1 Тема от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Тема: Согласование перечня объектов КИИ для финансового сектора

В соответствии с требованиями пункта 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных Постановлением Правительства РФ от 8 февраля 2018 г. № 127 субъект КИИ (организации финансового сектора отнесены к субъектам КИИ) после формирования перечня объектов КИИ должен согласовать перечень объектов КИИ с Центральным Банком.
Центральный Банк на встречах в августе 2018 года устно заявил, что готов отвечать на запросы по категорированию КИИ.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

2 Ответ от Илья

  • Илья
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2013-03-29
  • Сообщений: 25

Re: Согласование перечня объектов КИИ для финансового сектора

Спасибо за информацию!
От центрального банка не помешали бы разъяснения, а лучше пошаговая инструкция.

Дмитрий можно уточнить?
1. Банк после формирования перечня объектов КИИ должен отправлять его в ЦБ и после согласования во ФСТЭК?
2. Так же интересует вопрос по включению в ГосСОПКА для банков, будет-ли это реализовано через ФинЦЕРТ?
Спасибо.

С уважением,
Илья Острожной

3 Ответ от Илья

  • Илья
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2013-03-29
  • Сообщений: 25

Re: Согласование перечня объектов КИИ для финансового сектора

Коллеги, хотелось бы осудить вопрос применения  правил категорирования объектов  КИИ  в  отношении небольшого Банка.
После прочтения документа:  Постановление Правительства РФ от 8 февраля 2018 г. № 127 и ПЕРЕЧЕНЬ
показателей критериев значимости объектов критической информационной
инфраструктуры Российской Федерации и их значения

В отношении банков действует Показатель №10
Прекращение или нарушение проведения
клиентами операций по банковским счетам и
(или) без открытия банковского счета или
операций, осуществляемых субъектом
критической информационной инфраструктуры,
являющимся в соответствии с
законодательством Российской Федерации
системно значимой кредитной организацией,
оператором услуг платежной инфраструктуры
системно и (или) социально значимых...

Насколько я понимаю, что в случае если кредитная организация не является "в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых", то  объекты КИИ данного банка не являются значимыми и не попадают под категории?
Предполагаемый алгоритм действий для небольшого банка будет заключаться в:
1.Создании комиссии
2.Создание перечня объектов КИИ
3.Выпуск Акта об отсутствии необходимости присвоения категории значимости для объектов КИИ
4.Отправка  в ЦБ на согласование
5. Отправка  в ФСТЭК?

С уважением,
Илья Острожной

4 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

Илья пишет:

Спасибо за информацию!
От центрального банка не помешали бы разъяснения, а лучше пошаговая инструкция.

Дмитрий можно уточнить?
1. Банк после формирования перечня объектов КИИ должен отправлять его в ЦБ и после согласования во ФСТЭК?
2. Так же интересует вопрос по включению в ГосСОПКА для банков, будет-ли это реализовано через ФинЦЕРТ?
Спасибо.

1. Вопрос по порядку согласования задал через приемную. Как будет ответ - опубликую
2. Согласно сведений от Финцерта - сдача отчетности для всех через АСОИ Финценрт, для имеющих значимые объекты КИИ - дополнительный канал до ГОССОПКИ.
P.S. Банки, имеющие значимые системы - по мнению ЦБ не более 50.
P.P.S. Есть сомнения, что решение в лоб по категорированию будут корректны. Основа таких сомнений - попытки корректного определения применения 274.1 УК РФ.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

5 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

Илья пишет:

Коллеги, хотелось бы осудить вопрос применения  правил категорирования объектов  КИИ  в  отношении небольшого Банка.
После прочтения документа:  Постановление Правительства РФ от 8 февраля 2018 г. № 127 и ПЕРЕЧЕНЬ
показателей критериев значимости объектов критической информационной
инфраструктуры Российской Федерации и их значения

В отношении банков действует Показатель №10
Прекращение или нарушение проведения
клиентами операций по банковским счетам и
(или) без открытия банковского счета или
операций, осуществляемых субъектом
критической информационной инфраструктуры,
являющимся в соответствии с
законодательством Российской Федерации
системно значимой кредитной организацией,
оператором услуг платежной инфраструктуры
системно и (или) социально значимых...

