED "некими админами", а вовсе не пользователями.
                  Про автоматизацию всё верно, смотреть на это всё даже несколько противно. ))) Можно в принципе работать в автономной схеме, когда руками к АРМ КБР (который не подключен к сети) носят файлики и подменить их можно только на этапе выгрузки (формирования) из АБС. По идее перед подписью на АРМ КБР, такой файл должен попасть на АРМ назовём его АРМ fraud-контроля, в который скрытно поступает информация о созданных платёжных документах из первичных систем (ДБО, АБС и пр.), а он уже провидит сверку. Опять же сила этой схемы в том, что злоумышленник не должен обнаружить этот процесс дополнительного контроля, т.к. в противном случае при наблюдении за действиями пользователей (в той же АБС) он сможет сформировать в дальнейшей необходимые документы, чтобы не вызвать подозрения. Естественно, такой fraud-контроль должен иметь возможность верифицировать документы в первичных системах. Мало того, эта система должна уметь много, что проверять, такой банковский антифрод. Но опять же вся сила этой схемы в её скрытости от злоумышленника, что не так просто реализовать. В противном случае, т.к. злоумышленник контролирует в большинстве случаев АБС (хотя бы на уровне операицониста), ему не составит труда обойти эту систему.
                  Последний раз редактировалось Zuz; 07.02.2016, 18:39.

                  Комментарий


                  • Александр Четвертый, Добрый день Александр! подскажите пожалуйста какими программами желательно и Вы сами предпочитаете проводить контроль копирования или перезаписи информации у пользователей? Заранее спасибо!

                    Комментарий


                    • Коллеги, подскажите кто и как выполняет данное требование 2.18.4 382-П:
                      Оператор по переводу денежных средств обеспечивает размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений, включающих:
                      наименование оператора по переводу денежных средств, которому принадлежит ТУ ДБО на правах собственности, аренды, лизинга;
                      идентификатор ТУ ДБО;
                      телефонный номер (телефонные номера), адреса электронной почты, предназначенные для связи клиентов, использующих данное ТУ ДБО, с оператором по переводу денежных средств, банковским платежным агентом (субагентом) по вопросам, связанным с использованием данного ТУ ДБО;
                      порядок действий клиента в случае возникновения подозрения о нарушении порядка штатного функционирования ТУ ДБО, а также в случае выявления признаков событий, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО
                      :

                      Комментарий


                      • наклейка на каждом с его номером... пример
                        Нажмите на изображение для увеличения. 

Название:	123.jpg 
Просмотров:	1 
Размер:	102.0 Кб 
ID:	4167783

                        Комментарий


                        • nightrus, спасибо, тоже думаем сделать наклейки, правда с описанием всех необходимых позиций как в требовании.

                          Комментарий


                          • Сообщение от khusainov rustam Посмотреть сообщение
                            nightrus, спасибо, тоже думаем сделать наклейки, правда с описанием всех необходимых позиций как в требовании.
                            Нажмите на изображение для увеличения. 

Название:	stick.jpg 
Просмотров:	1 
Размер:	91.6 Кб 
ID:	4167784

                            Комментарий


                            • Когда сидишь долгими сибирскими ночами и размышляешь над жизнью нашей бренной, а также тем, как не послать ещё дальше проверяющих... когда кофе уже лезит из ушей, то в голову наоборот начинают лезть всякие странные мысли.
                              Так вот, есть у нас пункт 2.4.1:
                              2.4.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:
                              - по осуществлению доступа к защищаемой информации;
                              - по управлению криптографическими ключами;
                              - по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
                              Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения).
                              В стандартных условиях этот пункт понимается как "создать для каждого такого лица уникальную учётную запись", но почему бы не начать рассматривать его как требование зарегистрировать в журнале (например, журнале регистрации предоставления прав доступа, обзовём его так), что Васе Пупкину приказом №666 присвоена роль "администратор ИБ АРМ КБР"?
                              Последний раз редактировалось Berckut; 24.11.2016, 06:21.

