27 января, понедельник 08:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • regina90
    Участник создал тему 382-П

    382-П

    Какие пункты положения не относятся к оператору по переводу денежных средств?

  • saches
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Таки проговорились, что им интересна доля рынка HSMов.
    Насколько я понимаю, это следовало и из действующей редакции 382-П. Фактически, и там оговаривались сроки, когда можно будет использовать исключительно сертифицированные СКЗИ...

    У меня глаз зацепился в тексте проекта на -
    - возможности использования клиентом независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений;
    Прямо таки, теряюсь в предположениях, что конкретно имеется в виду...2 телефона для работы с мобильным приложением?

    Прокомментировать:


  • ost
    Участник ответил
    Таки проговорились, что им интересна доля рынка HSMов.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от iPtich Посмотреть сообщение
    Выложите, пожалуйста, если не сложно.
    см.
    Вложения

    Прокомментировать:


  • iPtich
    Участник ответил
    Коллеги, ни у кого не осталось проекта 382-П? его с сайта ЦБ уже убрали.
    Выложите, пожалуйста, если не сложно.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Ага я поторопился - зацепился глаз за "начиная с NT".. Ну всякие облачные решения для ЕБС с рабочими местами на Win10 как раз в основном, так что кому-то это пригодится

    Прокомментировать:


  • donZhukan
    Участник ответил
    Александр Четвертый
    WinXP нет в списке

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Уязвимость CVE-2020-0601
    На XP и W7 не работает, спим дальше спокойно.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Дырище года: Уязвимость CVE-2020-0601, компрометирующая инфраструктуру открытых ключей ОС Windows https://m.habr.com/ru/company/solars...news/t/484000/ Сертифицированные СКЗИ, возможно (скорее всего), также уязвимы.

    Прокомментировать:


  • 9d712a6c071b4a13
    Участник ответил
    Zuz, благодарю за ответ.

    ГОСТ, да, чуть жёстче, хотя буквально и не требует сертифицированного антивируса везде.

    Итого, clamav (или какая-нибудь cuckoo sandbox) прикроет часть, не покроет всех тех.требований ГОСТа и 382-П по защите от ВВК, но тут уже будет зависеть от аудитора и его трактовки требований.

    А разъяснения ЦБ кроме как в блоге Лукацкого где-то есть более официально?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от 9d712a6c071b4a13 Посмотреть сообщение
    е противоречит ли пункту 2.7.1. использование опенсорсного "средства защиты информации, предназначенного для выявления вредоносного кода и для предотвращения воздействия вредоносного кода"?
    Не встречал в практике таких проблем. Вот с ГОСТ могут быть в теории проблемы после разъяснений ЦБ, по 382-П слышал от коллег, что во время проверки устанавливали clamav и всех это устраивало (как ещё один движок для выполнения пункта о раздельной установке СЗИ от ВВК).

    Прокомментировать:


  • 9d712a6c071b4a13
    Участник ответил
    Приветствую, коллеги.

    Короткий вопрос: Не противоречит ли пункту 2.7.1. использование опенсорсного "средства защиты информации, предназначенного для выявления вредоносного кода и для предотвращения воздействия вредоносного кода"? Например, clamav с костылями?

    Речь про защищаемые активы вне контуров СБП, АРМ КБР-Н.

    Спасибо

    2.7.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
    • использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (далее - технические средства защиты информации от воздействия вредоносного кода), на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;
    • регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;
    • функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности.

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от FrosCe Посмотреть сообщение
    Zuz
    дело в том что в журналах антивируса это не отображено , фоновая проверка даже в принципе каждый день происходит
    А и не нужно, есть стандарты конфигурации СЗИ от ВВК, где указано, что на этом СВТ осуществляется постоянный мониторинг в автоматическом режиме. При проверке проверяется так ли это (проверяется настройка), в результате требование можно считать выполненным.

    Сообщение от diev Посмотреть сообщение
    Поэтому ИБшник просил каждого ИТшника при посещении каждого пользовательского компьютера тыкать кнопку "повторить сканирование",
    Тут речь была несколько об ином, и опять же дату сканирования по расписанию можно было бы представить с централизованной консоли управления и дать пояснение, что на СВТ указывается дата ручного запуска этой задачи (при необходимости продемонстрировать). Думаю, СЗИ от ВВК локально тоже журналы вело какие-то, там тоже можно было бы показать информацию.

