9 апреля, четверг 22:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от serg_mur Посмотреть сообщение
    При чём тут Виза или ЦБ?
    Если я должен заполнить 1(один) опросник и вывести 1 (одну) оценку - то на один и тот-же вопрос я, в зависимости от оцениваемой НПС, могу дать как ответ "не применимо" так и "выполняется в полной мере". Я привел пример с банкоматами, как наиболее яркий. Что написать по конкретно этому вопросу я знаю, спасибо.

    Сообщение от serg_mur Посмотреть сообщение
    Нет, не используем.
    Т.е. ключи ЭП клиенты регистрируют у кого-то другого? Внешний, не принадлежащий Вам УЦ? Я почитал описание КриптоКома, интересное решение. Технологически УЦ там используется.

    Сообщение от serg_mur Посмотреть сообщение
    Тренировка - это получение лицензии? Ну уж нафиг такую тренировку. ЦБ кстати, не проверяет лицензии, у него нет таких полномочий
    Тренировку отвечать на каверзные вопросы.
    ЦБ не может проверить Вашу лицензию, все верно. Но вот попросить ее показать при проверке ИБ банк-клиента может легко. У нас просили. Ну а дальше понятно. "Нет лицензии? А почему?". У нас был ОЧЕНЬ въедливый проверяющий. Вплоть до того, что написал в замечаниях рекомендации по замене сертификата SSL на сервере ДБО на более защищенный. Хотя вот убейте меня - не вижу принципиальной разницы между обычным и EV сертификатом.
    Я словно лист на ветру, посмотри как я лечу...

    Комментарий


    • Mc`Sim,
      Доброго времени суток! Может быть вы имеете ввиду, что ЦБ это ОПС. Если я правильно понял, то в отчете, если через "клико", то ЦБ не указываем. Я указал только "контакт" и "мастер кард". При этом с "мастером" работаем не на прямую (процессинг другого банка).

      Комментарий


      • Как быть если требование из 382-П не актуально для организации? т.е. требование обязательно для выполнения, но именно в данной организации оно неприменимо. Допустим:

        "П. 2.6.3. Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами)"

        наш Банк не сотрудничает с банковскими платежными агентами (субагентами).

        Ставить 0-не выполняется и даже не рассчитывать на повышение колличественной оценки при помощи таких требований?

        Комментарий


        • Сообщение от Орлиный глаз Посмотреть сообщение
          Как быть если требование из 382-П не актуально для организации? т.е. требование обязательно для выполнения, но именно в данной организации оно неприменимо.
          Ставить 0-не выполняется и даже не рассчитывать на повышение колличественной оценки при помощи таких требований?
          Ставить н/о (нет оценки). При подсчёте не учитывать, т.е. среднее арифметическое считать без этого пункта. Основание: п. 1, п. 5 Приложения 1 к 382-П.

          Комментарий


          • Сообщение от Tor Посмотреть сообщение
            Ставить н/о (нет оценки). При подсчёте не учитывать, т.е. среднее арифметическое считать без этого пункта. Основание: п. 1, п. 5 Приложения 1 к 382-П.
            В п. 1 Приложения 1 к 382-П сказано что н/о ставится только в случае если выполнение требования не является обязанностью субъекта.

            П. 2.6.3. "Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами)" является обязательным для оператора по переводу денежных средств. Но опять повторюсь данный пункт для нашего БАнка не выполним. Получается что мы уже не можем полностью соответствовать данному Положению.

            Комментарий


            • Сообщение от Орлиный глаз Посмотреть сообщение
              В п. 1 Приложения 1 к 382-П сказано что н/о ставится только в случае если выполнение требования не является обязанностью субъекта.
              А как может появиться обязанность к тому, чего нет? У некоторых КО нет банкоматов и плат.терминалов, у них тогда получается еще больше "дутых" обязанностей.

              Комментарий


              • Сообщение от Auburn Посмотреть сообщение
                А как может появиться обязанность к тому, чего нет? У некоторых КО нет банкоматов и плат.терминалов, у них тогда получается еще больше "дутых" обязанностей.
                Полностью согласен. ТОлько есть подозрение что ЦБ при проверке будет думать по другому, т.к. в Положении четкой позиции по данной ситуации нет, точнее данная ситуация вообще не предусмотрена.