                              Комментарий


                              • Сообщение от Berckut Посмотреть сообщение
                                В стандартных условиях этот пункт понимается как "создать для каждого такого лица уникальную учётную запись

                                Это смотря кем. Вот кадровики казали, что это значит надо смотреть штамп в паспорте о регистрации по месту жительства.

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение
                                  В стандартных условиях этот пункт понимается как "создать для каждого такого лица уникальную учётную запись", но почему бы не начать рассматривать его как требование зарегистрировать в журнале (например, журнале регистрации предоставления прав доступа, обзовём его так), что Васе Пупкину приказом №666 присвоена роль "администратор ИБ АРМ КБР"?
                                  Поддерживаю мысль с журналом, я так и выкрутился при проверке. У меня он называется "Журнал регистрации лиц, допущенных к работе с защищаемой информацией при осуществлении переводов денежных средств в рамках своих должностных обязанностей", он в виде матрицы, где в строках перечислены все сотрудники, а в столбцах права в рамках бизнес процессов, но так как у нас бизнес процессы не описаны, пришлось просто указывать наименования основных приложений, например АРМ КБР, RS-Bank, Золотая Корона Банковская Карта, ДБО Bs-client и т.п.
                                  На основании данной матрицы, выпускается приказ о назначении прав.

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    но почему бы не начать рассматривать его как требование зарегистрировать в журнале (например, журнале регистрации предоставления прав доступа, обзовём его так), что Васе Пупкину приказом №666 присвоена роль "администратор ИБ АРМ КБР"?
                                    Если есть желание усложнить себе жизнь, то можно конечно и так.
                                    Проще все же предоставлять права на основании заявок установленной формы.
                                    Согласовали заявку все кто должен, уполномоченный руководитель утвердил, администратор выполнил и расписался, пользователь получил учетные данные и расписался. И все подшили в папку. Квест закончен, все необходимые следы для возможных расследований, а также для демонстрации проверяющим есть.
                                    Весь этот процесс конечно должен быть описан во внутреннем нормативном документе.
                                    Предоставление доступа по приказам тоже конечно можно реализовать, но больно уж это неудобно.

                                    Комментарий


                                    • Сообщение от UserNick Посмотреть сообщение
                                      Если есть желание усложнить себе жизнь, то можно конечно и так.
                                      Проще все же предоставлять права на основании заявок установленной формы.
                                      Согласовали заявку все кто должен, уполномоченный руководитель утвердил, администратор выполнил и расписался, пользователь получил учетные данные и расписался. И все подшили в папку. Квест закончен, все необходимые следы для возможных расследований, а также для демонстрации проверяющим есть.
                                      Весь этот процесс конечно должен быть описан во внутреннем нормативном документе.
                                      Предоставление доступа по приказам тоже конечно можно реализовать, но больно уж это неудобно.
                                      Неа, квест на этом не закончен.
                                      После этого приходит проверка и говорит, что у вас нет регистрации.
                                      У нас при проверке в аналогичной ситуации мы получили замечание, что у нас отсутствует учёт и работа с инцидентами только из-за того, что вместо слова "инцидент" мы в своих внутренних документах использовали "нештатная ситуация".

                                      Комментарий


                                      • Сообщение от Berckut Посмотреть сообщение
                                        Неа, квест на этом не закончен.
                                        После этого приходит проверка и говорит, что у вас нет регистрации.
                                        Это какой же должен придти отмороженный сибирскими морозами проверяющий что ему не удастся объяснить, что способы регистрации бывают разные.
                                        Ведение журнала это один их способов. Упорядоченное хранение заявок это другой способ.
                                        Если явного требования вести журнал нет, то делаем как УДОБНЕЕ.

                                        Сообщение от Berckut Посмотреть сообщение
                                        У нас при проверке в аналогичной ситуации мы получили замечание, что у нас отсутствует учёт и работа с инцидентами только из-за того, что вместо слова "инцидент" мы в своих внутренних документах использовали "нештатная ситуация".
                                        С терминологией всегда надо быть аккуратнее. В данном случае связи с обсуждаемой ситуацией не вижу. Некорректный пример.
                                        Чтобы быстро пофиксить замечание достаточно было просто подправить определение в разделе "Основные термины, сокращения и определения".

