24 января, пятница 16:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от khusainov rustam Посмотреть сообщение
    Их нельзя объединять, на мой взгляд
    Разница только в ЭСП. И физики, и юрики используют Интернет-банкинг. Способы защиты Интернет-банкинга у Вас одинаково применимы. В чём, по-Вашему разница?
    И да, 161-ФЗ не делает различий между физиками и юриками. По тексту просто КЛИЕНТЫ.

    Комментарий


    • Сообщение от k909 Посмотреть сообщение
      Решили пойти другим путем.
      Кто идет в глухой отказняк, заключаем допик, в котором описываем риски, которым подвергается Клиент отказавшись от СМС информирования.
      Что бы в суде потом не говорили, что нас (банк) не предупредил о рисках и т.д.
      Встречалось в практике, когда пытались валить на банк, о том что банк не предупредил о рисках.

      Можно использовать OTP и другие устройства, но они стоят дороже, чем отправка СМС.
      ИМХО
      c 16.03.2015 В соответствии с 2.8.2 ОТР токены нельзя применять.
      Ps во всяком случаи те что от Bifit

      Комментарий


      • Сообщение от serg_mur Посмотреть сообщение
        Разница только в ЭСП. И физики, и юрики используют Интернет-банкинг. Способы защиты Интернет-банкинга у Вас одинаково применимы. В чём, по-Вашему разница?
        И да, 161-ФЗ не делает различий между физиками и юриками. По тексту просто КЛИЕНТЫ.
        Согласен, что способ защиты систем для банка может одинаков, но технологии безопасности реализованные для клиентов они разные.
        То есть получается, что если мы используем БСС для клиентов юр. лиц, при этом у нас не былв реализована технология подтверждения платежа через разовый код, то с 01.01.2015 года мы нарушаем требования этого пункта?
        Да меня начальство разнесет, скажет нам проще штраф заплатить или план написать в ЦБ(при проверке), чем тратить миллионы рублей на твою безопасность.
        + в этом пункте 2.8.2. есть такой подпункт : "В случае принятия соответствующего решения ..............." А если мы решили не менять технологию и не внедрять одноразовые коды, то что?

        Комментарий


        • Это

          Сообщение от Dmitriy22 Посмотреть сообщение
          c 16.03.2015 В соответствии с 2.8.2 ОТР токены нельзя применять.
          Ps во всяком случаи те что от Bifit
          Dmitriy22, прочитал ещё и ещё ... 2.8.2 и я согласен с Вами - нельзя будет применять ОТП-токены
          (в т.ч. от BIFIT). Это очень плохая "новость" (например для меня) ! Может мы (Вы и я) ошибаемся ?
          Изложите, пожалуйста, своё "нельзя будет" поподробнее.
          Непонятно также, почему молчат коллеги-банкиры, "потребители ОТП-токенов (в т.ч. от BIFIT)" ???
          Очень хочется услышать мнения о том, что мы (Dmitriy22 и я) неправы...

          Комментарий


          • Сообщение от Dmitriy22 Посмотреть сообщение
            c 16.03.2015 В соответствии с 2.8.2 ОТР токены нельзя применять.
            Ps во всяком случаи те что от Bifit
            п. 2.8.2. - из какого документа?

            Комментарий


            • Сообщение от TanyaOBR Посмотреть сообщение
              п. 2.8.2. - из какого документа?
              указания Банка России 3361-У. от 14/08/2014.
              Однако я не считаю указанный пункт прямо таки запретом на использование OTP.
              Что от нас хотят?
              "Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы Интернет-банкинга, а также при подтверждении клиентом права доступа к системе Интернет-банкинга."
              Для начала ОТР банально из своего названия не является ни многоразовым, ни кодом. ОТР - One Time Password, одноразовые пароли.
              Если же говорить об этом пункте, как о требовании наличия кода подтверждения - то "примите и зафиксируйте во внутренних документах" решение о отсутствии необходимости кода.
              Я словно лист на ветру, посмотри как я лечу...

