20 ноября, среда 17:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Александр Четвертый Посмотреть сообщение
    Сертификация же не единственный выход в этом пункте - есть альтернатива с анализом на уязвимости:
    Есть куча убогих контор для этого.
    .
    А принципиальной разницы нет. ОУД4 - это анализ исходников. У банков они есть? + вопросы, что делать с патчами.

    Комментарий


    • Сообщение от saches Посмотреть сообщение
      ОУД4 - это анализ исходников.
      В целом суть стандарта на мой взгляд походит на оценку соответствия по 382-П: главное документы на все подготовить. Каким образом документ получен лицензиатом ФСТЭК - это не дело проверяющего из ЦБ.

      Комментарий


      • Сообщение от Setevoy Посмотреть сообщение
        Проверка по карточке подписей и последконтроль - это все процедуры с человеческим фактором со всеми вытекающими последствиями (случайные или умышленные ошибки, некорректные действия)
        Что изменит "сертификация" инструмента если процесс контроля не выстроен? Ничего, точно так же введет бесконтрольно или подтвердит "не приходя в сознание".
        Сообщение от Setevoy Посмотреть сообщение
        Соответственно такая проблема имеет место и в любой другой системе, в которой имеется функционал по первичному созданию платежных документов (процессинг, сама АБС и т.д), и соответственно было бы логично подвергать анализу и сертификации все такие системы.
        В АБС не создаются первичные документы клиентских распоряжений о переводе ДС, они туда вносятся. Из ДБО или бумажных оригиналов. Процессинг тоже не осуществляет переводы денежных средств между счетами, переводы между картами (с2с/p2p) регулируются правилами платежной системы и проходят сертификацию PCI DSS.

        Комментарий


        • Сообщение от IgorL Посмотреть сообщение
          Что изменит "сертификация" инструмента если процесс контроля не выстроен? Ничего, точно так же введет бесконтрольно или подтвердит "не приходя в сознание".
          По логике, сертификация должна гарантировать отсутствие возможности манипулирования данными в обход штатного функционала.
          Например применительно к ДБО - чтобы нельзя было скрыто подменить реквизиты в отправляемом платежном документе, как это делают некоторые трояны (пользователю показывают одно, а в платежку вносят другое)

          Сообщение от IgorL Посмотреть сообщение
          В АБС не создаются первичные документы клиентских распоряжений о переводе ДС, они туда вносятся. Из ДБО или бумажных оригиналов. Процессинг тоже не осуществляет переводы денежных средств между счетами, переводы между картами (с2с/p2p) регулируются правилами платежной системы и проходят сертификацию PCI DSS.
          Хорошо, процессинг сертифицируется по PCIDSS, ДБО будет сертифировано по ОУД4.. т.е. теперь мы им будем доверять по-умолчанию.
          Но при этом в самой АБС будет какая-либо недоработка, косяк или незадекларированная возможность, которая позволит создать и провести/отправить мошеннический платежный документ в обход всех штатных процедур контроля.. т.е. есть платеж, а кто его создал, одобрил, провел и отправил - неизвестно.

          Мы тут можем рассуждать что угодно, а у ЦБ будет свое мнение.
          Нужно официальное разъяснение, что конкретно по мнению ЦБ попадает под действие данного конкретного требования о сертификации.
          Иначе этот 4793 сейчас напрягяет и банки, и разработчиков.


          Комментарий


          • Сообщение от Setevoy Посмотреть сообщение
            Хорошо, процессинг сертифицируется по PCIDSS, ДБО будет сертифировано по ОУД4.. т.е. теперь мы им будем доверять по-умолчанию. Но при этом в самой АБС будет какая-либо недоработка, косяк или незадекларированная возможность, которая позволит создать и провести/отправить мошеннический платежный документ в обход всех штатных процедур контроля.. т.е. есть платеж, а кто его создал, одобрил, провел и отправил - неизвестно.
            На это есть процедуры контроля, принцип двойной записи (дебет/кредит), лог, распределение полномочий. АБС не осуществляет переводы, она учитывает движение д/с. Часто вообще асинхронно.

            Сообщение от Setevoy Посмотреть сообщение
            Мы тут можем рассуждать что угодно, а у ЦБ будет свое мнение. Нужно официальное разъяснение, что конкретно по мнению ЦБ попадает под действие данного конкретного требования о сертификации.
            Мнение ЦБ высказано на семинаре, официальные разъяснения было неплохо получить и насколько знаю ряд банков уже направил запросы в свои ГУ. Ждем, время пока есть.