                                        Комментарий


                                        • Сообщение от UserNick Посмотреть сообщение
                                          Если есть желание усложнить себе жизнь, то можно конечно и так.
                                          Проще все же предоставлять права на основании заявок установленной формы.
                                          Согласовали заявку все кто должен, уполномоченный руководитель утвердил, администратор выполнил и расписался, пользователь получил учетные данные и расписался. И все подшили в папку. Квест закончен, все необходимые следы для возможных расследований, а также для демонстрации проверяющим есть.
                                          Весь этот процесс конечно должен быть описан во внутреннем нормативном документе.
                                          Предоставление доступа по приказам тоже конечно можно реализовать, но больно уж это неудобно.
                                          Но в данном примере Вы описали ситуацию предоставления прав пользователю и выдачи учетных данных по заявке, что является регистрацией лиц, обладающих правами:
                                          - по осуществлению доступа к защищаемой информации;
                                          а что делать в остальных случаях?
                                          - по управлению криптографическими ключами;
                                          - по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
                                          Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения)
                                          Данными правами у нас в Банке не по заявке наделяются,а только приказами. Я понимаю что это не идеальный вариант, но выхода вообще не видел, особенно в ситуации когда никакой системы регистрации прав не было, а проверка уже на пороге. И есть огромное желание упростить себе жизнь)))

                                          Комментарий


                                          • Сообщение от Bezopasnik Посмотреть сообщение
                                            а что делать в остальных случаях?
                                            - по управлению криптографическими ключами;
                                            - по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
                                            Я поступил также и менять ничего пока не планирую.
                                            Что касается требований по управлению криптографическими ключами, здесь по требованиям 152 Приказа ФАПСИ иного способа кроме ведения журнала мне не известно, разве что как вариант можно вести журнал в электронном виде.
                                            А вот регистрировать права доступа по воздействию на объекты информационной инфраструктуры с моей точки зрения можно как приказами, так и заявками, как удобнее.
                                            Если текучка среди ответственного персонала большая, то удобнее заявки, если нет, то вполне подойдут и приказы.

                                            Комментарий


                                            • Каждый раз, когда дело доходит до написания нового внутреннего нормативного документа, проведения оценки соответствия или заполнения отчёта по инцидентам по 2831-У, вновь и вновь возникает вопрос о сфере действия 382-П:
                                              1. СВТ, которые непосредственно участвуют в работе с какой-либо платёжной системой.
                                              2. СВТ из пункта 1, а также компьютеры работников, которым предоставлены права по управлению счетами клиентов (т.е., например, компьютеры канцелярии сюда не попадут).
                                              3. Вообще все СВТ в банке, т.к. обычно всё находятся в единой сети и работник может сесть почти за любой компьютер и выполнять свою работу.

                                              Всего 2 примера:

                                              1. Требование п.2.6.1 382-П:
                                              2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
                                              Всё таки, мы должны вести учёт всех компьютеров работников или только тех, кому предоставлен доступ в платёжные системы и серверов АБС?

                                              2. Как заполнять графу "Тип инцидента" по форме 0403203, если, например, произошло заражение вирусом компьютера коменданта?
                                              8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
                                              код "2.1" указывается, если инцидент привел к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;
                                              код "2.2" указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
                                              код "2.3" указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
                                              код "2.4" указывается, если инцидент привел к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.
                                              По сути, ни один тип не подходит.

                                              В общем, рассматриваю возможность доказать, что при выполнении 382-П можно ограничиться только СВТ,
                                              которые непосредственно участвуют в работе с какой-либо платёжной системой. Кто-нить уже проходил через это?

