23 ноября, суббота 00:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • В конце 2017 ФинЦерт делал рассылку сводных таблиц для проведения самоаттестации, мог бы кто нибудь продублировать?

    Комментарий


    • Сообщение от VladimirFG Посмотреть сообщение
      ФинЦерт делал рассылку сводных таблиц
      http://www.cbr.ru/StaticHtml/File/14...ansfers_17.pdf

      Комментарий


      • Коллеги, тут пришла реклама от ЦИБИТ.

        https://www.ed.cibit.ru/programmy-obucheniya/382-p/

        Пишут "Программа формирует компетенции, необходимые для обеспечения защиты информации в соответствии с требованиями, определенными Положением Банка России №382-П и изменениями Положения в редакции 2018 года."

        Что за редакция 2018 года? В Гаранте не нашел никаких нововведений.

        Комментарий


        • ost
          Дык уже почти год трем проект изменений - http://regulation.gov.ru/Files/GetFi...7-43b1a8528a5b
          Вроде как грозились с 01.07.2018 и отдельные пункты с 01.07.2019.
          Последний раз редактировалось saches; 07.05.2018, 20:56.

          Комментарий


          • saches

            Ключевые слова
            Сообщение от saches Посмотреть сообщение
            проект изменений
            Ещё не факт, что примут и не факт что в той редакции, а ЦИБИТ уже нас учить собрался.

            Комментарий


            • Сообщение от saches Посмотреть сообщение
              ost
              Дык уже почти год трем проект изменений - http://regulation.gov.ru/Files/GetFi...7-43b1a8528a5b
              Вроде как грозились с 01.07.2018 и отдельные пункты с 01.07.2019.
              Сроки введения требований несколько изменились по отношению к тем, что указаны в редакции 382-П на regulation.gov.ru. Привожу информацию от марта месяца, с тех пор вроде бы ничего не менялось.
              Комментарии от представителей ГУБиЗИ ЦБ насчет новой редакции 382-П по итогам доклада их представителя на iFin и устного общения в кулуарах:
              - профиль защиты платежного ПО (требуется для проведения анализа уязвимостей) разработан на базе РС БР 2.6 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и ГОСТ Р ИСО/МЭК 15408 (критерии оценки безопасности ИТ);
              - профиль будет передан на согласование во ФСТЭК (согласование ожидается ориентировочно в конце 2018 года);
              - на заседаниях ТК122 обсуждения профиля не будет;
              - требование о сертификации платежного ПО на отсутствие недекларированных возможностей или проведении анализа уязвимостей по уровню доверия не ниже ОУД4 вступает в силу с 01.01.2020, а не с 01.07.2019, как указано в подготовленной редакции;
              - некоторые требования по разделению контуров создания и подписания (подтверждения) электронных сообщений также вступят в силу с 01.01.2020, а не с 01.07.2018.
              Кстати, на РусКрипто 2018 представитель ФСБ рассказывал про согласование редакции 382-П в части распространения требований об использовании российской криптографии на НСПК. Видимо, поэтому редакция так долго и находится в статусе независимой антикоррупционной экспертизы на regulation.gov.ru, а по факту на согласовании в ФСБ. Со ФСТЭК редакция уже согласована.

              Комментарий


              • Товарищи, а как вы выполняете требования по отпарвке отчётности об инцидентах ИБ в платёжную систему Мир? Отчёт, даже пустой, отправлять надо, но порядка не установлено. Так-то я понимаю, что фактически отправив в ЦБ форму 0403203, я и в НСПК данные тоже слил, формально я это доказать не могу.

                Комментарий


                • Сообщение от Berckut Посмотреть сообщение
                  Товарищи, а как вы выполняете требования по отпарвке отчётности об инцидентах ИБ в платёжную систему Мир? Отчёт, даже пустой, отправлять надо, но порядка не установлено.
                  Да вроде все достаточно вменяемо описано в подразделе 19.4 и разделе 24 Правил ПС МИР.
                  Мне по запросу прислали операционный бюллетень в котором подробно расписан порядок предоставления, а точнее не предоставления пустого отчета.
                  В частности есть такие формулировки:
                  "Прямые участники предоставляют отчет как за себя, так и за своих Косвенных участников.
                  ...
                  Если инциденты отсутствуют, то отчет не предоставляется."
                  Если Вам нужен этот бюллетень, напишите им соответствующий запрос.

                  Комментарий


                  • Сообщение от UserNick Посмотреть сообщение
                    Да вроде все достаточно вменяемо описано в подразделе 19.4 и разделе 24 Правил ПС МИР.
                    Мне по запросу прислали операционный бюллетень в котором подробно расписан порядок предоставления, а точнее не предоставления пустого отчета.
                    В частности есть такие формулировки:
                    "Прямые участники предоставляют отчет как за себя, так и за своих Косвенных участников.
                    ...
                    Если инциденты отсутствуют, то отчет не предоставляется."
                    Если Вам нужен этот бюллетень, напишите им соответствующий запрос.
                    Ок. Буду писать.

