21 ноября, четверг 22:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Setevoy Посмотреть сообщение

    Об этом и речь - АБС и всю программно-аппаратную инфраструктуру, которая с ней связана, нужно защищать в соответствии с 382-П
    А вопрос то был является ли учет движения д/с осуществлением переводов д/с... И, соответственно, требует ли ППО учета д/с сертификации... То что оно требует защиты это несомненно.

    Комментарий


    • Сообщение от IgorL Посмотреть сообщение
      А вопрос то был является ли учет движения д/с осуществлением переводов д/с
      Любая транзакция в АБС - это фактически перевод денежных средств между разными счетами.
      Например один клиент банка переводит другому клиенту банка, или организация со своего счета зачисляет зарплату своим сотрудникам, или перечисление налогов, или клиент оплачивает через банк квартплату - это разве не переводы денежных средств?


      Последний раз редактировалось Setevoy; 29.06.2018, 21:15.

      Комментарий


      • Сообщение от Setevoy Посмотреть сообщение

        Любая транзакция в АБС - это фактически перевод денежных средств между разными счетами.
        Нет такого понятия "перевод между счетами". Перевод бывает между клиентами и операторами по переводу.

        Читаем 161-ФЗ: "Перевод денежных средств осуществляется в рамках применяемых форм безналичных расчетов..."
        Все формы безналичных расчетов находим в 383-П. И все, что там не перечислено, переводом денежных средств не является.

        А Вы полагаете, что, к примеру, начисление % на остаток это тоже перевод?

        Комментарий


        • Сообщение от IgorL Посмотреть сообщение
          АБС не является СЗИ. АБС это средство учета. Обеспечивайте защиту АБС сертифицированными СЗИ и будет все хорошо!
          Речь в требованиях идёт не об использовании сертифицированных СЗИ, а об использовании сертифицированного прикладного ПО.

          Комментарий


          • Сообщение от dredd Посмотреть сообщение

            Нет такого понятия "перевод между счетами". Перевод бывает между клиентами и операторами по переводу.

            Читаем 161-ФЗ: "Перевод денежных средств осуществляется в рамках применяемых форм безналичных расчетов..."
            Все формы безналичных расчетов находим в 383-П. И все, что там не перечислено, переводом денежных средств не является.

            А Вы полагаете, что, к примеру, начисление % на остаток это тоже перевод?
            Действительно, читаем 383-П:
            1.3. Банки осуществляют перевод денежных средств по банковским счетам посредством:
            списания денежных средств с банковских счетов плательщиков и зачисления денежных средств на банковские счета получателей средств;

            Комментарий


            • Сообщение от Setevoy Посмотреть сообщение
              Любая транзакция в АБС - это фактически перевод денежных средств между разными счетами. Например один клиент банка переводит другому клиенту банка, или организация со своего счета зачисляет зарплату своим сотрудникам, или перечисление налогов, или клиент оплачивает через банк квартплату - это разве не переводы денежных средств?
              Вопрос в том что порождает списание с одного счета и зачисление на другой. АРМ КБР может без АБС деньги перевести? Да легко! SWIFT? Тоже нет проблем! Процессинг, ДБО, биллинг,.. все это ППО "для осуществления переводов денежных средств " которое учитывается и отражается в учете АБС.
              Пока нет прямых указаний считать иное. Подождем что скажут регуляторы.







              Комментарий


              • Сообщение от Berckut Посмотреть сообщение

                Действительно, читаем 383-П:
                1.3. Банки осуществляют перевод денежных средств по банковским счетам посредством:
                списания денежных средств с банковских счетов плательщиков и зачисления денежных средств на банковские счета получателей средств;
                Ну и где здесь "перевод между счетами"? Списание-зачисление (суть проводки в контексте 383-П) есть бухгалтерское отражение переводов, а не основание для их осуществления.
                Т.е. есть надежда таки вывести АБС из под этого безобразия.


                Комментарий


                • Сообщение от IgorL Посмотреть сообщение
                  Подождем что скажут регуляторы
                  Сообщение от dredd Посмотреть сообщение
                  есть надежда таки вывести АБС из под этого безобразия
                  Если надежды не оправдаются, то вот некоторые последствия :
                  1. не все вендоры АБС "выживут" и останется 3-йка (+/-)
                  2. почти совсем закончатся "самописные" АБС
                  Тем, кого заденет 1. или 2. придется идти к этим "3-йка (+/-)".
                  Мы уже не 1 раз за прошедшие >20лет ходили к ним.
                  Знаем точно, что на сегодня далеко не все КО (из ТОП-438) вообще способны подступиться к ним.
                  Договориться очень сложно.
                  Будем "закрываться" .?
                  Если же речь всё-таки о ДБО и о всяческим другим используемым нами ППО (только не АБС в целом), то
                  это даже мы потянем, тем более если "жить хотим"...

