2 апреля, четверг 02:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • regina90
    Участник создал тему 382-П

    382-П

    Какие пункты положения не относятся к оператору по переводу денежных средств?

  • RZA_B
    Участник ответил
    Александр Четвертый
    Спасибо!
    А где можно ,более подробно, узнать информацию, что БПА вправе самостоятельно проводить оценку соответствия?
    Информацию так и не смог найти.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Мне помнится только ОПДС и еще каким-то 1-2 ролям надо внешний. БПА может сам.

    Прокомментировать:


  • RZA_B
    Участник ответил
    giroskop
    Надо ли в БПА проводить внешний аудит на соответствие требованиям 382-П ?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Протокол правления: Назначить куратором СИБ - ПП, куратором ДИТ зам. ПП.
    На Правление зачем такой вопрос выносить (я конечно, помню вашу любовь это делать, но нужно знать меру, должно быть же у вас Положение о Правлении, полномочия там оговорёны)?
    Сообщение от MEB Посмотреть сообщение
    У нас УИТ подчинено заму ПП, про приказ на кураторство понятно, а если СИБ подчинена непосредственно ПП? ПП сам на себя издает приказ о кураторстве СИБ?
    Вопросы найма, распределения обязанностей регулирует первое лицо в Банке (Президент, Директор / Председатель Правления и т.п.).
    Достаточно его приказа (часто есть приказы о распределении обязанностей среди руководителей, вот туда это и добавляют), либо прописания в должностных инструкциях (если они, конечно, у таких лиц у вас есть). Конечно, он может закрепить обязанности по кураторству за ИБ за собой.

    У из практики свежих проверок ЦБ: в одном из банков проверяющий потребовал ещё и в должностные руководителей прописать, хотя были приказы о кураторстве, в другом банке был приказ, где были общие обязанности руководителей описаны, какие им подразделения подчиняются, какие курируются, его и пояснительной записки, где было указано что на основании этого приказа закреплено кураторство было достаточно. Внешние аудиторы и тот и другой вариант приняли, аудиторы разные.

    P.S. Кстати, назначения куратора ИТ не требуется в 382-П, там необходимо только назначение куратора ИБ и доказательства, что это лицо не курирует ИТ.
    Последний раз редактировалось Zuz; 11.03.2020, 07:47.

    Прокомментировать:


  • MEB
    Участник ответил
    dnebyshe понятно, благодарю. Вопрос именно с проверкой ЦБ и связан.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от MEB Посмотреть сообщение
    Уважаемые коллеги, у кого как реализовано требование из п.2.11.1 Положения № 382-П
    Протокол правления: Назначить куратором СИБ - ПП, куратором ДИТ зам. ПП.
    Вопросов не возникло у проверки.

    Прокомментировать:


  • MEB
    Участник ответил
    Уважаемые коллеги, у кого как реализовано требование из п.2.11.1 Положения № 382-П: Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры назначают куратора службы информационной безопасности из состава своего органа управления и определяют его полномочия. При этом служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

    Делали приказы о назначении кураторов на СИБ и на УИТ? У нас УИТ подчинено заму ПП, про приказ на кураторство понятно, а если СИБ подчинена непосредственно ПП? ПП сам на себя издает приказ о кураторстве СИБ?

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от malotavr Посмотреть сообщение
    Не судьба вам лицензиата найти
    Нашли уже, и не одного.

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    Я тоже за одну букву, но юристами не поспоришь, написано "б", "д" или "е" вот и подавай им такого.
    Так бывает, когда "половина не понимает - нам, главное, какую-нибудь бумажку". Не судьба вам лицензиата найти
    Буковок "или" в лицензии не бывает. Бывает только вот так: "а; б; в1; в2; в3; в4; в5; в6; г; д; е" (https://fstec.ru/litsenzionnaya-deya...y/216-reestr01)


    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от Airat_Kzn Посмотреть сообщение
    Мы тоже считаем, что достаточно одной любой буквы.
    Я тоже за одну букву, но юристами не поспоришь, написано "б", "д" или "е" вот и подавай им такого.

    Прокомментировать:


  • Airat_Kzn
    Участник ответил
    Мы тоже считаем, что достаточно одной любой буквы.