            Комментарий


            • Коллеги, представляется, что в части карточного ПО и PCI DSS немного не так.
              Контроль по ОУД и сертификация ПО, это как бы про качество разработки, отсутствие НДВ и т.п.. А если говорить про карточный софт, то это скорее PA DSS (хотя и в PCI DSS какие-то упоминания на эту тему присутствуют). И, кроме того, например, банки не имеющие собственного процессинга никаких аудитов по PCI DSS не проходят.

              Это к собственно к тому, что прежде, чем требовать исполнения нормативки банками, неплохо было бы обозначить требования к разработчикам банковского ПО (хотя бы по аналогии с МПС).
              А вот если отписаться, что из-за отсутствия сертифицированного ПО на рынке и невозможности доступа к исходникам по лицензионному соглашению для проведения оценки по ОУД-4, данное требование из оценки исключается?
              Последний раз редактировалось saches; 08.08.2018, 12:03.

              Комментарий


              • Разве в PCI DSS 3.2 нет требований к разработчикам?

                Комментарий


                • Коллеги, а кто-то пробовал спихнуть новую форму отчетности по 203 формы с ИБ? Там же по сути одни экономические показатели остались.

                  Комментарий


                  • Сообщение от Sat_Kelman Посмотреть сообщение
                    Коллеги, а кто-то пробовал спихнуть новую форму отчетности по 203 формы с ИБ? Там же по сути одни экономические показатели остались.
                    А какое подразделение осилит раздел 2.2?

                    Комментарий


                    • Сообщение от Александр Четвертый Посмотреть сообщение

                      А какое подразделение осилит раздел 2.2?
                      Ну у нас расследования проводит экономическая безопасность. По идее они и должны знать. Так как итоговая информация у них.

                      А для банков разделы 2.3, 3, 4 не заполняются?
                      2.3 - ОПДС значимой КО. (мы не значимые)
                      3 - оператор электронных денежных средств
                      4 - оператор услуг платежной инфраструктуры

                      Для большинства банков только 2.1 и 2.2 надо заполнить?

                      Комментарий


                      • Сообщение от Sat_Kelman Посмотреть сообщение
                        Для большинства банков только 2.1 и 2.2 надо заполнить?
                        Многие банки предоплаченные карты выпускают -> 3 раздел им тоже мб придется заполнять.
                        Самый сложный раздел это 2.1 - событий много у более-менее крупных эмитентов карт. Тут без фиксации этих событий заранее и формирования отчета в дальнейшем сложно будет.

                        Я вот не понимаю, что входит в:

                        Сумма операционных расходов оператора по переводу денежных средств, возникших в результате использования электронных средства платежа без согласия клиентов для всех типов электронных средств платежа, включая операционные расходы, связанные:

                        - с возмещением ущерба, понесенного клиентами оператора по переводу денежных средств;
                        - с оспариванием клиентами оператора по переводу денежных средств операций по переводу денежных средств."
                        Это затраты банка на диспуты в ПС / криминалистику / экспертизы и прочие разборки по инцидентам? Суммы возврата сюда не входят?

                        Комментарий


                        • Сообщение от Александр Четвертый Посмотреть сообщение
                          Это затраты банка на диспуты в ПС / криминалистику / экспертизы и прочие разборки по инцидентам? Суммы возврата сюда не входят?
                          Суммы возврата указываются в столбце 7. А для этого мы решили, что будут сторонние расходы (как раз расходы на доказательную базу, судебные расходы, возможно возмещение морального вреда), короче всё что свыше суммы возврата.

                          Комментарий


                          • Добрый день!
                            Товарищи, подскажите пожалуйста.
                            В начале года мне в руки попал замечательный экселевский файлик "Самооценка - v 107.1 (Открытая) (New) от 23.11.2017.xlsx" автор - Виноградов Александр Ю.
                            Подскажите, может есть новая версия?
                            Если есть выложите пож. здесь.

                            На всякий случай приложу файлик который у меня
                            Вложения

                            Комментарий


                            • Всех с началом трудовой недели!
                              Товарищи, кто как трактует следующие пункты:
                              2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:
                              Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - постановление Правительства Российской Федерации N 79).
                              Приложение 2
                              П.14.2 2.5.5.1 Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадии создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить проведение ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры Требование категории проверки 3
                              Вроде, на первый взгляд, все понятно, от нас требуют (не предлагают) привлекать стороннюю организацию.
                              Но если внимательно присмотреться к п.14.2, то видно, что он относится к третьей категории проверки, а по этому поводу сказано следующее:
                              2.3. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, устанавливающих необходимость выполнения определенной настоящим Положением деятельности, используется следующий общий подход (далее - требования категории проверки 3):
                              оценка 0 выставляется, в случае если деятельность не выполняется;
                              оценка 0.5 выставляется, в случае если деятельность выполняется частично;
                              оценка 1 выставляется, в случае если деятельность выполняется полностью.
                              Т.е. получается можем и не привлекать стороннюю организацию, просто выставим оценку 0 ?