    Прокомментировать:


  • diev
    Участник ответил
    Сообщение от FrosCe Посмотреть сообщение
    Zuz
    дело в том что в журналах антивируса это не отображено , фоновая проверка даже в принципе каждый день происходит
    У нас стоял хороший централизованный антивирус, с которого можно было даже команды принудительного сканирования запускать, и журналы этого строил, но в интерфейсе на самих станциях в "дате последнего сканирования" всегда маячила дата ручного запуска сканирования (что проверяющие в актах осмотра и фиксировали). Поэтому ИБшник просил каждого ИТшника при посещении каждого пользовательского компьютера тыкать кнопку "повторить сканирование", чтобы подобновить эту дату. (Если пользователь возражал, что все тормозит, то можно было прервать - дата "последнего шевеления" оставалась уже новой).

    Прокомментировать:


  • FrosCe
    Участник ответил
    Zuz
    дело в том что в журналах антивируса это не отображено , фоновая проверка даже в принципе каждый день происходит

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от FrosCe Посмотреть сообщение
    Как можно контролировать данные вещи?
    У нас прописано, что контроль осуществляется автоматически запущенным на данном СВТ СЗИ от ВВК. Простыми словами у вас работает антивирус, вы устанавливаете ПО оно в процессе установки проверяется. Ну и плюс регуляторное сканирование (как мера снижения риска).
    Соответственно проверка данного требования сводится к проверке работы СЗИ от ВВК в автоматическом режиме (в т.ч. и регулярного сканирования).

    Прокомментировать:


  • FrosCe
    Участник ответил
    Добрый день, как у в ас исполняется требование 2.7.4 в котором говориться о том что после установки или изменения программного обеспечения , выполнение проверки на отсутствие вредоносного кода арм итд
    Как можно контролировать данные вещи? если отдел автоматизации забывает это делать или может не осведомить СИБ , какие меры модно принять или где то прописать?

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    А Вы всегда читаете оферты, когда нажимаете кнопки в интернете?
    Тут вопрос в рисках для Банка, если будет указано, что у клиента из-за формы изложения договора не было возможности с ним ознакомится (а бабушка с лупой точно не может), то это так себе. Ну и как вы решите вопрос с зарубежными банкоматами, ведь оборудование в котором должна быть реализована ЭП по 63-ФЗ вообще за рубежом.
    Но я пока не погружался глубоко, возможно мои опасения надуманы, все эти случаи можно будет в стандартном договоре прописать.

    Прокомментировать:


  • donZhukan
    Участник ответил
    ndebysheтороплюсь)

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Ну и если оферта, её нужно прочитать. Вы представляете как люди будут ей читать и сколько это времени займёт. )))
    А Вы всегда читаете оферты, когда нажимаете кнопки в интернете?
    Можно на экран ее выводить. перед операцией и кнопку "Принимаю" или "Отвергаю"

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от ndebyshe Посмотреть сообщение
    Вешаете на банкомат оферту,
    Тут сложнее, клиент не наш, карта не наша, а вот банкомат наш. И обратная сторона, клиент наш и карта тоже, а банкомат не наш. Я пока не вижу тут прозрачной возможности выполнить все требования 63-ФЗ в этой части, надо подумать.
    Ну и если оферта, её нужно прочитать. Вы представляете как люди будут ей читать и сколько это времени займёт. )))

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    Не нашёл требований по проверке контроля встраивания СКЗИ, что уже хорошо, но думаю при согласовании с ФСБ добавят. )))
    А так пока выглядит лучше чем 382-П.

    Но вопросов полно, к примеру, для снятия денежных средств в банкомате нужно сформировать электронный документ и подписать в рамках 63-ФЗ. Это технически (для квалифицированной ЭП) и организационно (для простой ЭП) невозможно. Как с любым человеком заключить соглашение в рамах 63-ФЗ для простой ЭП?
    Офертою. Вешаете на банкомат оферту, "Вставляя карту в банкомат, Вы соглашаетесь с .......... Признаете что ......... Подтверждаете что .............".

