30 мая, суббота 11:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Сообщение от Mirias Посмотреть сообщение
    Добрый день, подскажите у кого что по этому пункту- 2.10.4. При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.
    Как правило, это реализуется средствами ДБО. Почитайте документацию к нему, там должно быть написано.

    Комментарий


    • #92
      Сообщение от Mirias Посмотреть сообщение
      Добрый день, подскажите у кого что по этому пункту- 2.10.4. При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.
      Это случай компрометации ключа и должен быть прописан в вашем Положении о системе ДБО.
      В таблице так и пишите: Требование данного пункта реализуется с помощью организационных мер (указываете пункты своего Положения), технических мер (указываете ПО, которое используется в системе ДБО). Мы так писали.

      Комментарий


      • #93
        Сообщение от Mirias Посмотреть сообщение
        Добрый день, подскажите у кого что по этому пункту- 2.10.4. При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.
        Антифрод. Мы так посчитали

        Если рассматривать кражу ключей, то зачем злоумышленнику ждать сеанса авториазации? Он может сам зайти в любое время. Они обычно это делают под конец дня или ночью, чтоб платежка утром сразу ушла до момента обнаружения.
        Тут имеется ввиду случай, когда клиент сам входит в систему, и во время сеанса его работы и происходит левая платежка. Например подмена реквизитов. Тут спасет антифрод.

        Мы в этом пункте рассматривали именно его.

        Комментарий


        • #94
          Пришёл сегодня овтет на наш 0403202 с грустной 0.26. Требуют устранить и отчитаться об устранении в десятидневный срок. У нас договор с внешней компанией где 1 - проведение первичной оценки (получили 0.26), затем выполнение установленных требований, затем финальный анализ. Десятидневый срок ЦБ сильно всё нарушил. А ведь на одном из форумов по ИБ кто-то главный из ЦБ сообщил, что в таком случае будут требовать либо устранение косяков либо представить план по устранению в разумные сроки. У нас был план с адекватными сроками, а теперь кричим караул.

          Комментарий


          • #95
            Благодарю за ответы)

            Комментарий


            • #96
              Сообщение от fiasko Посмотреть сообщение
              Пришёл сегодня овтет на наш 0403202 с грустной 0.26. Требуют устранить и отчитаться об устранении в десятидневный срок. У нас договор с внешней компанией где 1 - проведение первичной оценки (получили 0.26), затем выполнение установленных требований, затем финальный анализ. Десятидневый срок ЦБ сильно всё нарушил. А ведь на одном из форумов по ИБ кто-то главный из ЦБ сообщил, что в таком случае будут требовать либо устранение косяков либо представить план по устранению в разумные сроки. У нас был план с адекватными сроками, а теперь кричим караул.
              ЦБ - шники прикалываются или совсем не в теме о кол-ве работ, которые необходимо провести при такой низкой оценке. У нас тоже 0,26, составлен план до середины 2015 года, а эти за 10 дней хотят. Нам ответ из ЦБ ещё не приходил, но по всей видимости будет такой же.

              Комментарий


              • #97
                Сообщение от fiasko Посмотреть сообщение
                Пришёл сегодня овтет на наш 0403202 с грустной 0.26.
                А почему у вас такая низкая оценка? Получается, что у вас нет 2/3 нужных документов. А 382-П принято ещё в июне 2012. Как же вы раньше работали? И ЦБ за это время вас ни разу не тряс? Мы уже полтора года назад начали приводить всё в соответствие. Оценку проводил сам. По каждому пункту есть соответствующий документ. Итоговая - 0,98.

                Комментарий


                • #98
                  Сообщение от fiasko Посмотреть сообщение
                  Пришёл сегодня овтет на наш 0403202 с грустной 0.26.
                  Это вы с таким показателем отправляли и надеялись, что все пройдет нормально.....?

                  Комментарий


                  • #99
                    Сообщение от serg_mur Посмотреть сообщение
                    А почему у вас такая низкая оценка? Получается, что у вас нет 2/3 нужных документов. А 382-П принято ещё в июне 2012. Как же вы раньше работали? И ЦБ за это время вас ни разу не тряс? Мы уже полтора года назад начали приводить всё в соответствие. Оценку проводил сам. По каждому пункту есть соответствующий документ. Итоговая - 0,98.
                    У нас такая низкая оценка, потому, что отделу ИБ нет и полугода. До этого все процессы организовывались из принципов разумности (7 лет) сотрудниками ИТ. Так же отдел состоит из одного меня, что значительно усложняет работы в рамках 382-П, в связи с наличием необходимости получить лицензию ФСБ (получена), ФСТЭК (в процессе), а так же привести всё в соответствие с 152-ФЗ о ПДн. Помимо этого мы СТО БР не приняли, ждём новой редакции.