Насколько я понимаю, что в случае если кредитная организация не является "в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых", то  объекты КИИ данного банка не являются значимыми и не попадают под категории?
Предполагаемый алгоритм действий для небольшого банка будет заключаться в:
1.Создании комиссии
2.Создание перечня объектов КИИ
3.Выпуск Акта об отсутствии необходимости присвоения категории значимости для объектов КИИ
4.Отправка  в ЦБ на согласование
5. Отправка  в ФСТЭК?

Возможно, Вы правы.
Однако есть вопрос с частью АСУ, которые имеются на балансе Банка, если он собственник помещения.
Корректного ответа пока нет, т.к. сами регуляторы не обладают полнотой картины

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

6 Ответ от Tim

  • Tim
  • Член АнтиДропа РФ
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2014-02-21
  • Сообщений: 42

Re: Согласование перечня объектов КИИ для финансового сектора

На семинаре в ЦБ 31 августа сказали, что согласовывать перечень КИИ с БР не нужно, в перечень нужно внести все АС, относящиеся к банковской сфере деятельности и объекты КИИ будут без категорий.

7 Ответ от Tim

  • Tim
  • Член АнтиДропа РФ
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2014-02-21
  • Сообщений: 42

Re: Согласование перечня объектов КИИ для финансового сектора

Коллеги, поделитесь кто что внес в перечень КИИ, боюсь что-то упустить.
У меня получилось всего 3 пункта:
1. ИС: АБС
2. ИС: ДБО
3. ИТС: Корпоративная сеть

8 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

Tim пишет:

На семинаре в ЦБ 31 августа сказали, что согласовывать перечень КИИ с БР не нужно, в перечень нужно внести все АС, относящиеся к банковской сфере деятельности и объекты КИИ будут без категорий.

Поэтому я и направил запрос в ЦБ о порядке согласования. Пусть ответят бумагой. Прокуратора на слова никак не реагирует.
Насчет значимости - не все так хорошо

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

9 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

Tim пишет:

Коллеги, поделитесь кто что внес в перечень КИИ, боюсь что-то упустить.
У меня получилось всего 3 пункта:
1. ИС: АБС
2. ИС: ДБО
3. ИТС: Корпоративная сеть

Если смотреть на позицию ФСТЭК России (а она сейчас к сожалению совпадает с мнением прокуратуры), то надо сильно расширять список.
посмотрите, здесь человек достаточно подробно описал https://valerykomarov.blogspot.com/2018/04/127.html

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

10 Ответ от e.bogomolov

  • e.bogomolov
  • Член АнтиДропа РФ
  • Неактивен
  • Зарегистрирован: 2013-04-29
  • Сообщений: 250

Re: Согласование перечня объектов КИИ для финансового сектора

На Форуме «Информационная безопасность финансовой сферы» сказали, что список процессов для категорирования есть в АРБ.
На сайте АРБ не нашел. Поделитесь, пожалуйста, если у кого этот список есть.

С уважением,
Евгений Богомолов

11 Ответ от Alex-74

  • Alex-74
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2013-11-25
  • Сообщений: 88

Re: Согласование перечня объектов КИИ для финансового сектора

Вот что удалось снять на форуме

Post's attachments

IMG_2331.JPG 818.26 kb, 1 downloads since 2018-09-24 

You don't have the permssions to download the attachments of this post.
С уважением,
Алексей Свириденко.

12 Ответ от e.bogomolov

  • e.bogomolov
  • Член АнтиДропа РФ
  • Неактивен
  • Зарегистрирован: 2013-04-29
  • Сообщений: 250

Re: Согласование перечня объектов КИИ для финансового сектора

Alex-74 пишет:

Вот что удалось снять на форуме

Спасибо!