              Комментарий


              • Сообщение от Dmitriy22 Посмотреть сообщение
                нельзя применять.
                даже если Вы не выполните какой-то пункт 382-П/3361-У - это всего лишь уменьшит Вашу оценку. Нет требования сразу иметь оценку 1. Да и малореально это.
                Я словно лист на ветру, посмотри как я лечу...

                Комментарий


                • Сообщение от idelta Посмотреть сообщение
                  Dmitriy22, прочитал ещё и ещё ... 2.8.2 и я согласен с Вами - нельзя будет применять ОТП-токены
                  Не могу согласиться.Считаете, что одноразовый код, который генерируется ОТП-токеном не соответствует вот этому требованию: "однозначно соответствует сеансу использования системы Интернет-банкинга или распоряжению (распоряжениям, договору), подтверждаемому (подтверждаемым) клиентом с использованием системы Интернет-банкинга"?
                  Давайте читать чуть раньше:
                  В случае принятия соответствующего решения оператор по переводу денежных средств формирует и доводит до клиента информацию, необходимую для генерации одноразового кода подтверждения, или одноразовый код подтверждения, который:
                  ... однозначно соответствует сеансу использования системы Интернет-банкинга или распоряжению (распоряжениям, договору), подтверждаемому (подтверждаемым) клиентом с использованием системы Интернет-банкинга.

                  Ну и где тут запрет на использование ОТП-токена? Полагаю, юристы могли бы прочитать следующим образом:
                  оператор по переводу денежных средств формирует и доводит до клиента информацию, необходимую для генерации одноразового кода подтверждения
                  или
                  оператор по переводу денежных средств формирует и доводит до клиента одноразовый код подтверждения, который ...однозначно соответствует сеансу использования системы Интернет-банкинга или распоряжению (распоряжениям, договору), подтверждаемому (подтверждаемым) клиентом с использованием системы Интернет-банкинга.
                  В случае применения ОТП-токена, банк не доводит до клиента код подтверждения, он доводит до него информацию, как клиент может этот код сгенерировать. Ну и токен продаёт, но это к делу не относится.
                  В крайнем случае назовите этот одноразовый код подтверждения ОТП-токена как-нибудь по-другому, формально будет вообще не придраться.

                  Комментарий


                  • Сообщение от khusainov rustam Посмотреть сообщение
                    То есть получается, что если мы используем БСС для клиентов юр. лиц, при этом у нас не былв реализована технология подтверждения платежа через разовый код, то с 01.01.2015 года мы нарушаем требования этого пункта?
                    Именно.

                    Сообщение от khusainov rustam Посмотреть сообщение
                    нам проще штраф заплатить или план написать в ЦБ(при проверке), чем тратить миллионы рублей на твою безопасность
                    Тут каждый волен решать сам, что ему дешевле - принять риск с соответствующим снижением оценки требований 382-П (если не дай бог инцидент - однозначно вы будете виноваты) + штрафы за невыполнение, или же затратиться на мероприятия по ИБ.

                    Комментарий


                    • Сообщение от serg_mur Посмотреть сообщение
                      Именно
                      Да ёлки-иголки, ГДЕ вы прочитали, что банк ОБЯЗАН использовать разовый код?
                      Я словно лист на ветру, посмотри как я лечу...

                      Комментарий


                      • Сообщение от Mc`Sim Посмотреть сообщение
                        Да ёлки-иголки, ГДЕ вы прочитали, что банк ОБЯЗАН использовать разовый код?
                        Имелся в виду альтернативный канал оповещения. Разговор плавно перетёк на разовый код.