                    Касательно Вашей 0.98 это очень высокая оценка. Мне лично кажется, что из принципов разумности, тот кто осуществляет защищённость системы не должен участвовать в оценке её эффективности.

                    Комментарий


                    • Сообщение от fiasko Посмотреть сообщение
                      Мне лично кажется, что из принципов разумности, тот кто осуществляет защищённость системы не должен участвовать в оценке её эффективности.
                      Да почему бы и нет? Просто не у всех одинаковое понимание и толкование тех или иных пунктов. Так что оценка должна быть комиссионной (у нас ИБ, ИТ, СВК). А вообще даже интересно какое мнение у проверки ЦБ будет )

                      Комментарий


                      • Sat_Kelman, согласен. Я даже в рамках некоторых конференций с участниками ЦБ слышал разные мнения относительно одних пунктов

                        Комментарий


                        • Сообщение от fiasko Посмотреть сообщение
                          У нас такая низкая оценка, потому, что отделу ИБ нет и полугода. До этого все процессы организовывались из принципов разумности (7 лет) сотрудниками ИТ. Так же отдел состоит из одного меня, что значительно усложняет работы в рамках 382-П, в связи с наличием необходимости получить лицензию ФСБ (получена), ФСТЭК (в процессе), а так же привести всё в соответствие с 152-ФЗ о ПДн. Помимо этого мы СТО БР не приняли, ждём новой редакции.
                          Ну да, полгода - это срок маленький. Я тоже один, но в течение года я сделал порядка 50 новых и пересмотрел около 80 старых положений по ИБ. При том, что мы присоединились к СТО БР, и включая доки по перс данным. Другие отделы привлекал чисто номинально, потому как никто не разбирается и не хочет разбираться в нормативке по ИБ.
                          Насчёт проверки ЦБ я уже где-то писал, что наш банк одним из первых прошёл проверку по 382-П ещё в марте прошлого года. Было одно замечание, пришлось одно Положение срочно разрабатывать. В остальном всё хорошо. И это при том, что на тот момент у нас было документов по 382-П гораздо меньше, чем сейчас. Так что никаких проверок мы не боимся. Сплю спокойно.

                          Комментарий


                          • serg_mur, да Ваших результатов у меня ещё пол года - подтянусь Вы один, а как с ФСБ и ФСТЭК лицензиями дела обстоят?

                            Комментарий


                            • Сообщение от fiasko Посмотреть сообщение
                              а как с ФСБ и ФСТЭК лицензиями дела обстоят?
                              Никак, у нас их нет. Мы не предоставляем услуги по криптографии.

                              Комментарий


                              • У Вас нет клиент-банка?

                                Комментарий


                                • Сообщение от fiasko Посмотреть сообщение
                                  У Вас нет клиент-банка?
                                  Клиент-Банк есть, но у нас нет своего УЦ, криптография используется встроенная в систему ДБО, а клиенты сами генерят ключи. Вот.

                                  Комментарий


                                  • Сообщение от serg_mur Посмотреть сообщение
                                    Клиент-Банк есть, но у нас нет своего УЦ, криптография используется встроенная в систему ДБО, а клиенты сами генерят ключи. Вот.
                                    И ФСБ нормально к этому относится? Интересуюсь, потому что ситуация довольно странная. Взять хотя бы "Перечень работ..." приложение к 313 Постановлению:

                                    "21. Передача шифровальных (криптографических) средств." - я правильно понимаю, что вы передаете дистрибутив с криптобиблиотеками, для генерации ЭП на стороне клиента?

                                    25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей. - если криптография встроена в ваш Клиент-Банк, вы автоматически предоставляете услугу по шифрованию информации.

                                    Не говоря уже о том, что 313 Постановление говорит о необходимости лицензирования деятельности по разработке, производству, распространению шифр средств, а также выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств.

                                    Или обслуживание СКЗИ у вас на аутсорсинге?

