15 декабря, воскресенье 18:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Инструкция Банка России от 21.06.2018 N 188-И
    "О порядке применения к кредитным организациям (головным кредитным организациям банковских групп) мер, предусмотренных статьей 74 Федерального закона "О Центральном банке Российской Федерации (Банке России)"
    Зарегистрировано в Минюсте России 22.08.2018 N 51963.

    Определен перечень мер и порядок их применения к кредитным организациям
    Банк России применяет к кредитным организациям (головным кредитным организациям банковских групп) меры в соответствии со статьей 74 и статьей 75 Федерального закона "О Центральном банке Российской Федерации (Банке России)".
    При этом предусматривается, в частности, что к кредитной организации (головной кредитной организации банковской группы) не применяются меры, предусмотренные частями первой - четвертой статьи 74 указанного Федерального закона:
    - если со дня совершения нарушения истекло пять лет;
    - за нарушение федеральных законов, если надзор (контроль) за соблюдением их норм отнесен к компетенции иных надзорных (контролирующих) органов.
    В числе мер, которые Банк России имеет право применить к кредитной организации, поименованы, в частности:
    - требование об устранении выявленных нарушений;
    - штраф в размере до 0,1 процента минимального размера уставного капитала;
    - ограничение на проведение отдельных операций на срок до шести месяцев.
    Также, в частности, установлен перечень мер, применяемых в случае неисполнения в установленный срок предписаний об устранении нарушений, а также в случае, если эти нарушения или совершаемые банковские операции или сделки создали реальную угрозу интересам ее кредиторов (вкладчиков). Это в том числе штраф в размере до 1 процента размера оплаченного уставного капитала, но не более 1 процента минимального размера уставного капитала; ограничение на проведение более широкого перечня банковских операций; запрет на открытие кредитной организацией филиалов на срок до одного года; назначение временной администрации по управлению кредитной организацией на срок до шести месяцев.
    Банк России вправе отозвать у кредитной организации лицензию на осуществление банковских операций по основаниям, предусмотренным статьей 20 Федерального закона "О банках и банковской деятельности".
    Думаю всем понятно, что теперь результаты оценки соответствия отличные от 1.0 могут обойтись в сумму до мульта штрафа, а в случае неисполнения предписания до 10 мультов?

    Комментарий


    • Сообщение от Berckut Посмотреть сообщение
      Думаю всем понятно, что теперь результаты оценки соответствия отличные от 1.0 могут обойтись в сумму до мульта штрафа,
      Да нас уже пугали, пугали. Пугали, пугали. ...
      Вам-то лично с этого какой профит? Оценку соответствия будет рисовать лицензиат ФСТЭК, они свой профит и получат.

      Комментарий


      • Setevoy
        На мой взгляд, проект Положения объединяет и конкретизирует требования 382-П и ГОСТ Р 57580.1-2017. Т.е. все горздо веселее.
        Хотя по срокам в части необходимости сертификации, аудита и кое-чего еще, есть определенные послабления.
        Там же рядом (чуть выше, на сайте ЦБ), аналогичные проект Положения для некредитных финансовых организаций (ес-но, без учета 382-П). Т.е. страховые, брокеры и т.п. тоже попали под раздачу....

        Комментарий


        • Сообщение от kyi Посмотреть сообщение
          Всех с началом трудовой недели!
          Товарищи, кто как трактует следующие пункты:

          Приложение 2


          Вроде, на первый взгляд, все понятно, от нас требуют (не предлагают) привлекать стороннюю организацию.
          Но если внимательно присмотреться к п.14.2, то видно, что он относится к третьей категории проверки, а по этому поводу сказано следующее:

          Т.е. получается можем и не привлекать стороннюю организацию, просто выставим оценку 0 ?
          А что будет в случае проверки, если предъявить по пентесту оценку 0? Грубо говоря организацию не привлекали (т.к. явно этого не обязывают), выставили себе 0. Чем это грозит в итоге?

          Комментарий


          • Сообщение от Ineks Посмотреть сообщение
            А что будет в случае проверки, если предъявить по пентесту оценку 0? Грубо говоря организацию не привлекали
            0 это 0, его наличие резко понижает итоговый бал оценки. Можете смоделировать в ёкселе.

