17 октября, четверг 09:01
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Александр Четвертый
    Это вы как поняли? Вот я такого не вижу здесь. Можете на пальцах разложить, что бы стало понятно?



    Комментарий


    • реализацию технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений на перевод денежных средст
      одной технологией готовим сообщение, другой технологией подтверждаем исполнение распоряжения из сообщения

      реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента
      установить модель ограничений и дать клиенту возможность управлять ими

      Комментарий


      • Сообщение от Александр Четвертый Посмотреть сообщение
        kyi-13
        делайте как в сбербанк-онлайн
        В СБ-онлайн не присылают подтверждение по СМС, перевод/платеж сразу исполняется из приложения

        Комментарий


        • Сообщение от w3d Посмотреть сообщение
          В СБ-онлайн не присылают подтверждение по СМС, перевод/платеж сразу исполняется из приложения
          Я имел в виду web-приложение на сайте. В их мобильном приложении, получается, это пока не соблюдается.
          Я не фанат "антивирусных приложений" на телефоне (да и на ПК тоже не использую) и тем более прикладного ПО с антивирусным функционалом, требующим доступ ко всему в телефоне.
          Антивирусы - для тех, кому сложно самим обеспечивать безопасность своих устройств штатными орг. и тех. мерами - остается лишь вариант довериться третьим лицам и ничего не делать, пожертвовав конфиденциальностью и ресурами устройства. Для рабочих мест в банке конечно надо использовать - потому что требование.

          Комментарий


          • Сообщение от Александр Четвертый Посмотреть сообщение
            Я имел в виду web-приложение на сайте.
            Да на сайте тоже СМС далеко не всегда они отправляют. Только при входе код присылают, а при переводах я ни разу не получал СМС.

            Комментарий


            • Сообщение от Александр Четвертый Посмотреть сообщение
              установить модель ограничений и дать клиенту возможность управлять ими
              правильно, только тяжело подстроиться под все категории клиентов: бабушки, пользователи (используют дефолтные способы ИБ), продвинутые пользователи (используют больше чем дефолт ИБ и параноики ИБ (мы с Вами, используем самые надежные способы ИБ).
              В ВТБ, Альфе, Рафф - ИБ построено под бабушки, пользователи, есть опции для продвинутых, ну при осуществлении действий нужно в момент совершения выбрать пункт - послать доп. подтверждение, которое смысля не имеет. А аутентификация с помощью логина, пароля и смс.
              В ПСБ для не всех используют пароли и карточку с одноразовыми паролями для любых действий после того, как залогинился с помощью логина, пароля, смс.. Безопасно, но если ты не дома и без карточки ни чего не сделаешь в личном кабинете. Очевидно способ не для бабушек и пользователей.

              Комментарий


              • Кто как информирует VISA об инцидентах? В правилах ПС написана такая чушь (ID#: 010113-010113-206R), что любое заявление клиента в стиле "я час назад делал возврат в магазине, а деньги до сих пор не вернулись" формально попадает в инциденты. Порядок информирования описан вообще поверхностно (какие-то e-mail/телефоны/факсы подразделений VISA, закрепленные за банком). О любой заразе, присланной на почту банка, формально надо писать в эти "подразделения". Понтяно, что VISA это все нафиг не упало - но ЦБ при проверках требует объяснять каждый инцидент - почему Вы о нем сообщили в ФинЦЕРТ, а в VISA нет.

                Комментарий


                • Александр Четвертый, да, тоже интересно.

                  Комментарий


                  • Сообщение от Александр Четвертый Посмотреть сообщение
                    Кто как информирует VISA об инцидентах? ....
                    Так этож, вроде как, обязанность платикоидов всегда была. Вероятно, этот вопрос лучше задать в карточной ветке форума.

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      Так этож, вроде как, обязанность платикоидов всегда была. Вероятно, этот вопрос лучше задать в карточной ветке форума.
                      Не все вопросы "плактикоидов" решаются запросами chargeback (ибо стоят денег). А по правилам ПС нужно уведомлять еще и о любой заразе, пришедшей в банк на e-mail.