                                    Комментарий


                                    • Сообщение от iBez Посмотреть сообщение
                                      И ФСБ нормально к этому относится? Интересуюсь, потому что ситуация довольно странная. Взять хотя бы "Перечень работ..." приложение к 313 Постановлению:

                                      "21. Передача шифровальных (криптографических) средств." - я правильно понимаю, что вы передаете дистрибутив с криптобиблиотеками, для генерации ЭП на стороне клиента?

                                      25. Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей. - если криптография встроена в ваш Клиент-Банк, вы автоматически предоставляете услугу по шифрованию информации.

                                      Не говоря уже о том, что 313 Постановление говорит о необходимости лицензирования деятельности по разработке, производству, распространению шифр средств, а также выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств.

                                      Или обслуживание СКЗИ у вас на аутсорсинге?
                                      Да не странная ситуация, обычная. Нет, не передаём мы клиентам ни дистрибутивы, ни криптосредства, НИЧЕГО!
                                      Клиент сам скачивает ПО с сайта разработчика системы ДБО, сам устанавливает у себя, сам генерит ключ, распечатывает сертификат открытого ключа и привозит нам.
                                      Было по этому поводу разъяснение и ЦБ, и ФСБ (давно уже, не помню где) - мы ничего не нарушаем и лицензирования наша деятельность не требует!

                                      Комментарий


                                      • Коллеги, кто уже отправил самооценку по 382-П, подскажите пожалуйста.
                                        оценка отдельная по каждому НПС-у? или какое-то "среднее-арифметическое"?
                                        И ЦБ - это НПС? В реестре вроде как его нет....
                                        Я словно лист на ветру, посмотри как я лечу...

                                        Комментарий


                                        • Сообщение от serg_mur Посмотреть сообщение
                                          Да не странная ситуация, обычная. Нет, не передаём мы клиентам ни дистрибутивы, ни криптосредства, НИЧЕГО!
                                          Клиент сам скачивает ПО с сайта разработчика системы ДБО, сам устанавливает у себя, сам генерит ключ, распечатывает сертификат открытого ключа и привозит нам.
                                          Было по этому поводу разъяснение и ЦБ, и ФСБ (давно уже, не помню где) - мы ничего не нарушаем и лицензирования наша деятельность не требует!
                                          Хорошо, если так. Вот только что-то мне сомнительно. Обслуживание криптографических средств не для внутренних нужд(для оказания услуг) вы осуществляете. А это лицензируемая деятельность. =(.
                                          Я словно лист на ветру, посмотри как я лечу...

                                          Комментарий


                                          • Сообщение от Mc`Sim Посмотреть сообщение
                                            Коллеги, кто уже отправил самооценку по 382-П, подскажите пожалуйста.
                                            оценка отдельная по каждому НПС-у? или какое-то "среднее-арифметическое"?
                                            Оценка делается сразу по всем платёжным системам.

                                            Сообщение от Mc`Sim Посмотреть сообщение
                                            Обслуживание криптографических средств не для внутренних нужд(для оказания услуг) вы осуществляете.
                                            НЕ ОСУЩЕСТВЛЯЕМ! Какое обслуживание? Что вы подразумеваете под обслуживанием? Обновление системы? Это не обслуживание. Мы используем готовый продукт, который имеет все необходимые сертификаты. И этого достаточно для любых проверяющих организаций.

                                            Комментарий


                                            • Сообщение от serg_mur Посмотреть сообщение
                                              Обновление системы? Это не обслуживание. Мы используем готовый продукт, который имеет все необходимые сертификаты. И этого достаточно для любых проверяющих организаций.
                                              Еще раз повторюсь - хорошо, если так. У Вас есть свое мнение, у проверяющих (если/когда они будут) может быть свое. На мой юридически-не-профессиональный взгляд Вы не правы и серьезно рискуете. Но это только мое мнение. Мы, оценив все риски, пошли по пути получения лицензии. Это не так уж и сложно.

                                              Сообщение от serg_mur Посмотреть сообщение
                                              Оценка делается сразу по всем платёжным системам.
                                              Можно все-же уточнить, это среднее? Просто я не совсем понимаю - как одновременно оценить Визу и Золотую корону к примеру в вопросе про банкоматы? В Визе они есть, в ЗК получается вопрос не применим.
                                              ну и еще раз ЦБ - является ли он НПС?
                                              Я словно лист на ветру, посмотри как я лечу...