            А потом, мне очень интересно, как вы будете делать пен-тест не привлекая специализирующуюся на этом организацию, какие результаты вы при этом хотите получить и какую пользу извлечь.

            Раньше было доступно по деньгам заказать пен-тест в импортной конторе, например trustwave, и в ряде случаев это было дешевле, чем у наших. Но теперь у наших однозначно дешевле, при этом они все имеют лицензию ФСТЭК. В чем проблема-то привлечь?

            Комментарий


            • Сообщение от ivanov_nv Посмотреть сообщение

              Все верно. Для пентеста и анализа уязвимостей всей платежной инфраструктуры нет требования по проведению лицензиатом ФСТЭК. До 1 июля 2019 г. нужно провести своими силами.
              Коллеги, дважды писал официальный вопрос в ЦБ, по этому поводу. (причем второй вопрос был сформулирован так: Входят ли в работы по тестированию на проникновение и анализу уязвимостей ИБ работы по анализу уязвимостей в прикладном ПО....) Дважды мне отвечали одинаково:
              Все работы, указанные в абзаце третьем подпункта 2.5.5.1 пункта 2.5 Положения № 382-П, допускается выполнять собственными силами организации, за исключением работ по проведению анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений, указанных в абзаце четвертом подпункта 2.5.5.1 пункта 2.5 Положения № 382-П.
              Тем не менне считаю, что при проведении тестирования на проникновение и анализа уязвимостей информационной безопасности собственными силами, в любом случае организация столкнется с необходимостью анализа уязвимостей в прикладном ПО (иначе тестирование на проникновение будет не полным, хотя и методик нет). Если конечно не используется сертифицированное ПО для перевода денежных средств. (Его по требованиям 382-П необходимо будет использовать с 01.01.2020)
              Или если на ПО есть бумаги по анализу уязвимостей и контролю отсутствия НДВ по ОУД.4. При наличии таких бумаг, конечно для проведения работ по тестированию на проникновение и анализу уязвимостей ИБ собственными силами, анализ уязвимостей в прикладном ПО... проводить будет не нужно!
              Вывод:
              1. Тестирование на проникновение и анализ уязвимостей собственными силами проводить можно, но если вы действительно хотите пройти его полностью, нужно просканировать каким-либо сканером, на наличие уязвимостей, а это уже привлечение сторонней организации получается..........
              2. Если вы используете сертифицированное ПО, или есть бумаги по анализу уязвимостей по ОУД.4, то при тестировании на проникновении и анализе уязвимостей конечно не нужно будет использовать какой-либо сканер и соответственно привлекать стороннюю организацию.
              p.s.
              .....все как обычно.....
              Последний раз редактировалось whirlwind; 15.10.2018, 07:43.

              Комментарий


              • whirlwind
                1. Скачайте или купите, например, Nessus, и сканируйте уязвимости самостоятельно, хоть каждый день.
                Если говорить о формальной стороне вопроса - никого привлекать для этого необходимости нет, как и для проведения пентеста.
                2. Сертификация ПО на НДВ или контроль по ОУД4, подразумевает передачу исходников сторонней организации.

                Комментарий


                • saches

                  Сообщение от saches Посмотреть сообщение
                  1. Скачайте или купите, например, Nessus, и сканируйте уязвимости самостоятельно, хоть каждый день.
                  Судя по формулировке из 382-П сейчас сканером пользоваться нельзя:

                  Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - постановление Правительства Российской Федерации N 79).

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    1. Скачайте или купите, например, Nessus, и сканируйте уязвимости самостоятельно, хоть каждый день. Если говорить о формальной стороне вопроса - никого привлекать для этого необходимости нет, как и для проведения пентеста.
                    Nessus решает несколько другие задачи. Он может отслеживать известные уязвимости и неустановленные патчи к известным ему системам, найти уязвимости в системе ДБО банка Nessus не сможет, он подскажет когда версия или настройки апача или чего-то там ещё, надо поправить, а дыру в прикладном софте не найдёт.

                    Сообщение от whirlwind Посмотреть сообщение
                    Судя по формулировке из 382-П сейчас сканером пользоваться нельзя:
                    Ерунда. Пользуйтесь на здоровье, никто вам не запрещает.

                    Комментарий


                    • whirlwind
                      Вы путаете (1) сканирование на уязвимости и (2) анализ на НДВ.
                      Приведенная Вами цитата, это про 2-ое.