                  Комментарий


                  • Добрый день!
                    Вопрос по изменениям в 382-П.
                    "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры"
                    Первое тестирование нужно провести до конца 2018 года или есть время до 1 июля 2019?
                    Последний раз редактировалось ivanov_nv; 10.07.2018, 14:48.

                    Комментарий


                    • Сообщение от ivanov_nv Посмотреть сообщение
                      Добрый день!
                      Вопрос по изменениям в 382-П.
                      "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры"
                      Первое тестирование нужно провести до конца 2018 года или есть время до 1 июля 2019?
                      Хороший вопрос.
                      Можно через любымый всеми Портал 4 запрос отправить.

                      Комментарий


                      • Коллеги, вопрос уже поднимался неоднократно, но хотелось бы услышать, были ли прецеденты, когда на практике удавалось отбиться от требования 2.8.2, касаемо кодов подтверждения по альтернативному каналу связи.
                        Был ли такой опыт? Даже не в плане оценки соответствия, а просто, допустим, приходит проверка ЦБ и спрашивает, почему не настроены одноразовые коды подтверждения? что теоретически можно ответить?

                        Комментарий


                        • Сообщение от junglets Посмотреть сообщение
                          приходит проверка ЦБ и спрашивает, почему не настроены одноразовые коды подтверждения? что теоретически можно ответить?
                          Достаете решение риск комитета или правления (или что там у вас), в котором написано "... принято решение не использовать одноразовые пароли ...". Дальше возможны вариации от вообще нигде и никогда, до в таких-то системах и таких-то случаях.

                          Комментарий


                          • А обоснования в таком протоколе какие либо указываются? Или это на усмотрение? Так мол и так, "в связи с невозможностью реализации..." и тп

                            Комментарий


                            • Сообщение от junglets Посмотреть сообщение
                              А обоснования в таком протоколе какие либо указываются?
                              В свете 382-П должно быть просто решение, 382-П не требует обоснованного решения.
                              Ну, а обосновать можно как вам нравится. Например, неактуальностью, в связи с использованием другого способа двухфакторной аутентификации (ЭЦП с токеном) и т.п.

                              Комментарий


                              • Сообщение от ivanov_nv Посмотреть сообщение
                                Добрый день!
                                Вопрос по изменениям в 382-П.
                                "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры"
                                Первое тестирование нужно провести до конца 2018 года или есть время до 1 июля 2019?
                                В местном отделении Банка России сказали, что время есть до 1 июля 2019 г.

                                Комментарий


                                • Сообщение от ivanov_nv Посмотреть сообщение

                                  В местном отделении Банка России сказали, что время есть до 1 июля 2019 г.
                                  Првоеряющие потом будут признавать только бумагу.
                                  При проведении аудита, чтобы не получить минус за этот пункт, тоже надо будет приложить бумагу.

                                  Комментарий


                                  • Сообщение от ivanov_nv Посмотреть сообщение
                                    В местном отделении Банка России сказали, что время есть до 1 июля 2019 г.
                                    Berkut прав, нужен письменный ответ.

                                    Комментарий


                                    • Сообщение от IgorL Посмотреть сообщение
                                      нужен письменный ответ.
                                      А вы не делаете пен-тесты? Зря.

                                      Комментарий


                                      • Прилетел такой запрос от ЦБ при проверке
                                        "Документы (решения, договоры, акты, иные) по использованию информационно-вычислительных ресурсов / комплексов / программ / систем / сетей / хранилищ / сервисов (включая «облачные») внешних / сопряжённых / дочерних организаций (филиалов)."

                                        Что понимается под "использованием", никто с подобным не сталкивался? И какого рода документы все-таки имеются в виду? Вопрос настолько расплывчат...

                                        Получил ответ - имеются в виду внешние по отношению к банку ресурсы
                                        Последний раз редактировалось w3d; 20.07.2018, 09:35.

                                        Комментарий


                                        • Коллеги "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры" самим можно делать или только лицензиатом ТЗКИ теперь ?

                                          Комментарий


                                          • Сообщение от Esin Посмотреть сообщение
                                            Коллеги "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры" самим можно делать или только лицензиатом ТЗКИ теперь ?
                                            Только лицензиатам.