                                              Комментарий


                                              • Сообщение от serg_mur Посмотреть сообщение
                                                Да не странная ситуация, обычная. Нет, не передаём мы клиентам ни дистрибутивы, ни криптосредства, НИЧЕГО!
                                                Клиент сам скачивает ПО с сайта разработчика системы ДБО, сам устанавливает у себя, сам генерит ключ, распечатывает сертификат открытого ключа и привозит нам.
                                                Было по этому поводу разъяснение и ЦБ, и ФСБ (давно уже, не помню где) - мы ничего не нарушаем и лицензирования наша деятельность не требует!
                                                Если криптосредство встроено в ваше ДБО, а вы используйте ДБО не для внутренних нужд организации, получается что вы распространяете криптосредство вместе с ДБО. Если у вас договор с разработчиком ДБО, то у вас и должна быть договоренность на обслуживание криптосредств. У нас ФСБ при лицензировании такую договоренность спрашивало.

                                                Хорошо если вам удалось юридически грамотно обосновать для ЦБ и ФСБ отказ от лицензирования. Если вдруг найдется рыба такого обоснования, можно глянуть на него?
                                                Полезно для общего развития.

                                                Сообщение от Mc`Sim Посмотреть сообщение
                                                Можно все-же уточнить, это среднее? Просто я не совсем понимаю - как одновременно оценить Визу и Золотую корону к примеру в вопросе про банкоматы? В Визе они есть, в ЗК получается вопрос не применим.
                                                ну и еще раз ЦБ - является ли он НПС?
                                                Оценку делайте общую.
                                                Если ОПС попросит сделать оценку конкретно под него - сделайте, такое требование в 382-П есть.
                                                В отчетности, указываете только тех ОПС, которые есть в реестре http://cbr.ru/today/?Prtid=rops и с которыми вы работаете.

                                                Комментарий


                                                • Коллеги, и все-же.
                                                  0. Все отправили общую оценку? т.е. 1 цифру?
                                                  1. ЦБ в списке ОПС-ов нет. Его Вы учитывали в оценке?
                                                  2. Как поступали в вопросах, на которые в зависимости от ОПСа можно ответить "не применимо"?
                                                  Я словно лист на ветру, посмотри как я лечу...

                                                  Комментарий


                                                  • Сообщение от Mc`Sim Посмотреть сообщение
                                                    Коллеги, и все-же.
                                                    0. Все отправили общую оценку? т.е. 1 цифру?
                                                    1. ЦБ в списке ОПС-ов нет. Его Вы учитывали в оценке?
                                                    2. Как поступали в вопросах, на которые в зависимости от ОПСа можно ответить "не применимо"?
                                                    0.Что значит 1 цифру? У нас получилось 0,98 (три цифры).
                                                    1.ЦБ в списке нет, но учитывать надо. Ссылаетесь на нормативные документы (договоры ваши с ЦБ, Положения ЦБ, Указания ЦБ и пр.).
                                                    2.Ставим в графе н/о "1". В столбце "Факторы...." даём пояснение. Например: "Оператор платёжной системы определяет необходимость использования СКЗИ в соответствии с правилами платёжной системы."

                                                    Комментарий


                                                    • Сообщение от iBez Посмотреть сообщение
                                                      получается что вы распространяете криптосредство вместе с ДБО.
                                                      Устал уже повторять - мы ничего НЕ РАСПРОСТРАНЯЕМ и НЕ ПРЕДОСТАВЛЯЕМ! Ни в каком договоре с клиентом у нас не написано, что мы что-то предоставляем клиенту. Если у клиента возникают проблемы с работой ДБО, мы направляем его в техподдержку разработчика. Сами никому ничего не делаем!

                                                      Комментарий


                                                      • Здавствуйте, что то я запутался под конец рабочего дня и ничего понять уже не могу, подскажите!
                                                        Мы - Банк!
                                                        1)Одна из платежных систем, к которой мы подключены, например - western union. (WU)
                                                        По отношению к ней мы оператор по переводу денежных средств и (или) операционный центр и (или) платежный клиринговый центр и (или) расчетный центр.
                                                        Сопутствующий вопрос:
                                                        Должны ли мы выполнять требование:
                                                        Обеспечение регистрация следующей информации о действиях клиентов, выполняемых с использованием автоматизированной системы, программного обеспечения:
                                                        (Клиент не имеет прямого доступа к АС или ПО, но сотрудник банка является посредником и исполняет Заявление на отправление перевода, полученного от клиента!)
                                                        • дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;
                                                        • идентификатор клиента;
                                                        • код, соответствующий выполняемому действию;
                                                        • идентификатор устройства
                                                        2)Второй вопрос - у нас куплено ПО и Поддержка ПО от BSS. (Банк-клиент) У нас свой центр сертификации и т.п. Кто мы в этом случае - оператор платежной системы и (или) оператор по переводу денежных средств? должны ли мы здесь регистрировать вышеуказанную информацию о действиях клиентов?

