14 ноября, четверг 22:08
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    У нас карточная операционка собралась отправлять как инциденты все отказы в авторизации, ну там денег не хватило, клиент в пин-коде ошибся. Формально они где-то правы...
    А зачем им это? Разве они несут ответсвенность за инциденты, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств. Что скажете, то они и будут вам сообщать...

    Комментарий


    • Сообщение от Zuz Посмотреть сообщение
      А зачем им это?
      Они раз в месяц ходят на тусовку в ЦБ, там обмениваются опытом, видимо там и решили сливать. Да и вообще я не вижу связи 167-ФЗ с нарушением требований к обеспечению защиты информации, за уши там ЗИ притянута. В самом законе написано, что он о ПРОТИВОДЕЙСТВИИ ХИЩЕНИЮ ДЕНЕЖНЫХ СРЕДСТВ. Дело нужное и полезное, но зачем туда ИБ притянули -- непонятно.

      Сообщение от Zuz Посмотреть сообщение
      Что скажете, то они и будут вам сообщать...
      А мне-то зачем? Они сами сразу в АСОИ ФинЦЕРТ сливают.

      Комментарий


      • Доброе утро, коллеги!

        Подскажите, пожалуйста, кто-нибудь задавался о сроках проведения внешнего аудита по 382-П и ГОСТ 57580? В старом 382-П для самооценки прописывались конкретные сроки: раз в 2 года и первая самооценка в течении 6 месяцев после получения статуса ОПДС.

        Сами требования проведения внешнего аудита приведены п. 1.7 4793-У (вносятся изменения в пп.2.15.1 382-П) и во введении ГОСТ-а Р 57580.2-2017.

        Срок проведения аудитов можно вычислить исходя из логики:
        Указание 4793-У вступает в силу с 01.07.2018, следовательно обязательство проведения внешнего аудита появляется с 01.07.2018; ГОСТ Р 57580.2-2017 вступает в силу с 01.09.2018, следовательно обязательство проведения внешнего аудита появляется с 01.09.2018.

        Но нигде не нашел в течении которого срока нужно проводить внешний аудит после вступления в силу этого требования. Когда - этом году, в следующем, ...?

        Комментарий


        • Сообщение от alex.a.fedorov Посмотреть сообщение
          Доброе утро, коллеги!

          ГОСТ Р 57580.2-2017 вступает в силу с 01.09.2018, следовательно обязательство проведения внешнего аудита появляется с 01.09.2018.
          Думаю, что тут надо прыгать от сроков установленных в документах ЦБ.

          В проекте 552-П было, что требование о соответствии госту вступают в силу с 1 января 2021 года.


          Комментарий


          • Сообщение от alex.a.fedorov Посмотреть сообщение
            .....Подскажите, пожалуйста, кто-нибудь задавался о сроках проведения внешнего аудита по 382-П и ГОСТ 57580? В старом 382-П для самооценки прописывались конкретные сроки: раз в 2 года и первая самооценка в течении 6 месяцев после получения статуса ОПДС.
            Слышал версию, якобы устраивающую ЦБ (в рамках ТК122), что внешние аудиты (или один общий) банк должен будет провести в течение 2-ух лет с момента последней самооценки (или аудита) по 382-П или СТО БР соответственно.
            Последний раз редактировалось saches; 02.11.2018, 13:27.

            Комментарий


            • Сообщение от alex.a.fedorov Посмотреть сообщение
              ГОСТ Р 57580.2-2017 вступает в силу с 01.09.2018, следовательно обязательство проведения внешнего аудита появляется с 01.09.2018.
              Несогласен. Пока вообще нет нормативного требования применять этот ГОСТ. Когда появится, тогда и будет ясно с какого числа и в какие сроки.

              Комментарий


              • Запросил аудитора и получил ответ:

                «Внешний аудит на соответствие требованиям 382-П необходимо проводить в запланированные сроки раз в 2 года. Поправки, вступившие в силу 1.07.2018 не вводят необходимость внеочередной проверки по 382-П.

                ГОСТ Р 57580.1 и ГОСТ Р 57580.2 уже вступили в силу, но они на текущий момент не являются обязательными, так как на них пока нет ссылок в нормативных документах.
                Проекты Положений ЦБ об обязательности ГОСТ пока только в стадии разработки/обсуждения. Предварительная дата обязательного использования 01.01.2021.»

                Комментарий


                • Сообщение от alex.a.fedorov Посмотреть сообщение
                  Предварительная дата обязательного использования 01.01.2021
                  Это-то мы знаем.
                  Первая беда в том, что эти документы согласовываются годами, а потом вдруг всплывают в подправленном виде.
                  Вторая беда, что лицензиаты ФСТЭК сами не готовы проводить аудит, в ГОСТе ряд требований не вполне ясен, мне никто не смог объяснить что там написано, да и по решениям о необходимости применения той или иной "базовой меры" есть масса вопросов... Короче нас всех ждёт потрясающий квест!