                              Комментарий


                              • Сообщение от kyi Посмотреть сообщение
                                Т.е. получается можем и не привлекать стороннюю организацию, просто выставим оценку 0 ?
                                Пентест можете и не делать, тогда оценка будет 0.
                                Но аудит теперь только внешний, а оценку по нему раз в 2 года отправлять в ЦБ, тут уже не отвертишься.

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение
                                  Но аудит теперь только внешний, а оценку по нему раз в 2 года отправлять в ЦБ, тут уже не отвертишься.
                                  Тыкните меня носом, на основании чего такие выводы?
                                  В п. 2.5.5.1 и 14.2 сказано только про анализ уязвимости (пентест), а про аудит где сказано?

                                  Комментарий


                                  • Сообщение от kyi Посмотреть сообщение
                                    а про аудит где сказано
                                    Абзац шестой подпункта 2.15.1 пункта 2.15

                                    Комментарий


                                    • Сообщение от ost Посмотреть сообщение
                                      Абзац шестой подпункта 2.15.1 пункта 2.15
                                      Спасибо, плохо читал значит :-(

                                      Комментарий


                                      • Сообщение от Sat_Kelman Посмотреть сообщение
                                        Но аудит теперь только внешний, а оценку по нему раз в 2 года отправлять в ЦБ, тут уже не отвертишься.
                                        Коллеги, добрый день!

                                        А задался ли кто-нибудь целью по поиску фирм, которые могут провести такой внешний аудит? Интересно узнать цену вопроса. Я думаю, что будет это стоить весьма не дешево.

                                        Комментарий


                                        • Сообщение от kbvlb Посмотреть сообщение
                                          весьма не дешево.
                                          У меня пока есть КП от одной конторы (не буду ее называть) но цена 450 т.р. и 30 раб. дней только на аудит.
                                          Если потребуется разработка/доработка документов, то это еще 500 т.р. и 60 раб. дней. Однако 500 т.р. это не конечный вариант, могут и опуститься, все зависит от самого аудита.

                                          Комментарий


                                          • Если у Банка есть лицензия ФСТЭК - ему можно самому проводить оценку (ОПДС с привлечением себя как лицензиата ФСТЭК)?

                                            Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79.

                                            Комментарий


                                            • Александр Четвертый, интересная точка зрения. А как вы юридически привлечете сами себя для выполнения работ (оценки соответствия)?
                                              Это уже получается не привлечение организаций, а выполнение своими силами работ для своих нужд.
                                              Кстати, обратите внимание, написано в множественном числе
                                              с привлечением организаций, имеющих лицензию
                                              Т.е. если проверяющие захотят придраться, то есть поле деятельности

                                              Комментарий


                                              • Сообщение от kyi Посмотреть сообщение
                                                Это уже получается не привлечение организаций, а выполнение своими силами работ для своих нужд
                                                Поэтому уже все госбанки создали себе дочек, типа сбертеха, которых будут привлекать.

                                                Комментарий


                                                • Сообщение от kyi Посмотреть сообщение
                                                  Всех с началом трудовой недели!
                                                  Товарищи, кто как трактует следующие пункты:

                                                  Приложение 2


                                                  Вроде, на первый взгляд, все понятно, от нас требуют (не предлагают) привлекать стороннюю организацию.
                                                  Но если внимательно присмотреться к п.14.2, то видно, что он относится к третьей категории проверки, а по этому поводу сказано следующее:

                                                  Т.е. получается можем и не привлекать стороннюю организацию, просто выставим оценку 0 ?
                                                  Буквально на прошлой неделе участвовал в семинаре по изменениям в нормативной базе в части ИБ. Как раз этот вопрос затрагивался.
                                                  Если речь идет про прикладное ПО, то нужна сертификация либо проведение анализа уязвимостей лицензиатом ФСТЭК. Данное требование вступает с 1 января 2020 г.
                                                  Во втором случае говорится про пентест и анализ уязвимостей всей платежной инфраструктуры - эти мероприятия можно проводить своими силами. Действует с 1 июля 2018 г., соответственно, нужно провести до 1 июля 2019 г.

