Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Zuz, благодарю за ответ.

    ГОСТ, да, чуть жёстче, хотя буквально и не требует сертифицированного антивируса везде.

    Итого, clamav (или какая-нибудь cuckoo sandbox) прикроет часть, не покроет всех тех.требований ГОСТа и 382-П по защите от ВВК, но тут уже будет зависеть от аудитора и его трактовки требований.

    А разъяснения ЦБ кроме как в блоге Лукацкого где-то есть более официально?

    Комментарий


    • Дырище года: Уязвимость CVE-2020-0601, компрометирующая инфраструктуру открытых ключей ОС Windows https://m.habr.com/ru/company/solars...news/t/484000/ Сертифицированные СКЗИ, возможно (скорее всего), также уязвимы.

      Комментарий


      • Сообщение от Александр Четвертый Посмотреть сообщение
        Уязвимость CVE-2020-0601
        На XP и W7 не работает, спим дальше спокойно.

        Комментарий


        • Александр Четвертый
          WinXP нет в списке

          Комментарий


          • Ага я поторопился - зацепился глаз за "начиная с NT".. Ну всякие облачные решения для ЕБС с рабочими местами на Win10 как раз в основном, так что кому-то это пригодится

            Комментарий


            • Коллеги, ни у кого не осталось проекта 382-П? его с сайта ЦБ уже убрали.
              Выложите, пожалуйста, если не сложно.
              ***Настроение бодрое, идем ко дну.

              Комментарий


              • Сообщение от iPtich Посмотреть сообщение
                Выложите, пожалуйста, если не сложно.
                см.
                Вложения

                Комментарий


                • Таки проговорились, что им интересна доля рынка HSMов.

                  Комментарий


                  • Сообщение от ost Посмотреть сообщение
                    Таки проговорились, что им интересна доля рынка HSMов.
                    Насколько я понимаю, это следовало и из действующей редакции 382-П. Фактически, и там оговаривались сроки, когда можно будет использовать исключительно сертифицированные СКЗИ...

                    У меня глаз зацепился в тексте проекта на -
                    - возможности использования клиентом независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений;
                    Прямо таки, теряюсь в предположениях, что конкретно имеется в виду...2 телефона для работы с мобильным приложением?

                    Комментарий


                    • Сообщение от saches Посмотреть сообщение
                      У меня глаз зацепился в тексте проекта на - - возможности использования клиентом независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений; Прямо таки, теряюсь в предположениях, что конкретно имеется в виду...2 телефона для работы с мобильным приложением?
                      Так это есть и в действующей версии 382-П, пункт 2.10.6 и бал в оценке П.81.2 (категоря 1).
                      Вступило в силу с 01.01.2020

                      Комментарий


                      • Zuz

                        Спасибо.
                        ***Настроение бодрое, идем ко дну.

                        Комментарий


                        • Кстати, кто-нибудь запрашивал ЦБ на тему, катит ли одноразовый пароль в СМС как использование раздельных технологий?

                          Комментарий


                          • ost, СМС в принципе уже не кактит, как надёжный канал для одноразовых паролей. Честно говоря, не ясно почему до сих пор банки не делают поддержку аутентификаторов, что такие коды генерируют (таких приложений полно). Но это, в любом случае, не раздельные технологии, если приложение мобильное, а вот если приложение на десктопе, а приложение с кодами на телефоне, то это уже что-то, хотя тут нужно чтобы в такое приложение ещё и данные попадали по документу, тогда точно соответствует.
                            Последний раз редактировалось Zuz; 27.01.2020, 20:01.

                            Комментарий


                            • Сообщение от Zuz Посмотреть сообщение
                              Но это, в любом случае, не раздельные технологии, если приложение мобильное, а вот если приложение на десктопе, а приложение с кодами на телефоне, то это уже что-то
                              В принципе, никто не мешает клиенту использовать два разных телефона, на одном мобильное приложение, на другом только СМС (да и формулировка в 382-П предусматривает только наличие возможности использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений). Только клиенты так не делают, потому что неудобно. Тоже самое можно сказать про различные аутентификаторы, неудобно.

                              Вопрос собственно был вызван желанием вписать в ВНД фразу, что банком реализованы раздельные технологии в виде СМС, но как-то стрёмно... Придётся и рителу внедрять PayControl. И как-то странно, что до сих пор для PayControl нет альтернативной отечественной разработки. Всякие Gemalto слишком дорого...

                              Комментарий


                              • ost, это https://lukatsky.blogspot.com/2019/12/683.html я читал и ранее.
                                После Вашего вопроса перечитал...

                                Посмотрите п6-8 и поделитесь своим выводом.

                                Мой вывод : СМС-ы МОЖНО.
                                И даже чуть больше :

                                (Такими способами могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и другие средства.)

                                (Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом.)

