1 июня, понедельник 23:14
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • UserNick, спасибо. будем ждать))

    Комментарий


    • Такая ситуация, целесообразно ли разрабатывать некий Порядок обеспечения при переводе денежных средств для Платежного клирингов центра или Операционного центра(оператору услуг платежной инфраструктуры)?
      Ведь в терминах 161ФЗ перевод денежных средств - действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика; Поэтому я так понимаю операторы услуг платежной инфраструктуры не занимаются переводом денежных средств...

      А соответствиями с требованиями 382-П:
      п.107 Оператор платежной системы устанавливает распределение обязанностей по определению порядка обеспечения защиты информации при осуществлении переводов денежных средств путем:
      – самостоятельного определения оператором платежной системы порядка обеспечения защиты информации при осуществлении переводов денежных средств;
      – распределения обязанностей по определению порядка обеспечения защиты информации при осуществлении переводов денежных средств между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;
      – передачи функций по определению порядка обеспечения защиты информации при осуществлении переводов денежных средств оператором платежной системы, не являющимся кредитной организацией, расчетному центру.

      п.108 Оператор платежной системы, оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают определение порядка обеспечения защиты информации при осуществлении переводов денежных средств в рамках распределения обязанностей, установленных оператором платежной системы.

      Комментарий


      • Доброго всем дня!

        Прошел слух о хищениях через Вестерн Юнион в последние дни? Нет ли у кого подобной информации?

        Комментарий


        • 135nika, нет, у меня инфы нет. Можете подробно описать инцидент?

          Комментарий


          • Конкретики нет никакой, а новость - со вчерашнего вечера уже во всех СМИ
            http://www.kaspersky.ru/about/news/v...za-na-milliard

            Комментарий


            • Добрый день, коллеги. Подскажите пожалуйста, каким способом закрывали данный пункт 382-П.

              2.8.1 При использовании сети "Интернет" для осуществления переводов денежных средств оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения.

              Комментарий


              • Написали - своевременное обновление ПО

                Комментарий


                • Сюда же можно добавить тестирование на проникновение
                  В догонку кидаю шаблон "Положение о сканировании уязвимостей"

                  Комментарий


                  • Сообщение от Орлиный глаз Посмотреть сообщение
                    Добрый день, коллеги. Подскажите пожалуйста, каким способом закрывали данный пункт 382-П.

                    2.8.1 При использовании сети "Интернет" для осуществления переводов денежных средств оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения.
                    Оперативная установка обновлений ПО.

                    Комментарий


                    • Добрый день, коллеги.

                      Разъясните, кто может, смысл п.57.8

                      "Оператор по переводу денежных средств при распространении систем мобильного банкинга с использованием репозиториев обеспечивает выявление в репозитории систем мобильного банкинга, размещенных со ссылкой на оператора по переводу денежных средств без получения согласия оператора по переводу денежных средств, и оперативное уведомление клиентов и лиц, обладающих правами на управление репозиторием, о выявленных случаях размещения указанных систем в соответствии с подпунктом 2.12.3 пункта 2.12 настоящего Положения"

                      А подпункт 2.12.3 звучит так.
                      "2.12.3. Оператор по переводу денежных средств обеспечивает доведение до клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, и рекомендуемых мерах по их снижению, в том числе информации о:
                      рекомендуемых мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого клиентом осуществлялся перевод денежных средств;
                      рекомендуемых мерах по контролю конфигурации устройства, с использованием которого клиентом осуществляется перевод денежных средств, и своевременному обнаружению воздействия вредоносного кода;
                      появлении в сети "Интернет" ложных (фальсифицированных) ресурсов и программного обеспечения, имитирующих программный интерфейс используемых оператором по переводу денежных средств систем Интернет-банкинга, и (или) использующих зарегистрированные товарные знаки и наименование оператора по переводу денежных средств, и рекомендуемых мерах по обнаружению указанных ресурсов и программного обеспечения.".

                      Комментарий


                      • ser-storchak, не подскажешь наименование сканеров, которые удовлетворяют требованиям описанным в документе?)

                        Комментарий


                        • Сообщение от TanyaOBR Посмотреть сообщение
                          если не секрет то до какого уровня? и какой заявляли?
                          потому что даже у самых продвинутых банков где сделано практически все (некоторые крупняки в Москве,где уровень соответствия подтверждены внешними аудитами) максимально реальный - это 4ый уровень соответствия.

                          как рассказывал один из представителей эксперт по проведению внешнего аудита , если вообще заявить 5ый уровень, то ЦБ тотальную проверку отправит в банк тут же.
                          А что за уровни соответствия? Имеется ввиду итоговый бал по 382-П (0-1)?

                          Комментарий


                          • Сообщение от integro7 Посмотреть сообщение
                            А что за уровни соответствия?
                            да по итоговому уровню

                            Комментарий


                            • Сообщение от TanyaOBR Посмотреть сообщение
                              да по итоговому уровню
                              А ссылочку не дадите? или выдержку из текста. не могу найти

                              Комментарий


                              • Сообщение от integro7 Посмотреть сообщение
                                А ссылочку не дадите? или выдержку из текста. не могу найти
                                Если в отношении выполнения 382-П имела ввиду п.7 из "Порядок проведения оценки соответствия ее результатов" из положения 382-П

                                Комментарий


                                • Сообщение от TanyaOBR Посмотреть сообщение
                                  Если в отношении выполнения 382-П имела ввиду п.7 из "Порядок проведения оценки соответствия ее результатов" из положения 382-П
                                  А... так там просто об оценке говорится, исходя из значений показателя 0-1. Про уровни нет, есть только оценки отлично-неуд

                                  Комментарий


                                  • Всё просто: либо пятым уровнем назвали оценку 1.0, либо перепутали со стандартом. Скорее второе.