                      Комментарий


                      • ost
                        И чем же Вы будете дыру в прикладном софте искать?

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          ost
                          И чем же Вы будете дыру в прикладном софте искать?
                          Не чем, а кем. И не будете, а уже. Специализарованной конторой, благо их есть.

                          Комментарий


                          • ost
                            saches
                            Коллеги, я что вижу, так и понимаю. Мы хотим проводить самостоятельно тестирование на проникновение и анализ уязвимостей ИБ, для этого будут произведены мероприятия, в том числе предполагается приобретение сканера xspider, который в свою очередь:
                            "В ходе инспекционного контроля подтверждены возможности сканера по выявлению включенных в банк данных угроз безопасности ФСТЭК России уязвимостей ПО для поддерживаемых платформ и объектов и его соответствие требованиям по 4 уровню контроля отсутствия недекларированных возможностей и технических условий."
                            Теперь цитата из 382-П
                            Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору.....следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации....
                            Подскажите пожалуйста, есть ли обоснование того, что сканером можно пользоваться без привлечения сторонней организации, может кто-нибудь обосновать, судя по вышеописанному нельзя!
                            Заранее "большое прибольшое" спасибо!

                            Комментарий


                            • Сообщение от whirlwind Посмотреть сообщение
                              Теперь цитата из 382-П Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору.....следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации.... Подскажите пожалуйста, есть ли обоснование того, что сканером можно пользоваться без привлечения сторонней организации, может кто-нибудь обосновать, судя по вышеописанному нельзя!
                              Речь идет про прикладное ПО. Его либо сертифицировать, либо проводить анализ уязвимостей лицензиатом ФСТЭК.
                              А для всей платежной инфраструктуры проводятся пентест и анализ уязвимостей своими силами.

                              Комментарий


                              • Сообщение от whirlwind Посмотреть сообщение
                                есть ли обоснование того, что сканером можно пользоваться без привлечения сторонней организации
                                Сканером можно пользоваться для контроля, что у вас закрыты все известные уязвимости и накачены все выпущенные патчи, это называется vulnerability manadgement. При большом кол-ве компов это средство автоматизации просто необходимо. Для его применения никого привлекать не надо.

                                Дополнительно (для комплайнса) вам нужно проводить сканирование уязвимостей с привлечением внешней конторы. А также ещё минимум раз в год проводить пен-тест с привлечением внешней конторы. Естественно, контора не должна ограничиваться запуском того же сканера, они ещё должны головой и руками поработать, смоделировать действия хацкера.

                                Комментарий


                                • Четкого понимания нет...
                                  Сообщение от ost Посмотреть сообщение
                                  Дополнительно (для комплайнса) вам нужно проводить сканирование уязвимостей с привлечением внешней конторы. А также ещё минимум раз в год проводить пен-тест с привлечением внешней конторы. Естественно, контора не должна ограничиваться запуском того же сканера, они ещё должны головой и руками поработать, смоделировать действия хацкера.
                                  У меня есть официальный ответ от ЦБ, что тестирование на проникновение и анализ уязвимостей ИБ можно производить собственными силами.

                                  Мой вопрос заключается вот в чем: Попробую еще раз - при проведении тестирования на проникновение, будет произведен ряд мероприятий, например [это у нас реально делается]отправим письмо юзеру с поддельным обратным адресом, позвоним представимся кем-нибудь и т.п., в том числе посканируем nmap_ом адреса, установим открытые порты. Далее, например, есть открытый порт 3389, аяяй, такого быть не должно-срочно закрываем, есть адресок Банк-клиента (толстый клиент), с определенным открытым портом и Интернет клиент с портом 443, а это прикладное ПО. Ну открыт порт и открыт - он и должен быть открытым, но вопрос, есть ли уязвимости... Купили сканер и начинаем "извне" сканировать наши открытые порты, то есть Прикладное ПО на наличие уязвимостей, теперь снова цитата:
                                  Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору.....следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации...
                                  ...Прошу прощения за назойливость, но четкого понимания нет, или есть путаница в понятиях, которую еще не распутал...