                                            Комментарий


                                            • Сообщение от Esin Посмотреть сообщение
                                              Коллеги "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры" самим можно делать или только лицензиатом ТЗКИ теперь ?
                                              В 382-П нет явного требования привлекать для тестирования на проникновение и анализа уязвимостей инфраструктуры внешнего лицензиата ФСТЭК .
                                              Прямое указание привлекать лицензиата есть только при внешнем аудите 382-П и сертификации на НДВ/анализе уязвимостей платежного ПО.

                                              Но при самостоятельном тестировании на проникновении/анализе уязвимостей ОИИ у банка возникают неудобства:
                                              1. Отсутствие компетенции банка в этом вопросе, отсутствие нормальных инструментов для пентеста, трудности при самостоятельном оформлении результатов, доверие к результатам.
                                              2. Вероятность отнесения таких работ к ТЗКИ, т.е. к лицензируемой ФСТЭК деятельности. Если у банка есть лицензия ФСТЭК на ТЗКИ - нет проблем. Если нет, теоретически возможна ответственность по статье 13.13 КоАП.

                                              Так что, лучше привлекать внешнюю организацию. Хотя бы для тестирования критичных информационных систем.
                                              И доказательства выполнения требования будут весомее, и реальный уровень защищенности проверите.
                                              Но обязанности такой нет.

                                              Комментарий


                                              • Сообщение от nos313 Посмотреть сообщение
                                                2. Вероятность отнесения таких работ к ТЗКИ, т.е. к лицензируемой ФСТЭК деятельности. Если у банка есть лицензия ФСТЭК на ТЗКИ - нет проблем. Если нет, теоретически возможна ответственность по статье 13.13 КоАП.
                                                Поясните, пожалуйста, о какой лицензии может идти речь. ИМХО мазохизм какой то получается и искусственное создание проблем.
                                                С Вашей точки зрения Банк оказывает услуги себе сам и при этом сам у себя проверяет наличие лицензии?

                                                Комментарий


                                                • Насколько помню, Постановление Правительства РФ от 15.06.2016 N 541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" - отменило лицензирование для собственных нужд.

                                                  Комментарий


                                                  • Сообщение от UserNick Посмотреть сообщение
                                                    Поясните, пожалуйста, о какой лицензии может идти речь. ИМХО мазохизм какой то получается и искусственное создание проблем.
                                                    С Вашей точки зрения Банк оказывает услуги себе сам и при этом сам у себя проверяет наличие лицензии?
                                                    Согласен, по логике, если субъекта права государство обязало вести какую-то деятельность, то требования по получению лицензии для такой деятельности быть не должно.
                                                    И по вопросу обязательности получения, например, лицензии ФСТЭК на ТЗКИ при защите обрабатываемых ПДн мое мнение - оператору ПДн лицензию получать не нужно, если только он не оказывает другим услуги по защите ПДн.
                                                    Но есть и обратное мнение, например, здесь: http://elvis.ru/upload/iblock/7d5/li...sonal_data.pdf
                                                    Я не утверждаю, что регулятор в 100% случаев будет трактовать не в пользу проверяемого, скорее, наоборот. Но определенный риск все же есть.
                                                    Кроме того, в последнее время в рамках проверок лицензиатов ФСБ мы наблюдаем ужесточение позиции проверяющих и трактовок не в пользу лицензиата.
                                                    Известны случаи, когда схема с распространением через сейф-пакеты при не вписанных в лицензию ГО адресах филиалов уже не удовлетворяет проверяющих. Хотя раньше с этим проблем не было. Или аттестацию требуют для всех АРМ с СКЗИ, если нет соответствующей модели угроз (в конце статьи): https://nos313.blogspot.com/2017/01/blog-post.html
                                                    Тенденция к "закручиванию гаек" налицо.

                                                    Сообщение от w3d Посмотреть сообщение
                                                    Насколько помню, Постановление Правительства РФ от 15.06.2016 N 541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" - отменило лицензирование для собственных нужд.
                                                    С ходу не нашел. Не подскажете конкретный пункт?
                                                    Обычно, если деятельность для собственных нужд выводится из под действия 99-ФЗ, то это явно указывается в перечне видов деятельности - пункт 1 статьи 12 99-ФЗ.
                                                    Для лицензий ФСБ в 99-ФЗ и ПП 313, например, есть конкретное исключение для технического обслуживания СКЗИ: "...за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд ЮЛ или ИП"
                                                    Для ТЗКИ исключения не нашел.

