9 апреля, четверг 04:07
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Коллеги, неужели ни у кого не осталось файлика экселя по 382-П с актуальными изменениями?

    Комментарий


    • Сообщение от Юсуп Ирганов Посмотреть сообщение
      ndebysheОператор по переводу денежных средств, банковский платежный агент (субагент), Оператор услуг платежной инфраструктуры применяют СКЗИ, которые поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований
      Разве не все СКЗИ поддерживают непрерывность процессов протоколирования ? Или я ошибаюсь....
      Никогда не слышал, чтоб эти требования когда-либо проверялись при проверках. С высокой долей вероятности, все отечественные СКЗИ это реализуют.
      Если используете что-то импортное, просто проверьте, есть ли встроенная процедура контроля целостности и можно ли получать протокол работы по основным операциям (подписание, шифрование и т.д.)

      Комментарий


      • Коллеги, теоретический вопрос.

        Насколько вот такая схема https://doc.idamob.ru/pro#checkclient соответствует требованиям ЦБ, в частности запрету на сохранение защищаемой информации (к которой таки относятся логины, пароли, коды аутентификации и т.п.) на мобилке.

        Комментарий


        • Коллеги, для чего в 382-П требуется от внешнего оценщика пункты "д" и "е" в лицензии?
          Нам же нужен контроль защищенности, а не проектирование и монтаж.

          Комментарий


          • Сообщение от dnebyshe Посмотреть сообщение
            для чего в 382-П требуется от внешнего оценщика пункты "д" и "е" в лицензии?
            А вам не похрен? Для удовлетворения хотелок ЦБ достаточно наличия хотя бы одной из букв (любой).

            Комментарий


            • Сообщение от ost Посмотреть сообщение
              хотя бы одной из букв (любой).
              А в 382-П написано
              имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" .

              Т.е. не "б" или "д" или "е".

              И получается, что дружественная контора, с лицензией на ТЗКИ "б", которая могла нам провести аудит пролетает, так как есть риск не принятия такого аудита ЦБшником.

              Комментарий


              • Сообщение от dnebyshe Посмотреть сообщение
                предусмотренных подпунктами "б", "д" или "е" . Т.е. не "б" или "д" или "е".
                ИМХО, вы чересчур заморачиваетесь буквоедством. Я по прочтении понял, что достаточно любой буквы.

                Вместо того, чтобы спрашивать тут "зачем д) или е)" лучше напишите запрос в ДИБ БР, достаточно ли наличия у оценщика лицензии только по пункту б), получите окончательный ответ и не будет у вас никаких сомнений. Думаю, что можно даже по электронке на инфо_финцерт.

                З.Ы. У моего оценщика есть все три буквы, так что мне это спрашивать не нужно.

                Комментарий


                • Сообщение от ost Посмотреть сообщение
                  У моего оценщика есть все три буквы
                  А у моего только "б", и чуть пол ляма ему не перечислили, юристы не разрешили. Требуют все 3 буквы.
                  Пришлось менять оценщика.

                  Комментарий


                  • Мы тоже считаем, что достаточно одной любой буквы.

                    У нашего аудитора был только Б.

                    Комментарий


                    • Сообщение от Airat_Kzn Посмотреть сообщение
                      Мы тоже считаем, что достаточно одной любой буквы.
                      Я тоже за одну букву, но юристами не поспоришь, написано "б", "д" или "е" вот и подавай им такого.

                      Комментарий


                      • Сообщение от dnebyshe Посмотреть сообщение
                        Я тоже за одну букву, но юристами не поспоришь, написано "б", "д" или "е" вот и подавай им такого.
                        Так бывает, когда "половина не понимает - нам, главное, какую-нибудь бумажку". Не судьба вам лицензиата найти
                        Буковок "или" в лицензии не бывает. Бывает только вот так: "а; б; в1; в2; в3; в4; в5; в6; г; д; е" (https://fstec.ru/litsenzionnaya-deya...y/216-reestr01)


                        Комментарий


                        • Сообщение от malotavr Посмотреть сообщение
                          Не судьба вам лицензиата найти
                          Нашли уже, и не одного.