                                  Комментарий


                                  • Сообщение от whirlwind Посмотреть сообщение
                                    четкого понимания нет, или есть путаница в понятиях, которую еще не распутал
                                    Пути цбшные неисповедимы, но я так понимаю, что сканер уязвимостей вам не ничего не найдет в проприетарном ПО.
                                    Сканер заточен под работу по шаблонам и базе известных уязвимостей, о системе ДБО банка сканер ничего не знает и максимум что выявит, это незакрытые порты, устаревшие или непропатченные компоненты веб-сервера, java/php/openssl и т.п. Дыру в реализации интерфейса или логики продукта сканер не найдет, не обучен. Например, программист мог сделать ошибку в коде, которая позволяет потенциальному нарушителю изменить сумму и реквизиты платежа. Вот для поиска (и особенно для анализа) как раз таких дыр нужно привлекать лицензиата.

                                    Что найдет лицензиат, это отдельный вопрос. Иногда они пишут такую фразу: "Для установления полного перечня воздействий, которые можно осуществить, требуется исследовать код системы методом «белого ящика» с доступом к исходному коду, после этого необходимо скорректировать оценку критичности."

                                    Отмечу ещё одну полезность привлечения лицензиата, это эффект авторитета, к его мнению прислушаются. А если вы сами что-то найдёте, вас могут затоптать, типа вы ничего не понимаете, это у нас фича а не баг. Проходили.

                                    Комментарий


                                    • Сообщение от whirlwind Посмотреть сообщение
                                      У меня есть официальный ответ от ЦБ, что тестирование на проникновение и анализ уязвимостей ИБ можно производить собственными силами.
                                      Это очевидно, т.к. оговорка про лицензию имеет смысл только в контексте требования по анализу уязвимостей в прикладном ПО.

                                      Сообщение от whirlwind Посмотреть сообщение
                                      Мой вопрос заключается вот в чем: Попробую еще раз - при проведении тестирования на проникновение, будет произведен ряд мероприятий, например [это у нас реально делается]отправим письмо юзеру с поддельным обратным адресом, позвоним представимся кем-нибудь и т.п., в том числе посканируем nmap_ом адреса, установим открытые порты. Далее, например, есть открытый порт 3389, аяяй, такого быть не должно-срочно закрываем, есть адресок Банк-клиента (толстый клиент), с определенным открытым портом и Интернет клиент с портом 443, а это прикладное ПО.
                                      Да, это вы весьма упрощённо описали пентест. )

                                      Сообщение от whirlwind Посмотреть сообщение
                                      Ну открыт порт и открыт - он и должен быть открытым, но вопрос, есть ли уязвимости... Купили сканер и начинаем "извне" сканировать наши открытые порты, то есть Прикладное ПО на наличие уязвимостей, теперь снова цитата:
                                      Я не уверен, что сканирование пусть серфтицированным сканером = "анализ уязвимостей информационной безопасности объектов информационной инфраструктуры".
                                      Проблема требований 382-П в том, что нет методических разъяснений, казалось бы просто, проведи анализ уязвимостей, но что именно нужно сделать?

                                      Обратимся к тому как звучит требование:
                                      П.14.2 2.5.5.1 Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадии создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить проведение ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры Требование категории проверки 3
                                      Категория проверки 3. Т.е. чтобы выполнять деятельность на 1, нужно для всех объектов информационной инфраструктуры (в рамках определения 382-П) на стадии создания и эксплуатации проводить анализ уязвимостей. Т.е. нужно иметь свидетельства осуществления такой деятельности для всех объектов на указанных стадиях. Я уверен, что это невыполнимое на 1 требование (особенно пентест). )))

                                      Для себя мы определили, что проводим пентест с привлечением внешней компании для ряда критичный систем (в основном это ДБО, то что светится наружу) включая DDoS (в т.ч. и на прикладном уровне), по остальным оформляем пентест в виде акта (представьте пентест банкомата, как в нём дырок насверлили). По анализу уязвимостей делаем формальную процедуру, где проводим оценку архитектуры системы с точки зрения безопасности (экспертным методом), параметров конфигурации в части безопасности (ОС, элементов ПО и т.п.), проверку возможных уязвимостей сканером, анализ исходного кода (если есть возможность, без фанатизма). Затем документировать каждую оценку на указанных стадиях. Будем ставит единуцу по итогу, но понятно, что это всё равно 0,5.

