20 ноября, среда 18:04
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Norc Посмотреть сообщение
    Да для банка который входит в ТОП-500 ), такие суммы очень большие,
    Согласен ! "Сам" "оттуда".

    Сообщение от Norc Посмотреть сообщение
    да и все сотрудники ИБ сталкиваются всегда с одной из главных проблем организации ИБ это не понимание важности ИБ со стороны руководства, для них это всегда не разумные траты, что поделать.
    Не согласен ! Это было когда-то, но сегодня скорее исключение...
    ИБ-эшникам необходимо потрудиться : найти компанию с лицензией, провести качественные переговоры и всё ... проверят и дадут сколько потребуется.

    Комментарий


    • Основная нагрузка по оценке соответствия, все одно, будет на сотрудниках Банка. Лицензиаты торгуют не качеством оценки,а иезуитскими анкетами - вариациями "требований", сроками проверки, согласованием методик анализа соответствия и прочее, а также заряженностью на внедрение своих решений и дальнейшему сотрудничеству...

      Комментарий


      • Если у нас софт меняется ежедневно и мы хотим пойти анализ уязвимостей по ОУД 4, То что будет через день после прохождения аудита, он будет считаться действительным?

        Комментарий


        • Сообщение от ost Посмотреть сообщение
          У мну под рукой предложение на внешний аудит по 552-П ценой в 572 тыс. руб.
          Не для этой ветки конечно, но в чем суть услуги - приходят с распечаткой 552-П и крыжат пункты? Может мне ИП открыть - читать умею, 2 карандаша.

          Сообщение от Norc Посмотреть сообщение
          мы делали это комиссией (приказы, заседания, протоколы и т.д.) по проведению оценки соответствия
          Потратьте время на семью/друзей/реальную безопасность лучше

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            но в чем суть услуги - приходят с распечаткой 552-П и крыжат пункты?
            А в чем суть аудита по 382-П?
            То же самое, приходят с распечаткой таблицы и крыжат пункты.

            Комментарий


            • Коллеги, встречаем изменения в 382-П: 4793-У
              http://www.cbr.ru/press/event/?id=1912

              Из любопытного: сроки вступления в силу некоторых пунктов - через 6 лет (01.01.2024), а некоторых - через 12 лет (01.01.2031)

              Что думаете по поводу п.1.2 ...обеспечить использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных ФСТЭК...."
              Сюда попадает только ДБО и платежные системы, или вообще все ПО, используемое для осуществления денежных операций (в том числе и АБС)?

              И второй момент: вводится условие об обязательном разделении программных сред подготовки и подтверждения платежных поручений, в том числе при использовании систем дистанционного банковского обслуживания...
              т.е. большинство существующих в настоящее время веб и мобильных приложений ДБО уже не попадают под эти требования

              Комментарий


              • Сообщение от Setevoy Посмотреть сообщение
                Что думаете по поводу п.1.2 ...обеспечить использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных ФСТЭК...."
                Сюда попадает только ДБО и платежные системы, или вообще все ПО, используемое для осуществления денежных операций (в том числе и АБС)?
                АБС точно попадают. Не представляю, как они теперь будут ежемесячно обновления делать под очередные хотелки Банка России, если сертификатация занимает не менее полугода. Раньше были карманные банки. Теперь видимо будут карманные сертицикационные лаборатории.

                Сообщение от Setevoy Посмотреть сообщение
                И второй момент: вводится условие об обязательном разделении программных сред подготовки и подтверждения платежных поручений, в том числе при использовании систем дистанционного банковского обслуживания...
                т.е. большинство существующих в настоящее время веб и мобильных приложений ДБО уже не попадают под эти требования
                А вот тут есть вариант с отмазкой. Правда будет за уши притянуто.
                Для простых смертных: средой подготовки считаем интернет-банк, средой подтвержедения - телефон, в который смс приходит.
                Для организаций: средой подготовки считаем интернет-банк, средой подтвержедения - смарт-карту с аппаратной криптографией.
                Про мобильный банкинг видимо придётся забыть.