                Комментарий


                • Возьмите за пример оформление отчета по СТО БР ИББС и напишите причину (обоснование), по которой вы оставили некоторые показатели без ответа. Думаю, тогда ЦБ отреагирует адекватно.
                  Шаблон такой:
                  Список показателей, не оцениваемых рабочей группой при оценке выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств
                  _______________________________
                  № п/п | Показатель | Обоснование |
                  _______________________________

                  Комментарий


                  • Сообщение от ser-storchak Посмотреть сообщение
                    Возьмите за пример оформление отчета по СТО БР ИББС и напишите причину (обоснование), по которой вы оставили некоторые показатели без ответа. Думаю, тогда ЦБ отреагирует адекватно.
                    Шаблон такой:
                    Список показателей, не оцениваемых рабочей группой при оценке выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств
                    _______________________________
                    № п/п | Показатель | Обоснование |
                    _______________________________

                    Спасибо за совет. Тоже уже думаю склоняться к этому варианту.

                    Комментарий


                    • Кто как закрывал абз.3 п.2.10.4 (он же п.76 оценки) в плане регламентации процедуры?
                      2.10.4. При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
                      - контроль (мониторинг) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
                      76. При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль (мониторинг) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры.

                      Комментарий


                      • Коллеги, добрый день! СИБ у нас функционирует всего лишь месяц, опыта в этой сфере никакого. Если Вас не затруднит, посоветуйте с чего начать работу по соответствию 382-П. С каких положений? По каждому пункту приложения 2 нужно иметь положение?

                        Комментарий


                        • achilles_85, нет не каждому. Где-то требование проверки 3 (только выполнение).
                          Для начала вам нужно провести прикинуть что у вас выполняется, что-уже прописано в документах, куда можно добавить. Я вот не создавал ни одного документа, всё добавлял в существующие.

                          Комментарий


                          • Да у нас практически нет ничего толкового. А для требований 1 и 2 нужны получается?

                            Комментарий


                            • Требование категории 1 - документированность и исполнение, требование категории 2 - только документированность.

                              Комментарий


                              • ЦБ проект изменений в 382-П опубликовал:
                                http://cbr.ru/analytics/?PrtId=project

                                Комментарий


                                • в проекте написано:
                                  2.8.4. Оператор по переводу денежных средств при передаче клиенту, являющемуся юридическим лицом, программного обеспечения, предназначенного для осуществления переводов денежных средств с использованием системы Интернет-банкинга, доводит до клиента программное средство контроля целостности указанного программного обеспечения и инструкцию по эксплуатации (эксплуатационную документацию) такого программного средства либо указывает общедоступный ресурс, с использованием которого клиент имеет возможность получить указанную инструкцию (эксплуатационную документацию).
                                  Товарищ Лукацкий пишет на эту тему:
                                  При передаче ОПДС юрлицам банковского ПО обязательно сопровождать его ПО для контроля целостности. А это у нас уже распространение СКЗИ (а как по другому в России контролировать целостность ПО). А распространение СКЗИ требует лицензии ФСБ. Получается, что ЦБ все банки обязывает получать лицензию ФСБ?..
                                  Где-то в документах есть требования о том, что:
                                  а) необходимо использовать только ГОСТовую хэш-функцию?
                                  б) хэш-функция это чётко СКЗИ, со всеми вытекающими?

                                  То есть, действительно ли уважаемый Лукацкий прав, и при реализации контроля целостности путём подсчета контрольных сумм мы попадаем на лицензию ФСБ?
                                  Речь идёт о небанковской кредитной организации.

                                  Комментарий


                                  • Сообщение от InfectedCircle Посмотреть сообщение
                                    Где-то в документах есть требования о том, что:
                                    а) необходимо использовать только ГОСТовую хэш-функцию?
                                    б) хэш-функция это чётко СКЗИ, со всеми вытекающими?
                                    Нет таких требований.
                                    Можно md5 использовать.

                                    И не так просто найти халявную софтину, которая будет проверять целостность с использованием ГОСТовой хэш-функции, а если ещё и по новому ГОСТу 12-го года...

                                    Комментарий


                                    • Спасибо за ответ!
                                      С софтиной то проблем нет. Стандарт то открытый. Есть даже реализация ГОСТ 12-го на GitHub

                                      Комментарий


                                      • Кстати, меня напрягает новый пункт 2.19
                                        Вот скажите, кто как его понимает?

                                        2.19. Оператор по переводу денежных средств осуществляет переводы денежных средств с применением платежных карт:
                                        - оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 января 2015 года;
                                        - оснащенных магнитной полосой и (или) микропроцессором, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается до 1 января 2015 года.
                                        Вопросы на засыпку:
                                        - этот пункт только для эмитента или также и для эквайера?
                                        - как узнать начало срока действия карты?
                                        - как узнать, на какой территории эмитирована карта?
                                        - если транзакция идёт через интернет-POS (да любая транзакция типа card not present) как узнать, с микропроцессором карта или без?
                                        - как поступать с виртуальными картами?

                                        Комментарий


                                        • Сообщение от ost Посмотреть сообщение
                                          Кстати, меня напрягает новый пункт 2.19
                                          Вот скажите, кто как его понимает?
                                          Я так понимаю, что это касается карт, эмитированных вашей организацией. Уж вы то знаете, какие и когда карты выпускали?