    У нашего аудитора был только Б.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    У моего оценщика есть все три буквы
    А у моего только "б", и чуть пол ляма ему не перечислили, юристы не разрешили. Требуют все 3 буквы.
    Пришлось менять оценщика.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    предусмотренных подпунктами "б", "д" или "е" . Т.е. не "б" или "д" или "е".
    ИМХО, вы чересчур заморачиваетесь буквоедством. Я по прочтении понял, что достаточно любой буквы.

    Вместо того, чтобы спрашивать тут "зачем д) или е)" лучше напишите запрос в ДИБ БР, достаточно ли наличия у оценщика лицензии только по пункту б), получите окончательный ответ и не будет у вас никаких сомнений. Думаю, что можно даже по электронке на инфо_финцерт.

    З.Ы. У моего оценщика есть все три буквы, так что мне это спрашивать не нужно.

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    хотя бы одной из букв (любой).
    А в 382-П написано
    имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" .

    Т.е. не "б" или "д" или "е".

    И получается, что дружественная контора, с лицензией на ТЗКИ "б", которая могла нам провести аудит пролетает, так как есть риск не принятия такого аудита ЦБшником.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от dnebyshe Посмотреть сообщение
    для чего в 382-П требуется от внешнего оценщика пункты "д" и "е" в лицензии?
    А вам не похрен? Для удовлетворения хотелок ЦБ достаточно наличия хотя бы одной из букв (любой).

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Коллеги, для чего в 382-П требуется от внешнего оценщика пункты "д" и "е" в лицензии?
    Нам же нужен контроль защищенности, а не проектирование и монтаж.

    Прокомментировать:


  • ost
    Участник ответил
    Коллеги, теоретический вопрос.

    Насколько вот такая схема https://doc.idamob.ru/pro#checkclient соответствует требованиям ЦБ, в частности запрету на сохранение защищаемой информации (к которой таки относятся логины, пароли, коды аутентификации и т.п.) на мобилке.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Юсуп Ирганов Посмотреть сообщение
    ndebysheОператор по переводу денежных средств, банковский платежный агент (субагент), Оператор услуг платежной инфраструктуры применяют СКЗИ, которые поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований
    Разве не все СКЗИ поддерживают непрерывность процессов протоколирования ? Или я ошибаюсь....
    Никогда не слышал, чтоб эти требования когда-либо проверялись при проверках. С высокой долей вероятности, все отечественные СКЗИ это реализуют.
    Если используете что-то импортное, просто проверьте, есть ли встроенная процедура контроля целостности и можно ли получать протокол работы по основным операциям (подписание, шифрование и т.д.)

    Прокомментировать:


  • dnebyshe
    Участник ответил
    Коллеги, неужели ни у кого не осталось файлика экселя по 382-П с актуальными изменениями?

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Юсуп Ирганов Посмотреть сообщение
    Как я понял, если по пункту 81.1 используется ограничение по операциям, то пункт 81.2 не актуален,так как технологические меры по использованию раздельных технологий не применяются.
    Если в 81.1 только ограничения без технологических мер то в этом случаем аудиторы могут поставить 0.5. по 81.1. так как конструкцию и (или) они могут трактовать по своему.
    но это мелочи.

    Прокомментировать:


  • Юсуп Ирганов
    Участник ответил
    ndebyshe
    Спасибо за помощь по пункту 81.1

    Как я понял, если по пункту 81.1 используется ограничение по операциям, то пункт 81.2 не актуален,так как технологические меры по использованию раздельных технологий не применяются.

    Еще по одному вопросу у меня загвоздка.

    По пункту 62 (2.9.2)

    Оператор по переводу денежных средств, банковский платежный агент (субагент), Оператор услуг платежной инфраструктуры применяют СКЗИ, которые поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований

    Разве не все СКЗИ поддерживают непрерывность процессов протоколирования ? Или я ошибаюсь....