                      Комментарий


                      • Сообщение от Александр Четвертый Посмотреть сообщение
                        Не все вопросы "плактикоидов" решаются запросами chargeback (ибо стоят денег). А по правилам ПС нужно уведомлять еще и о любой заразе, пришедшей в банк на e-mail.
                        Немного ошибся в написании, должно было быть - "пластикоидов"))
                        Собственно, без погружении в детали, имелось в виду, что всё общение с МПС, всегда было у карточников. Ес-но, при этом всегда договаривались, кто, кому о чем сообщает и какие виды отчетности должны совпадать по инцидентам, что бы не было вопросов от регуляторов.

                        Комментарий


                        • Мы направляем на 'Russia_IR@mastercard.com'
                          Примерный текст
                          Информация об инцидентах, угрозах и уязвимостях в обеспечении защиты информации, связанных с нарушениями требований к обеспечению защиты информации в платежной системе при осуществлении переводов денежных средств, в том числе, но не ограничиваясь нижеперечисленным, о случаях компрометации шифровальных ключей, ключей к цифровой подписи, ПИН-кодов и обнаружении вредоносного кода по адресу электронной почты.

                          Количество инцидентов за отчетный период-

                          Комментарий


                          • 382-П наконец всё (в части отдельных требований для операторов по переводу денежных средств)?
                            Планируется кардинальное изменение 382-П, из которого уберут упоминание кредитных организаций (операторов по переводу денежных средств). 382-П будет распространяться на участников НПС - некредитные организации, а также на новые сущности, введенные последними правками в 161-ФЗ - платежные агрегаторы, разработчики платежных приложений, операторы информационного обмена (SWIFT, привет!). Защита информации при осуществлении переводов денежных средств уйдут целиком под 683-П, который покрывает все банковские операции.

                            Интересно, что 683-П фактически был следствием 167-ФЗ в части противодействия мошенническим переводам:
                            1) дополнить статьей 57.4 следующего содержания:

                            "Статья 57.4. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.";

                            А фактически 683-П распространили на все банковские операции (магией слов в паре абзацев в 683-П). Это до сих пор для меня выглядит странно. Не то, что бы я против 683-П и отмены 382-П (683-П гораздо проще и понятнее), но вот как это юридически вывернуто мне не ясно. Более того 683-П не допускает невыполнения требований, в 682-П была шакала, была оценка тех или иных показателей. 683-П вводит к ГОСТ ещё и свои требования, которые должны выполнятся безусловно.
                            К примеру: "6.2. Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) кредитной организацией." Это не позволяет использовать ключи, которые изготовлены третьим лицом, удостоверяющим центром или облачную подпись. )))
                            Последний раз редактировалось Zuz; 09.09.2019, 22:04.

                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              "6.2. Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) кредитной организацией." Это не позволяет использовать ключи, которые изготовлены третьим лицом, удостоверяющим центром или облачную подпись. )))
                              Генерация ключей в нормальном УЦ делается на клиентской стороне, а на сторону УЦ отдается лишь запрос PKCS#10 (вместе с открытым ключом). УЦ же подписывает запрос на сертификат - клиентские ключи он не генерирует. С облачной подписью тоже можно выкрутиться.

                              Сообщение от Zuz Посмотреть сообщение
                              683-П вводит к ГОСТ ещё и свои требования, которые должны выполнятся безусловно.
                              В целом да, не понятно, зачем так сделали. Особенно в части требований, в которых до сих пор не понятен даже смысл автора.

                              Комментарий


                              • Обычно когда появлются новости об изменении 382-П проходит 2-3 года. Так что расслабтесь и продолжайте получать удовольствие. Пока его отменят, нас ещё не один раз отымеют

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение
                                  ..... УЦ же подписывает запрос на сертификат.......
                                  Если не ошибаюсь, из RFC2986 - PKCS #10: Certification Request Syntax Specification, https://tools.ietf.org/html/rfc2986
                                  .....
                                  CertificationRequest ::= SEQUENCE {
                                  certificationRequestInfo CertificationRequestInfo,
                                  signatureAlgorithm AlgorithmIdentifier{{ SignatureAlgorithms }},
                                  signature BIT STRING
                                  }
                                  ..........
                                  signature is the result of signing the certification request information with the certification request subject's private key.