                                                    Комментарий


                                                    • Сообщение от nos313 Посмотреть сообщение
                                                      С ходу не нашел. Не подскажете конкретный пункт?
                                                      Возможно ошибаюсь, инфу давно нашел на https://lukatsky.blogspot.com/2016/02/blog-post_5.html и с тех пор не отслеживал

                                                      Комментарий


                                                      • Сообщение от nos313 Посмотреть сообщение
                                                        Согласен, по логике, если субъекта права государство обязало вести какую-то деятельность, то требования по получению лицензии для такой деятельности быть не должно.
                                                        Завтра, например, Путин обяжет банки прививать сотрудников фронт-офиса, собирающих биометрию, от лихорадки денге. По вашей логике банку надо лишь купить вакцину, шприцы и выбрать операциониста с легкой рукой?

                                                        Комментарий


                                                        • Сообщение от nos313 Посмотреть сообщение
                                                          ......Для ТЗКИ исключения не нашел.
                                                          Насколько я представляю, и по нормативке для ТЗКИ, и по ПП313, например, в части инсталяции СКЗИ для собственных нужд, необходимо получение лицензии. Но все на это забивают, т.к. статус ФЗ выше, чем у ПП или иного подзаконного акта, а в 99-ФЗ вполне конкретно сказано, что для собственных нужд лицензирование не требуется.

                                                          Комментарий


                                                          • Сообщение от w3d Посмотреть сообщение
                                                            Возможно ошибаюсь, инфу давно нашел на https://lukatsky.blogspot.com/2016/02/blog-post_5.html и с тех пор не отслеживал
                                                            Да, интересно получилось: http://regulation.gov.ru/projects#npa=44241
                                                            На согласовании была формулировка "4. При осуществлении деятельности по ТЗКИ лицензированию подлежат следующие виды работ и услуг (за исключением случаев, если указанные виды работ и услуг выполняются и (или) оказываются для обеспечения собственных нужд юридического лица или индивидуального предпринимателя): ... и дальше перечисление работ/услуг."
                                                            Про эту формулировку и писал Алексей в блоге.
                                                            После публичного обсуждения и антикоррупционной экспертизы проекта формулировка изменилась: "4.При осуществлении деятельности по ТЗКИ лицензированию подлежат: ... и дальше перечисление работ/услуг." Хотя об этом в единственном поступившем замечании не просили.
                                                            В этой редакции акт и приняли.
                                                            Таким образом, возможность не получать лицензию на ТЗКИ на законом основании при ведении такой деятельности для собственных нужд не появилась.

                                                            Сообщение от Александр Четвертый Посмотреть сообщение
                                                            Завтра, например, Путин обяжет банки прививать сотрудников фронт-офиса, собирающих биометрию, от лихорадки денге. По вашей логике банку надо лишь купить вакцину, шприцы и выбрать операциониста с легкой рукой?
                                                            Думаю, в таком случае в соответствующем НПА явно укажут обязанность привлечения банком для вакцинации компании с лицензией на медицину
                                                            Как, например, в 382-П явно обязали привлекать лицензиата для внешнего аудита или сертификации/анализа уязвимостей платежного ПО.

                                                            Сообщение от saches Посмотреть сообщение
                                                            Насколько я представляю, и по нормативке для ТЗКИ, и по ПП313, например, в части инсталяции СКЗИ для собственных нужд, необходимо получение лицензии. Но все на это забивают, т.к. статус ФЗ выше, чем у ПП или иного подзаконного акта, а в 99-ФЗ вполне конкретно сказано, что для собственных нужд лицензирование не требуется.
                                                            К сожалению, в 99-ФЗ "О лицензировании отдельных видов деятельности" возможность не получать лицензию для собственных нужд в статье 12 указана только для лицензий на криптографию (в части проведения ТО), выявление закладок, производство и ТО мед.техники (в части ТО), перевозки воздушным транспортом пассажиров и грузов, перевозки пассажиров на автомобиле и морскую буксировку.
                                                            При буквальной трактовке 99-ФЗ получается, что остальные работы, даже осуществляемые для собственных нужд, должны лицензироваться.
                                                            Если бы было общее правило, позволяющее не получать лицензию для собственных нужд, думаю, его бы включили в статью 4 99-ФЗ.

                                                            А забивают на получение лицензии, думаю, еще и из-за того, что ведение лицензируемой деятельности без извлечения прибыли наказывается только штрафом по КоАП.

                                                            Комментарий


                                                            • Сообщение от nos313 Посмотреть сообщение
                                                              А забивают на получение лицензии, думаю, еще и из-за того, что ведение лицензируемой деятельности без извлечения прибыли наказывается только штрафом по КоАП.
                                                              Не по этому. А потому, что было соответствующее разъяснение регулятора - ФСТЭК.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X