14 октября, понедельник 02:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от nos313 Посмотреть сообщение
    .....К сожалению, в 99-ФЗ "О лицензировании отдельных видов деятельности" возможность не получать лицензию для собственных нужд в статье 12 указана только для лицензий на криптографию (в части проведения ТО),.......
    Да ладно....Читаем ПП-313, в пунктах 12-15. Все они начинаются одинаково - Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.... Т.е. в соответствии с ПП-313 на всё это требуется лицензия.
    Но, если посмотреть на ст.12 ФЗ-99, подпункт 1), п .1., который - В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:...
    А нет там слов - Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств....
    А на нет и суда нет. Т.е. если ФЗ не требует на инсталяцию СКЗИ лицензии, то извиняйте дяденьки....(и тётеньки, конечно.. мы ж не сексисты какие-нибудь...)

    Комментарий


    • Коллеги, разрабатываю план реализации требований 382-П, с учетом последних изменений, хотел бы получить комментарии, прав ли я:
      1. Ежегодное тестирование на проникновение и анализ уязвимостей ИБ объектов инф. инфраструктуры Банками должно осуществляться с 01.01.2020. (Потому-что Абз. 2 пп. 2.5.5.1 п. 2.5 вступает в силу с 01.01.2020.)
      2. Анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений осуществляется Банками с привлечением организации, имеющей лицензию по ТЗКИ. (Абз.3пп. 2.5.5.1 п. 2.5). То есть, тестирование на проникновение можно осуществлять собственными силами. Анализ уязвимостей тоже, однако если это анализ уязвимостей в прикладном ПО АС и приложений, то с привлечением лицензиата.
      3. Проведение оценки соответствия с привлечением организации, имеющей лицензию на деятельность по ТЗКИ.
      Спасибо!

      Комментарий


      • Сообщение от whirlwind Посмотреть сообщение
        прав ли я
        по п.1 не правы, т.к. озвученное требование это абз. 3

        ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
        Абз. 2 - это требование про "сертификацию ПО и пр.":

        использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);

        Комментарий


        • Если обобщить новые требования:
          Требование Срок Примечание
          1 Уведомления об инцидентах ИБ в ГосСОПКУ 01.07.2018
          2 Отказ от самооценки и переход на аудит с помощью лицензиатов ФСТЭК 01.07.2018
          3 Проведение ежегодного тестирования на проникновение и анализа уязвимостей 01.07.2018
          4 Установка ограничений по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга 01.07.2018
          5 Применение 378-го приказа ФСБ при защите персональных данных с помощью СКЗИ 01.07.2018
          6 Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020
          7 Разделение контуров для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений 01.01.2020
          8 Применение в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ 01.01.2024
          9 Применение в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ 01.01.2031
          10 Применение в значимых платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ 01.01.2031
          Новые требования 382-П.zip

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение

            по п.1 не правы, т.к. озвученное требование это абз. 3

            Абз. 2 - это требование про "сертификацию ПО и пр.":
            Верно!

            А с этим все верно?
            2. Анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений осуществляется Банками с привлечением организации, имеющей лицензию по ТЗКИ. (Абз.3пп. 2.5.5.1 п. 2.5). То есть, тестирование на проникновение можно осуществлять собственными силами. Анализ уязвимостей тоже, однако если это анализ уязвимостей в прикладном ПО АС и приложений, то с привлечением лицензиата.

            Комментарий


            • Сообщение от whirlwind Посмотреть сообщение

              Верно!

              А с этим все верно?
              2. Анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений осуществляется Банками с привлечением организации, имеющей лицензию по ТЗКИ. (Абз.3пп. 2.5.5.1 п. 2.5). То есть, тестирование на проникновение можно осуществлять собственными силами. Анализ уязвимостей тоже, однако если это анализ уязвимостей в прикладном ПО АС и приложений, то с привлечением лицензиата.
              А с учетом требований ГОСТ Р 57580.1-2017:
              Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями

              По ГОСТу либо использование сертифицированного ПО, либо анализ уязвимостей, в общем не совсем понятно.....

              Комментарий


              • Сообщение от alex.a.fedorov Посмотреть сообщение
                ....5. Применение 378-го приказа ФСБ при защите персональных данных с помощью СКЗИ....
                КМК, это требование действовало с момента выхода Приказа № 378, т.е. с августа 2014-го.
                Последний раз редактировалось saches; 31.07.2018, 11:40.

