25 февраля, вторник 06:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от TrushenkoV Посмотреть сообщение
    Коллеги, добрый день. Подскажите плиз., как правильно. Получили запрос о предоставлении своей политики ИБ и самооценки от местного отделения ЦБ РФ.
    Ответ,как минимум, собираемся отправлять ему(местному отделению) и Начальнику ГУ безопасности и защиты информации ЦБ РФ.
    А нужно ли копию этих документов предоставлять еще местным Управлению ФСТЭК, ФСБ, ФС по надзору в сфере связи информационных технологий и коммуникаций?
    А они просили? Тогда зачем им отправлять?

    Комментарий


    • Сообщение от TrushenkoV Посмотреть сообщение
      Коллеги, добрый день. Подскажите плиз., как правильно. Получили запрос о предоставлении своей политики ИБ и самооценки от местного отделения ЦБ РФ.
      Ответ,как минимум, собираемся отправлять ему(местному отделению) и Начальнику ГУ безопасности и защиты информации ЦБ РФ.......
      Да и Начальнику ГУ безопасности и защиты информации ЦБ РФ я бы не стал отправлять самооценку по 382-П, т.к. от него запрос не поступал и никакими нормативными документами это не регламентируется.

      Комментарий


      • Кроме того, банк должен направлять результаты последней самооценки по 382-П операторам тех платежных систем, участником которых он является и в правилах (положениях) которых это оговорено.

        Комментарий


        • Сообщение от saches Посмотреть сообщение
          банк должен направлять результаты последней самооценки по 382-П
          Позанудствую
          Не только банк, и не только самооценки.
          Сделали сами или привлекли к этой задаче стороннюю организацию - неважно.

          Комментарий


          • Возможно ли как-то донести до ЦБ одну простую мысль? Ну или до СМИ, потому что в здравый смысл ЦБ я веру уже давно утратил.
            По большинству отчётов за 2015-й и 2016-й годы мы видим существенное увеличение атак на банки и, что самое важное, увеличение числа реализованных атак. Соответственно, надо поднять вопрос, всё ли правильно делает ЦБ? Прослеживается прямая связь: чем больше ЦБ пытается заставить выполнять его требования, тем более уязвимее становятся банки.
            Сейчас выпуская очередной отчёт его пытаются свести к мысли, что раз уровень риска растёт, то значит надо увеличивать количество применяемых мер по защите информации, а также то, что банки зажрались и не хотят выделять деньги на ИБ. Но ведь банки были под прицелом всегда. И, на мой взгляд, увеличение количества атак как раз и стало результатом того, что уровень реальной безопасности снизился. Получается картина: снижается уровень - растёт число реализованных атак - удачные попытки взломов видят другие и тоже начинают участвовать во взломах.
            На лицо то, что ЦБ утратил обратную связь и выпускает свои документы прежде всего для того, чтобы закрыть задачу в цепочке: спланировали - внедрили - провели анализ и увидели, что всё плохо - придумали что-нибудь новое, потому что всё плохо. При этом саму оценку проделанной работы со стороны не провели. В результате банковская ИБ находится в затяжной ниспадающей спирали, а в такой ситуации первое, что надо сделать, это как минимум остановиться, а лучше откатиться назад.
            Т.е. суть мысли в том, что раз с постоянным принятием регуляторных мер количество инцидентов постоянно растёт, значит то, что делается в регуляторной части не правильно.

            Комментарий


            • Похоже, в ЦБ новые гайки подвезли.
              https://www.anti-malware.ru/news/2017-02-14/22217

              Начинаю реально задумываться, что пора создавать вторую службу ИБ. Первая будет на ЦБ работать, вторая защитой заниматься.

              Комментарий


              • Сообщение от Berckut Посмотреть сообщение
                По большинству отчётов за 2015-й и 2016-й годы мы видим существенное увеличение атак на банки и, что самое важное, увеличение числа реализованных атак.
                Есть реальная статистика? С графиками, доказывающими это утверждение?