                Комментарий


                • Получается убрали союз ИЛИ. Раздельные технологии ИЛИ ограничения по платежам
                  В утвержденной редакции - раздельные технологии, А ТАКЖЕ установление ограничений.

                  Реально с мобильным банком лажа получается.
                  Неужели ЦБ не видит этого (или мы не так понимаем его затею).

                  Выходит новая редакция 382-П говорит: "идите все на! Какое вам развитие технологий, пусть все с компа работают"?
                  Что-то мне слабо верится в это. По моему- должны быть какие-то разъяснения по этому пункту. А пока непонятно.

                  Комментарий


                  • Коллеги добрый утро! Кто может посоветовать организацию которая проведет аудит по 382-П за вменяемые деньги и не очень длительный срок)). Можно в ЛС, спасибо.

                    Комментарий


                    • ИЛИ не убрали.. в опубликованном документе формулировка следующая:
                      ...необходимо обеспечить реализацию технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений на перевод денежных средств и (или) реализовать ограничения по параметрам операций...

                      Ну и свежий обзор от Лукацкого
                      Последний раз редактировалось Setevoy; 29.06.2018, 08:52.

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение
                        АБС точно попадают.
                        АБС учетная система, переводы она не осуществляет, только учитывает, осуществляет ДБО или процессинг.

                        Комментарий


                        • Сообщение от IgorL Посмотреть сообщение
                          АБС учетная система, переводы она не осуществляет, только учитывает, осуществляет ДБО или процессинг.
                          В смысле не осуществляет? А переводы между счетами? С таким подходом можно вообще на 382-П забить и рассматривать его только применительно к платёжным системам.

                          Комментарий


                          • Сообщение от Sat_Kelman Посмотреть сообщение
                            Получается убрали союз ИЛИ. Раздельные технологии ИЛИ ограничения по платежам
                            Вы сами ЦБ-шный документ читали? Там все осталось как и було.

                            и (или)

                            Комментарий


                            • Сообщение от IgorL Посмотреть сообщение
                              АБС учетная система, переводы она не осуществляет, только учитывает, осуществляет ДБО или процессинг.
                              В итоге через АБС проходят все платежи: и ДБО, и процессинг, и платежные системы, внутренние платежи и между банками.
                              Т.е. в первую очередь именно применительно к АБС и всей связанной с ней инфраструктуре и надо обеспечивать все описанные в 382-П требования.

                              Комментарий


                              • Сообщение от Berckut Посмотреть сообщение
                                С таким подходом можно вообще на 382-П забить и рассматривать его только применительно к платёжным системам.
                                А оно и относится только к платежным системам.
                                см. http://bankir.ru/dom/forum/департаме...81#post4843181

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение

                                  В смысле не осуществляет? А переводы между счетами? С таким подходом можно вообще на 382-П забить и рассматривать его только применительно к платёжным системам.
                                  В прямом не осуществляет. Забить не получится, как раз процессинг и ДБО переводы и осуществлют, а АБС учитывает.
                                  Взять к примеру карточный процессинг. Там вообще вполне допустим, а в ряде случаев только он и возможен учет уже совершенной операции. Тот же перевод C2C. Или если 40817 счета в процессинге, а в АБС сводные. И даже если лицевики, пока фин не придет операции по счету не будет, будет блокировка и не более, АБС параметры перевода не проверяет и не запрещает, только выдает остаток д/с и то чаще всего асинхронно.
                                  Последний раз редактировалось IgorL; 29.06.2018, 10:07.

                                  Комментарий


                                  • Сообщение от Setevoy Посмотреть сообщение

                                    В итоге через АБС проходят все платежи: ....
                                    В итоге все платежи проходят через браузер, операционную систему, СУБД...


                                    Комментарий


                                    • Нравится мне подход аудиторов к ценообразованию.