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от donZhukan Посмотреть сообщение
    Проект положения
    Не нашёл требований по проверке контроля встраивания СКЗИ, что уже хорошо, но думаю при согласовании с ФСБ добавят. )))
    А так пока выглядит лучше чем 382-П.

    Но вопросов полно, к примеру, для снятия денежных средств в банкомате нужно сформировать электронный документ и подписать в рамках 63-ФЗ. Это технически (для квалифицированной ЭП) и организационно (для простой ЭП) невозможно. Как с любым человеком заключить соглашение в рамах 63-ФЗ для простой ЭП?

    Прокомментировать:


  • ndebyshe
    Участник ответил
    Сообщение от donZhukan Посмотреть сообщение
    еще два года жить с 382-П
    Почему 2?
    1 января 2023

    Прокомментировать:


  • donZhukan
    Участник ответил
    Проект положения Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» http://www.cbr.ru/Queries/XsltBlock/File/50891/3043
    еще два года жить с 382-П

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Я вот тоже считаю, что от аудитора нужен только отчет, предусмотренный 382-П (все требования к нему описаны в положении). Отчетность 0403202 - это банковская отчетность и никакими документами ЦБ не предусмотрено заполнение этой формы аудитором.

    Прокомментировать:


  • Zuz
    Участник ответил
    Александр Четвертый
    1. 2831-У + 4753-У от 30.03.2018:
    13.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.
    Отчет принимается:
    до 1 июля 2013 года - на бумажном носителе в экспедицию территориального учреждения Банка России;
    с 1 июля 2013 года - в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

    13.2. При предоставлении Отчета на бумажном носителе дополнительно предоставляется Отчет в электронном виде на машинном носителе (дискеты, flash-память).
    Данные Отчета, предоставляемого отчитывающимся оператором в электронном виде, должны быть идентичны данным Отчета, предоставляемого отчитывающимся оператором на бумажном носителе.
    Отчет отчитывающегося оператора, предоставляемый в территориальное учреждение Банка России на бумажном носителе, подписывается руководителем организации либо его заместителем, уполномоченным подписывать отчетность, и исполнителем.


    При передаче отчётности у нас в графе исполнитель указано лицо, которое непосредственно формирует форму в ПТК ПСД. Обязанность установлена приказом (у нас это сотрудник ИБ, но не принципиально, суть в том, кто готовил форму того и указываем).

    2. В целях документирования согласно требованиям 382-П + 4793-У от 07.05.2018:
    6. Для документирования результатов вычисления обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств используется следующая форма:
    Форма 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств

    Поэтому форма 0403202 для данных целей не используется (она применяется для отчётности и заполняется не позднее тридцати рабочих дней со дня завершения проведения оценки)!

    Как это будет выглядеть у вас не принципиально, часто для упрощения жизни заполняют форму 202, т.к. она содержит нужную табличку, но по мне это не совсем корректно, т.к., в этот же день вы тогда должны направить отчетность в ЦБ, раз заполнили такую форму и подписали.
    У нас это отдельный отчёт с общими выводами, обобщающими показателями, порядком их расчёта, статистикой по всем группам требований (с диаграммами распределения по оценкам, что выполняется, а что нет, что не оценивалось). Утвержденный как руководителем, так и представителем аудитора. Нужно ли тут указывать ФИО конкретных исполнителей от аудитора, зависит от того, как он у оформляет документы. Требований таких нет.

    Прокомментировать:


  • saches
    Участник ответил
    Точно возможно уже не помню, но, если не ошибаюсь, у нас СВК утверждала на год перечень видов отчетности с ФИО ответственных исполнителей. Форму подписывал исполнитель и один из зампредов. А сам отчет с оригиналами форм 202/203 хранился в ИБ и периодически демонстрировался проверяющим.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Аудитор вместе с отчетом сделал и форму 0403202. Реально эту форму должен делать аудитор, а не сотрудник Банка? Т.е. отчетности в графе "Исполнитель" указывается ФИО сотрудника аудиторской конторы?

    Прокомментировать:


  • Airat_Kzn
    Участник ответил
    Zuz, Да, числится в филиале. И да, проблема выбора и назначения имеется)))

    Прокомментировать:

Обработка...
X