                Комментарий


                • Сообщение от Алексей Лукацкий Посмотреть сообщение

                  Есть реальная статистика? С графиками, доказывающими это утверждение?
                  На каждой конференции, в том числе представители ЦБ, постоянно такие графики в своих презентациях показывают. Ещё ни разу не видел, чтобы кривая у кого-то вниз ушла.

                  Комментарий


                  • Сообщение от Berckut Посмотреть сообщение
                    Ещё ни разу не видел, чтобы кривая у кого-то вниз ушла.
                    Это понятно, как иначе бюджет выбивать...
                    По себе могу сказать, что скимминг в РФ сошел на нет. За последние полтора года ни одного случая мы у себя не зафиксировали.
                    Похоже, что переход на чиповые карты сыграл свою роль.

                    Комментарий


                    • Сообщение от Berckut Посмотреть сообщение
                      На каждой конференции, в том числе представители ЦБ, постоянно такие графики в своих презентациях показывают. Ещё ни разу не видел, чтобы кривая у кого-то вниз ушла.
                      Не показатель. Надо все-таки сравнивать число атак с другими цифрами - числом транзакций, например. Или с числом хакеров (что маловероятно). Тогда можно говорить о динамике.

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение

                        Это понятно, как иначе бюджет выбивать...
                        По себе могу сказать, что скимминг в РФ сошел на нет. За последние полтора года ни одного случая мы у себя не зафиксировали.
                        Похоже, что переход на чиповые карты сыграл свою роль.
                        У чиповых карт так же есть магнитная полоса, записав ее дамп на пластик с неисправным чипом скиммер получит деньги точно так же как и по обычной магнитке. Низкие остатки, джиттер в банкоматах и антифрод в процессингах сделали классический скимминг невыгодным, мошенники переключились на другие методы добычи данных карт. Суммарный фрод не уменьшился.

                        Комментарий


                        • Сообщение от IgorL Посмотреть сообщение
                          У чиповых карт так же есть магнитная полоса, записав ее дамп на пластик с неисправным чипом скиммер получит деньги точно так же как и по обычной магнитке. Низкие остатки, джиттер в банкоматах и антифрод в процессингах сделали классический скимминг невыгодным, мошенники переключились на другие методы добычи данных карт. Суммарный фрод не уменьшился.
                          1. Не получит, ибо банк не авторизует транзакцию по магнитной полосе для чиповой карты (мы то знаем какая карта у клиента). Страны, типа США, в которых распространены банкоматы не поддерживающие чип - режектятся по дефолту и включаются только по просьбе клиента. В остальных случаях работает лабилити шифт.
                          2. Фрод переполз в область CNP транзакций и СМС мошенничества -- "ваша карта заблокирована ЦБ РФ".

                          Комментарий


                          • Кстати, ЦБ отмечает тот же самый тренд.
                            В отчете финсерта https://www.cbr.ru/credit/Gubzi_docs...ansfers_16.pdf видно, что фрод переместился в сферу CNP транзакций.

                            Комментарий


                            • С 1 июля 2018 года АБС должны быть сертифицированными ?
                              Прочитал последний проект изменений к 382-П и показалось, что пора подумать и об этом...

                              Комментарий


                              • Сообщение от idelta Посмотреть сообщение
                                С 1 июля 2018 года АБС должны быть сертифицированными ?
                                Прочитал последний проект изменений к 382-П и показалось, что пора подумать и об этом...
                                Я на фоне борьбы с 552-П после прочтения проекта 382-П подумал о другом - пора уходить из банковской ИБ.

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение
                                  Я на фоне борьбы с 552-П после прочтения проекта 382-П подумал о другом - пора уходить из банковской ИБ.
                                  Это было не всё, что я хотел спросить у сообщества !
                                  Там же но с 1 июля 2019 года ещё хлеще, но это же "ещё не скоро"... (абзец 3-й пункта 1.2)

                                  Комментарий


                                  • Сообщение от idelta Посмотреть сообщение
                                    С 1 июля 2018 года АБС должны быть сертифицированными ?
                                    Прочитал последний проект изменений к 382-П и показалось, что пора подумать и об этом...
                                    Пока не приняли думать можно. Как примут нужно будет действовать.