                                  т.е. чтоб УЦ подписал запрос, он должен знать закрытый ключ. И, с другой стороны, на момент получения УЦ запроса, запрос уже подписан. Или речь о чем-то другом?

                                  Сообщение от Александр Четвертый Посмотреть сообщение
                                  ..... С облачной подписью тоже можно выкрутиться......
                                  Интересно как, если не секрет? И, насколько я понимаю, именно поэтому и планируют принять правки в 63-ФЗ, т.к. адекватно "выкрутиться" не получается.

                                  Комментарий


                                  • Сообщение от saches Посмотреть сообщение
                                    signature is the result of signing the certification request information with the certification request subject's private key. т.е. чтоб УЦ подписал запрос, он должен знать закрытый ключ
                                    PKCS#10 - это документ, подписанный на закрытом ключе самого "сабжекта", т.е. того, кто собственно хочет сертифицировать свой открытй ключ (клиент УЦ). Не могу сейчас сказать, для чего именно служит эта подпись (как вариант УЦ убеждается, что тот, кто прислал запрос, действительно владеет закрытым ключом от открытого ключа для сертификации), но УЦ не использует закрытые ключи клиентов - только свой закрытый ключ согласно политикам корневого сертификата (как правило "выдача сертификатов", подписание "списка отзывов" и пр. УЦ-шные вещи).

                                    Комментарий


                                    • Александр Четвертый
                                      Полностью согласен. Но, хотел уточнить, что именно подписывает УЦ в присланном запросе.
                                      а мой взгляд - ничего. Если, конечно, не он сам создает ключи, как-это обычно бывает.

                                      Комментарий


                                      • А правильно я понимаю, что самооценку можно проводить если у банка имеестся соответствующая лицензия ФСТЭК?

                                        Раньше было:
                                        самостоятельно или с привлечением сторонних организаций
                                        Стало:
                                        с привлечением организаций, имеющих лицензию
                                        Слово "сторонних" умышлено исключено из фразы.
                                        Т.е. банк, имеющий лицензию, может привлечь себя.


                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          хотел уточнить, что именно подписывает УЦ в присланном запросе. а мой взгляд - ничего.
                                          Если вы про атрибут signature в запросе на сертификат, то это подпись сделанная на секретном ключе будущего владельца сертификата
                                          УЦ потом подписывает этот запрос на сертификат своим ключом, превращая его в собственно сертификат.

                                          Сообщение от saches Посмотреть сообщение
                                          т.е. чтоб УЦ подписал запрос, он должен знать закрытый ключ. И, с другой стороны, на момент получения УЦ запроса, запрос уже подписан. Или речь о чем-то другом?
                                          Речь в RFC о синтаксисе, а не о процессе. Процесс же такой:
                                          CSR создаётся заявителем после генерации ключевой пары.
                                          CSR подписывается секретным ключом заявителя. Подпись нужна для того, чтобы проверить целостность CSR и убедиться, что заявитель владеет секретным ключом.
                                          Затем CA подписывает CSR закрытым ключом CA (опционально он может проводить проверку заявителя, глубина проверки зависит от статуса сертификата и регуляторных требований, комодо раньше вообще ничего не проверял, как сейчас не знаю).

                                          Комментарий


                                          • Сообщение от bony599 Посмотреть сообщение
                                            Слово "сторонних" умышлено исключено из фразы. Т.е. банк, имеющий лицензию, может привлечь себя.
                                            Очевидно, что теперь нет, т.к. раньше было Самостоятельно и лицензия для собственных нужд не требовалась.
                                            Теперь оставили только возможность привлекать лицензиата и платить ему за это.