                        Комментарий


                        • Сообщение от idelta Посмотреть сообщение
                          Dmitriy22, прочитал ещё и ещё ... 2.8.2 и я согласен с Вами - нельзя будет применять ОТП-токены
                          (в т.ч. от BIFIT). Это очень плохая "новость" (например для меня) ! Может мы (Вы и я) ошибаемся ?
                          Изложите, пожалуйста, своё "нельзя будет" поподробнее.
                          Непонятно также, почему молчат коллеги-банкиры, "потребители ОТП-токенов (в т.ч. от BIFIT)" ???
                          Очень хочется услышать мнения о том, что мы (Dmitriy22 и я) неправы...
                          В случае принятия соответствующего решения оператор по переводу денежных средств формирует и доводит до клиента информацию, необходимую для генерации одноразового кода подтверждения, или одноразовый код подтверждения, который: (далее идут свойства которыми должен обладать пароль)

                          - однозначно соответствует сеансу использования системы Интернет-банкинга или распоряжению (распоряжениям, договору), подтверждаемому (подтверждаемым) клиентом с использованием системы Интернет-банкинга;
                          Таким образом у пароля полученного с использованием ОТР-токена отсутствует это свойство. Пароль полученный сейчас можно использовать и потом. однозначности тут нет.
                          НО, среди наших клиентов они так же распространены, мы уже давно отказались от них в качестве подтверждения П\П. как раз из-за этого свойства. У нас подтверждают П\П только смс. а входят используя СМС или ОТР. Не закупаем мы их уже год, и из-за их недолговечности они уходят в лету.

                          Сообщение от Mc`Sim Посмотреть сообщение
                          даже если Вы не выполните какой-то пункт 382-П/3361-У - это всего лишь уменьшит Вашу оценку. Нет требования сразу иметь оценку 1. Да и малореально это.
                          Это будет нарушение требований, и в каком либо разбирательстве может выйти боком.

                          Сообщение от serg_mur Посмотреть сообщение
                          Именно.


                          Тут каждый волен решать сам, что ему дешевле - принять риск с соответствующим снижением оценки требований 382-П (если не дай бог инцидент - однозначно вы будете виноваты) + штрафы за невыполнение, или же затратиться на мероприятия по ИБ.
                          Да. тут вы правы. Но есть мнение такое:
                          Если использовать ОТР токены для входа. То инцидент может возникнуть только в случаи того, что кто-то получил доступ в систему, и то ограниченного характера, без возможности отправлять П\П. Самое страшное что может произойти это - уплывут выписки клиента. Риск того что злоумышленник будет интересоваться выписками гораздо меньше, а от сюда и возникает идея оставить ОТР доживать свое понадеявшись на русский Авось.

                          Комментарий


                          • Сообщение от Tor Посмотреть сообщение
                            Не могу согласиться. ... "однозначно соответствует сеансу ... или распоряжению (распоряжениям, договору), подтверждаемому (подтверждаемым) клиентом с использованием системы Интернет-банкинга"?...
                            Да, именно этот абзац (как мне показалось) касается XXX-токенов.
                            Dmitriy22 как видим думает также.
                            Пока ждал ответа Dmitriy22, решил ещё раз почитать про OTP-токены (я это делал уже - несколько лет назад, когда их впервые начали предлагать...).
                            Кроме того, проверили фактический "срок жизни" выработанного кода !
                            Но Dmitriy22 так сурово прошёлся по токенам, что переубедить его будет непросто...
                            "Механику" работы ОТП-токенов я понимаю так :
                            исправное устройство с серийным номером S в момент (T (+/-) 45минут) способно(должно)
                            выработать только эти коды (K1..Kn).
                            Почитайте про принципы работы OTP-токенов... может я ошибаюсь.
                            Dmitriy22 ошибается : ...Пароль полученный сейчас можно использовать и потом...
                            Можно, но недолго = в течении "срока жизни" кода !
                            Через 45 минут код не проходит.
                            Почему так "долго" ? Могли бы и 5 и 15...
                            Можно только предполагать : например сложно изготовить сверхточный таймер, который
                            в заявленные 5-7 лет не убежит (+/-) от реального времени.
                            Но я считаю, что ОТП-токены можно использовать и далее, потому что получается так:
                            код, выработанный ОТП-токеном однозначно соответствует сеансу
                            (в крайнем случае "почти однозначно").
                            Может кто-нибудь перепроверит вышесказанное... и напишет нам...
                            Есть предположение, что их сегодня в работе многие тысячи.