                                    Комментарий


                                    • Сообщение от IgorL Посмотреть сообщение
                                      Пока не приняли думать можно. Как примут нужно будет действовать.
                                      Согласен, что это вариант. Но нам он не подходит. Мы уже шагнули в "процесс замены"...
                                      Если потом выяснится, что мы пошли к тому кто не сможет к 1 июля 2018 года сертифицирнуться, то мне
                                      тоже придётся думать вот так:
                                      Сообщение от Berckut Посмотреть сообщение
                                      Я на фоне борьбы с 552-П после прочтения проекта 382-П подумал о другом - пора уходить из банковской ИБ.

                                      Комментарий


                                      • Сообщение от idelta Посмотреть сообщение
                                        Согласен, что это вариант. Но нам он не подходит. Мы уже шагнули в "процесс замены"... Если потом выяснится, что мы пошли к тому кто не сможет к 1 июля 2018 года сертифицирнуться, то мне тоже придётся думать вот так:
                                        Не все так печально! Помимо сертификации есть "...или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 ". При внимательном прочтении этого ГОСТа лично я не увидел чего то невозможного. Да, бумажной работы много и нужно будет заложить "рисковый бюджет" на следующий год на случай пройти ОУД самостоятельно. Это не требование удвоить капитал или приостановить прием вкладов, банк это не убъет, пока цены не запредельные.

                                        Комментарий


                                        • IgorL
                                          А разработчику АБС не предлагали провести оценку (или сертификацию) их продукта? Возможно, с учетом того, что это будет нужно нескольким банкам, уровень затрат окажется ниже. И что-то мне кажется, что для проведения оценки понадобятся исходники.

                                          И, если не ошибаюсь, в части планируемых изменений 382-П,самооценка может стать внешней, т.е. это будет внешний аудит.

                                          Комментарий


                                          • С сертификацией есть ещё одна проблема. И она, на мой взгляд, даже более сложнорешаемая, чем бюджет - как обновляться будем, если сертификация занимает месяцы?

                                            Комментарий


                                            • saches
                                              В контексте ГОСТа оценка проводится на основе Задания по Безопасности (ЗБ), большой вопрос попадет ли АБС в него, какой частью и с какими угрозами применительно к переводам денежных средств. Лично мне видится что вся АБС при соответсвущей среде безопасности объекта оценки и профиле защиты вполне может быть в доверенной среде. Модули ДБО попадают наверняка, но они чаще всего автономны и редко меняются.
                                              Что же до внешних аудитов, так банки давно их проводят по требованиям PSI DSS. Скоуп несколько расширится, и то не факт, пентесты и общий аудит всего банка проводят.

                                              Комментарий


                                              • Сообщение от Berckut Посмотреть сообщение
                                                С сертификацией есть ещё одна проблема. И она, на мой взгляд, даже более сложнорешаемая, чем бюджет - как обновляться будем, если сертификация занимает месяцы?
                                                Чисто в качестве примера, информация с сайта Microsoft -
                                                - каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений....
                                                Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.


                                                И все разработчики сертифицированного ПО, организуют выпуск сертифицированных обновлений примерно таким же образом.

                                                Сертификация обновлений, это практически не решаемая проблема для банка (может за исключением нескольких из крупняка), но это вполне реализуемый функционал для разработчиков банковского ПО. И именно поэтому, сертификацией или оценкой уровня доверия поставляемого ПО должен заниматься именно вендор. И общая стоимость владения программным обеспечением при этом, должна увеличится не настолько, во сколько это может обойтись банку при самостоятельной сертификации/оценке используемого ПО.

                                                Очень жаль, что ЦБ свои требования формализует абстрактно -"ПО должно быть сертифицировано или пройти оценку", но не говорит о том, кто конкретно этим должен заниматься, разработчик или пользователь. Есть же достаточно удачный пример разделения требований на PCI и PA DSS.
                                                Последний раз редактировалось saches; 26.05.2017, 10:49.

