5 июня, пятница 15:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от ser-storchak Посмотреть сообщение
    Они вышли еще в конце сентября =)
    Художника обидеть может каждый...

    Комментарий


    • #32
      Вопрос:
      П.65·
      2.9.3
      В случае применения СКЗИ оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок применения СКЗИ, включающий порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе

      У кого что есть?
      Необходимо несколько абзацев...

      Комментарий


      • #33
        Сообщение от surfer Посмотреть сообщение
        Вопрос:
        П.65·
        2.9.3
        В случае применения СКЗИ оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок применения СКЗИ, включающий порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе

        У кого что есть?
        Необходимо несколько абзацев...
        План ОНиВД. Одно предложение:
        Служба ИБ обеспечивает восстановление средств защиты информации.

        Комментарий


        • #34
          Сообщение от surfer Посмотреть сообщение
          Вопрос:
          П.65·
          2.9.3
          В случае применения СКЗИ оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок применения СКЗИ, включающий порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе

          У кого что есть?
          Необходимо несколько абзацев...
          ЖТЯИ.00005-01 90 06. КриптоПроCSP. Правила пользования администратора безопасности.
          12. Нештатные ситуации при эксплуатации СКЗИ (стр.44)

          P.S. Многие ответы можно найти в документации к СКЗИ, поэтому рекомендую чаще туда заглядывать.

          Комментарий


          • #35
            Сообщение от Berckut Посмотреть сообщение
            План ОНиВД. Одно предложение:
            Служба ИБ обеспечивает восстановление средств защиты информации.
            Ну у меня было круче (в три строки ):

            13. ПОРЯДОК ВОССТАНОВЛЕНИЯ РАБОТОСПОСОБНОСТИ СКЗИ В СЛУЧАЯХ СБОЕВ И (ИЛИ) ОТКАЗОВ В ИХ РАБОТЕ

            При возникновении нештатных ситуаций, таких как выход из строя ключевого
            носителя, сбои и отказы в работе СКЗИ, сбои и отказы в работе средств электронной
            подписи и др. Пользователь обязан:
            - сообщить о возникшей ситуации в Управление Информационной безопасности;
            - руководствоваться положениями и инструкциями эксплуатационной документации;

            ser-storchak, спасибо, дружище!

            Комментарий


            • #36
              Сообщение от Berckut Посмотреть сообщение
              План ОНиВД. Одно предложение:
              Служба ИБ обеспечивает восстановление средств защиты информации.
              К сожалению, одним предложением здесь не отделаешься.
              Буквально месяц назад Пред.правления был на совещании в ЦБ. Там, в частности, обсуждался вопрос по внутренним документам по ИБ. Рекомендовали избегать поверхностных трактовок и требовали конкретики. Я тоже за такой подход, т.к. тебе потом (например, при проверке) не придется вспоминать, что ты подразумевал под конкретным абстрактным описанием.
              surfer, пожалуйста.
              Последний раз редактировалось ser-storchak; 04.12.2013, 13:02.

              Комментарий


              • #37
                Сообщение от ser-storchak Посмотреть сообщение
                К сожалению, одним предложением здесь не отделаешься.
                Буквально месяц назад Пред.правления был на совещании в ЦБ. Там, в частности, обсуждался вопрос по внутренним документам по ИБ. Рекомендовали избегать поверхностных трактовок и требовали конкретики. Я тоже за такой подход, т.к. тебе потом (например, при проверке) не придется вспоминать, что ты подразумевал под конкретным абстрактным описанием.
                surfer, пожалуйста.
                А что мне мешает сделать ссылки, а не цитировать исходные документы частями?
                Например на Пункт 11?
                Тупо не люблю замороченных положений, их и читать не удобно. Тем более в Банке применяется около десятка СКЗИ.
                Есть документация, к ней и обращайся в случае чего.

                Комментарий


                • #38
                  Ты хотя бы ссылаешься. Я имел ввиду случаи, когда пишут, например, так: специалист по ИБ обеспечивает восстановление работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе, отвечая на п.65. Т.е. из вопроса делают ответ (изменяя лишь знак препинания в конце).

                  Комментарий


                  • #39
                    Сообщение от H4mek Посмотреть сообщение
                    Таки информацию можно всегда обезличить, я свою скину в понедельник, мне не жалко.
                    Ну как, скинете?

                    Комментарий


                    • #40
                      Коллеги,

                      что за действия имеются в виду в данной формулировке?

                      П.30 ..оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов
                      Кроме операций открытия/закрытия ничего в голову не приходит.
                      Что ещё нужно регистрировать, проводки и выписки что ли?

                      Комментарий


                      • #41
                        Сообщение от ost Посмотреть сообщение
                        Коллеги, что за действия имеются в виду в данной формулировке?
                        Кроме операций открытия/закрытия ничего в голову не приходит.
                        Что ещё нужно регистрировать, проводки и выписки что ли?
                        Оперчасть вашей организации должна дать ответ на этот вопрос.
                        Еще может быть зачисление на них вкладов, снятие; информация об остатке...

                        Комментарий


                        • #42
                          Сообщение от ser-storchak Посмотреть сообщение
                          зачисление на них вкладов, снятие; информация об остатке...
                          Так это и есть проводки и выписки.
                          Не врубаюсь, зачем проводки регистрировать, они сами по себе являются журналом.

                          Оперчасть ничего не ответит, даже спрашивать бесполезно.