                    Комментарий


                    • изменения отправлены на регистрацию в минюст https://twitter.com/ArtemSichev/stat...64124168458241

                      Комментарий


                      • Сообщение от nos313 Посмотреть сообщение
                        профиль защиты платежного ПО (требуется для проведения анализа уязвимостей) разработан на базе РС БР 2.6 (обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем) и ГОСТ Р ИСО/МЭК 15408 (критерии оценки безопасности ИТ);
                        А что такое "платежное ПО" в их понимании?

                        Если смотреть PSD2, то там имеются ввиду "Payment services offered electronically" ... "each time a payer accesses its payment account online, initiates an electronic payment transaction or carries out any action through a remote channel which may imply a risk of payment fraud or other abuse", т.е. системы для дистанционного самообслуживания. А у нас, я слышал, будут требовать сертификацию внутренних АБС банков.

                        Комментарий


                        • Сообщение от ost Посмотреть сообщение

                          А что такое "платежное ПО" в их понимании?

                          Если смотреть PSD2, то там имеются ввиду "Payment services offered electronically" ... "each time a payer accesses its payment account online, initiates an electronic payment transaction or carries out any action through a remote channel which may imply a risk of payment fraud or other abuse", т.е. системы для дистанционного самообслуживания. А у нас, я слышал, будут требовать сертификацию внутренних АБС банков.
                          Мы писали в ЦБ запрос на эту тему.
                          Ответ (близко к тексту) такой: ППО - это ПО, которое используется для переводов денежных средств и входит в состав АБС (видимо, имеется в виду АБС в широком смысле, как в СТО БР) и приложений. К ППО относится все ПО, которое передается клиентам для установки на его технических средствах и используется клиентом для передачи распоряжений на перевод, и ПО, которое используется ОПДС и оператором услуг платежной инфраструктуры для приема от клиентов распоряжений на перевод.

                          Комментарий


                          • Сообщение от nos313 Посмотреть сообщение
                            К ППО относится все ПО, которое передается клиентам для установки на его технических средствах и используется клиентом для передачи распоряжений на перевод, и ПО, которое используется ОПДС и оператором услуг платежной инфраструктуры для приема от клиентов распоряжений на перевод.
                            Другими словами, как и в PSD2.

                            nos313

                            Подскажите, кому писали запрос, и если можно формулировку.
                            Хочу подстраховаться и получить адресный ответ ЦБ.

                            Комментарий


                            • Сообщение от ost Посмотреть сообщение

                              Подскажите, кому писали запрос, и если можно формулировку.
                              Хочу подстраховаться и получить адресный ответ ЦБ.
                              Ost, ответил в личку

                              Комментарий


                              • Коллеги, я не нашел в 382-П требования об обязательной двухфакторной аутентификации клиентов.
                                Я чего-то не понимаю или его там действительно нет.

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение
                                  Коллеги, я не нашел в 382-П требования об обязательной двухфакторной аутентификации клиентов.
                                  Я чего-то не понимаю или его там действительно нет.
                                  П. 2.8.2. абз. 4, 5

                                  Комментарий


                                  • Сообщение от UserNick Посмотреть сообщение
                                    П. 2.8.2. абз. 4, 5
                                    Так абзац 4 отдает на откуп ОПДС принятие решения о 2FA. Причем только в система Интернет-банкинга. А решение может быть любым -- хочу использую 2FA, не хочу не использую, или лучше так: "где могу и хочу, там использую 2FA". А абзац 5 это подтверждает -- "В случае принятия соответствующего решения..." Кроме того, господа из ЦБ ограничились только одноразовым паролем, хотя есть много других способов для 2FA.

                                    Таким образом обязаловки действительно нет.

                                    P.S. Странно. В Европе PSD2 делает 2FA обязательной для онлайн транзакций и онлайн доступа к счету.
                                    Последний раз редактировалось ost; 22.05.2018, 14:02.

                                    Комментарий


                                    • Сообщение от ost Посмотреть сообщение
                                      Так абзац 4 отдает на откуп ОПДС принятие решения о 2FA. Причем только в система Интернет-банкинга. А решение может быть любым -- хочу использую 2FA, не хочу не использую, или лучше так: "где могу и хочу, там использую 2FA". А абзац 5 это подтверждает -- "В случае принятия соответствующего решения..." Кроме того, господа из ЦБ ограничились только одноразовым паролем, хотя есть много других способов для 2FA.

                                      Таким образом обязаловки действительно нет.

                                      P.S. Странно. В Европе PSD2 делает 2FA обязательной для онлайн транзакций и онлайн доступа к счету.
                                      В формулировке 4 абз. ОПДС не дается возможность не принять нужное решение. Там же не написано "вправе принять решение ..." или что либо подобное.
                                      Не принятие нужного решения это сразу два нуля в результате самооценки.
                                      Что можно написать в плане устранения? Только "принять решение в срок ..."
                                      В общем назвать использование 2FA необязатльным можно весьма относительно. Скорее это отсроченная обязательность, которая становится реальной обязательностью уже после первой пока еще самооценки.

                                      Комментарий


                                      • Сообщение от UserNick Посмотреть сообщение
                                        В формулировке 4 абз. ОПДС не дается возможность не принять нужное решение.
                                        ОПДС принимает решение не использовать ОТП. Всё.

