Коллеги, добрый день.
Помогите пожалуйста в следующей ситуации:
Я работаю в ООО, которая работает в сфере электронных платежей. Источником ЭДС является банк. Банк хотим заменить на РНКО, которую планируется купить. У РНКО есть какая-то своя деятельность. Мне нужно определить с точки зрения ИБ, что именно нужно купить у РНКО, чтобы оно могло осуществлять свои функции, но при этом не нужно покупать ничего из их бизнеса. Т.к. раньше с организациями, подконтрольными ЦБ дела не имел, то возникли следующие вопросы:
1)Какие требования у ЦБ есть к РНКО в области ИБ, кроме СТО БР ИББС и 382-П?
2)Есть ли требования по подключению к ЦБ - по оборудованию/шифрованию (прямое подключение вообще требуется или общение происходит по электронной почте?)
3)Есть ли требования по наличию лицензий (на криптографию, ТЗКИ что-то ещё)?
4)Есть ли требования по предоставлению какой-то отчётности по фродовым операциям и по финмониторингу (отличные от требований к банку)?
5)Есть ли требования к физической безопасности расчётного узла/кассы/офиса и т.д., наличию видеонаблюдения?
В общем, если резюмировать все вопросы то получается примерно следующее: стандарты стандартами, а что из реального оборудования и процессов РНКО нужно покупать, чтобы купить РНКО как работающую функцию? Если среди своих вопросов я забыл какие-либо аспекты деятельности, пожалуйста дополните меня.
Буду Вам очень признателен за ответы
-
Покупка РНКО с точки зрения безопасности
-
Да, так и есть.Сообщение от Auburn Посмотреть сообщение
Приложение 1 к 318-П. Требования к помещениям для совершения операций с ценностями и программно-техническим средствам кредитных организаций, ВСП.
Спасибо. -
Всё описано в 318-П, если мне не изменяет память.Сообщение от UserNick Посмотреть сообщениеПрокомментировать:
-
Уточните пожалуйста какие именно требования Вы имеете в виду.Сообщение от Auburn Посмотреть сообщениеПрокомментировать:
-
Да похоже, что акции они хотят купить и оформить на пару-тройку физиков
и как всегда, хочется и рыбку и ёлку. *без обид
Мне непонятна постановка вопроса - покупаете НКОшку и одновременно пытаетесь понять, что купить по направлению ИБ? Это как? Или вы пытаетесь определиться, что надо оставить, а остальное распродать?Сообщение от Guti Посмотреть сообщение
Как правило, покупатели не представляют с чем связываются. НКОшка хоть и ограничена в лицензии на работу только с юриками, ну и по мелочи в других вопросах, но это с неё не снимает выполнение требований ЦБ, а их вагон и маленькая тележка.
1) требования в области ИБ - это требования всех договоров с ЦБ, нормативки в виде П-У-Т-шек, помимо Стандарта и 382-П, хотя и их хватит за глаза.
2) требования по подключению к ЦБ - есть, у каждого региона они разные.
3) требования по наличию лицензий (на криптографию, ТЗКИ что-то ещё) - по закону есть, по жизни, как с ФСБ договоритесь.
4) требования по предоставлению какой-то отчётности - такие же, как у банка, но могут быть варианты, НКО иногда проще отчитываться.
5) требования к физической безопасности расчётного узла/кассы/офиса - есть. Если предполагаете работать с наличкой, значит придется строить кассу-бронировать-сертифицировать-охранять. Видео только на путях инкассации от кассы до периметра помещений НКО, остальные места по желанию.
Сообщение от Guti Посмотреть сообщение
Я б сказал, что покупать надо всё, т.к. НКОшки не жируют и у них и так всё по минимуму. Конечно придется немного порезать операционное, валютное, кредитное, планово-экономическое подразделения, но особо не сожмешь, тем более останутся и так "жирные" должности в плане ЗП. А с учетом того, что на оставшихся ляжет весь функционал, то за копейку работать мало найдется желающих.
Понести затраты на начальную покупку НКО под свои задачи - легко, а вот потом оплачивать её работу - не очень, особенно если планируется ей дать доходы только с ДДС.Прокомментировать:
-
Можно подробней, что Вы собираетесь покупать, клиентов, юр. лицо, базу, оборудование?Сообщение от Guti Посмотреть сообщениеПрокомментировать:
Прокомментировать: