14 июля, вторник 19:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от alex.a.fedorov Посмотреть сообщение
    2ost
    Да, являемся. Их почти половина от общего списка ПС (http://www.cbr.ru/PSystem/rops/).
    Всего зарегистрировано 51 ПС, из них:
    20 Национально значимых;
    8 Социально значимых;
    2 Системно значимых (Сбербанк и НСПК).
    Значит я спутал системно значимые с национально значимыми.
    Мы-то не ОПС, мне это не актуально.

    Комментарий


    • Сообщение от ost Посмотреть сообщение
      А мне-то зачем? Они сами сразу в АСОИ ФинЦЕРТ сливают.
      О! А как это у вас так вышло? Ведь ФинЦЕРТ это инциденты, связанные с нарушением тербвоаний ИБ. Как антифрод подразделение может туда что-то сливать? формально, да их подключают, но чтобы они ещё и инциденты туда направляли...

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        О! А как это у вас так вышло? Ведь ФинЦЕРТ это инциденты, связанные с нарушением тербвоаний ИБ. Как антифрод подразделение может туда что-то сливать? формально, да их подключают, но чтобы они ещё и инциденты туда направляли...
        В ФинЦЕРТ надо сливать все случаи несанкционированного списания д/с, равно как и все такие попытки. Кто ещё кроме антифрода может это делать?
        В свете 187-ФЗ нарушение требований по ИБ уже как-то растворилось.

        Комментарий


        • Добрый день, коллеги!

          Сбросьте в личку, пожалуйста, контакты фирм, занимающихся аттестацией. Желательно не сильно загруженных сейчас и желательно экспресс (побыстрее).

          Комментарий


          • ЗамНач обратитесь к nos313 вдруг получится

            Комментарий


            • 2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:

              - использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);

              - ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

              Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - постановление Правительства Российской Федерации N 79).

              При модернизации объектов информационной инфраструктуры по решению оператора по переводу денежных средств, оператора услуг платежной инфраструктуры проводится анализ уязвимостей только объектов информационной инфраструктуры, подвергнутых модернизации
              В отношении пентеста нет никакого указания, что это надо проводить сторонней организацией. Методик тоже никаких нет, где было бы прописано, что конкретно тестировать и как.
              Кто-то вообще планирует это делать не самостоятельно, а с привлечением аудиторов?

              Комментарий


              • Berckut, про пентест есть тут (РС БР ИББС-2.6-2014), про уязвимости там же. Руководствуемся именно этим документов, сверх него не делаем (берём за основу, подгоняем под себя, что-то упрощаем, что-то улучшаем).
                Планируем для внешних систем привлекать (ДБО). Ценник уже начал приближаться к адекватным цифрам (если говорить о типовых web-приложениях).
                Последний раз редактировалось Zuz; 14.12.2018, 11:38.

                Комментарий


                • Сообщение от Berckut Посмотреть сообщение
                  Кто-то вообще планирует это делать не самостоятельно, а с привлечением аудиторов?
                  Делаем ежегодно уже лет десять как.

                  Комментарий


                  • Сообщение от Berckut Посмотреть сообщение
                    В отношении пентеста нет никакого указания, что это надо проводить сторонней организацией. Методик тоже никаких нет, где было бы прописано, что конкретно тестировать и как.
                    Кто-то вообще планирует это делать не самостоятельно, а с привлечением аудиторов?
                    По PCI DSS и так требуется, используем стороннюю организацию

                    Комментарий


                    • Сообщение от ost Посмотреть сообщение

                      Делаем ежегодно уже лет десять как.
                      У меня нет ни карт (в PCI DSS нет необходимости), ни бюджета, чтобы от 800 тыс. до 1,5 мультов раз в год отдавать.

                      Комментарий


                      • Сообщение от Berckut Посмотреть сообщение

                        У меня нет ни карт (в PCI DSS нет необходимости), ни бюджета, чтобы от 800 тыс. до 1,5 мультов раз в год отдавать.
                        Я как-то задал вопрос в ЦБ, как мелким банкам выполнять требования которые учитывают только интересы крупных банков, на что был дан ответ, не можете выполнять требования либо прекращайте работать, либо укрупняйтесь путем слияния с другими банками.

                        Комментарий


                        • Привет, подскажите конторы которые проведут анализ по ОУД4

                          Комментарий


                          • Сообщение от SGUBIZI Посмотреть сообщение
                            Привет, подскажите конторы которые проведут анализ по ОУД4
                            Приветствую! Нам Эшелон предлагал. Правда, без утвержденного профиля защиты платежного ПО пока непонятно, какие функции проверять.

                            Комментарий


                            • Коллеги добрый день!

                              В ноябре 2018 г. наш банк сменил статус на расчетную небанковскую кредитную организацию. Когда мы должны провести оценку соответствия? Неужели в течение 6 месяцев с момента изменения статуса?

                              Комментарий


                              • Сообщение от Heavy Rain Посмотреть сообщение
                                В ноябре 2018 г. наш банк сменил статус на расчетную небанковскую кредитную организацию. Когда мы должны провести оценку соответствия? Неужели в течение 6 месяцев с момента изменения статуса?
                                Из 382-П - Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.

                                У вас статус изменился? Если организация была ОПДС и ОПДС же и осталась, то вообще не имеет значение что там у вас поменялось.

                                Комментарий


                                • Сообщение от Sat_Kelman Посмотреть сообщение

                                  Из 382-П - Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.

                                  У вас статус изменился? Если организация была ОПДС и ОПДС же и осталась, то вообще не имеет значение что там у вас поменялось.
                                  Спасибо!

                                  Комментарий


                                  • Сообщение от Berckut Посмотреть сообщение
                                    У меня нет ни карт (в PCI DSS нет необходимости), ни бюджета, чтобы от 800 тыс. до 1,5 мультов раз в год отдавать.
                                    Коллеги, наверное, говорят о том, что компании, занимающиеся аудитом PCI DSS либо сами умеют проводить пен-тест, либо имеют под боком соответствующих партнеров,
                                    поэтому и предлагают обратиться в подобные компании. Ес-но, это не подразумевает, что вам при этом, нужно будет проводить аудит по полной программе.

                                    Комментарий


                                    • Сообщение от nos313 Посмотреть сообщение
                                      Приветствую! Нам Эшелон предлагал. Правда, без утвержденного профиля защиты платежного ПО пока непонятно, какие функции проверять.
                                      Если не ошибаюсь, ФСТЭК, в ближайшее время, должен новую нормативку выпустить по этому поводу.


                                      Комментарий


                                      • Сообщение от saches Посмотреть сообщение
                                        Если не ошибаюсь, ФСТЭК, в ближайшее время, должен новую нормативку выпустить по этому поводу.
                                        ЦБ писал, что разработает профиль защиты аж в IV квартале 2018 года. На дворе февраль, профиля не видно...

                                        Комментарий


                                        • Коллеги, все таки вопрос по тесту на проникновение. Есть подозрение, что пентест по pci dss не совсем подходит для 382-П.
                                          Ведь пентест по PCI DSS больше направлен на периметр ДДК, а для 382-П более широкий охват?

                                          Комментарий


                                          • Сообщение от Rubaka Посмотреть сообщение
                                            Коллеги, все таки вопрос по тесту на проникновение. Есть подозрение, что пентест по pci dss не совсем подходит для 382-П.
                                            Ведь пентест по PCI DSS больше направлен на периметр ДДК, а для 382-П более широкий охват?
                                            382-П для всей платежной инфраструктуры, карты - лишь ее составляющая.

                                            Комментарий


                                            • Уважаемые форумчане!

                                              Мы предлагаем внешний аудит по 382-П. Можем провести очень экономно (в плане затрат) для Вашего Банка. Все вопросы в личку.

                                              Комментарий


                                              • Сообщение от Rubaka Посмотреть сообщение
                                                Коллеги, все таки вопрос по тесту на проникновение. Есть подозрение, что пентест по pci dss не совсем подходит для 382-П.
                                                Ведь пентест по PCI DSS больше направлен на периметр ДДК, а для 382-П более широкий охват?
                                                Все верно. Но если уж совсем никакого пениста не проводится, наверное в случае проверки лучше хотяб остаться на PCI DSS, все-таки это лучше чем ничего

                                                Комментарий


                                                • Подскажите, ктонить сталкивался с замечаниями ЦБ по такому пункту:
                                                  2.5.1. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств.

                                                  Вопрос в том, что есть договор на доработки некой системы и 2 точки зрения:
                                                  1. включать весь перечень требований по ИБ в каждое ТЗ на доработку;
                                                  2. вынести весь перечень требований по ИБ в приложение к договору и в ТЗ просто ссылаться на это приложение?

                                                  Что будет правильнее и безболезненнее при проверках ЦБ?

                                                  Комментарий


                                                  • Я не совсем понимаю объем необходимого тестирования на проникновение. Указано, должен быть проведен пентест что в отношении ОИИ, под которыми понимаются АС, ПО, СВТ и даже телекомуникационное оборудование. Каков минимальный порог? Или все проводят пентест по СТО БР 2.6?

                                                    Комментарий


                                                    • Сообщение от Nikolas_R Посмотреть сообщение
                                                      Я не совсем понимаю объем необходимого тестирования на проникновение
                                                      Мы рассчитываем, что пентест периметра банка позволит аудитору поставить 0,5 по этому пункту требования.

                                                      Комментарий


                                                      • Сообщение от w3d Посмотреть сообщение
                                                        Подскажите, ктонить сталкивался с замечаниями ЦБ по такому пункту:
                                                        2.5.1. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств.

                                                        Вопрос в том, что есть договор на доработки некой системы и 2 точки зрения:
                                                        1. включать весь перечень требований по ИБ в каждое ТЗ на доработку;
                                                        2. вынести весь перечень требований по ИБ в приложение к договору и в ТЗ просто ссылаться на это приложение?

                                                        Что будет правильнее и безболезненнее при проверках ЦБ?
                                                        Я ушёл на жёсткий формализм. Отписался, что все проекты по созданию/модернизации проводились без ТЗ и потому оценка должна быть "н/д". А требования о том, что ТЗ обязательно должно быть, нет.

                                                        Комментарий


                                                        • Поделитесь контактами фирм (помимо тех, что уже озвучивались ранее), которые проводят аудит по 382-П и пентест за очень небольшие деньги (менее 0,5 млн.руб).

                                                          Комментарий


                                                          • Сообщение от df1 Посмотреть сообщение
                                                            Поделитесь контактами фирм (помимо тех, что уже озвучивались ранее), которые проводят аудит по 382-П и пентест за очень небольшие деньги (менее 0,5 млн.руб).
                                                            Приходило предложение от компании "Листик и партнеры" для нас, клиентов, стоимость аудита по 382-П составляла 330 тысяч руб.

                                                            Комментарий


                                                            • Сообщение от Berckut Посмотреть сообщение
                                                              А требования о том, что ТЗ обязательно должно быть, нет.
                                                              Разве "...обеспечивают включение в технические задания на создание (модернизацию) объектов ..." это не подразумевает?

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X