                            Разное :
                            1. Если у вас(у нас) в системе нет подтверждения каким-либо одноразовым кодом (ОТП-токен, MAC-токен, СМС-ка),
                            то у вас тоже будут "несчастные случаи"... это вопрос времени.
                            2. Если вы примете внутреннее решение об отсутствии необходимости в дополнительном подтверждении и предположим
                            это нормально и законно и "прокатит" при проверке, то всё равно см.п.1.
                            3. Если кто-то "подсчитал" и пришёл к выводу, что СМС-подтверждение экономичнее ОТП(МАС), он неправ (просто ошибается в расчётах).
                            (где-то в этой ветке утверждалось такое - предлагаю перепроверить расчёт ...)
                            4. Точно помню, что прочитал на форуме такое (смысл был таким) :
                            ...после внедрения дополнительного подтверждения (СМС или ОТП, это неважно), случаев угона не было...
                            Я полностью с этим согласен, но не думаю, что это "навсегда".
                            Это тоже вопрос времени...
                            Что вскроют в 1-ю очередь (токены или моб.устройства) ?
                            Мне кажется сначала это будут моб.устройства.

                            Комментарий


                            • Сообщение от Dmitriy22 Посмотреть сообщение
                              У нас подтверждают П\П только смс. а входят используя СМС или ОТР. Не закупаем мы их уже год, и из-за их недолговечности они уходят в лету.
                              как поняла из лекций по ИБ на прошлой неделе, альтернативный канал с помощью смс тоже не может считаться доверенным каналом.

                              Комментарий


                              • Сообщение от idelta Посмотреть сообщение
                                Dmitriy22 ошибается : ...Пароль полученный сейчас можно использовать и потом...
                                Можно, но недолго = в течении "срока жизни" кода !
                                код, выработанный ОТП-токеном однозначно соответствует сеансу
                                (в крайнем случае "почти однозначно").
                                Может кто-нибудь перепроверит вышесказанное... и напишет нам...
                                Я понимаю однозначность так:
                                Одноразовый пароль полученный любым способом должен соответствовать тому и только тому, для чего этот пароль пользователь получил. В СМС есть реквизиты платежа и ID сессии. именно это ID И дает однозначность. а у ОТП этого свойства нет. ][акер Вася перехватив одноразовый пароль бухгалтера Валентины, которым та подтверждала вход или оплату налогов. Легко и непринужденно сделает свое П\П в адрес своей конторы и подтвердит паролем Валентины, у него на это есть 45 минут). Главное сделать так что бы ее пароль не достиг системы.

                                PS переубеждать меня не нужно.
                                psps
                                Есть еще зловреды такого типа которые подменяют реквизиты, пользователь на экране видит реквизиты "правильные" - которые вводил, и в выписки видит "правильные". правда потом приходит СМС о списании с использованием электронного средства платежа т в адрес какой-нибудь ООО "Весна" Но что характерно даже та же сумма но только пользователь хотел заплатить совсем не "Весне". ОТП на самом деле не очень но для входа годны.

                                Комментарий


                                • Сообщение от TanyaOBR Посмотреть сообщение
                                  как поняла из лекций по ИБ на прошлой неделе, альтернативный канал с помощью смс тоже не может считаться доверенным каналом.
                                  Согласен с Вашими лекторами. Достаточно сравнить пути ОТП-кода и СМС-ки от рождения и до состояния "уже никому не нужен" и станет ясно, что ОТП-токен
                                  гораздо "довереннее", чем СМС-ка.