                                                  Комментарий


                                                  • ivanov_nv
                                                    А про то, что
                                                    Оценка соответствия [по 382-П] должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг,....

                                                    чего-нить говорили? Или и так все понятно, типа, заодно с пентестом...

                                                    Комментарий


                                                    • Сообщение от ivanov_nv Посмотреть сообщение
                                                      пентест и анализ уязвимостей
                                                      Мне почему-то запомнилось, что явного требования на лицензиата ФСТЭК конкретно по этому требованию нет.

                                                      Комментарий


                                                      • Сообщение от Александр Четвертый Посмотреть сообщение
                                                        Мне почему-то запомнилось, что явного требования на лицензиата ФСТЭК конкретно по этому требованию нет.
                                                        Конкретно про пентест пока нет, о чем я задавал уточняющий вопрос
                                                        А вот про оценку соответствия точно требование есть
                                                        п.2.15.1
                                                        Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79.

                                                        Комментарий


                                                        • Сообщение от saches Посмотреть сообщение
                                                          ivanov_nv
                                                          А про то, что
                                                          Оценка соответствия [по 382-П] должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг,....

                                                          чего-нить говорили? Или и так все понятно, типа, заодно с пентестом...
                                                          Мельком говорили. Смысл в том, что Самооценку теперь проводят сторонние организации, имеющие лицензию ФСТЭК.

                                                          Комментарий


                                                          • Сообщение от Александр Четвертый Посмотреть сообщение

                                                            Мне почему-то запомнилось, что явного требования на лицензиата ФСТЭК конкретно по этому требованию нет.
                                                            Все верно. Для пентеста и анализа уязвимостей всей платежной инфраструктуры нет требования по проведению лицензиатом ФСТЭК. До 1 июля 2019 г. нужно провести своими силами.

                                                            Комментарий


                                                            • Новый проект положения ЦБ "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности".

                                                              Фактически это расширенный 382-П, но уже распространяется не только на "переводы денежных средств", а на любую информацию, используемую в банковской деятельности:

                                                              - информации, подготавливаемой, обрабатываемой и хранимой в целях осуществления банковских операций, определенных в статье 5 Федерального закона от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности» (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, №27, ст. 357; Собрание законодательства Российской Федерации, 1996, №6, ст. 492; 2001, №33, ст. 3424; 2003, № 27, ст. 2700; № 52, ст. 5033; 2004, № 27, ст. 2711; 2005, № 1, ст. 45; 2007, №31, ст. 4011; №41, ст. 4845; 2009, №23, ст. 2776; №30, ст. 3739; 2010, №31, ст. 4193; №47, ст. 6028; 2011, №7, ст. 905; №27, ст. 3873; №48, ст. 6730; №50, ст. 7351; 2012, №27, ст. 3588; №50, ст. 6954; №53, ст. 7605; 2013, №11, ст. 1076; №19, ст. 2329; №26, ст. 3207; №27, ст. 3438; №30, ст. 4084; №51, ст. 6699; 2014, №26, ст. 3395; №52, ст. 7543; 2015, №27, ст. 3950; №29, ст. 4357; 2017, №18, ст. 2661)(далее – осуществление банковских операций);
                                                              - информации об осуществленных банковских операциях;
                                                              - информации, содержащейся в первичных документах на осуществление банковских операций, формируемых работниками кредитных организаций (далее – работники) и (или) клиентами кредитных организаций (далее – клиенты);
                                                              - информации, необходимой для идентификации и аутентификации клиентов при осуществлении банковских операций и удостоверения клиентами права на осуществление банковских операций;
                                                              - ключевой информации средств криптографической защиты информации (далее – СКЗИ), используемой при подготовке и осуществлении банковских операций;
                                                              информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, используемых для осуществления банковской деятельности в целях обработки защищаемой информации;
                                                              - информации о конфигурации, определяющей параметры работы технических средств защиты информации, используемых для осуществления банковской деятельности в целях обработки защищаемой информации;
                                                              - информации, подлежащей обязательной защите в соответствии с пунктом 2.1 Положения Банка России от 9 июня 2012 года №382-П.


                                                              из 4793-У перешел абзац об использовании сертифицированных автоматизированных систем, но уже применительно ко всем банковским операциям (т.е. АБС попадает однозначно):

                                                              использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4

                                                              Последний раз редактировалось Setevoy; 05.09.2018, 12:35.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X