                          Комментарий


                          • #43
                            Это очевидные вещи, но, не исключено, что в каких-то самописных АБС такое журналирование отсутствует, поэтому регуляторы и требуют.

                            Комментарий


                            • #44
                              Народ, кто отправлял 202-ю через ПТК ПСД, в какой форме вы оценки и комментарии к ним делали? В обычном excel файле?

                              Комментарий


                              • #45
                                Подскажите, пожалуйста, в ЦБ надо отправлять только краткую форму 0403202 или же вместе с задокументированными результатами оценки соответствия?

                                Комментарий


                                • #46
                                  откройте форму 0403202 и посмотрите что там можно указать. Там только окончательные результаты.

                                  Комментарий


                                  • #47
                                    В одном из пунктов 382-го говорится о наличии сотрудников ИБ в филиалах и их подчиненности голове. В чем вопрос, если филиалы маленькие, что даже там один айтишник справляется, как можно решить проблему? Навесив функции по ИБ на него, мы не выполним другой пункт. Какие есть предложения?

                                    Комментарий


                                    • #48
                                      Сообщение от Орлиный глаз Посмотреть сообщение
                                      В одном из пунктов 382-го говорится о наличии сотрудников ИБ в филиалах и их подчиненности голове. В чем вопрос, если филиалы маленькие, что даже там один айтишник справляется, как можно решить проблему? Навесив функции по ИБ на него, мы не выполним другой пункт. Какие есть предложения?
                                      А управляющий филиала на что?

                                      Комментарий


                                      • #49
                                        Сообщение от dimes Посмотреть сообщение
                                        А управляющий филиала на что?
                                        Чтоб управлять филиалом думаю, а может и газеты читать или в носу ковыряться... Он нам не подчиняется, более того он даже запреду не подчиняется, которому мы подчиняемся...

                                        Комментарий


                                        • #50
                                          Всем привет. Такой вопрос - п.103 (Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реагирование на выявленные инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств),п.104 (Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают анализ причин выявленных инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, проведение оценки результатов реагирования на такие инциденты) в самооценке по 382-П - правильно ли я понимаю, что подразумевается под этим вопросом система Интернет-Банка, если я являюсь оператором по переводу денежных средств.

                                          Комментарий


                                          • #51
                                            Подразумевается любая система платежных систем участником которых вы являетесь.

                                            Комментарий


                                            • #52
                                              Сообщение от Sat_Kelman Посмотреть сообщение
                                              Подразумевается любая система платежных систем участником которых вы являетесь.
                                              Спасибо,уже разобрался.

                                              Комментарий


                                              • #53
                                                подскажите, таблицу с оценками надо в ЦБ отправлять? или только форму 0403202?

                                                Комментарий


                                                • #54
                                                  Форму конечно

                                                  Комментарий


                                                  • #55
                                                    Сообщение от donZhukan Посмотреть сообщение
                                                    подскажите, таблицу с оценками надо в ЦБ отправлять? или только форму 0403202?
                                                    Надо и то и другое.

                                                    Сообщение от 382-П (ред. от 05.06.2013)
                                                    2.15.3. Порядок проведения оценки соответствия и документирования ее результатов определен в приложении 1 к настоящему Положению.
                                                    Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:
                                                    (абзац введен Указанием Банка России от 05.06.2013 N 3007-У)
                                                    заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
                                                    (абзац введен Указанием Банка России от 05.06.2013 N 3007-У)
                                                    заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
                                                    (абзац введен Указанием Банка России от 05.06.2013 N 3007-У)
                                                    сроки проведения оценки соответствия;
                                                    (абзац введен Указанием Банка России от 05.06.2013 N 3007-У)
                                                    сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.
                                                    (абзац введен Указанием Банка России от 05.06.2013 N 3007-У)
                                                    Форма 1 - таблица с оценками по всем пунктам
                                                    Форма 2 - таблица с итоговыми оценками

                                                    Комментарий


                                                    • #56
                                                      Где тут написано что нужно отправлять в ЦБ? Тут требования к отчету. Они должны быть и должны храниться у вас.
                                                      2.15.3. Порядок проведения оценки соответствия и документирования ее результатов определен в приложении 1 к настоящему Положению.
                                                      Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором.
                                                      То есть у вас должно быть определено что, где и как должно храниться. Форма 1 и 2.
                                                      Про отправку в ЦБ все расписано в 2831-У. Там только указываются итоговые показатели EV1, EV2, R. Откройте ПТК-ПСД, Клико (или что вы там используете) и посмотрите что там нужно заполнять.

                                                      Комментарий


                                                      • #57
                                                        Добрый день. Правильно я понял, что самооценку нужно провести в течении полу года после вступления Указания Банка России от 05.06.2013г. №3007-У,а значит до 30.01.2014 (не позднее тридцати рабочих дней со дня завершения проведения оценки) нужно отослать отчет по 382-П по форме 0403202.

                                                        Комментарий


                                                        • #58
                                                          Ну в целом да. Но я провел оценку до НГ, чтоб после праздников не грузиться.

                                                          Комментарий


                                                          • #59
                                                            Я бы сказал, что оценку нужно провести и документально зафиксировать до конца декабря 2013 и в течение 30 дней после проведения оценки отправить отчет по 202 форме в ЦБ.

                                                            Комментарий


                                                            • #60
                                                              Спасибо за ответ.

                                                              Комментарий

                                                              Обработка...
                                                              X