                                  Комментарий


                                  • Сообщение от Dmitriy22 Посмотреть сообщение
                                    Я понимаю однозначность так:
                                    Одноразовый пароль полученный любым способом должен соответствовать тому и только тому, для чего этот пароль пользователь получил. В СМС есть реквизиты платежа и ID сессии. именно это ID И дает однозначность. а у ОТП этого свойства нет. ][акер Вася перехватив одноразовый пароль бухгалтера Валентины, которым та подтверждала вход или оплату налогов. Легко и непринужденно сделает свое П\П в адрес своей конторы и подтвердит паролем Валентины, у него на это есть 45 минут). Главное сделать так что бы ее пароль не достиг системы.

                                    PS переубеждать меня не нужно.
                                    psps
                                    Есть еще зловреды такого типа которые подменяют реквизиты, пользователь на экране видит реквизиты "правильные" - которые вводил, и в выписки видит "правильные". правда потом приходит СМС о списании с использованием электронного средства платежа т в адрес какой-нибудь ООО "Весна" Но что характерно даже та же сумма но только пользователь хотел заплатить совсем не "Весне". ОТП на самом деле не очень но для входа годны.
                                    Позиции сильно разошлись. Теперь почитаем мнения других коллег.

                                    Комментарий


                                    • Сообщение от idelta Посмотреть сообщение
                                      Согласен с Вашими лекторами. Достаточно сравнить пути ОТП-кода и СМС-ки от рождения и до состояния "уже никому не нужен" и станет ясно, что ОТП-токен
                                      гораздо "довереннее", чем СМС-ка.
                                      Ни ОТП-токен, ни СМС - не панацея. Способы обхода известны и вполне легко реализуемы.
                                      Проблема ОТП-токена - он не привязан к реквизитам платежа. При компрометации компьютера с клиент-банком, одноразовый код так же легко, как логин и пароль пользователя, перехватывается и им подтверждается любой нужный хакеру Васе платёж.
                                      Проблема СМС - можно скомпрометировать мобильное устройство, на которое приходит код. Реализация проста, при входе в фейковый клиент-банк пользователю предлагают ввести номер телефона и многие это делают. Дальше вредоносное ПО на мобильный, перехват СМС и снова подтверждение любого нужного хакеру Васе платежа.
                                      Лично для себя предпочитаю СМС, но у меня для этого второй телефон, номер которого мало кому известен и на который не устанавливается почти никакое ПО.
                                      А для юриков считаю, что оба способа - не вариант, мы работаем без одноразовых кодов. Для защиты либо два токена, либо safe touch. Тоже не 100% защита, но пока хватает.

                                      Комментарий


                                      • Сообщение от Tor Посмотреть сообщение
                                        А для юриков считаю, что оба способа - не вариант, мы работаем без одноразовых кодов. Для защиты либо два токена, либо safe touch. Тоже не 100% защита, но пока хватает.
                                        два токена - требование подписать платежку с ЭЦП рук-ля (на 1ом токене) и с ЭЦП глав.буха (на 2ом токене) - такая схема?

                                        Комментарий


                                        • Сообщение от TanyaOBR Посмотреть сообщение
                                          два токена - требование подписать платежку с ЭЦП рук-ля (на 1ом токене) и с ЭЦП глав.буха (на 2ом токене) - такая схема?
                                          Да - для организаций, в которых вообще глав.бух есть.

                                          Комментарий


                                          • Сообщение от Tor Посмотреть сообщение
                                            Да - для организаций, в которых вообще глав.бух есть.
                                            А если нет? Спорная схема.

                                            Комментарий


                                            • Сообщение от Ярослав В. Посмотреть сообщение
                                              А если нет? Спорная схема.
                                              А если нет глав.буха (второй подписи) - используем Safe touch. Хотя если платежей много, то думаю, что эффективность существенно снижается.
                                              Плюс антифрод на нашей стороне.