                                      Внешняя оценка требований 382-П
                                      - от 250 тыс. (небольшой банк, только аудит)
                                      - до 1+ млн. руб. (банк TOP-100, аудит и исправление недостатков).
                                      Скоро будут цену к размеру капитала привязывать.

                                      Комментарий


                                      • Сообщение от ost Посмотреть сообщение
                                        Нравится мне подход аудиторов к ценообразованию.



                                        Скоро будут цену к размеру капитала привязывать.
                                        Можете посоветовать конкретные организации? Можно в личные сообщения, спасибо.

                                        Комментарий


                                        • Сообщение от IgorL Посмотреть сообщение
                                          В итоге все платежи проходят через браузер, операционную систему, СУБД...
                                          А так-же роутеры, коммутаторы, сервера, компьютеры и т.д.,
                                          Все правильно - все эти элементы входят в понятие "информационная инфрастуктура", защита которой тоже регламентируется этим-же 382-П

                                          Обратите внимание на 382-П, главу 2, п.2.1, в которой перечислена информация, подлежащая защите.
                                          по большей части этот как раз то, что находится в АБС (и соответственно в СУБД, на которой эта АБС функционирует)
                                          и соответствено все элементы инфрастуктуры, в которых эта информация хранится, передается, обрабатывается или используется, должны защищаться в соответствии с требованиями 382-П

                                          Комментарий


                                          • Сообщение от Berckut Посмотреть сообщение
                                            АБС точно попадают. Не представляю, как они теперь будут ежемесячно обновления делать под очередные хотелки Банка России, если сертификатация занимает не менее полугода. Раньше были карманные банки. Теперь видимо будут карманные сертицикационные лаборатории.....
                                            Ну, например, Микрософт (и не только он) успевает провести контроль своих патчей под сертифицированные продукты,
                                            которых, на самом деле, достаточно много. https://www.microsoft.com/ru-ru/secu.../products.aspx
                                            Понятно, что это занимает определенное время и стоит вполне определенных денег.
                                            И понятно, что разработчикам банковского ПО придется как-то выстраивать у себя эти процессы, и, как следствие, более жирные разрабы возможно и справятся, а всем, кто сидит на самописках, системах от мелких разработчиков или без поддержки придется как-то определяться, как жить дальше. И для небольших банков это может стать еще одной проблемой....

                                            Сообщение от Berckut Посмотреть сообщение
                                            ...Про мобильный банкинг видимо придётся забыть.
                                            Да ладно, На один телефон ставишь платежное приложение, а на другой получаешь смс-ки...
                                            Последний раз редактировалось saches; 29.06.2018, 11:00.

                                            Комментарий


                                            • Сообщение от saches Посмотреть сообщение
                                              На один телефон ставишь платежное приложение, а на другой получаешь смс-ки
                                              Речь не о разных каналах получения подтверждения, а о разных программных средах для ввода платежей и для подтверждения.
                                              Применительно к мобильному ДБО должно быть 2 отдельных приложения: в одном только формируешь платежи/переводы без возможности подтверждения, а в другом только подтверждаешь без возможности корректировки самих платежей.

                                              Комментарий


                                              • Сообщение от Setevoy Посмотреть сообщение
                                                Речь не о разных каналах получения подтверждения, а о разных программных средах для ввода платежей и для подтверждения.
                                                Применительно к мобильному ДБО должно быть 2 отдельных приложения...
                                                Вообще-то это была, прежде всего, шутка. И, при жгучем желании, никто не запрещает на 2-ух телефонах иметь 2 разных приложения, когда -
                                                Сообщение от Setevoy Посмотреть сообщение
                                                ......в одном только формируешь платежи/переводы без возможности подтверждения, а в другом только подтверждаешь без возможности корректировки самих платежей.
                                                А если без шуток, реально знаю людей, которые не ставят на смартфоны, на которые получают смс-ки от банков, платежные приложения.