                                          Комментарий


                                          • Сообщение от serg_mur Посмотреть сообщение
                                            Я так понимаю, что это касается карт, эмитированных вашей организацией.
                                            И тогда получается так: эмитировал одну карту с чипом и провел по ней одну операцию = выполнил 2.19
                                            Бред какой-то.


                                            Я вижу единственное логичное трактование -- обязанность с 01.01.2015 принимать в своих устройствах чиповые карты.

                                            Комментарий


                                            • Сообщение от InfectedCircle Посмотреть сообщение
                                              Есть даже реализация ГОСТ 12-го на GitHub
                                              Ссылочку можно?

                                              Комментарий


                                              • Сообщение от ost Посмотреть сообщение
                                                Ссылочку можно?
                                                github.com/okazymyrov/stribog

                                                Комментарий


                                                • Господа, подкиньте мыслей. П.27. (2.6.3) При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов.
                                                  Если речь идёт о собственных "доверенных" сотрудниках - технарях, которые имеют доступ к банкомату (замена журнальной ленты, изъятие захваченных карт и т.п.), то как лучше реализовать данное требование (особенно процедуру идентификации) для их работы. Если говорить о доступе в программную часть банкомата, то там есть сервисные пароли - можно ли сказать, что введение сервисного пароля есть процесс идентификации? Если говорить, о банкомате в целом, то у технарей есть ключи для его открытия (но они не единственные его владельцы, экземпляры ключей есть также у кассиров и инкассаторов) - опять же наличие ключа у работника - есть выполнение требования о идентификации при доступе к к защищаемой информации, находящейся на объектах информационной инфраструктуры?

                                                  Комментарий


                                                  • Сообщение от edemus Посмотреть сообщение
                                                    Господа, подкиньте мыслей. П.27. (2.6.3) При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов.
                                                    Если речь идёт о собственных "доверенных" сотрудниках - технарях, которые имеют доступ к банкомату (замена журнальной ленты, изъятие захваченных карт и т.п.), то как лучше реализовать данное требование (особенно процедуру идентификации) для их работы. Если говорить о доступе в программную часть банкомата, то там есть сервисные пароли - можно ли сказать, что введение сервисного пароля есть процесс идентификации? Если говорить, о банкомате в целом, то у технарей есть ключи для его открытия (но они не единственные его владельцы, экземпляры ключей есть также у кассиров и инкассаторов) - опять же наличие ключа у работника - есть выполнение требования о идентификации при доступе к к защищаемой информации, находящейся на объектах информационной инфраструктуры?
                                                    Думаю, не нужно относить инкассацию и замену расходных материалов (кассовой ленты) к техническому обслуживанию. Нужно прописать это во внутренних нормативных документах. Идентификацию и контроль деятельности лиц осуществлять программным способом для операций с компом (можно штатным журналом аудита), ведением бумажных журналов для фиксации фактов остальных воздействий: первого для доступа технарей, второго для доступа инкассаторов, третьего для доступа кассиров.

                                                    Комментарий


                                                    • Приветствую! Поделитесь своим толкованием пункта 2.8.8: "Банк обеспечивает приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение:
                                                      • получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;
                                                      • отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
                                                      К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом.".

                                                      Комментарий


                                                      • serhius, думаю, тут речь про то, что после сообщения клиента о смене номера телефона, на старый номер не нужно ничего отправлять и с этого номера ничего принимать. Возможно были случаи, когда из-за каких-то нестыковок между подразделениями, информацию продолжали отправлять на недействительные номера. Я сейчас думаю, в какой бы регламент запихнуть процедуру смены всех контактов, в т.ч. для клиент-банков и карт.
                                                        Не исключаю, что ЦБ имел ввиду и другое - что банк каким-то неведомым способом (интуиция, телепатия и т.п.) может узнать, что у клиента, например, украли телефон или он сменил номер и на основании таких знаний банк должен прекратить общение по этому телефону. Но реально кроме как от клиента, банк вряд ли от кого такую информацию не получит - тайна связи и т.п.

                                                        Комментарий


                                                        • Tor, спасибо за мнение!

                                                          Комментарий


                                                          • Распечатал, поместил в рамочку и повесил на самое видно место.
                                                            Специально для проверяющих из Банка России.
                                                            Вложения

                                                            Комментарий


                                                            • serhius, некоторые банки взаимодействуют с операторами связи. что конкретно они передают друг другу - великая тайна (может хэш ICCID, а может что другое), но факт такого взаимодействия точно есть - http://habrahabr.ru/post/97925/

                                                              Комментарий

                                                              Обработка...
                                                              X