С уважением,
Евгений Богомолов

13 Ответ от Александр Озёрский (2018-09-25 17:29:26 отредактировано Александр Озёрский)

  • Александр Озёрский
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2012-11-01
  • Сообщений: 331

Re: Согласование перечня объектов КИИ для финансового сектора

e.bogomolov пишет:

На Форуме «Информационная безопасность финансовой сферы» сказали, что список процессов для категорирования есть в АРБ.
На сайте АРБ не нашел. Поделитесь, пожалуйста, если у кого этот список есть.

У АРБ нет и не может быть списка наших процессов и тем более нет списка наших процессов для категорирования.
У АРБ есть система стандартизации.
И там есть буквально несколько процессов для примера.
https://arb.ru/arb/bureaux-and-committe … -standards

На мой скромный взгляд совсем не работники ИБ должны составлять список бизнес-процессов.

upd нашел слайд с форума о котором видимо шла речь

Post's attachments

DSC_3228.JPG 2.58 mb, 3 downloads since 2018-09-25 

You don't have the permssions to download the attachments of this post.

14 Ответ от lsv

  • lsv
  • Член АнтиДропа РФ
  • Неактивен
  • Зарегистрирован: 2017-05-24
  • Сообщений: 13

Re: Согласование перечня объектов КИИ для финансового сектора

Коллеги из НТЦ Вулкан прислали свою презентацию с форума (категорирование КИИ). Выложу, может кому надо.

Post's attachments

НТЦ_Вулкан_Презентация_v1.pdf 1.95 mb, 35 downloads since 2018-09-26 

You don't have the permssions to download the attachments of this post.

15 Ответ от Viktor_F

  • Viktor_F
  • Новый участник
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2018-10-03
  • Сообщений: 3

Re: Согласование перечня объектов КИИ для финансового сектора

To: Dmitry Leviev
Подскажите, пожалуйста, ответа от ЦБ так пока и нет ?

16 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

Viktor_F пишет:

To: Dmitry Leviev
Подскажите, пожалуйста, ответа от ЦБ так пока и нет ?

Ответ на какой вопрос? Если по согласованию перечня объектов КИИ - то давно получен и размещен на Клубе

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

17 Ответ от Viktor_F

  • Viktor_F
  • Новый участник
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2018-10-03
  • Сообщений: 3

Re: Согласование перечня объектов КИИ для финансового сектора

Добрый день !
Да. Вопрос по согласованию перечня КИИ в ЦБ.
Что-то не могу найти.

С уважением
Виктор Фунтиков

18 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

Ответ ЦБ

Post's attachments

3.pdf 156 kb, 60 downloads since 2018-10-05 

You don't have the permssions to download the attachments of this post.
С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

19 Ответ от Viktor_F

  • Viktor_F
  • Новый участник
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2018-10-03
  • Сообщений: 3

Re: Согласование перечня объектов КИИ для финансового сектора

Большое спасибо.

С уважением
Виктор Фунтиков

20 Ответ от e.bogomolov

  • e.bogomolov
  • Член АнтиДропа РФ
  • Неактивен
  • Зарегистрирован: 2013-04-29
  • Сообщений: 250

Re: Согласование перечня объектов КИИ для финансового сектора

Бизнес упирается и не хочет создавать комиссию. в связи с чем возникли вопросы:

1. Каким документом установлен срок формирования перечня объектов КИИ? Все остальные сроки установлены с момента утверждения перечня объектов.

2. п.14 ПП 127 Комиссия в ходе своей работы:
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.
По каким критериям комиссия должна определить наличие критических процессов? Бизнес небольшого банка считает. что критических процессов нет и следовательно ни чего делать не надо.

