11 декабря, вторник 06:00
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Какие системы попадают под 382-п?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Какие системы попадают под 382-п?

    Здравствуйте!
    Какие системы попадают под 382-п? АБС, ДБО, АРМ КБР, а еще?

  • #2
    Эмм...под 382-П попадают ОПДС, ОПС и т.д., причем тут системы?

    Комментарий


    • #3
      Корректнее будет сказать не системы попадают, а информация. Если система содержит защищаемую информацию (она перечислена в п. 2.1 382-п), значит информация в этой системе должна защищаться с учётом 382-п. Какие ещё системы, Вам никто не скажет, т.к. никто лучше Вас не знает, где какая информация циркулирует у Вас.

      Комментарий


      • #4
        Попадают системы, которые используются при осуществлении переводов денежных средств.
        У нас при проверке первое, что было запрошено, это список объектов информационной инфраструктуры (в терминах п.2.1 382-П).

        Комментарий


        • #5
          Я считаю, что под 382-П попадают платежные системы, реестр которых опубликован на сайте Банка России http://www.cbr.ru/PSystem/?PrtId=rops .

          Комментарий


          • #6
            Сообщение от Sascha Посмотреть сообщение
            Я считаю, что под 382-П попадают платежные системы, реестр которых опубликован на сайте Банка России http://www.cbr.ru/PSystem/?PrtId=rops .
            А операторы по переводу денежных средств не попадают?

            Комментарий


            • #7
              Сообщение от Ярослав В. Посмотреть сообщение
              А операторы по переводу денежных средств не попадают?
              У каждой платежной системы есть участники - ОПДС, ОПС, ОУПИ и т.д. все они обязаны соблюдать 382-П, но при этом, например, если есть платежная система не состоящая в реестре, но по своей сути это все-таки платежная система, то я считаю она не должна попадать под действие 382-П.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                Попадают системы, которые используются при осуществлении переводов денежных средств.
                У нас при проверке первое, что было запрошено, это список объектов информационной инфраструктуры (в терминах п.2.1 382-П).
                если сделать общий список систем (АБС, АРМы, системы денежных переводов) которые участвуют в ПДС и при проверке его показать, то это проверяющих устроит?

                Комментарий


                • #9
                  Сообщение от khusainov rustam Посмотреть сообщение
                  если сделать общий список систем (АБС, АРМы, системы денежных переводов) которые участвуют в ПДС и при проверке его показать, то это проверяющих устроит?
                  Устроит.
                  Только это надо сделать не для проверяющих, а иметь всегда под рукой - позволит закрыть требования п.2.6.1 382-П

                  Комментарий


                  • #10
                    Коллеги, вопрос по п. 2.5.7
                    При разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных:

                    с выполнением требований к защите информации при осуществлении переводов денежных средств;

                    с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет"



                    требования к защите информации при осуществлении переводов денежных средств выставляет Банк или их брать из 382-П?

                    И кто как на практике реализовал выполнение данного требования?

                    Комментарий


                    • #11
                      Сообщение от Орлиный глаз Посмотреть сообщение
                      Коллеги, вопрос по п. 2.5.7
                      При разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных:

                      с выполнением требований к защите информации при осуществлении переводов денежных средств;

                      с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет"



                      требования к защите информации при осуществлении переводов денежных средств выставляет Банк или их брать из 382-П?

                      И кто как на практике реализовал выполнение данного требования?
                      Как я понял , это у вас и так должно быть (МЭ, IPS, VPN с удаленными офисами). Надо это все просто описать в нормативке. Мол " целью с предотвращения несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет" в Банке реализовано и используются следующие технические средства:
                      1. МЭ;
                      2. IPS;
                      3. VPN с удаленными офисами;
                      4. Система антивирусной защиты (web и антиспам фильтрация);
                      Назначены ответственные сотрудники Банка.

                      Комментарий


                      • #12
                        Сообщение от khusainov rustam Посмотреть сообщение
                        Как я понял , это у вас и так должно быть (МЭ, IPS, VPN с удаленными офисами). Надо это все просто описать в нормативке. Мол " целью с предотвращения несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет" в Банке реализовано и используются следующие технические средства:
                        1. МЭ;
                        2. IPS;
                        3. VPN с удаленными офисами;
                        4. Система антивирусной защиты (web и антиспам фильтрация);
                        Назначены ответственные сотрудники Банка.
                        В данном требовании ключевая фраза "...реализацию в указанном программном обеспечении функций..."

                        Комментарий


                        • #13
                          Да, речь именно про ПО. Товарищи из ЦБ говорили, что это нам дали рычаг влияния на разработчиков, чтобы те выполняли требования нормативки и не просили за это денег. Правда, денег всё равно просят...
                          По факту - мы выставляли требования как свои, так и из 382-П, но это было в ТЗ, до того, как покупали ПО, потом сложнее чего-то добиться. Навскидку, насколько помню, выставляли требования по сложности паролей, по возможности устанавливать лимиты, по содержанию одноразовых паролей - это из того, что нас не устраивало.

                          Комментарий


                          • #14
                            Сообщение от Орлиный глаз Посмотреть сообщение
                            В данном требовании ключевая фраза "...реализацию в указанном программном обеспечении функций..."
                            еще проще значит - реализация в ПО процедур шифрования данных, идентификации и аутентификации (2-ой аутентификации + носители СКЗИ (токены, смарт карты, тач. мемори))
                            Жестко привязывать адреса машин с которых осуществляется перевод ДС. У вас это уже все есть. Если ошибаюсь , правьте, буду у себя пересматривать данную позицию в доках.

                            Комментарий


                            • #15
                              Сообщение от khusainov rustam Посмотреть сообщение
                              еще проще значит - реализация в ПО процедур шифрования данных, идентификации и аутентификации (2-ой аутентификации + носители СКЗИ (токены, смарт карты, тач. мемори))
                              Жестко привязывать адреса машин с которых осуществляется перевод ДС. У вас это уже все есть. Если ошибаюсь , правьте, буду у себя пересматривать данную позицию в доках.
                              В том то и вопрос, что непонятно требования для ПО Банк сам разрабатывает или "выковыривает" требования из 382-П, если они там есть.

                              Комментарий


                              • #16
                                Орлиный глаз, На сколько я понимаю (могу заблуждаться) ЦБ всегда право выбора тех средств оставляет за банком, самое главное чтоб они были легальными (сертифицированными), и выполняли общие требования указанные ЦБ.
                                В нашем случае , ЦБ говорит что должны быть в ПО обеспечены и реализованы механизмы защиты:
                                с выполнением требований к защите информации при осуществлении переводов денежных средств;
                                с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет"
                                А как мы это сделаем это уже наша проблема. Возможно я и не прав.

                                Комментарий


                                • #17
                                  Сообщение от Sascha Посмотреть сообщение
                                  У каждой платежной системы есть участники - ОПДС, ОПС, ОУПИ и т.д. все они обязаны соблюдать 382-П, но при этом, например, если есть платежная система не состоящая в реестре, но по своей сути это все-таки платежная система, то я считаю она не должна попадать под действие 382-П.
                                  Прочитайте первую главу 382-П и терминологию 161-ФЗ, у вас вообще общее представление не правильное. Если вы являетесь ОПДС, ОПС и т.д. 382-П для вас, остальная тема про реестры вообще лишняя.

                                  Комментарий

                                  Пользователи, просматривающие эту тему

                                  Свернуть

                                  Присутствует 1. Участников: 0, гостей: 1.

                                  Обработка...
                                  X