                Комментарий


                • Сообщение от whirlwind Посмотреть сообщение
                  То есть, тестирование на проникновение можно осуществлять собственными силами. Анализ уязвимостей тоже
                  Сложно сказать. С одной стороны, в ст.12 ФЗ от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности" для "5) деятельность по технической защите конфиденциальной информации;" нет классического исключения "для собственных нужд" как в криптографии.

                  Хотя в этой же статье есть "14) деятельность по тушению пожаров в населенных пунктах, на производственных объектах и объектах инфраструктуры;" - ЮЛ же может тушить свои объекты..)

                  Комментарий


                  • Сообщение от whirlwind Посмотреть сообщение
                    .....По ГОСТу либо использование сертифицированного ПО, либо анализ уязвимостей, в общем не совсем понятно.....
                    Так ГОСТ же, вроде бы, еще не обязателен?

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      Так ГОСТ же, вроде бы, еще не обязателен?
                      Не обязателен. В смысле ссылок на него в НПА по этому вопросу нет, однако подход то должен быть единым, а здесь получается даже некая коллизия.

                      Комментарий


                      • Помогите разобраться в определениях 382-П (именно на примерах, своими словами и т.д.):
                        1. Банковские платежные агенты/субагенты. Кто они?
                        2. Кем являются процессинговые центры, если в Банке нет своего?
                        3. Кем являются ДБО типа Фактуры.ру. как по ФЛ, так и по ЮЛ?
                        4. Кем являются ФСГ (от тех же ЦФТ)?
                        5. Что относится к ТУ ДБО (кроме банкоматов), при том что процессинг и эквайринг в других Банках?
                        6. ТСЗИ - что к ним относится именно в рамках этого положения? (относится ли СКУД, антивирус, видеонаблюдение)
                        7. инциденты - какие именно, о которых банк обязан сообщать? (успешная сработка антивируса, попадание зловредного письма в спам, плохое поведение другого сотрудника, отсутствие АКТа установка ПО, отсутствие еще какого-либо документа, неуспешный звонок мошенника с попыткой ограбить банк, сотрудник вставил USB-носитель в одно место и сработала защита, сотрудник посетил опасный сайт (но ничего не случилось) , и т.д. ) - где границы, с которых начинается "караул! грабят!"?

                        Комментарий


                        • 3. Мне пока удаётся доказывать, что Фактура это не ДБО, а система стороннего электронного документооборота, в котором банк является таким же участником, как и клиент с той лишь разницей, что банк может туда подключать новых участников. Этим я добиваюсь по многим показателям из 382-П оценки н/о. Но прекрасно понимаю, что это до ближайшей серьёзной проверки.

                          Комментарий


                          • Все-таки остается открытым вопрос - АБС попадает под пункт о необходимости сертификации или нет?
                            Если учесть масштаб и сложность самой АБС, в первую очередь от этого зависит масштаб проблем и затрат.

                            По сути, любая АБС - это автоматизированных система, используемая для осуществления переводов денежных средств (перевод между счетами, перевод на счета в других банках и т.д.).
                            Но как ее сертифицировать, если к примеру на реализацию доработок по каждому новому альбому УФЭБС дается 1-3 месяца, а сертификация в самом лучшем случае будет занимать не менее полугода. Кроме того, как быть со всякими индивидуальными кастомными изменениями и доработками, которые происходят постоянно по просьбе бизнес-подразделений?
                            Ну и естественно это грозит неслабыми дополнительными расходами, т.к. за сертификацию каждых изменений разработчики будут просить денег.

                            Комментарий


                            • Сообщение от Setevoy Посмотреть сообщение
                              как ее сертифицировать
                              например, выделяете в АБС (АБС-ах) некое "ядро", которое надо сертифицировать, а все остальное типа не ППО. границу сами определите, чтобы "сертифицировать" пришлось 1 раз в жизни, закрепляете все актом с синими печатями

                              Комментарий


                              • Сообщение от Александр Четвертый Посмотреть сообщение
                                например, выделяете в АБС (АБС-ах) некое "ядро", которое надо сертифицировать, а все остальное типа не ППО. границу сами определите, чтобы "сертифицировать" пришлось 1 раз в жизни, закрепляете все актом с синими печатями
                                Чтобы выделить ядро, сама АБС должна быть организована соответствующим образом, а это зависит от реализации и соответственно от разработчиков.
                                Да и ядро периодически тоже меняется, например когда выходит новая версия.
                                К примеру наши разработчики говорят - это не их проблема, это требование к банкам, вот пусть банки и решают.. обратитесь к нам - мы сделаем все что угодно за ваши деньги.