С уважением,
Евгений Богомолов

21 Ответ от rustam khusainov (2018-10-16 17:05:09 отредактировано rustam khusainov)

  • rustam khusainov
  • Член АнтиДропа РФ
  • Неактивен
  • Зарегистрирован: 2013-01-30
  • Сообщений: 331

Re: Согласование перечня объектов КИИ для финансового сектора

Решением коллегии ФСТЭК №59 от 24.04.2018, правда это решение носит рекомендательный характер:(
в срок до 01.08.2018 утвердить и направить им перечень объектов КИИ
в срок до 01.01.2019 провести категорирование объектов КИИ.

e.bogomolov пишет:

Бизнес упирается и не хочет создавать комиссию. в связи с чем возникли вопросы:

1. Каким документом установлен срок формирования перечня объектов КИИ? Все остальные сроки установлены с момента утверждения перечня объектов.

2. п.14 ПП 127 Комиссия в ходе своей работы:
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.
По каким критериям комиссия должна определить наличие критических процессов? Бизнес небольшого банка считает. что критических процессов нет и следовательно ни чего делать не надо.

22 Ответ от Alex-74

  • Alex-74
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2013-11-25
  • Сообщений: 88

Re: Согласование перечня объектов КИИ для финансового сектора

Собственно мой текущий подход к формированию перечня объектов такой:
1. создал Рабочую группу (комиссию)
2. Определил бизнес-процессы банка
3. Определил в них критические для банка процессы
4. В критических процессах определил объекты

сейчас  все это оформляю отчетом об обследовании, и вытаскиваю на согласование РГ.
После согласования РГ отчета, делаю акт в котором будет перечень объектов КИИ и утверждаю его у первого лица.
Дальше направляю данный перечень (по рекомендуемой форме)во ФСТЭК

После получения из ФСТЭК ответа, делаю категорирование, в котором все объекты отношу к "вне категорий значимости" .

Все ли верно, ничего не упустил ?

С уважением,
Алексей Свириденко.

23 Ответ от Alex-74

  • Alex-74
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2013-11-25
  • Сообщений: 88

Re: Согласование перечня объектов КИИ для финансового сектора

Перечень объектов который у меня получился в итоге (негативные социальные и экономические последствия)

Автоматизированная банковская система (АБС)
Система дистанционного банковского обслуживания (СДБО)
Платежная система Банка России
Система SWIFT
Информационная система взаимодействия с Процессингом
Сеть банкоматов
Сеть платежных терминалов
Корпоративная локальная сеть
Система Электронного Документооборота Банка

Система принятия решений по кредитным заявкам
Антифрод система

Последние 2 под вопросам (нужно ли их учитывать).

С уважением,
Алексей Свириденко.

24 Ответ от Dmitry Leviev

  • Dmitry Leviev
  • Dmitry Leviev
  • Член Совета Клуба Антидроп
  • Неактивен
  • Откуда: Москва, НП ПСИБ
  • Зарегистрирован: 2009-12-13
  • Сообщений: 4,146

Re: Согласование перечня объектов КИИ для финансового сектора

1. Забыли включить:
- ГИС ЕБС в части сбора образцов
- ГИС ЕСИА (Совместно с ЕБС) - удаленная идентификация
- АСУ объектов Банка в соответствии с требованиями антитеррористического паспорта объектов Банка
2. ФСТЭК России не будет отвечать на список - этого нет в приказе

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

Сайт Dmitry Leviev

25 Ответ от Alex-74 (2018-10-23 15:48:03 отредактировано Alex-74)

  • Alex-74
  • Член АнтиДропа
  • Неактивен
  • Зарегистрирован: 2013-11-25
  • Сообщений: 88

Re: Согласование перечня объектов КИИ для финансового сектора

1. Я провожу это на 1 ноября 2018 г. На эту дату у меня этих систем (ЕБС и ЕСИА) нет. А что будет через 5 лет фиолетово.
2. п.15 127-ПП говорит о том что перечень объектов подлежит согласованию.. Согласование в моем понимании это хоть какой то обратный ответ.

Dmitry Leviev пишет:

- АСУ объектов Банка в соответствии с требованиями антитеррористического паспорта объектов Банка

Это СКУД Банка ?? Или что то другое ?

С уважением,
Алексей Свириденко.