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    документы согласовываются годами, а потом вдруг всплывают
                    Не тонут

                    Сообщение от ost Посмотреть сообщение
                    Короче нас всех ждёт потрясающий квест!
                    Звучит как тост

                    Комментарий


                    • Добрый день, коллеги!

                      Разобрались со сроками проведения аудитов по 382-П и ГОСТ-у 57580.

                      По 382-П сроки проведения оценки соответствия/аудита остались те же, поменялась только форма – внешний аудит.

                      Сроки проведения оценки соответствия по 382-П прописаны в п.2.15.2 Положения 382-П от 01.07.2012 года
                      и в п.1.5 Указания 3007-У от 05.06.2013 года:

                      Нажмите на изображение для увеличения. 

Название:	Сроки 382-П.png 
Просмотров:	1 
Размер:	74.6 Кб 
ID:	4862664


                      Последний раз редактировалось alex.a.fedorov; 06.11.2018, 14:32.

                      Комментарий


                      • По ГОСТ-у 57580.2-2018 срок проведения оценки соответствия/аудита не определен, согласно п.8.8. Срок определен в проекте Положения «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности» (d-russia.ru/wp-content/uploads/2018/09/infobez-bank.pdf).
                        Нажмите на изображение для увеличения.·  Название:	Сроки ГОСТ 57580.jpg· Просмотров:	1· Размер:	210.9 Кб· ID:	4862667

                        Комментарий


                        • alex.a.fedorov
                          На мой взгляд, есть еще один неоднозначный вопросик в связи с обязательностью аудита по ГОСТ-у 57580.1/2-2018.
                          Это каким образом и в какой момент банку отказываться от "добровольного" принятия СТО БР? И нужно ли это делать?

                          Комментарий


                          • 2saches
                            Ситуация та же, только устные заявления представителей Банка России.
                            Сам слышал на заседании ТК 122 как Артем Михайлович говорил, что от СТО БР ИББС не откажутся и он останется как методологическая основа для других документов.

                            Странно, что никто не задал вопросов по приказу Минкомсвязи № 321 от 25.06.2018, это касается биометрии:

                            пп.2 п.9 Приложения 1:
                            ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных ...

                            Комментарий


                            • Сообщение от alex.a.fedorov Посмотреть сообщение
                              2saches
                              Ситуация та же, только устные заявления представителей Банка России.
                              Сам слышал на заседании ТК 122 как Артем Михайлович говорил, что от СТО БР ИББС не откажутся и он останется как методологическая основа для других документов.
                              Тогда, формально получается, что банки должны будут отчитываться по самооценке СТО БР и проходить аудит по ГОСТу. Хотя, наверное, на самооценку просто забьют...

                              Сообщение от alex.a.fedorov Посмотреть сообщение
                              Странно, что никто не задал вопросов по приказу Минкомсвязи № 321 от 25.06.2018, это касается биометрии:
                              пп.2 п.9 Приложения 1:
                              ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных ...

                              Этот вопрос задавали в ветке по биометрии. ИМХО, кто-то(?), не подумав, захотел, что бы банки проходили еще один внешний аудит, возможно только касающийся контура биометрии.
                              Ну есть же PCI DSS, касающийся карт, почему бы не сделать еще аудит, касающийся обработки биометрии...

                              Комментарий


                              • Народ, как проведение пентеста, так и проведение аудита на выполенение 382-П это всего лишь одно из требований. Вы так волнуетесь, как будто у вас все остальные требования выполнены и без этого у вас оценка 1.0 не получится.
                                Никого не к чему не призываю, но думаю вы полняли, что я имею ввиду

                                Комментарий


                                • Сообщение от Berckut Посмотреть сообщение
                                  Никого не к чему не призываю, но думаю вы полняли, что я имею ввиду
                                  Идея чтобы провести самооценку самому, но в соответствующем пункте указать 0? А как подавать результаты в ЦБ, не писать, что проведено в формате самооценки? Типа вот результат вам для сведения.

                                  Комментарий


                                  • Сообщение от Sat_Kelman Посмотреть сообщение

                                    Идея чтобы провести самооценку самому, но в соответствующем пункте указать 0? А как подавать результаты в ЦБ, не писать, что проведено в формате самооценки? Типа вот результат вам для сведения.
                                    Не выйдет. Вам надо будет указать кем проведена оценка. Не укажете, получите запрос, а потом предписание провести оценку с привлечением лицензиата и доложить в срок до...

                                    А вообще не понимаю, чего боитесь. Мало лицензиатов что ли? PCI DSS делаем каждый год, они же и лицензиаты, ну что они не сделают вам подпись под оценкой по 382-П?

                                    Комментарий


                                    • Сообщение от ost Посмотреть сообщение
                                      они же и лицензиаты, ну что они не сделают вам подпись под оценкой по 382-П
                                      Вообще мне лично отказала контора одна. Говорят чейто за ху*ета, не понимаем, делать не будем - боимся. Лицензия полностью как требуется.