                                                Комментарий


                                                • Сообщение от IgorL Посмотреть сообщение
                                                  saches......Что же до внешних аудитов, так банки давно их проводят по требованиям PSI DSS. Скоуп несколько расширится, и то не факт, пентесты и общий аудит всего банка проводят.
                                                  То, что скоуп расширится всего лишь "несколько", я не уверен.
                                                  Понятно, что банкам многократно прошедшим аудит PCI DSS будет проще, но под него попадают только банки имеющие свой процессинг (возможно за некоторыми исключениями) - это меньше 15-20%% существующих банков. Кроме того, при проведении этого аудита, прежде всего смотрят на те системы и инфраструктуру, в которых обрабатываются номера пластиковых карт.
                                                  Далее, если ЦБ ничего не поменяет в проектах своих документов, то в не очень отдаленной перспективе, под внешний аудит попадут все банки по требованиям 382-П и, очень похоже, по требованиям ГОСТа по защите информации финансовых организаций (вместо самооценки по СТО БР).

                                                  По поводу попадает ли АБС (как и прочее ПО) под требования сертификации или контроля,в этом же ГОСТе, который вроде как находится на согласовании, имеется следующее требование -

                                                  "Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством РФ или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013***",

                                                  где примечание звучит так -
                                                  "В случаях, предусмотренных нормативными актами Банка России, и (или) если в соответствии с моделью угроз и нарушителей безопасности информации финансовой организации, угрозы, связанные с наличием уязвимостей и недеклалированных возможностей в прикладном ПО АС признаны актуальными".
                                                  Последний раз редактировалось saches; 26.05.2017, 13:25.

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    это практически не решаемая проблема для банка (может за исключением нескольких из крупняка),
                                                    Согласен и это одна из причин, по которым "банки-некрупняки" должны "вздрогнуть", если у них АБС самодельная или не от 1-й 3-ки.
                                                    Сообщение от saches Посмотреть сообщение
                                                    но это вполне реализуемый функционал для разработчиков банковского ПО
                                                    Есть обоснованные сомнения в этом. Полагаю всего 3(4) АБС-а точно напрягутся и м.б. вовремя пройдут через это "или" (сертификация ИЛИ контроль).
                                                    Некрупные АБС-ы тоже что-то должны сделать, если хотят "жить" дальше.
                                                    Сообщение от saches Посмотреть сообщение
                                                    И общая стоимость владения программным обеспечением при этом, должна увеличится не настолько
                                                    Это уже не так. Вы наверняка видели пост нашего коллеги, в котором сказано "вендор запросил миллион с банка за КА/ЗК в АБС-е".
                                                    Сколько запросит за обсуждаемое ???
                                                    (благодаря фундаментальной и бескорыстной помощи Уважаемого badik даже я уже склеил нечто.exe и жду АРМ КБР-Н... ! совсем не вижу за что миллион ! )

                                                    Сообщение от IgorL Посмотреть сообщение
                                                    Не все так печально!
                                                    Сообщение от IgorL Посмотреть сообщение
                                                    банк это не убъет, пока цены не запредельные.
                                                    Заряжаемся "этим" и делаем, что должны, а там...

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      Чисто в качестве примера, информация с сайта Microsoft -
                                                      - каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений....
                                                      Пример неудачный. У сертификации у Microsoft и сертификации ФСТЭК разве что слово "сертификация" общее. И обновления Microsft не для новых функций выпускает в пределах версий, а закрывает дыры, которые обнаруживаются в этом "сертифицированном" ПО.
                                                      Обновления банковского же ПО в подавляющем большинстве случаев для поддержки нового функционала, предписанного регулятором часто с датой "отчетность за предыдущий месяц предоставлять по новой форме, алгоритм формирования которой вы должны угадать с первой попытки". К тому же популярные АБС это наполовину конструкторы, бизнес-процессы у банков не стандартизованные, и живут своей жизнью, программируясь на без участия вендора. Все это процесс непрерывной сертификации либо сделает формальным, либо обновления будут выходить по тихому, заплатами.


