15 декабря, воскресенье 21:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от bony599 Посмотреть сообщение
    Не вижу из чего может вытекать "Их точка зрения предельно понятна -- нужен внешний аудит". С чего вы это взяли?
    Из выступления представителей ДИБ на встрече, которая была на Неглинной, 12. Там прямым текстом сказали, что банки себе завышают. Возможно, для некоторых (тех кому надо) будут сделаны исключения. Пробуйте.

    Комментарий


    • А кто-то закладывал в бюджет аудит по 382-П? Какие вам суммы называли? Минимальная интересует.

      Комментарий


      • Сообщение от Sat_Kelman Посмотреть сообщение
        А кто-то закладывал в бюджет аудит по 382-П? Какие вам суммы называли? Минимальная интересует.
        от 400 тыс. до миллиона.

        Комментарий


        • Сообщение от Sat_Kelman Посмотреть сообщение
          А кто-то закладывал в бюджет аудит по 382-П? Какие вам суммы называли? Минимальная интересует.
          1 000 000

          Комментарий


          • Сообщение от ost Посмотреть сообщение
            Пробуйте.
            Никто не пробовал?

            Также в п.2.15.3: "Отчет включает ... сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств" и в отчете 0403202 можно выбрать "0 - проведена отчитывающимся оператором".
            Последний раз редактировалось bony599; 13.09.2019, 10:43.

            Комментарий


            • Сообщение от bony599 Посмотреть сообщение
              Также в п.2.15.3: "Отчет включает ... сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств" и в отчете 0403202 можно выбрать "0 - проведена отчитывающимся оператором".
              Дерзайте.

              Комментарий


              • Сообщение от bony599 Посмотреть сообщение

                Никто не пробовал?

                Также в п.2.15.3: "Отчет включает ... сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств" и в отчете 0403202 можно выбрать "0 - проведена отчитывающимся оператором".
                Если у Вашей организации есть лицензия то можете попробовать, но могу предположить что по признаку аффилированности не примут такой отчет...

                Комментарий


                • Коллеги, кто нибудь может поделиться рыбой документа где прописан порядок доступа к банкоматам, регистрацию доступа, идентификацию и аутентификации?
                  в 173-Т слово комплаенс встречается 206 раз.

                  Комментарий


                  • Anton007
                    Из каких соображений интересуетесь если не секрет? Неужели проверка запросила???

                    Комментарий


                    • Сообщение от Anton007 Посмотреть сообщение
                      ... прописан порядок доступа к банкоматам, регистрацию доступа, идентификацию и аутентификации?
                      Не совсем понятно как связаны банкоматы и регистрация доступа, идентификации и аутентификации?

                      Комментарий


                      • Сообщение от w3d Посмотреть сообщение
                        Не совсем понятно как связаны банкоматы и регистрация доступа, идентификации и аутентификации?
                        А так, что мы и к ТУ ДБО должны применять учет доступа, журналы доступа, аудит журналов доступа.

                        Anton007
                        пропишите своими словами, как даете доступ, как оформляете, как контролируете.
                        Или аналогично доступам сотрудников к рабочим местам в банке.

                        Комментарий


                        • Сообщение от dnebyshe Посмотреть сообщение
                          А так, что мы и к ТУ ДБО должны применять учет доступа, журналы доступа, аудит журналов доступа.
                          Имеется в виду физический доступ к АТМ или удаленный?
                          Сотрудников или скриптов? Доступ к системе видеонаблюдения которая формально не является частью АТМ учитывается?
                          Подскажите нормативку, где это требуется?

                          Комментарий


                          • Сообщение от w3d Посмотреть сообщение
                            Имеется в виду физический доступ к АТМ или удаленный?
                            Сотрудников или скриптов? Доступ к системе видеонаблюдения которая формально не является частью АТМ учитывается?
                            Подскажите нормативку, где это требуется?
                            Без разницы какой доступ, но у Вас должен быт регламентирован, протоколирован и контролироваться.
                            382-П, раздел про ТУ ДБО

                            Комментарий


                            • Сообщение от dnebyshe Посмотреть сообщение

                              А так, что мы и к ТУ ДБО должны применять учет доступа, журналы доступа, аудит журналов доступа.

                              Anton007
                              пропишите своими словами, как даете доступ, как оформляете, как контролируете.
                              Или аналогично доступам сотрудников к рабочим местам в банке.
                              С этим затруднения, поэтому хотелось бы посмотреть пример такого документа.