                                      Комментарий


                                      • Сообщение от Александр Четвертый Посмотреть сообщение

                                        Вообще мне лично отказала контора одна. Говорят чейто за ху*ета, не понимаем, делать не будем - боимся. Лицензия полностью как требуется.
                                        Обратитесь в другую. Я четыре нашел и решил хватит.

                                        А насчёт понимания документов ЦБ они по большому счёту правы, мутотень полная.

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          Обратитесь в другую. Я четыре нашел и решил хватит.
                                          А какие ценники они выставили?

                                          Комментарий


                                          • Сообщение от Sat_Kelman Посмотреть сообщение

                                            А какие ценники они выставили?
                                            От 600 до 1,3. Можно торговаться.

                                            Комментарий


                                            • Добрый день, коллеги!

                                              Подскажите, пожалуйста, как трактовать п.2.16.1 в новой редакции 382-П (введенного в действие 4793-У):

                                              «2.16.1. Оператор платежной системы устанавливает требования к содержанию, форме и периодичности представления информации, направляемой операторами по переводу денежных средств и операторами услуг платежной инфраструктуры оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств.
                                              Оператор по переводу денежных средств и оператор услуг платежной инфраструктуры обеспечивают выполнение указанных требований.
                                              Оператору национально значимой платежной системы следует уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, об установленных требованиях к содержанию, форме и периодичности представления указанной в абзаце первом настоящего подпункта информации в части применения СКЗИ.»

                                              Понятно, что требование касается национально значимых ПС, но кого и о чем оператор НЗПС должен уведомлять по своим СКЗИ?

                                              Комментарий


                                              • alex.a.fedorov
                                                Сугубо ИМХО -
                                                ОНЗПС должен уведомить ФСБ об установленных требованиях к содержанию, форме и периодичности представления информации, направляемой операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, для целей анализа обеспечения в платежной системе защиты информации в части применения СКЗИ при осуществлении переводов денежных средств.

                                                А какие сомнения?

                                                Комментарий


                                                • 2saches
                                                  Да сомнений нет и уведомим и ФСБ.
                                                  Может кто погружался в эту тему, подумал о форме уведомления и о конкретном адресате - не писать же на деревню, Лубянка, дом 2.

                                                  Опять проблемы новаций в нашем законодательстве, идеи может и хорошие, но механизмы реализации их не продуманы и не описаны.

                                                  Комментарий


                                                  • alex.a.fedorov
                                                    Опять же ИМХО -
                                                    Мне представляется, что это может быть письмо с приложением, содержащим выжимку из документа, где эти требования присутствуют.
                                                    А куда направлять, возможно, имеет смысл уточнить у авторов 382-П или в ЦЛСЗ (если рассматривать это как доп требования к лицензиату ФСБ)

                                                    Комментарий


                                                    • 2saches
                                                      Вот в том все и дело, что у Платежной системы нет лицензии на СКЗИ - не определен вопрос использования отечественных СКЗИ в мобильных приложениях (Криптопро CSP под Android видел, а мобильные приложения с ГОСТ-й криптой невстречал). Вопрос кого и как уведомлять?
                                                      Понятно, что все документы у нас по СКЗИ есть (Положение о СКЗИ, журналы учета, ...), понятно что будем звонить или слать запросы. Сейчас прикидываю куда будем стучаться, поэтому и обратился к коллегам на форуме. Однако НЗПС - это специфичная штука и среди участников форума таких специалистов не оказалось.

                                                      Комментарий


                                                      • alex.a.fedorov
                                                        А с ОПДС и ОУПИ вы не планируете использовать российские СКЗИ при передаче ПДн?

                                                        Комментарий


                                                        • Сообщение от alex.a.fedorov Посмотреть сообщение
                                                          Да сомнений нет и уведомим и ФСБ.
                                                          А вы являетесь оператором национально значимой платежной системы? Насколько я знаю у нас таких систем по пальцам пересчитать, и ещё вопрос кто перед кем должен два раза Ку делать, операторы перед ФСБ или ФСБ перед операторами.

                                                          Комментарий


                                                          • 2ost
                                                            Да, являемся. Их почти половина от общего списка ПС (http://www.cbr.ru/PSystem/rops/).
                                                            Всего зарегистрировано 51 ПС, из них:
                                                            20 Национально значимых;
                                                            8 Социально значимых;
                                                            2 Системно значимых (Сбербанк и НСПК).

                                                            Комментарий


                                                            • Сообщение от ost Посмотреть сообщение
                                                              А вы являетесь оператором национально значимой платежной системы? Насколько я знаю у нас таких систем по пальцам пересчитать, и ещё вопрос кто перед кем должен два раза Ку делать, операторы перед ФСБ или ФСБ перед операторами.
                                                              Не приувеличивайте , есть и такие, от которых ЦБ вообще не требовал регистрироваться в качестве ПС. Всё понты да пальцы в растопырку....

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X