                                                        Комментарий


                                                        • Сообщение от serg_mur Посмотреть сообщение
                                                          0.Что значит 1 цифру? У нас получилось 0,98 (три цифры).
                                                          ок, переформулируем - одно число. Я имел в виду, что Вы отправили одну-единственную оценку.

                                                          Сообщение от serg_mur Посмотреть сообщение
                                                          2.Ставим в графе н/о "1". В столбце "Факторы...." даём пояснение. Например: "Оператор платёжной системы определяет необходимость использования СКЗИ в соответствии с правилами платёжной системы."
                                                          опять-же переформулирую. К примеру в. 35(2.6.5), банкоматы. К ЦБ это не применимо, к Визе очень даже применимо. Вы что ответили?

                                                          Сообщение от serg_mur Посмотреть сообщение
                                                          Устал уже повторять - мы ничего НЕ РАСПРОСТРАНЯЕМ и НЕ ПРЕДОСТАВЛЯЕМ! Сами никому ничего не делаем!
                                                          Спокойствие, только спокойствие. Охотно верим, что Вы не распространяете. Но вот "не предоставляете" ли? Услугу доступа к системе ДБО предоставляете с использованием СКЗИ?
                                                          Неужели не используете для этого никакого УЦ (пусть даже какого-то очень интегрированного в ДБО)? Если не секрет - какую крипту используете?

                                                          Вы посмотрите на наши вопросы с другой стороны - как тренировку перед приходом ЦБ/ФСБ =). Все лучше быть готовым заранее чем "устранить в течении 10 дней".
                                                          Я словно лист на ветру, посмотри как я лечу...

                                                          Комментарий


                                                          • Сообщение от whirlwind Посмотреть сообщение
                                                            Второй вопрос - у нас куплено ПО и Поддержка ПО от BSS. (Банк-клиент) У нас свой центр сертификации и т.п. Кто мы в этом случае - оператор платежной системы и (или) оператор по переводу денежных средств? должны ли мы здесь регистрировать вышеуказанную информацию о действиях клиентов?
                                                            мы этот случай классифицировали как часть инфраструктуры НПС ЦБ. Но никак не отдельная НПС.
                                                            Я словно лист на ветру, посмотри как я лечу...

                                                            Комментарий


                                                            • Сообщение от Mc`Sim Посмотреть сообщение
                                                              К примеру в. 35(2.6.5), банкоматы. К ЦБ это не применимо, к Визе очень даже применимо.
                                                              При чём тут Виза или ЦБ? У вашего банка свои банкоматы есть? Если есть, то в "Факторах..." пишите: "В банке разработано Положение....., регламентирующее применение организационных и технически мер ЗИ, предназначенных для регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения. Видеонаблюдение организовано с помощью встроенных (наружных) камер. Изображение передаётся в режиме онлайн туда-то и туда-то. Запись с камер осуществляется в режиме 24/7."
                                                              Можете ещё что-нибудь добавить поподробнее.
                                                              Сообщение от Mc`Sim Посмотреть сообщение
                                                              Неужели не используете для этого никакого УЦ
                                                              Нет, не используем.
                                                              Сообщение от Mc`Sim Посмотреть сообщение
                                                              Если не секрет - какую крипту используете?
                                                              Не секрет - встроенную библиотеку КриптоКом.
                                                              Сообщение от Mc`Sim Посмотреть сообщение
                                                              с другой стороны - как тренировку перед приходом ЦБ/ФСБ =). Все лучше быть готовым заранее чем "устранить в течении 10 дней".
                                                              Тренировка - это получение лицензии? Ну уж нафиг такую тренировку. ЦБ кстати, не проверяет лицензии, у него нет таких полномочий. К приходу ФСБ мы готовы.

                                                              Комментарий

                                                              Обработка...
                                                              X