                              И еще вопрос все опечатывают банкоматы?
                              в 173-Т слово комплаенс встречается 206 раз.

                              Комментарий


                              • Сообщение от Anton007 Посмотреть сообщение
                                И еще вопрос все опечатывают банкоматы?
                                Нет. А для чего?

                                Комментарий


                                • UserNick Нам в замечаниях написали после внешнего аудита,пункты 35 и 36 приложения 2.
                                  в 173-Т слово комплаенс встречается 206 раз.

                                  Комментарий


                                  • Сообщение от Anton007 Посмотреть сообщение
                                    Нам в замечаниях написали после внешнего аудита,пункты 35 и 36 приложения 2.
                                    Способов выполнить требования этих пунктов много. Опечатывание, ИМХО, не самый удачный из них.

                                    Комментарий


                                    • ivanov_nv
                                      А разве Абзац третий подпункта 1.2 и подпункт 1.5 пункта 1 Указания от 7 мая 2018 № 4793-У вступает в силу не с 1 января 2020 года?

                                      Комментарий


                                      • Коллеги, добрый день, есть у кого-нибудь контакты аудиторов по 382-П из Краснодарского края или Ростовской области? Прошу прислать в личку, вообще никого найти не могу.

                                        Комментарий


                                        • Коллеги, реально найти аудит 382-П до 300т.р.?

                                          Комментарий


                                          • сейчас загруза у аудиторов просто мрак. Поэтому может 2 счетчика. Поэтому - за 300 - будет фигня у неизвестной фирмы.

                                            Комментарий


                                            • Известность аудитора вопрос - третий, поскольку это их риски и рисковать лицензией никто в здравом рассудке не будет.

                                              Комментарий


                                              • задачи смухлевать нет. необходимо просто подтвердить имеющийся уровень соответствия (неудовлетворительный) и получить рекомендации. на этапе перехода к ГОСТ хочется сосредоточить усилия на нем

                                                Комментарий


                                                • Сообщение от donZhukan Посмотреть сообщение
                                                  задачи смухлевать нет. необходимо просто подтвердить имеющийся уровень соответствия (неудовлетворительный) и получить рекомендации. на этапе перехода к ГОСТ хочется сосредоточить усилия на нем
                                                  А нет опасения, что последует звонок из ЦБ с указанием предоставить план мероприятий с повторным проведением аудита для удовлетворительной оценки?
                                                  Помнится, во времена самооценки это была достаточно распространенная практика.

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    А нет опасения, что последует звонок из ЦБ
                                                    Задавали вопрос представителям ЦБ РФ по планируемым изменениям в 382-П, методику оценки и сроки принятия изменений. В ответ: процесс длительный, проходят согласования, изменения будут... но конкретно ничего. Думаю оценку по 382-П могут совсем отменить, оставят аудит по ГОСТ с его методикой - сроки - 2021.
                                                    До этого внешняя оценка по 382-П, как тренировка для аудиторов по вопросам ИТ+ИБ, контроль результатов со стороны приходящих проверок ЦБ и выработка рекомендаций по выбору аудиторов при оценке по ГОСТ...

                                                    Комментарий


                                                    • Сообщение от donZhukan Посмотреть сообщение
                                                      Коллеги, реально найти аудит 382-П до 300т.р.?
                                                      Все с кем мы общались выставляют цену из двух частей, 1) собственно аудит и 2) пен-тест, без проведения которого аудит, типа, не может считаться кошерным.
                                                      Скорее всего можно будет договориться на только аудит за примерно ваши деньги.

                                                      Комментарий


                                                      • Вроде давно известно, что 382-П отойдет в сторонку и будет 683-П командовать.

                                                        Комментарий


                                                        • Сообщение от bony599 Посмотреть сообщение
                                                          Согласно СТО БР ИББС-1.0-2014 оценка соответствия это или самооценка или внешний аудит. В 382-П используется термин "оценка соответствия", что также говорит о том, что это может быть как внешний аудит, так и самооценка.
                                                          Определение термина дано прямо в 382-П:
                                                          2.15.1. Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - оценка соответствия).
                                                          Сообщение от bony599 Посмотреть сообщение
                                                          Не вижу из чего может вытекать "Их точка зрения предельно понятна -- нужен внешний аудит". С чего вы это взяли?
                                                          Явно про внешний аудит ничего не сказано, но мы у себя прописали в политике, что нужен, т.к. лицензию на ТЗКИ получать никогда не будем.