                                Вопрос - в принципе АБС попадает под этот пункт?
                                И кто как планирует решать эту проблему.

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение

                                  границу сами определите,
                                  На основании чего? Есть нормативка?

                                  Комментарий


                                  • Сообщение от w3d Посмотреть сообщение
                                    На основании чего? Есть нормативка?
                                    придумайте - вам же доказывать потом проверяющему. от вашего ума и зависит все. никакой нормативки здесь нет и не будет никогда

                                    Комментарий


                                    • Сообщение от Setevoy Посмотреть сообщение
                                      Все-таки остается открытым вопрос - АБС попадает под пункт о необходимости сертификации или нет?
                                      Его закрыли на недавнем техническом семинаре в ЦБ. Было чётко сказано, сертификации/оценке по ОУД4 подлежит софт, который передаётся клиенту для осуществления доступа к счёту и операций по счёту, а также фронт-енд системы ДБО, с которым работают клиенты. Всё остальное, в т.ч. АБС банка, под это требование не попадает.

                                      Комментарий


                                      • Про АБС все вспомнят, когда ГОСТ станет обязательным...

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение

                                          Его закрыли на недавнем техническом семинаре в ЦБ. Было чётко сказано, сертификации/оценке по ОУД4 подлежит софт, который передаётся клиенту для осуществления доступа к счёту и операций по счёту, а также фронт-енд системы ДБО, с которым работают клиенты. Всё остальное, в т.ч. АБС банка, под это требование не попадает.
                                          Видел я похоже этот семинар.
                                          А проверяющие об этом знают? А аудиторы, которые будут делать оценку соответствия?
                                          После прохождения некоторых проверок я не верю "частному" мнению одного из сотрудников ЦБ, потому что официальная позиция может быть только на бумаге, но на бумаге таких разъяснений не будет.
                                          Что делать если придёт проверка, найдёт это "нарушение" и банк получит предписание на устранение? За пол года менять АБС и каждый месяц отписываться на запросы, почему нет акта устранения нарушений? У проверяющих ЦБ своё субъективное мнение. Даже имея на руках документы оспорить его крайне сложно, а если документов нет, то невозможно в принципе.

                                          Комментарий


                                          • Сообщение от Setevoy Посмотреть сообщение

                                            Чтобы выделить ядро, сама АБС должна быть организована соответствующим образом, а это зависит от реализации и соответственно от разработчиков.
                                            Да и ядро периодически тоже меняется, например когда выходит новая версия.
                                            К примеру наши разработчики говорят - это не их проблема, это требование к банкам, вот пусть банки и решают.. обратитесь к нам - мы сделаем все что угодно за ваши деньги.

                                            Вопрос - в принципе АБС попадает под этот пункт?
                                            И кто как планирует решать эту проблему.
                                            Свидетели рынка, как обычно, показали себя во всей красе. Видимо подразумевалось, что банки просто перейдут на новую АБС, где сертиификация будет проведена и чтобы не потерять клиентов, разработчики сами выстроятся в очередь на сертификацию. Вот только рынка АБС на самом деле не существует, а если бы и был, то не каждый банк отважится устроить себе кипишь на несколько лет из-за смены АБС.

                                            Комментарий


                                            • Сообщение от Setevoy Посмотреть сообщение
                                              Все-таки остается открытым вопрос - АБС попадает под пункт о необходимости сертификации или нет?
                                              По сути, любая АБС - это автоматизированных система, используемая для осуществления переводов денежных средств (перевод между счетами, перевод на счета в других банках и т.д.).
                                              Без документа-распоряжения клиента на перевод ничего не произойдет. Такова суть банковских переводов.
                                              Так что вопросы к ДБО/Картам и прочим фронтам где клиент эти самые распоряжения отдает, АБС лишь учитывает эти переводы.