                                              Комментарий


                                              • Сообщение от Tor Посмотреть сообщение
                                                А если нет глав.буха (второй подписи) - используем Safe touch. Хотя если платежей много, то думаю, что эффективность существенно снижается.
                                                Плюс антифрод на нашей стороне.
                                                хоть и сами принимаете позицию что огранизовавается не 100% защита, все равно защитные меры основательные у вас, как мне кажется. с большой долей вероятностей, что инцидентов в этом плане точно избегаете.

                                                Комментарий


                                                • Возможно уже тут не раз инетересовались.
                                                  Сейчас ЦБ уже проводит проверки по выполению требований 382-П и как часто и много ли уже банков охватило такой проверкой?

                                                  Комментарий


                                                  • Сообщение от TanyaOBR Посмотреть сообщение
                                                    Возможно уже тут не раз инетересовались.
                                                    Сейчас ЦБ уже проводит проверки по выполению требований 382-П и как часто и много ли уже банков охватило такой проверкой?
                                                    В рамках комплексной проверки включают проверку ИБ, и там конечно же есть проверка оценки соответствия по 382-П и стандарту (в случае если оценка по стандарту проводилась в ближайший год).

                                                    Комментарий


                                                    • Сообщение от TanyaOBR Посмотреть сообщение
                                                      Возможно уже тут не раз инетересовались.
                                                      Сейчас ЦБ уже проводит проверки по выполению требований 382-П и как часто и много ли уже банков охватило такой проверкой?
                                                      У нас проводилась в рамках комплексной ежегодной проверки.
                                                      Нашу самооценку сильно срезали.

                                                      Комментарий


                                                      • Сообщение от Berckut Посмотреть сообщение
                                                        У нас проводилась в рамках комплексной ежегодной проверки.
                                                        Нашу самооценку сильно срезали.
                                                        если не секрет то до какого уровня? и какой заявляли?
                                                        потому что даже у самых продвинутых банков где сделано практически все (некоторые крупняки в Москве,где уровень соответствия подтверждены внешними аудитами) максимально реальный - это 4ый уровень соответствия.

                                                        как рассказывал один из представителей эксперт по проведению внешнего аудита , если вообще заявить 5ый уровень, то ЦБ тотальную проверку отправит в банк тут же.

                                                        Комментарий


                                                        • Сообщение от TanyaOBR Посмотреть сообщение
                                                          если не секрет то до какого уровня? и какой заявляли?
                                                          потому что даже у самых продвинутых банков где сделано практически все (некоторые крупняки в Москве,где уровень соответствия подтверждены внешними аудитами) максимально реальный - это 4ый уровень соответствия.

                                                          как рассказывал один из представителей эксперт по проведению внешнего аудита , если вообще заявить 5ый уровень, то ЦБ тотальную проверку отправит в банк тут же.
                                                          С удовлетворительной (близко к хорошей) до сомнительной.

                                                          Комментарий


                                                          • Сообщение от TanyaOBR Посмотреть сообщение
                                                            Возможно уже тут не раз инетересовались.
                                                            Сейчас ЦБ уже проводит проверки по выполению требований 382-П и как часто и много ли уже банков охватило такой проверкой?
                                                            У нас пока ее не было, хотя комплексная была этим летом.
                                                            Коллеги, когда теперь ждать подобную проверку, если комплексная прошла без ИБ?

                                                            Комментарий


                                                            • Сообщение от khusainov rustam Посмотреть сообщение
                                                              У нас пока ее не было, хотя комплексная была этим летом.
                                                              Коллеги, когда теперь ждать подобную проверку, если комплексная прошла без ИБ?
                                                              Регулярность комплексных проверок не реже чем 1 раз в 2 года.
                                                              Регулярность тематических проверок не регламентирована.
                                                              Если я ошибаюсь, просьба поправить.
                                                              Учитывая тенденцию к сокращению количества банков можно спрогнозировать, что при том же количестве проверяющих проверять будут чаще)
                                                              Хотя в целом, ответ на Ваш вопрос с учетом кризиса прогнозируется плохо.

                                                              Комментарий

                                                              Обработка...
                                                              X