                                                          Формально, в том же 382-П осталось:
                                                          сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.
                                                          Т.е. допускается и не привлечение, хотя в каких случаях явно не указано. КМК, это оставлено для банков, которые проводили оценку соответствия самостоятельно до вступления изменения в силу, чтобы они могли корректно отчитаться.

                                                          Моё мнение, что оценку соответствия можно провести самостоятельно и даже без лицензии, но в этом случае будет нарушение требования 382-П в части привлечения организации с указанной лицензией. При наличии лицензии нарушение теоретическое (как будет трактовать проверяющий, исходя из наличия лицензии или исходя из требования привлечения).

                                                          Вопрос может ли банк "привлечь" сам себя к проведению работ по оценке соответствия при наличии лицензии на ТЗКИ интересный. Но по мне, если написано с привлечением, то я бы трактовал (на месте проверяющего) всё же как привлечение к работам сторонней организации, т.к. в противном случае формулировка была бы чётче дана регулятором: к примеру указали бы, что оценку соответствия должна проводить организация с лицензией на ТЗКИ. А тут явно написано про привлечение организации.
                                                          В общем случае лицензия на ТКЗИ необходима при оказании услуг. Банк сам себе слуги не оказывает и вообще это не банковская деятельность, никому он в принципе не может такие услуги оказывать, поэтому нет юридического смысла в такой лицензии. Интересно, как вы вообще её обосновали и расходы на получение? )))

                                                          Примечательно, что требование о наличии лицензии на ТЗКИ не попало 382-П (в приложение №2), что, КМК, означает, что оно обязательное, а не оценочное, и за его неисполнение могут быть применены санкции.
                                                          Кстати, при проведении оценки соответствия проверяются все требования, а вот документируются только те, что в приложении №2. )))
                                                          Это ещё то упражнение сверять текст всего положения с его приложением.

                                                          Комментарий


                                                          • Сообщение от saches Посмотреть сообщение
                                                            А нет опасения, что последует звонок из ЦБ с указанием предоставить план мероприятий с повторным проведением аудита для удовлетворительной оценки?
                                                            Это вероятно, т.к. прошло уже много времени с момент выхода 382-П. Но я не слышал, чтобы присылали такие запросы.
                                                            При комплексной проверке (в составе которых сейчас всегда есть проверка по ИБ и ИТ), скорее всего, напишут замечания по тем показателям, что ниже 0,75 или даже ниже 1 (зависит от проверяющего и тематики проверки), а затем надзор будет просить мероприятия провести.

                                                            Сообщение от Александр Четвертый Посмотреть сообщение
                                                            и будет 683-П командовать.
                                                            Ещё года 2 будет 382-П, судя по всему, минимум следующий год. Проверки ЦБ комплексные будут, и они всё обязательно проверят (тема набирает обороты).
                                                            Проверяют много, формально, но достаточно глубоко. Смотрят всё, в первую очередь смотрят слабые показатели.

                                                            Сообщение от ost Посмотреть сообщение
                                                            2) пен-тест, без проведения которого аудит, типа, не может считаться кошерным.
                                                            С чего бы это? Пен-тест всего-лишь один из оценочных пунктов в 382-П. Вообще требование вступило в силу 01.07.2018 и его проведение нужно осуществлять ежегодно. Проверяющий из ЦБ трактовал это формально, как проведение мероприятий в 2018 и 2019 году. )))
                                                            Для закрытия требования достаточно иметь свидетельства о деятельности (отчёт о проведении анализа уязвимостей и отчёт по результатам тестирование на проникновение для всех объектов информационной инфраструктуры). Для частичного выполнения мы показывали договор, что он заключён и оплачен и намечена дата.

                                                            А аудит консалтинговые компании без проблем без пен-теста проводят, не было явного навязывания (работаем с 4 компаниями).
                                                            Последний раз редактировалось Zuz; 25.10.2019, 08:02.

                                                            Комментарий


                                                            • а как выбирали исполнителя? какие критерии учитывали кроме суммы контракта и наличия лицензий ФСТЭК и ФСБ?

                                                              Комментарий

                                                              Обработка...
                                                              X