6 июля, понедельник 05:18
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от alex.a.fedorov Посмотреть сообщение
    2ost
    Да, являемся. Их почти половина от общего списка ПС (http://www.cbr.ru/PSystem/rops/).
    Всего зарегистрировано 51 ПС, из них:
    20 Национально значимых;
    8 Социально значимых;
    2 Системно значимых (Сбербанк и НСПК).
    Значит я спутал системно значимые с национально значимыми.
    Мы-то не ОПС, мне это не актуально.

    Комментарий


    • Сообщение от ost Посмотреть сообщение
      А мне-то зачем? Они сами сразу в АСОИ ФинЦЕРТ сливают.
      О! А как это у вас так вышло? Ведь ФинЦЕРТ это инциденты, связанные с нарушением тербвоаний ИБ. Как антифрод подразделение может туда что-то сливать? формально, да их подключают, но чтобы они ещё и инциденты туда направляли...

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        О! А как это у вас так вышло? Ведь ФинЦЕРТ это инциденты, связанные с нарушением тербвоаний ИБ. Как антифрод подразделение может туда что-то сливать? формально, да их подключают, но чтобы они ещё и инциденты туда направляли...
        В ФинЦЕРТ надо сливать все случаи несанкционированного списания д/с, равно как и все такие попытки. Кто ещё кроме антифрода может это делать?
        В свете 187-ФЗ нарушение требований по ИБ уже как-то растворилось.

        Комментарий


        • Добрый день, коллеги!

          Сбросьте в личку, пожалуйста, контакты фирм, занимающихся аттестацией. Желательно не сильно загруженных сейчас и желательно экспресс (побыстрее).

          Комментарий


          • ЗамНач обратитесь к nos313 вдруг получится

            Комментарий


            • 2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:

              - использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);

              - ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

              Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - постановление Правительства Российской Федерации N 79).

              При модернизации объектов информационной инфраструктуры по решению оператора по переводу денежных средств, оператора услуг платежной инфраструктуры проводится анализ уязвимостей только объектов информационной инфраструктуры, подвергнутых модернизации
              В отношении пентеста нет никакого указания, что это надо проводить сторонней организацией. Методик тоже никаких нет, где было бы прописано, что конкретно тестировать и как.
              Кто-то вообще планирует это делать не самостоятельно, а с привлечением аудиторов?

              Комментарий


              • Berckut, про пентест есть тут (РС БР ИББС-2.6-2014), про уязвимости там же. Руководствуемся именно этим документов, сверх него не делаем (берём за основу, подгоняем под себя, что-то упрощаем, что-то улучшаем).
                Планируем для внешних систем привлекать (ДБО). Ценник уже начал приближаться к адекватным цифрам (если говорить о типовых web-приложениях).
                Последний раз редактировалось Zuz; 14.12.2018, 11:38.

                Комментарий


                • Сообщение от Berckut Посмотреть сообщение
                  Кто-то вообще планирует это делать не самостоятельно, а с привлечением аудиторов?
                  Делаем ежегодно уже лет десять как.

                  Комментарий


                  • Сообщение от Berckut Посмотреть сообщение
                    В отношении пентеста нет никакого указания, что это надо проводить сторонней организацией. Методик тоже никаких нет, где было бы прописано, что конкретно тестировать и как.
                    Кто-то вообще планирует это делать не самостоятельно, а с привлечением аудиторов?
                    По PCI DSS и так требуется, используем стороннюю организацию

                    Комментарий


                    • Сообщение от ost Посмотреть сообщение

                      Делаем ежегодно уже лет десять как.
                      У меня нет ни карт (в PCI DSS нет необходимости), ни бюджета, чтобы от 800 тыс. до 1,5 мультов раз в год отдавать.

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение

                        У меня нет ни карт (в PCI DSS нет необходимости), ни бюджета, чтобы от 800 тыс. до 1,5 мультов раз в год отдавать.
                        Я как-то задал вопрос в ЦБ, как мелким банкам выполнять требования которые учитывают только интересы крупных банков, на что был дан ответ, не можете выполнять требования либо прекращайте работать, либо укрупняйтесь путем слияния с другими банками.

                        Комментарий


                        • Привет, подскажите конторы которые проведут анализ по ОУД4

                          Комментарий


                          • Сообщение от SGUBIZI Посмотреть сообщение
                            Привет, подскажите конторы которые проведут анализ по ОУД4
                            Приветствую! Нам Эшелон предлагал. Правда, без утвержденного профиля защиты платежного ПО пока непонятно, какие функции проверять.

                            Комментарий


                            • Коллеги добрый день!

                              В ноябре 2018 г. наш банк сменил статус на расчетную небанковскую кредитную организацию. Когда мы должны провести оценку соответствия? Неужели в течение 6 месяцев с момента изменения статуса?

                              Комментарий


                              • Сообщение от Heavy Rain Посмотреть сообщение
                                В ноябре 2018 г. наш банк сменил статус на расчетную небанковскую кредитную организацию. Когда мы должны провести оценку соответствия? Неужели в течение 6 месяцев с момента изменения статуса?
                                Из 382-П - Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.

                                У вас статус изменился? Если организация была ОПДС и ОПДС же и осталась, то вообще не имеет значение что там у вас поменялось.

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение

                                  Из 382-П - Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.

                                  У вас статус изменился? Если организация была ОПДС и ОПДС же и осталась, то вообще не имеет значение что там у вас поменялось.
                                  Спасибо!

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    У меня нет ни карт (в PCI DSS нет необходимости), ни бюджета, чтобы от 800 тыс. до 1,5 мультов раз в год отдавать.
                                    Коллеги, наверное, говорят о том, что компании, занимающиеся аудитом PCI DSS либо сами умеют проводить пен-тест, либо имеют под боком соответствующих партнеров,
                                    поэтому и предлагают обратиться в подобные компании. Ес-но, это не подразумевает, что вам при этом, нужно будет проводить аудит по полной программе.

                                    Комментарий


                                    • Сообщение от nos313 Посмотреть сообщение
                                      Приветствую! Нам Эшелон предлагал. Правда, без утвержденного профиля защиты платежного ПО пока непонятно, какие функции проверять.
                                      Если не ошибаюсь, ФСТЭК, в ближайшее время, должен новую нормативку выпустить по этому поводу.


                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        Если не ошибаюсь, ФСТЭК, в ближайшее время, должен новую нормативку выпустить по этому поводу.
                                        ЦБ писал, что разработает профиль защиты аж в IV квартале 2018 года. На дворе февраль, профиля не видно...

                                        Комментарий


                                        • Коллеги, все таки вопрос по тесту на проникновение. Есть подозрение, что пентест по pci dss не совсем подходит для 382-П.
                                          Ведь пентест по PCI DSS больше направлен на периметр ДДК, а для 382-П более широкий охват?

                                          Комментарий


                                          • Сообщение от Rubaka Посмотреть сообщение
                                            Коллеги, все таки вопрос по тесту на проникновение. Есть подозрение, что пентест по pci dss не совсем подходит для 382-П.
                                            Ведь пентест по PCI DSS больше направлен на периметр ДДК, а для 382-П более широкий охват?
                                            382-П для всей платежной инфраструктуры, карты - лишь ее составляющая.

                                            Комментарий


                                            • Уважаемые форумчане!

                                              Мы предлагаем внешний аудит по 382-П. Можем провести очень экономно (в плане затрат) для Вашего Банка. Все вопросы в личку.

                                              Комментарий


                                              • Сообщение от Rubaka Посмотреть сообщение
                                                Коллеги, все таки вопрос по тесту на проникновение. Есть подозрение, что пентест по pci dss не совсем подходит для 382-П.
                                                Ведь пентест по PCI DSS больше направлен на периметр ДДК, а для 382-П более широкий охват?
                                                Все верно. Но если уж совсем никакого пениста не проводится, наверное в случае проверки лучше хотяб остаться на PCI DSS, все-таки это лучше чем ничего

                                                Комментарий


                                                • Подскажите, ктонить сталкивался с замечаниями ЦБ по такому пункту:
                                                  2.5.1. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств.

                                                  Вопрос в том, что есть договор на доработки некой системы и 2 точки зрения:
                                                  1. включать весь перечень требований по ИБ в каждое ТЗ на доработку;
                                                  2. вынести весь перечень требований по ИБ в приложение к договору и в ТЗ просто ссылаться на это приложение?

                                                  Что будет правильнее и безболезненнее при проверках ЦБ?

                                                  Комментарий


                                                  • Я не совсем понимаю объем необходимого тестирования на проникновение. Указано, должен быть проведен пентест что в отношении ОИИ, под которыми понимаются АС, ПО, СВТ и даже телекомуникационное оборудование. Каков минимальный порог? Или все проводят пентест по СТО БР 2.6?

                                                    Комментарий


                                                    • Сообщение от Nikolas_R Посмотреть сообщение
                                                      Я не совсем понимаю объем необходимого тестирования на проникновение
                                                      Мы рассчитываем, что пентест периметра банка позволит аудитору поставить 0,5 по этому пункту требования.

                                                      Комментарий


                                                      • Сообщение от w3d Посмотреть сообщение
                                                        Подскажите, ктонить сталкивался с замечаниями ЦБ по такому пункту:
                                                        2.5.1. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств.

                                                        Вопрос в том, что есть договор на доработки некой системы и 2 точки зрения:
                                                        1. включать весь перечень требований по ИБ в каждое ТЗ на доработку;
                                                        2. вынести весь перечень требований по ИБ в приложение к договору и в ТЗ просто ссылаться на это приложение?

                                                        Что будет правильнее и безболезненнее при проверках ЦБ?
                                                        Я ушёл на жёсткий формализм. Отписался, что все проекты по созданию/модернизации проводились без ТЗ и потому оценка должна быть "н/д". А требования о том, что ТЗ обязательно должно быть, нет.

                                                        Комментарий


                                                        • Поделитесь контактами фирм (помимо тех, что уже озвучивались ранее), которые проводят аудит по 382-П и пентест за очень небольшие деньги (менее 0,5 млн.руб).

                                                          Комментарий


                                                          • Сообщение от df1 Посмотреть сообщение
                                                            Поделитесь контактами фирм (помимо тех, что уже озвучивались ранее), которые проводят аудит по 382-П и пентест за очень небольшие деньги (менее 0,5 млн.руб).
                                                            Приходило предложение от компании "Листик и партнеры" для нас, клиентов, стоимость аудита по 382-П составляла 330 тысяч руб.

                                                            Комментарий


                                                            • Сообщение от Berckut Посмотреть сообщение
                                                              А требования о том, что ТЗ обязательно должно быть, нет.
                                                              Разве "...обеспечивают включение в технические задания на создание (модернизацию) объектов ..." это не подразумевает?

                                                              Комментарий

                                                              Обработка...
                                                              X