                                              Комментарий


                                              • Сообщение от Berckut Посмотреть сообщение
                                                В общем, рассматриваю возможность доказать, что при выполнении 382-П можно ограничиться только СВТ, [/FONT]которые непосредственно участвуют в работе с какой-либо платёжной системой. Кто-нить уже проходил через это?
                                                Чего Вы хотите этим добиться?

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  Чего Вы хотите этим добиться?
                                                  Уменьшить количество бумажной работы, которой приходится заниматься вместо реальной безопасности, чтобы оставить "следы" выполнения требований. При проведении проверки у нас во всех случаях, когда мы не могли подтвердить выполнение какими-либо материальными свидетельствами, мы получали замечание, что работа не велась.
                                                  Например, как доказать, что при выводе компьютера из эксплуатации с жёсткого диска была удалена без возможности восстановления вся защищаемая информация? Только писать каждый раз соответствующие акты, в которых указывать, что было применено, например, высокотехнологичное устройство "молоток обыкновенный". А между тем это требование может не только касаться вывода из эксплуатации, но и передачи компьютера другому работнику и в такой трактовке количество бумаги только для этого требования сразу увеличивается в разы.

                                                  В моей модели угроз идиотизм Банка России занимает уверенное первое место, т.к. стараниями этого регулятора ИБ в банках уничтожена и заниматься ею просто некому. Я ищу варианты, как избавиться хотя бы от части этих требований, чтобы заниматься только их выполнением без бумажной волокиты.

                                                  Комментарий


                                                  • Сообщение от Berckut Посмотреть сообщение
                                                    Уменьшить количество бумажной работы, которой приходится заниматься вместо реальной безопасности, чтобы оставить "следы" выполнения требований.
                                                    Для такой цели, думаю, можно сделать во внутренних документах оговорки по распространению требований к документированию той или иной деятельности. Главное только в процессе исполнения самому не запутаться в каких случаях доказательства деятельности надо формировать, а в каких нет. Если задействованы другие исполнители, им придется также определять нужно документировать действие или нет. При этом возможны ошибки, которые могут повлиять на результат проверки в будущем.

                                                    Комментарий


                                                    • Сообщение от Berckut Посмотреть сообщение
                                                      ......Например, как доказать, что при выводе компьютера из эксплуатации с жёсткого диска была удалена без возможности восстановления вся защищаемая информация? Только писать каждый раз соответствующие акты........
                                                      Приветствую!
                                                      А не могли бы уточнить, это был реальный прецедент при проверке или рассматривалась его возможная реализация?
                                                      Если проверяющие действительно задавали такие вопросы, так же просьба уточнить что конкретно проверяли, по поводу каких компьютеров (ПК, серверы) возник вопрос у проверяющих и по поводу уничтожения какой именно информации (ПДн, платежи, ...). Если речь шла о ПК, разрешено ли пользователям хранить файлы на своих компьютерах?
                                                      Заранее спасибо.

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        Приветствую!
                                                        А не могли бы уточнить, это был реальный прецедент при проверке или рассматривалась его возможная реализация?
                                                        Если проверяющие действительно задавали такие вопросы, так же просьба уточнить что конкретно проверяли, по поводу каких компьютеров (ПК, серверы) возник вопрос у проверяющих и по поводу уничтожения какой именно информации (ПДн, платежи, ...). Если речь шла о ПК, разрешено ли пользователям хранить файлы на своих компьютерах?
                                                        Заранее спасибо.
                                                        Нет, этот вопрос не возникал. Но это произошло потому что было выдано замечание - не определён порядок выполнения требования. Соответственно, само вылолние после этого проверяющих уже не интересовало.

                                                        Но был абсолютно аналогичный случай по другому требованию: Мы должны отправлять информацию об инцидентах оператору платёжной системы. Если взять, например, правила платёжной системы Сбербанк, то, во-первых, там не будет написано, что надо что-то им слать если инцидентов не было. Во-вторых, порядок направления информации оператором платёжной системы на 2014-й год вообще не был установлен (проверка была тогда). Инцидентов не было и мы нечего не направляли, а на проверке всё скатилось к абсолютному идиотизму. Мы можем подтвердить, что мы нечего не отправляли, потому что нечего отправлять, а не потому что забили на выполнение требования? Нет, не можем. Получите, распишитесь, работа не велась!
                                                        В общем теперь ведём журнал, где ежемесячно вносим запись по каждой системе: информация не направлялась, т.к. пунктом ХХХ правил платёжной системы не предусмотрено направление пустого отчёта.