                                Комментарий


                                • Да почти в любой банк-клиент вшита такая возможность - в 2 учетки когда делается операция. У одной права на создание и подписание, у другой на отправку (ну или другие комбинации - не суть). Если у вас такой б-к, то требование уже выполнено - клиент может делать себе 2 учетки и использовать их на разных устройствах. Естественно адекватный клиент ФЛ так делать не будет, но нам же нужно только дать возможноть.

                                  Комментарий


                                  • Сообщение от Александр Четвертый Посмотреть сообщение
                                    Да почти в любой банк-клиент вшита такая возможность - в 2 учетки когда делается операция. У одной права на создание и подписание, у другой на отправку (ну или другие комбинации - не суть). Если у вас такой б-к, то требование уже выполнено - клиент может делать себе 2 учетки и использовать их на разных устройствах. Естественно адекватный клиент ФЛ так делать не будет, но нам же нужно только дать возможноть.
                                    Вот тут не согласен, что вторая учётка в той же системе ДБО обеспечит выполнение требований "возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений" и "возможность выполнения подтверждения клиентом электронных сообщений вне операционной системы, используемой для подготовки электронных сообщений".

                                    Причём, если таки иметь ввиду всю корявость ЦБ-шных формулировок, то под словами "операционной системы" подразумевается именно система ДБО, а не операционка устройства.

                                    Комментарий


                                    • Сообщение от idelta Посмотреть сообщение
                                      Посмотрите п6-8 и поделитесь своим выводом.
                                      Эти вопросы не о том, тему раздельных технологий они не затрагивают.

                                      Собственно вопросы 2 - 8 именно я и писал. Ответами не удовлетворён, от слова вообще, считаю отпиской. Особенно ответы на вопросы № 5 и 6.
                                      Выводы такие:
                                      - подтверждение совершенной операции можно не получать вообще, объяснив это "принятой в организации политикой управления рисками" (случай с NFC картами);
                                      - подтверждать транзакции через ОТП в СМС можно, надо только обозвать это в документах простой электронной подписью;
                                      - как захочу, так и сделаю, ибо "Реализация требований, предусмотренных пунктом 5.1 Положения Банка России № 683-П, возлагается на кредитные организации и определяется ими самостоятельно" и никто иной не вправе сказать, что я неправ (см. ответ на вопрос № 4).

                                      Комментарий


                                      • как-то странно, что до сих пор для PayControl нет альтернативной отечественной разработки. Всякие Gemalto слишком дорого...
                                        Да, мы уже много раз искали, для физиков по сути нет работающей альтернативы. Для юриков у нас есть для iBank "MAC-токен БИФИТ" (девайс вполне юзабельный, применяем его).
                                        как захочу, так и сделаю
                                        А в 683-П, проекте замены 382-П, ГОСТ, что у нас по этому поводу? Думаю, нужно делать как там.

                                        Комментарий


                                        • Сообщение от Zuz Посмотреть сообщение
                                          А в 683-П, проекте замены 382-П, ГОСТ, что у нас по этому поводу?
                                          А ничего нет в 382-П и ГОСТ. Если найдёте, дайте знать.

                                          Комментарий


                                          • Коллеги, поделитесь актуальной экселевской формой для оценки 382-П.
                                            У меня в этом году внешняя оценка будет.
                                            Хочу до аудита сам все прогнать, чтобы не затягивать с аудитом и подготовиться заранее.

                                            Комментарий


                                            • Товарищи, добрый день!
                                              Бросьте в меня пожалуйста ссылкой на термин "Электронное сообщение", не могу найти нигде в официальных документах.

                                              Комментарий


                                              • Сообщение от kyi-13 Посмотреть сообщение
                                                Товарищи, добрый день!
                                                Бросьте в меня пожалуйста ссылкой на термин "Электронное сообщение", не могу найти нигде в официальных документах.
                                                Федеральный закон от 27.07.2006 N 149-ФЗ
                                                (ред. от 02.12.2019)
                                                "Об информации, информационных технологиях и о защите информации"
                                                (с изм. и доп., вступ. в силу с 13.12.2019)


                                                Статья 2. Основные понятия, используемые в настоящем Федеральном законе
                                                В настоящем Федеральном законе используются следующие основные понятия:
                                                1) информация - сведения (сообщения, данные) независимо от формы их представления;
                                                10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

                                                Комментарий


                                                • Сообщение от kyi-13 Посмотреть сообщение
                                                  Бросьте в меня пожалуйста ссылкой на термин "Электронное сообщение", не могу найти нигде в официальных документах.
                                                  149-ФЗ немного наверное мимо.
                                                  Есть договор с ЦБ, унифицированный- Договор с ЦБ об обмене электронными сообщениями.

                                                  Там определено понятие: Электронное сообщение - совокупность данных, соответствующая установленному Банков формату, обеспечивающая однозначное восприятие ее содержания, снабженная КА.

