Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Короткий обзор проектов поправок в 382-П и 2831-У

Аватар пользователя TsarevEvgeny
Автор: Царев Евгений,
(0)
()
Опубликовано в:

Правки в 382-П

Итак, в 2.6.3 речь идет о «о действиях клиентов, выполняемых с использованием программного обеспечения и автоматизированных систем», в частном случае это «действия клиента в ДБО».

Так вот, пункт предлагается дополнить требованиями:

  • регистрация действий, связанных с назначением и распределением прав клиентов, при наличии технической возможности
  • регистрация действий клиентов, при наличии технической возможности
  • хранение данных о действиях клиентов не менее 3 лет, а именно:
    • время совершения действия до секунды;
    • идентификатор (идентификаторы) клиента;
    • идентификатор (код) осуществляемого действия клиента;
    • идентификатор устройства клиента, с использованием которого клиент осуществляет доступ (н-р: IP-адрес, МАС-адрес, номер sim-карты, номер телефона).

Также от оператора по переводу денежных средств (банки) требуется определить в своей внутренней документации:

  • параметры работы программного обеспечения и (или) автоматизированной системы, связанные с установками даты и времени;
  • порядок формирования идентификатора клиента;
  • перечень идентификаторов (кодов) действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием программного обеспечения и автоматизированных систем;
  • решение о выборе идентификатора устройства;
  • порядок хранения указанных выше сведений о действиях клиентов.

В 2.15.1 вписали требования к внешней организации, проводящей самооценку. Такая организация должна:

  • быть самостоятельным юридическим лицом и осуществлять свою деятельность в соответствии с законодательством Российской Федерации;
  • обладать подтвержденным опытом проведения работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;
  • иметь в штате не менее трех работников, имеющих:
  • высшее образование в области информационных технологий, защиты информации и (или) информационной безопасности,
  • опыт работы в области информационных технологий, защиты информации и (или) информационной безопасности не мене трех лет,
  • опыт проведения работ связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;
  • подтверждение прохождения обучения (повышения квалификации) по вопросам проверки, оценки и (или) контроля требований к обеспечению защиты информации.

Указанные выше положения находят отражения в Приложении 2 к 382-П. Также в Приложение 2 предлагается внести следующие «косметические» правки:

Очень понравилась формулировка п.59. Сравните со старой:

Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ, которые имеют сертификаты уполномоченных государственных органов либо разрешение Федеральной службы безопасности Российской Федерации

В старой версии говорилось об СКЗИ в принципе, в новой только о российском производстве.

Правки в 2831-У

Существующая методика составления отчетности по 2831-У выполнена таким образом, что анализировать полученные от операторов ПС данные крайне сложно, если не сказать «невозможно». Соответственно эту проблему (в основном) и должен решить новый вариант Приложения 2 2831-У.

Вместо одной отчетной таблицы по инцидентам теперь есть две: за текущий отчетный период и за прошлые отчетные периоды.

Предлагаемая методика выполнена таким образом, что из колонок исчезли формулировки в письменном формате, даже колонки «Описание инцидента» заполняется кодами. Все соответствующие коды есть в методике.

Получаемые в результате, таблицы вполне пригодны для анализа в больших объемах. Правда, заполнять их вручную не очень удобно. Нужна автоматизация, либо каким-то программным продуктом, либо заранее разработанной табличкой в exel’е (по 382-П такая быстро появилась в сети).

Итого

В целом доработки носят “эволюционный” характер и не вызовут особых проблем со стороны участников ПС.

Другие записи


© Царев Евгений for Информационная безопасность по-русски, 2012. | Permalink | No comment |

Оцените материал:
Total votes: 264
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.