                                            Комментарий


                                            • Сообщение от Cpx Посмотреть сообщение
                                              Теперь оставили только возможность привлекать лицензиата и платить ему за это.
                                              Мы лицензиаты и можем привлечь себя, раз слово "сторонних" отсутствует.

                                              Комментарий


                                              • Сообщение от bony599 Посмотреть сообщение
                                                Мы лицензиаты и можем привлечь себя, раз слово "сторонних" отсутствует.
                                                Попробуйте, потом расскажите нам про реакцию ЦБ.

                                                Их точка зрения предельно понятна -- нужен внешний аудит. Можете потом получить предписание провести оценку повторно, но уже с привлечением сторонней организации, в том же 382-П написано, что вы обязаны проводить оценку ещё и по требованию ЦБ. Хотя, может и не получите....

                                                Комментарий


                                                • Сообщение от bony599 Посмотреть сообщение
                                                  Мы лицензиаты и можем привлечь себя, раз слово "сторонних" отсутствует.
                                                  Лицензиаты ФСТЭК?! Вы из тех 10-15 Банков, что решили получить лицензию для своих нужд?

                                                  Комментарий


                                                  • Сообщение от ost Посмотреть сообщение
                                                    Их точка зрения предельно понятна -- нужен внешний аудит.
                                                    - их точка зрения выражена тем, что они убрали слово "сторонних", получается, их точка зрения - нужна организация, не обязательно сторонняя, но имеющая лицензию ФСТЭК. Согласно СТО БР ИББС-1.0-2014 оценка соответствия это или самооценка или внешний аудит. В 382-П используется термин "оценка соответствия", что также говорит о том, что это может быть как внешний аудит, так и самооценка. Не вижу из чего может вытекать "Их точка зрения предельно понятна -- нужен внешний аудит". С чего вы это взяли?

                                                    Комментарий


                                                    • Сообщение от Cpx Посмотреть сообщение
                                                      для своих нужд?
                                                      - это обиходная речь или юридический термин? У нас есть лицензия на деятельность, требуемую в 382-П. Эта деятельность может быть как для оказания услуг, так и для собственных нужд. Ограничений в лицензии нет.

                                                      Комментарий


                                                      • Сообщение от bony599 Посмотреть сообщение
                                                        - это обиходная речь или юридический термин? У нас есть лицензия на деятельность, требуемую в 382-П. Эта деятельность может быть как для оказания услуг, так и для собственных нужд. Ограничений в лицензии нет.
                                                        это юридический термин, лицензия нужна для оказания соотв. услуг -
                                                        О лицензировании отдельных видов деятельности
                                                        Для собственных нужд лицензия не нужна...

                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          Для собственных нужд лицензия не нужна
                                                          Верно. Поэтому ваш вопрос и не понятен.

                                                          Комментарий


                                                          • Сообщение от bony599 Посмотреть сообщение
                                                            Поэтому ваш вопрос и не понятен.
                                                            у банка который получил ее много филиалов или дочек для которых он собирается оказывать услуги Иб (в т.ч .мониторинг событий ИБ)?
                                                            не понятно зачем ее было получать банку

                                                            имхоо очевидно, что ЦБ убрали не только "сторонних", но и "самостоятельно", если бы регулятор хотел разрешить Банкам имеющие лицензию ТКЗИ проводить оценку самостоятельно он бы так и написал. И фраза
                                                            Сообщение от bony599 Посмотреть сообщение
                                                            с привлечением организаций, имеющих лицензию
                                                            трактуется, что нужно кого-то привлечь, самого себя привлечь нельзя.


                                                            Комментарий


                                                            • Сообщение от Cpx Посмотреть сообщение
                                                              самого себя привлечь нельзя
                                                              Голословно.

                                                              Сообщение от Cpx Посмотреть сообщение
                                                              если бы регулятор хотел разрешить Банкам имеющие лицензию ТКЗИ проводить оценку самостоятельно он бы так и написал
                                                              Если бы захотел запретить, написал бы "с привлечением сторонних организаций".


                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X