                                              Комментарий


                                              • Сообщение от IgorL Посмотреть сообщение
                                                Без документа-распоряжения клиента на перевод ничего не произойдет.
                                                Распоряжения клиентов могут быть не только электронные, но и бумажные.
                                                Т.е. в этом случае первичные платежные документы создаются непосредственно в АБС, а не поступают из каких-то других систем. Никакого ДБО, никаких карт, но фактически перевод производится.
                                                Скажем клиент-юрик принес бумажную платежку в банк на перечисление денежных средств другому клиенту-юрику в этом-же или другом банке. Или оплачивает налоги или какие-то другие бюджетные платежи по бумажным документам.
                                                Или клиент-физик оплачивает квартплату через кассу.

                                                И соответствено в несертифицированных АБС вероятность возможности несанкционированного создания первичных платежных документов будет выше, т.к. НДВ, бекдоры и прочие закладки никто не искал и АБС на их отсутствие не сертифицировалась.

                                                Комментарий


                                                • Сообщение от Setevoy Посмотреть сообщение

                                                  Распоряжения клиентов могут быть не только электронные, но и бумажные....
                                                  Могут быть и бывают. Однако при этом они проходят проверку подписей с карточкой образцов, проверяется ДУЛ у физика, а для юрлиц еще и оттиск печати и Доверенность.
                                                  И даже в этом случае в АБС первичку с бумагой обязан сверить последконтроль, после его проверки только документ уйдет в обработку.
                                                  И что бы дважды не вставать, переводы БОС (коммуналка etc) идут со счета банка а не клиента.

                                                  Комментарий


                                                  • Сообщение от IgorL Посмотреть сообщение
                                                    Могут быть и бывают. Однако при этом они проходят проверку подписей с карточкой образцов, проверяется ДУЛ у физика, а для юрлиц еще и оттиск печати и Доверенность. И даже в этом случае в АБС первичку с бумагой обязан сверить последконтроль, после его проверки только документ уйдет в обработку.
                                                    Проверка по карточке подписей и последконтроль - это все процедуры с человеческим фактором со всеми вытекающими последствиями (случайные или умышленные ошибки, некорректные действия)
                                                    И дело не в том, есть проверки или нет, а в первоисточнике происхождения самих документов.
                                                    Когда документ поступает из ДБО, он первоначально формируется именно там, и в этом случае именно ДБО будет ответственным за его наличие и содержание. И именно поэтому в 4793 предлагается сертифицировать приложения ДБО, чтобы была гарантия, что в них нет ошибок, бекдоров и прочих закладок, позволяющих создавать левые платежи.
                                                    Соответственно такая проблема имеет место и в любой другой системе, в которой имеется функционал по первичному созданию платежных документов (процессинг, сама АБС и т.д), и соответственно было бы логично подвергать анализу и сертификации все такие системы.

                                                    Комментарий


                                                    • Чем сертификация ДБО спасет в случае кражи ключей?

                                                      Комментарий


                                                      • Сообщение от w3d Посмотреть сообщение
                                                        Чем сертификация ДБО спасет в случае кражи ключей?
                                                        Сертиифкация ДБО скорее угробит ИБ этой самой ДБО.
                                                        Представим ситуацию. Кто-то нашёл в ДБО уязвимость. Разработчик опертивно выпустил обновление. Вопрос: Когда можно будет установить обновление?

                                                        Комментарий


                                                        • Сообщение от Berckut Посмотреть сообщение
                                                          После прохожден£ия некоторых проверок я не верю "частному" мнению одного из сотрудников ЦБ, потому что официальная позиция может быть только на бумаге, но на бумаге таких разъяснений не будет.
                                                          Дерьмо вопрос, докладывайте руководству о необходимости закупки сертифицированных АБС.

                                                          Комментарий


                                                          • Сообщение от ost Посмотреть сообщение
                                                            Дерьмо вопрос, докладывайте руководству о необходимости закупки сертифицированных АБС.
                                                            И тут руководство поинтересуется - "Ну и какие АБС/ДБО уже сертифицированы?"

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              И тут руководство поинтересуется - "Ну и какие АБС/ДБО уже сертифицированы?"
                                                              Сертификация же не единственный выход в этом пункте - есть альтернатива с анализом на уязвимости:

                                                              или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта
                                                              Есть куча убогих контор для этого.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X