                          Комментарий


                          • Уважаемые коллеги, у кого как реализовано требование из п.2.11.1 Положения № 382-П: Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры назначают куратора службы информационной безопасности из состава своего органа управления и определяют его полномочия. При этом служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

                            Делали приказы о назначении кураторов на СИБ и на УИТ? У нас УИТ подчинено заму ПП, про приказ на кураторство понятно, а если СИБ подчинена непосредственно ПП? ПП сам на себя издает приказ о кураторстве СИБ?
                            Как хорошо ничего не делать, а потом отдохнуть!

                            Комментарий


                            • Сообщение от MEB Посмотреть сообщение
                              Уважаемые коллеги, у кого как реализовано требование из п.2.11.1 Положения № 382-П
                              Протокол правления: Назначить куратором СИБ - ПП, куратором ДИТ зам. ПП.
                              Вопросов не возникло у проверки.

                              Комментарий


                              • dnebyshe понятно, благодарю. Вопрос именно с проверкой ЦБ и связан.
                                Как хорошо ничего не делать, а потом отдохнуть!

                                Комментарий


                                • Сообщение от dnebyshe Посмотреть сообщение
                                  Протокол правления: Назначить куратором СИБ - ПП, куратором ДИТ зам. ПП.
                                  На Правление зачем такой вопрос выносить (я конечно, помню вашу любовь это делать, но нужно знать меру, должно быть же у вас Положение о Правлении, полномочия там оговорёны)?
                                  Сообщение от MEB Посмотреть сообщение
                                  У нас УИТ подчинено заму ПП, про приказ на кураторство понятно, а если СИБ подчинена непосредственно ПП? ПП сам на себя издает приказ о кураторстве СИБ?
                                  Вопросы найма, распределения обязанностей регулирует первое лицо в Банке (Президент, Директор / Председатель Правления и т.п.).
                                  Достаточно его приказа (часто есть приказы о распределении обязанностей среди руководителей, вот туда это и добавляют), либо прописания в должностных инструкциях (если они, конечно, у таких лиц у вас есть). Конечно, он может закрепить обязанности по кураторству за ИБ за собой.

                                  У из практики свежих проверок ЦБ: в одном из банков проверяющий потребовал ещё и в должностные руководителей прописать, хотя были приказы о кураторстве, в другом банке был приказ, где были общие обязанности руководителей описаны, какие им подразделения подчиняются, какие курируются, его и пояснительной записки, где было указано что на основании этого приказа закреплено кураторство было достаточно. Внешние аудиторы и тот и другой вариант приняли, аудиторы разные.

                                  P.S. Кстати, назначения куратора ИТ не требуется в 382-П, там необходимо только назначение куратора ИБ и доказательства, что это лицо не курирует ИТ.
                                  Последний раз редактировалось Zuz; 11.03.2020, 07:47.

                                  Комментарий


                                  • giroskop
                                    Надо ли в БПА проводить внешний аудит на соответствие требованиям 382-П ?

                                    Комментарий


                                    • Мне помнится только ОПДС и еще каким-то 1-2 ролям надо внешний. БПА может сам.

                                      Комментарий


                                      • Александр Четвертый
                                        Спасибо!
                                        А где можно ,более подробно, узнать информацию, что БПА вправе самостоятельно проводить оценку соответствия?
                                        Информацию так и не смог найти.

                                        Комментарий


                                        • НУЖНА ПОМОЩЬ!!!
                                          А где можно ,более подробно, узнать информацию, что БПА вправе самостоятельно проводить оценку соответствия?
                                          Информацию так и не смог найти.

                                          Комментарий

                                          Обработка...
                                          X