                                                  Т.о. пока Вы на информацию не установите КА - это еще не электронное сообщение.

                                                  Комментарий


                                                  • Сообщение от ndebyshe Посмотреть сообщение
                                                    Там определено понятие: Электронное сообщение - совокупность данных, соответствующая установленному Банков формату, обеспечивающая однозначное восприятие ее содержания, снабженная КА. Т.о. пока Вы на информацию не установите КА - это еще не электронное сообщение.
                                                    По какой-то причине, КА имеет смысл только при обмене с ЦБ, чего нельзя сказать о ЭС...

                                                    Комментарий


                                                    • Добрый день. Разьясните мне пожалуйста, пункты 2.10.5 (пункт 81.1) и 2.10.6 (пункт 81.2)

                                                      Пункт 81.1

                                                      При осуществлении переводов денежных средств с использованием сети Интернет и (или) размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных технологий и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемых договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента

                                                      Пункт 81.2

                                                      Реализуемые оператором по переводу денежных средств технологические меры по использованию раздельных технологий должны обеспечивать:
                                                      - идентификацию и аутентификацию клиента при подготовке клиентом и при подтверждении клиентом электронных сообщений;
                                                      - возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений;-
                                                      - возможность контроля клиентом реквизитов распоряжений о переводе денежных средств при подготовке электронных сообщений (пакета электронных сообщений) и их подтверждении;
                                                      - аутентификацию входных электронных сообщений (пакета электронных сообщений) путем использования и сравнения (сверки) аутентификационных данных, сформированных на основе информации о реквизитах распоряжений о переводе денежных средств при подготовке клиентом электронных сообщений (пакета электронных сообщений) и подтверждении клиентом электронных сообщений;
                                                      - удостоверение оператором по переводу денежных средств распоряжений о переводе денежных средств только в случае положительных результатов аутентификации - - -входных электронных сообщений (пакета электронных сообщений).

                                                      Буду благодарен за помощь.

                                                      Комментарий


                                                      • Сообщение от Юсуп Ирганов Посмотреть сообщение
                                                        2.10.5 (пункт 81.1)
                                                        С 1 января 2020 если в нашем ДБО, распространяемым клиентам нет встроенной проверки на вирусы мы по 382-П должны обеспечить раздельные технологии подготовки платежных поручений и их отправки в банк. Т.е. Клиент в ДБО (WEB или мобильное приложение) готовит платежки и направляет в банк, а попом подтверждает их другим способом.
                                                        Если у нас нет такое возможности,
                                                        то мы должны внести в договор ДБО с клиентом возможность ограничение по параметра операций или дать клиенту возможность самим устанавливать такие ограничения.


                                                        Возможно нужно в договор ДБО внести изменения «о возможности ограничение по параметра операций» и дать клиенту такое право.

                                                        Комментарий


                                                        • Юсуп Ирганов 81.1. говорит о необходимости вводить лимиты по операциям (с отражением всех нюансов в договоре) или применять устройства для подтверждения платежей.
                                                          Пункт 81.2 описывает требования к устройствам подтверждения платежей, пример таких устройств это MAC-токены с экраном или к примеру ПО для сматрфона (типа PayControl) или в крайнем случае подтверждение по SMS ключевых реквизитов докумнта.

                                                          Комментарий


                                                          • ndebyshe
                                                            Спасибо за помощь по пункту 81.1

                                                            Как я понял, если по пункту 81.1 используется ограничение по операциям, то пункт 81.2 не актуален,так как технологические меры по использованию раздельных технологий не применяются.

                                                            Еще по одному вопросу у меня загвоздка.

                                                            По пункту 62 (2.9.2)

                                                            Оператор по переводу денежных средств, банковский платежный агент (субагент), Оператор услуг платежной инфраструктуры применяют СКЗИ, которые поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований

                                                            Разве не все СКЗИ поддерживают непрерывность процессов протоколирования ? Или я ошибаюсь....

                                                            Комментарий


                                                            • Сообщение от Юсуп Ирганов Посмотреть сообщение
                                                              Как я понял, если по пункту 81.1 используется ограничение по операциям, то пункт 81.2 не актуален,так как технологические меры по использованию раздельных технологий не применяются.
                                                              Если в 81.1 только ограничения без технологических мер то в этом случаем аудиторы могут поставить 0.5. по 81.1. так как конструкцию и (или) они могут трактовать по своему.
                                                              но это мелочи.

                                                              Комментарий

                                                              500 Портал временно недоступен

                                                              Портал временно недоступен

                                                              Возникла ошибка при открытии страницы. Обновите страницу или перейдите на главную
                                                              Обновите страницу спустя некоторое время.

                                                              Агенство Bankir.Ru приносит извинения пользователям
                                                              за доставленные неудобства
                                                              Обработка...
                                                              X