                                                        Комментарий


                                                        • Сообщение от Berckut Посмотреть сообщение
                                                          Но был абсолютно аналогичный случай по другому требованию: Мы должны отправлять информацию об инцидентах оператору платёжной системы. Если взять, например, правила платёжной системы Сбербанк, то, во-первых, там не будет написано, что надо что-то им слать если инцидентов не было. Во-вторых, порядок направления информации оператором платёжной системы на 2014-й год вообще не был установлен (проверка была тогда). Инцидентов не было и мы нечего не направляли, а на проверке всё скатилось к абсолютному идиотизму. Мы можем подтвердить, что мы нечего не отправляли, потому что нечего отправлять, а не потому что забили на выполнение требования? Нет, не можем. Получите, распишитесь, работа не велась!
                                                          В общем теперь ведём журнал, где ежемесячно вносим запись по каждой системе: информация не направлялась, т.к. пунктом ХХХ правил платёжной системы не предусмотрено направление пустого отчёта.
                                                          Это уже так сказать перегибы на местах.
                                                          Само требование о необходимости подтверждения отсутствия отправки информации об инцидентах в случае отсутствия инцидентов в принципе незаконно.
                                                          Даже если такое замечание не смотря на объяснение, данное в ходе проверки попало в акт, то на следующем этапе при написании отзыва на акт можно мотивированно доказать, что замечание безосновательно. Вы же этого не сделали, а начали в ответ на неадекватное замечание симулировать активную работу .... Не поддерживаю я такие взаимоотношения с вашим региональным ТУ.

                                                          Комментарий


                                                          • Сообщение от UserNick Посмотреть сообщение
                                                            Это уже так сказать перегибы на местах.
                                                            Само требование о необходимости подтверждения отсутствия отправки информации об инцидентах в случае отсутствия инцидентов в принципе незаконно.
                                                            Даже если такое замечание не смотря на объяснение, данное в ходе проверки попало в акт, то на следующем этапе при написании отзыва на акт можно мотивированно доказать, что замечание безосновательно. Вы же этого не сделали, а начали в ответ на неадекватное замечание симулировать активную работу .... Не поддерживаю я такие взаимоотношения с вашим региональным ТУ.
                                                            У меня про такие "перегибы" было половина из 100-страничного акта.
                                                            Спорить бесполезно. Все замечания отправляются на проверку в Москву, где согласовываются. Не согласны - разбирайтесь там. А искать концы за 3500 км. бесполезно.
                                                            Да, симулируем активную работу, занимаемся бумаготворчеством.
                                                            Ещё я дважды отправлял вопросы с просьбой разъяснить порядок выполнения требований и порядок проведения оценки таких вот "мутных" требований. На шести страницах. Ответ с августа и октября 2015-го жду. То ли на себя ответственность за разъяснение требований брать не хотят, то ли переслали в Москву и там это всё потерялось. В общем жду обновления 382-П (слухи ходили, что должны были опубликовать пол года назад) и опять буду посылать.

                                                            Комментарий


                                                            • Коллеги, добрый день. Подскажите плиз., как правильно. Получили запрос о предоставлении своей политики ИБ и самооценки от местного отделения ЦБ РФ.
                                                              Ответ,как минимум, собираемся отправлять ему(местному отделению) и Начальнику ГУ безопасности и защиты информации ЦБ РФ.
                                                              А нужно ли копию этих документов предоставлять еще местным Управлению ФСТЭК, ФСБ, ФС по надзору в сфере связи информационных технологий и коммуникаций?

                                                              Комментарий

                                                              Обработка...
                                                              X