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          .....P.S. Странно. В Европе PSD2 делает 2FA обязательной для онлайн транзакций и онлайн доступа к счету.
                                          По поводу 2FA что-то есть в ЦБ-шном ГОСТе. Но там, если без учета мобильных и удаленных пользователей, это обязательно для пользователей систем с УЗ1 и сопровожденцев начиная с УЗ2.
                                          Последний раз редактировалось saches; 22.05.2018, 17:02.

                                          Комментарий


                                          • Сообщение от saches Посмотреть сообщение
                                            что-то есть в ЦБ-шном ГОСТе.
                                            Там фигня полная (сорри, за мой английский).
                                            Как правильно было замечено, это обязательно для пользователей систем с УЗ-1 и сопровожденцев начиная с УЗ-2. При том, что клиент банка может вообще не осуществлять доступа в банковскую систему, например при осуществлении транзакции по карте в и-нете.

                                            Комментарий


                                            • Сообщение от ost Посмотреть сообщение
                                              ОПДС принимает решение не использовать ОТП. Всё.
                                              Сообщение от 382-П
                                              Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы Интернет-банкинга, а также при подтверждении клиентом права доступа к системе Интернет-банкинга.
                                              Пусть каждый из нас понял это требование по своему, ничего с этим не поделаешь, так документ написан.
                                              Допустим принято решение не использовать ОКП. Какие оценки Вы поставите при самооценке по П.57.1 и П.57.2 (оба требования категории проверки 3)?


                                              Комментарий


                                              • 57.1 оценка 1 - принято решение не использовать ОТП, в договоре\правилах\условиях это прописано.
                                                57.2 нет оценки - так как нет ОТП, то и условия неприменимы

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  Какие оценки Вы поставите при самооценке по П.57.1 и П.57.2
                                                  Элементарно.
                                                  1 - решение принято
                                                  N/A - не применимо

                                                  Комментарий


                                                  • Коллеги вопрос аудит с этого года обязателен или нет? и Где написано если да?

                                                    Комментарий


                                                    • ealx1_D

                                                      Пока нигде не написано

                                                      Комментарий


                                                      • Сообщение от ealx1_D Посмотреть сообщение
                                                        Коллеги вопрос аудит с этого года обязателен или нет? и Где написано если да?
                                                        Согласование начиналось с этой редакции: http://regulation.gov.ru/Files/GetFi...7-43b1a8528a5b
                                                        Со слов ЦБ в процессе согласования были внесены некоторые изменения: перенесены на 01.01.2020 сроки ввода требования сертификации или анализа уязвимостей платежного ПО и некоторые требования по разделению контуров.
                                                        Плюс, прописаны требования по переводу НСПК на российскую криптографию.

                                                        Изменения в процессе согласования не коснулись требования по внешнему аудиту 382-П, пока ориентируемся на изначальную редакцию. Т.о. внешний аудит 382-П будет обязателен с 01.07.2018

                                                        Со слов ЦБ самооценка, проведенная большинством банков в конце 2017 года будет действительна в течение 2х лет. Но при условии, что процессы обработки платежной информации не изменились. И при условии, что ЦБ не потребует провести внеплановую оценку.

                                                        Новая редакция 382-П с 18 мая на регистрации в Минюсте: http://www.consultant.ru/law/review/...018-05-18.html
                                                        Теоретически, может быть еще и возвращена без регистрации. Но надеяться не стоит.

                                                        Комментарий


                                                        • Изменения в процессе согласования не коснулись требования по внешнему аудиту 382-П, пока ориентируемся на изначальную редакцию. Т.о. внешний аудит 382-П будет обязателен с 01.07.2018г. так обязательный аудит у кого есть софт отданный на аутсерсинг.

                                                          Комментарий


                                                          • Сообщение от ealx1_D Посмотреть сообщение
                                                            Изменения в процессе согласования не коснулись требования по внешнему аудиту 382-П, пока ориентируемся на изначальную редакцию. Т.о. внешний аудит 382-П будет обязателен с 01.07.2018г. так обязательный аудит у кого есть софт отданный на аутсерсинг.
                                                            Не могут они так резко ввести. Обычно всегда пол года давали на ввод в действие. Срок 01.07.2018 явно стоит из-за того, что планировали принять ещё в прошлом году.
                                                            Так что можно провести самооценку по старому перед вступлением в силу изменений и жить спокойно ещё 2 года. Я так планирую делать и исходя из этого запланировал самооценку на осень.
                                                            Последний раз редактировалось Berckut; 13.06.2018, 09:15.

                                                            Комментарий


                                                            • Сообщение от nos313 Посмотреть сообщение
                                                              К ППО относится все ПО, которое передается клиентам для установки на его технических средствах и используется клиентом для передачи распоряжений на перевод, и ПО, которое используется ОПДС и оператором услуг платежной инфраструктуры для приема от клиентов распоряжений на перевод.
                                                              Кстати, возник вопрос по использованию Apple Pay, Samsung Pay и т.п. платежных приложений. В виду отсутствия сертификата ФСТЭК они становятся в РФ вне закона или как?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X