                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        То, что скоуп расширится всего лишь "несколько", я не уверен. Понятно, что банкам многократно прошедшим аудит PCI DSS будет проще, но под него попадают только банки имеющие свой процессинг
                                                        Все участники обрабатывающие карточные данные должны проходить аудит PCI DSS не зависимо от того инхаус у них или аутпроцессинг и принципал или ассоциат/аффилят. Может конечно кто то прячется, принципал под своими БИНами авторизует или подает как полную обработку, но это его риски и очень приличные, не уверен что много желающих убить свой бизнес из за чужих косяков.
                                                        Понятно что это отдельная проблема и жизнь этот аудит банкам не облегчит, но с другой стороны я порой удивляюсь "почему у этого банка деньги еще не украли" там одна сплошная дыра и ни копейки на закрытие банк тратить не желает. А так придется, все же у банка практически все деньги чужие, бизнес этот не семками торговать..




                                                        Комментарий


                                                        • Сообщение от IgorL Посмотреть сообщение
                                                          Пример неудачный. У сертификации у Microsoft и сертификации ФСТЭК разве что слово "сертификация" общее. И обновления Microsft не для новых функций выпускает в пределах версий, а закрывает дыры, которые обнаруживаются в этом "сертифицированном" ПО.
                                                          Обновления банковского же ПО в подавляющем большинстве случаев для поддержки нового функционала, предписанного регулятором часто с датой "отчетность за предыдущий месяц предоставлять по новой форме, алгоритм формирования которой вы должны угадать с первой попытки". К тому же популярные АБС это наполовину конструкторы, бизнес-процессы у банков не стандартизованные, и живут своей жизнью, программируясь на без участия вендора. Все это процесс непрерывной сертификации либо сделает формальным, либо обновления будут выходить по тихому, заплатами.
                                                          Вот вам ссылка, читайте - https://www.microsoft.com/ru-ru/secu.../products.aspx
                                                          Речь там идет о сертифицированном ФСТЭК и ФСБ программном обеспечении Microsoft. И точно по изложенному там принципу работают или должны организовать свою работу по выпуску обновлений все производители сертифицированного ПО, включая банковское. Т.е. для сертифицированного ПО, все выпускаемые заплатки, обновления и т.д. проходят определенный контроль и только потом становятся доступны для использования.

                                                          А про бизнес процессы и референсные модели можем подискутировать отдельно, если захотите.
                                                          И какую такую сертификацию Microsoft вы имели в виду? пришлите ссылочку, если не затруднит. просто интересно.
                                                          Последний раз редактировалось saches; 26.05.2017, 16:15.

                                                          Комментарий


                                                          • Сообщение от IgorL Посмотреть сообщение
                                                            Все участники обрабатывающие карточные данные должны проходить аудит PCI DSS не зависимо от того инхаус у них или аутпроцессинг и принципал или ассоциат/аффилят. Может конечно кто то прячется......
                                                            Послушайте, ну не рассказывайте вы сказки.
                                                            Да, любая организация, обрабатывающая карточные данные попадает под требования PCI DSS, но это вовсе не значит, что любая такая организация должна проходить ежегодный аудит. Подробнее можно посмотреть, например, тут - http://www.pcidss.ru/validation/

                                                            И вовсе никто никуда не прячется. МПС контролирует принципалов- полноценных member-ов, а member-ы уже должны контролировать те банки, кто до полноценного членства не дотягивают, и которым они продают услуги своего процессинга. Как-то так....
                                                            Так что, КМК, то что мелкие банки не чешутся по поводу выполнения требований PCI DSS, это прямой вопрос к банкам - принципалам, имеющим свой процессинг и забивающих на исполнение своих обязанностей...
                                                            Последний раз редактировалось saches; 26.05.2017, 16:21.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Вот вам ссылка, читайте - https://www.microsoft.com/ru-ru/secu.../products.aspx
                                                              В настоящее время во ФСТЭК закончена сертификация следующих продуктов, все отчетные документы находятся в органах по сертификации:
                                                              • Lync Server 2013;
                                                              • Windows 8.1;
                                                              • Windows Server 2012 R2.

                                                              Сообщение от saches Посмотреть сообщение
                                                              Т.е. все выпускаемые заплатки, обновления и т.д. проходят определенный контроль и только потом становятся доступны.
                                                              Смеялся.

                                                              Комментарий

                                                              Обработка...
                                                              X