                                                Комментарий


                                                • Сообщение от Norc Посмотреть сообщение
                                                  Можете посоветовать конкретные организации?
                                                  Посоветовать не могу, могу назвать.
                                                  Бифит, Диалог Наука, Compliance Control

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    а на другой получаешь смс-ки
                                                    СМС-ка не прокатит. Там в требованиях написано

                                                    аутентификацию входных электронных сообщений (пакета электронных сообщений) путем использования и сравнения (сверки) аутентификационных данных, сформированных на основе информации о реквизитах распоряжений о переводе денежных средств при подготовке клиентом электронных сообщений (пакета электронных сообщений) и подтверждении клиентом электронных сообщений;

                                                    удостоверение оператором по переводу денежных средств распоряжений о переводе денежных средств только в случае положительных результатов аутентификации входных электронных сообщений (пакета электронных сообщений).

                                                    Комментарий


                                                    • Сообщение от ost Посмотреть сообщение
                                                      СМС-ка не прокатит. Там в требованиях написано
                                                      Да ладно?! Клиенту по СМС отправляется код, "сформированный на основе реквизитов...", а клиент полученный код вводит куда-то еще...
                                                      И тут вопрос к ОПДС, в состоянии ли он "...положительно аутентифицировать..."
                                                      В принципе, подобный подход сплошь и рядом используется в качестве ПЭП и, как следствие, КМК, прокатит и в данном случае.
                                                      Последний раз редактировалось saches; 29.06.2018, 12:17.

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение
                                                        код, "сформированный на основе реквизитов...", а клиент полученный код вводит куда-то еще...
                                                        Для начала этот код надо уметь формировать, сейчас-то все шлют рандомные цифры, а потом клиенту надо будет этот код ввести "куда-то ещё".
                                                        И если с первой частью особых проблем нет, можно md5 хэш сгенерить, то перебивать ручками этот код клиенту будет сильно неудобно.

                                                        Лучше посмотреть в сторону мобильных приложений, разработанных под эту задачу. В рамках FIDO Alliance (см. https://fidoalliance.org/specs/fido-...r-registration ) их много сделали, клиент может выбрать любое, какое ему больше нравится (см. https://fidoalliance.org/certificati...fied-products/ ). Надо будет только развернуть в банке сервер, совместимый с FIDO и сынтегрироваться с ним.

                                                        Многие забугорные банки в рамках PSD2 уже это сделали. Да и у нас это будет в связи с переходом на EMV 3DS 2.0

                                                        З.Ы. ИМХО, данное требование в 382-П вписали, содрав из PSD2 см. EBA RTS (см. https://www.eba.europa.eu/regulation...ion-under-psd2 ).

                                                        Комментарий


                                                        • Сообщение от Setevoy Посмотреть сообщение

                                                          А так-же роутеры, коммутаторы, сервера, компьютеры и т.д.,
                                                          Все правильно - все эти элементы входят в понятие "информационная инфрастуктура", защита которой тоже регламентируется этим-же 382-П

                                                          Обратите внимание на 382-П, главу 2, п.2.1, в которой перечислена информация, подлежащая защите.
                                                          по большей части этот как раз то, что находится в АБС (и соответственно в СУБД, на которой эта АБС функционирует)
                                                          и соответствено все элементы инфрастуктуры, в которых эта информация хранится, передается, обрабатывается или используется, должны защищаться в соответствии с требованиями 382-П
                                                          АБС не является СЗИ. АБС это средство учета. Обеспечивайте защиту АБС сертифицированными СЗИ и будет все хорошо!


                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение

                                                            Посоветовать не могу, могу назвать.
                                                            Бифит, Диалог Наука, Compliance Control
                                                            Спасибо большое.

                                                            Комментарий


                                                            • Сообщение от IgorL Посмотреть сообщение
                                                              Обеспечивайте защиту АБС сертифицированными СЗИ и будет все хорошо!
                                                              Об этом и речь - АБС и всю программно-аппаратную инфраструктуру, которая с ней связана, нужно защищать в соответствии с 382-П

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X