    Прокомментировать:


  • Zuz
    Участник ответил
    Юсуп Ирганов 81.1. говорит о необходимости вводить лимиты по операциям (с отражением всех нюансов в договоре) или применять устройства для подтверждения платежей.
    Пункт 81.2 описывает требования к устройствам подтверждения платежей, пример таких устройств это MAC-токены с экраном или к примеру ПО для сматрфона (типа PayControl) или в крайнем случае подтверждение по SMS ключевых реквизитов докумнта.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Юсуп Ирганов Посмотреть сообщение
    2.10.5 (пункт 81.1)
    С 1 января 2020 если в нашем ДБО, распространяемым клиентам нет встроенной проверки на вирусы мы по 382-П должны обеспечить раздельные технологии подготовки платежных поручений и их отправки в банк. Т.е. Клиент в ДБО (WEB или мобильное приложение) готовит платежки и направляет в банк, а попом подтверждает их другим способом.
    Если у нас нет такое возможности,
    то мы должны внести в договор ДБО с клиентом возможность ограничение по параметра операций или дать клиенту возможность самим устанавливать такие ограничения.


    Возможно нужно в договор ДБО внести изменения «о возможности ограничение по параметра операций» и дать клиенту такое право.

    Прокомментировать:


  • Юсуп Ирганов
    Участник ответил
    Добрый день. Разьясните мне пожалуйста, пункты 2.10.5 (пункт 81.1) и 2.10.6 (пункт 81.2)

    Пункт 81.1

    При осуществлении переводов денежных средств с использованием сети Интернет и (или) размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных технологий и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемых договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента

    Пункт 81.2

    Реализуемые оператором по переводу денежных средств технологические меры по использованию раздельных технологий должны обеспечивать:
    - идентификацию и аутентификацию клиента при подготовке клиентом и при подтверждении клиентом электронных сообщений;
    - возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений;-
    - возможность контроля клиентом реквизитов распоряжений о переводе денежных средств при подготовке электронных сообщений (пакета электронных сообщений) и их подтверждении;
    - аутентификацию входных электронных сообщений (пакета электронных сообщений) путем использования и сравнения (сверки) аутентификационных данных, сформированных на основе информации о реквизитах распоряжений о переводе денежных средств при подготовке клиентом электронных сообщений (пакета электронных сообщений) и подтверждении клиентом электронных сообщений;
    - удостоверение оператором по переводу денежных средств распоряжений о переводе денежных средств только в случае положительных результатов аутентификации - - -входных электронных сообщений (пакета электронных сообщений).

    Буду благодарен за помощь.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Там определено понятие: Электронное сообщение - совокупность данных, соответствующая установленному Банков формату, обеспечивающая однозначное восприятие ее содержания, снабженная КА. Т.о. пока Вы на информацию не установите КА - это еще не электронное сообщение.
    По какой-то причине, КА имеет смысл только при обмене с ЦБ, чего нельзя сказать о ЭС...

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от kyi-13 Посмотреть сообщение
    Бросьте в меня пожалуйста ссылкой на термин "Электронное сообщение", не могу найти нигде в официальных документах.
    149-ФЗ немного наверное мимо.
    Есть договор с ЦБ, унифицированный- Договор с ЦБ об обмене электронными сообщениями.

    Там определено понятие: Электронное сообщение - совокупность данных, соответствующая установленному Банков формату, обеспечивающая однозначное восприятие ее содержания, снабженная КА.

    Т.о. пока Вы на информацию не установите КА - это еще не электронное сообщение.

    Прокомментировать:


  • solus rex
    Участник ответил
    Сообщение от kyi-13 Посмотреть сообщение
    Товарищи, добрый день!
    Бросьте в меня пожалуйста ссылкой на термин "Электронное сообщение", не могу найти нигде в официальных документах.
    Федеральный закон от 27.07.2006 N 149-ФЗ
    (ред. от 02.12.2019)
    "Об информации, информационных технологиях и о защите информации"
    (с изм. и доп., вступ. в силу с 13.12.2019)


    Статья 2. Основные понятия, используемые в настоящем Федеральном законе
    В настоящем Федеральном законе используются следующие основные понятия:
    1) информация - сведения (сообщения, данные) независимо от формы их представления;
    10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

    Прокомментировать:


  • kyi-13
    Участник ответил
    Товарищи, добрый день!
    Бросьте в меня пожалуйста ссылкой на термин "Электронное сообщение", не могу найти нигде в официальных документах.

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Коллеги, поделитесь актуальной экселевской формой для оценки 382-П.
    У меня в этом году внешняя оценка будет.
    Хочу до аудита сам все прогнать, чтобы не затягивать с аудитом и подготовиться заранее.

    Прокомментировать:

Обработка...
X