                                    Комментарий


                                    • Сообщение от Berckut Посмотреть сообщение
                                      Всё просто: либо пятым уровнем назвали оценку 1.0, либо перепутали со стандартом. Скорее второе.
                                      Раздел 11. из СТО БР ИББС-1.2-2014

                                      Комментарий


                                      • Сообщение от TanyaOBR Посмотреть сообщение
                                        Раздел 11. из СТО БР ИББС-1.2-2014
                                        ну СТО БР это не 382-П....

                                        Комментарий


                                        • Сообщение от Ярослав В. Посмотреть сообщение
                                          Оперативная установка обновлений ПО.
                                          то есть при самооценке по 382-П в своем свид-ве указали такой момент для подтверждения и все?
                                          (при этом у вас данная деят-ть осуществляется всегда но данный момент во внутреннем регламенте не упомянут)

                                          Комментарий


                                          • Сообщение от TanyaOBR Посмотреть сообщение
                                            то есть при самооценке по 382-П в своем свид-ве указали такой момент для подтверждения и все?
                                            (при этом у вас данная деят-ть осуществляется всегда но данный момент во внутреннем регламенте не упомянут)
                                            Отвечу на вопрос как его понял. Дословно: "Частная политика обеспечения информационной безопасности платежной системы. Оперативная установка обновлений ПО."

                                            Комментарий


                                            • Сообщение от khusainov rustam Посмотреть сообщение
                                              ser-storchak, не подскажешь наименование сканеров, которые удовлетворяют требованиям описанным в документе?)
                                              Я пользуюсь несколькими: OpenVAS (опенсорсный), Nexpose Community (по 32 ip по очереди), Nessus Home (по 16 ip по очереди). Из платных аналогов советуют MaxPatrol/Xspider.

                                              Комментарий


                                              • До какого числа нужно будет сдать отчетность по новой редакции 382-П?

                                                Комментарий


                                                • Сообщение от stopm Посмотреть сообщение
                                                  До какого числа нужно будет сдать отчетность по новой редакции 382-П?
                                                  по графику... т.е. 2 года от прошлой самооценки

                                                  Комментарий


                                                  • Коллеги, добрый день!

                                                    Провожу оценку по 382-П с учетом изменений, вступающих в силу 16.03.2015г. Подскажите, что имеется в виду в пункте 121 и аналогичных ему пунктах 122-128:
                                                    "Оператор платежной системы, оператор по переводу денежных средств, оператор услуг платежной инфраструктуры регламентируют пересмотр порядка обеспечения защиты информации при осуществлении переводов денежных средств в рамках обязанностей, установленных оператором платежной системы, в связи с изменениями требований к защите информации, определенных правилами платежной системы" - настораживает слово "РЕГЛАМЕНТИРУЮТ"

                                                    Также пункт 29.4 (ВСТУПАЕТ В СИЛУ 16.03.2015г.):
                                                    "Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами)" - ЗДЕСЬ НАДО ОТДЕЛЬНЫЙ ДОКУМЕНТ РАЗРАБАТЫВАТЬ?И ЧТО В НЕМ ПРИПИСЫВАТЬ?!

                                                    Аналогично и пункт 29.3 (ВСТУПАЕТ В СИЛУ 16.03.2015г.):
                                                    "Оператор по переводу денежных средств определяет во внутренних документах:
                                                    порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;
                                                    перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;
                                                    подлежащий регистрации идентификатор устройства;
                                                    порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом подпункта 2.6.3 пункта 2.6 Положения Банка России № 382-П"


                                                    Жду Ваших ответов. Заранее спасибо.

                                                    Комментарий


                                                    • ser-storchak, Нам показались интересными решения от Хпайдера и Несуса. Спасибо. очень полезный док.

                                                      Комментарий


                                                      • Скажите, пожалуйста. что в 382-п в п. 2.4.1. подразумевают под
                                                        "Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа"

                                                        Комментарий


                                                        • Здравствуйте, так как изменения 3361У начинают действовать с сегодняшнего числа(16.03.2015), то в течении какого времени необходимо провести оценку соответствия?

                                                          Комментарий


                                                          • Я понял, что нужен список сотрудников:
                                                            1) те кто осуществляет перевод денежных средств и администрирует его (вестер, корона и т.д.);
                                                            2) список администраторов.

                                                            Комментарий


                                                            • Сообщение от khusainov rustam Посмотреть сообщение
                                                              Я понял, что нужен список сотрудников:
                                                              1) те кто осуществляет перевод денежных средств и администрирует его (вестер, корона и т.д.);
                                                              2) список администраторов.
                                                              спасибо! а касательно ДБО (iBank2) к этому пункту может относиться?

                                                              Комментарий

                                                              Обработка...
                                                              X