Блогосфера бурлит обсуждением новой законодательной базы, касающейся вопросов обеспечения безопасности в национальной платежной системе. Уже даже появляются учебные курсы, в которых чуть ли не опытом по теме готовы делиться. Тема пожалуй и хорошая, но как-то я таким скороспелым пирожкам не привык доверять.
У меня, кстати, при анализе документов возникли некоторые пока не решенные вопросы. Вот, например, никого не смущает, что ни в проектах документов ЦБ ни в их финальной редакции для п.109 требований положения 382-П, по которым должна быть проведена оценка, не указана категория проверки ? Это просто чей-то косяк или уважаемые эксперты из ЦБ сами не знают пока как это оценивать ? И как интересно определять финальную оценку ? Каждый интегратор сам будет выбирать категорию для этого пункта ?
Еще очень порадовал п.125
"Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры регламентируют порядок принятия мер, направленных на совершенствование защиты информации при осуществлении переводов денежных средств, в случаях изменения порядка обеспечения защиты информации при осуществлении переводов денежных средств. "
Переводя на простой русский язык это означает, что оператор должен определить порядок коррекции защитных мер в случае изменения этих же самих мер. Круто ? :)
Facebook
в СТО БР ИББС уже второй год сумма коэффициентов двух групповых показателей не равна 1. Никого не смущает. Все работают.
ОтветитьУдалитьВ 109, видимо, 3 тип шкалы + влияние на оценку этого показателя из-за разных шкал можно заметить только в синтетических случаях.
Я, почему-то, считал, что системы переводов для оператора переводов (банка, агента), являются системами, в отношении которых банк не определяет защитные меры. Есть оператор платежной системы, есть установленные им правила платежной системы, включающие и обязательные защитные меры. Вступаешь в систему - выполняй эти правила. Согласен с отчетностью по инцидентам, давно пора, и не только при переводах, а в остальном нагородили многовато. ИМХО для операторов платежных систем это подходит, для остальных вряд ли. Не думаю, что маржа от переводов играет значительную роль, по крайней мере в денежном выражении - копейки, другое дело, как в анекдоте, пришел перевод отправить, заодно кредит взял. И если реализация требований по защите для операторов переводов будет затратна, то мелкие, а то и средние, от них откажутся, хотя возможно этого и добиваются.
ОтветитьУдалить