                                      P.S. Тут делали оценочную прикидку в рамках планирования бюджета на 2019 год по анализу уязвимостей и пентесту по всему списку объектов информационной инфраструктуры у внешней компании с лицензией и всеми взрослыми делами (там есть всё каждый банкомат и POS-теримнал, все элементы информационных систем, задействованных при осущетсвлении переводов денежных средств), ценник начинался от 10 млн. и срок работ до полугода. )))

                                      Комментарий


                                      • Сообщение от Zuz Посмотреть сообщение
                                        [/TABLE]
                                        Категория проверки 3. Т.е. чтобы выполнять деятельность на 1, нужно для всех объектов информационной инфраструктуры (в рамках определения 382-П) на стадии создания и эксплуатации проводить анализ уязвимостей. Т.е. нужно иметь свидетельства осуществления такой деятельности для всех объектов на указанных стадиях. Я уверен, что это невыполнимое на 1 требование (особенно пентест). )))

                                        Для себя мы определили, что проводим пентест с привлечением внешней компании для ряда критичный систем (в основном это ДБО, то что светится наружу) включая DDoS (в т.ч. и на прикладном уровне), по остальным оформляем пентест в виде акта (представьте пентест банкомата, как в нём дырок насверлили). По анализу уязвимостей делаем формальную процедуру, где проводим оценку архитектуры системы с точки зрения безопасности (экспертным методом), параметров конфигурации в части безопасности (ОС, элементов ПО и т.п.), проверку возможных уязвимостей сканером, анализ исходного кода (если есть возможность, без фанатизма). Затем документировать каждую оценку на указанных стадиях. Будем ставит единуцу по итогу, но понятно, что это всё равно 0,5.

                                        P.S. Тут делали оценочную прикидку в рамках планирования бюджета на 2019 год по анализу уязвимостей и пентесту по всему списку объектов информационной инфраструктуры у внешней компании с лицензией и всеми взрослыми делами (там есть всё каждый банкомат и POS-теримнал, все элементы информационных систем, задействованных при осущетсвлении переводов денежных средств), ценник начинался от 10 млн. и срок работ до полугода. )))
                                        И поэтому я пришёл к выводу, что:
                                        1. Всё выполнить невозможно, а если выбирать между потратить время на выполенение одного пункта неполностью или 10-20 полностью я выберу второе.
                                        2. Раз всё выполнить невозможно, то значит надо сделать минимум, т.е. провести исследования только одной системы и этого хватит чтобы поставить оценку 0,5.
                                        3. Раз нет разъяснений (а не в наших интересах их и запрашивать), то под анализ уаязвимостей можно подтянуть всё что угодно. Хоть соответвующую задачу в антивирусе, хоть это: https://bdu.fstec.ru/site/scanoval

                                        Комментарий


                                        • ost
                                          Zuz
                                          Berckut
                                          saches
                                          ivanov_nv

                                          Всем спасибо. Дошло
                                          Сканер, это поиск известных уязвимостей, анализ уязвимостей в прикладном ПО АС и приложений, который проводится лицензиатом - нужно будет НАМ проводить, если на ПО не будет сертификатов ФСТЭК (а их нет...) или производитель не проведет анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД4 (тоже нет).
                                          ​Следовательно, картина может быть именно такой:​​​​​​

                                          Сообщение от ost Посмотреть сообщение

                                          Что найдет лицензиат, это отдельный вопрос. Иногда они пишут такую фразу: "Для установления полного перечня воздействий, которые можно осуществить, требуется исследовать код системы методом «белого ящика» с доступом к исходному коду, после этого необходимо скорректировать оценку критичности."
                                          Всем спасибо, наконец-то отдам план реализации требований 382-П руководству!

                                          Комментарий


                                          • Сообщение от Zuz Посмотреть сообщение
                                            ...... включая DDoS (в т.ч. и на прикладном уровне).....
                                            По DDOS-у мне тут объявили 300 тыр за одно тестирование. Есть какие-либо еще оценки по стоимости?
                                            КМК, реальные ДДОС-чики берут за услуги гораздо дешевле....

                                            Комментарий


                                            • Сообщение от whirlwind Посмотреть сообщение
                                              нужно будет НАМ проводить, если на ПО не будет сертификатов ФСТЭК
                                              А вот это интересный вопрос. Освобождает ли сертификат ФСТЭК от необходимости проводить пен-тесты?
                                              ИМХО, не освобождает.

                                              Комментарий


                                              • ost
                                                Конечно не освобождает от пентеста. Но если есть сертификат, то уязвимостей в этом ПО нет, следовательно и сканером можно его не "сканить".

                                                Комментарий


                                                • Berckut я разделяю ваш подход, целиком и полностью, просто у меня чуть болше ресуров в этом конкретном случае. )

                                                  Сообщение от saches Посмотреть сообщение
                                                  По DDOS-у мне тут объявили 300 тыр за одно тестирование. Есть какие-либо еще оценки по стоимости?
                                                  Есть, у меня: когда начинаю объяснять, что нужен ещё анализ с рекомендациями и DDoS-атака не просто на полосу ну и прочие простые нагрузки, а ещё и прикладную часть (ну хотя бы TLS-стек) нагрузить, то ценнник сразу напорядок выше. )))

                                                  Сообщение от whirlwind Посмотреть сообщение
                                                  Но если есть сертификат, то уязвимостей в этом ПО нет.
                                                  Как-то очень спорно. Можно считать, что есть сертификат, а вот что нет уязвимостей, не точно.
                                                  Последний раз редактировалось Zuz; 18.10.2018, 19:49.

                                                  Комментарий


                                                  • Сообщение от whirlwind Посмотреть сообщение
                                                    ost
                                                    Конечно не освобождает от пентеста. Но если есть сертификат, то уязвимостей в этом ПО нет, следовательно и сканером можно его не "сканить".
                                                    Увы и ах

                                                    1. Сертификат по схеме произволства означает, помимо прочего, у заявителя есть процесс поиска и устранения уязвимостей в сертифицированном иизделии.Может запросто оказаться так, что ваша сертифицированная софтина уязвима, просто вы не в курсе и не обновились. К слову, в этом случае на ваш экземпляр сертификат уже не распространяется
                                                    2. К уязвимостям относятся и ошибки настройки. Сканироаание их не находит, так что оно - не замена пентесту
                                                    3. Что такое пентест, написано в РС БР ИББС по жизненному циклу. Можно пытаться назвать пентестом что-то другое, но не проканает.
                                                    4. По методам и способам анализа уязвимостей ФСТЭК готовит методический документ, но это - 2019 год

                                                    Комментарий


                                                    • Сообщение от malotavr Посмотреть сообщение
                                                      3. Что такое пентест, написано в РС БР ИББС по жизненному циклу. Можно пытаться назвать пентестом что-то другое, но не проканает.
                                                      Почему не проканает? Для тех кто живет не по СТО БР, это документ рекомендательный. ИМХО, пока пентестом можно назвать что угодно (удобно).

                                                      Комментарий


                                                      • Сообщение от UserNick Посмотреть сообщение
                                                        пока пентестом можно назвать что угодно (удобно).
                                                        Там даже для тех кто в СТО БР ИББС есть место:
                                                        Рекомендательный статус документа допускает, что по решению организации БС РФ вместо его отдельных положений могут применяться иные положения, обеспечивающие эквивалентный (аналогичный) уровень обеспечения ИБ в АБС на различных стадиях их жизненного цикла.

                                                        Комментарий


                                                        • Чё-то из-за дня сурка мозг уже в кашу превратился.

                                                          382-П
                                                          2.2.
                                                          ...
                                                          Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, должен относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет (далее - перечень типов инцидентов).
                                                          (в ред. Указания Банка России от 07.05.2018 N 4793-У)
                                                          ...
                                                          Банк России перечень так и не разместил и у нас по прежнему анархия, что считать инцидентом, а что нет? Или что-то пропустил?

                                                          Комментарий


                                                          • Berckut анархия, вот и по 203 форме сказали раз в квартал присылать в одном из писем и то коствено, хотя по критерию из нового 2831-У выходило раз в полгода.

                                                            Комментарий


                                                            • Сообщение от Berckut Посмотреть сообщение
                                                              у нас по прежнему анархия, что считать инцидентом, а что нет
                                                              Ещё какая. У нас карточная операционка собралась отправлять как инциденты все отказы в авторизации, ну там денег не хватило, клиент в пин-коде ошибся. Формально они где-то правы...

                                                              Комментарий

                                                              Обработка...
                                                              X