ПЛ
Написал заметку по обсуждаемому вопросу, можно начинать кидаться яйцами:) https://plutsik.blogspot.com/2018/12/blog-post.html
Size: a a a
2018 December 04
AL
Павел Луцик
Написал заметку по обсуждаемому вопросу, можно начинать кидаться яйцами:) https://plutsik.blogspot.com/2018/12/blog-post.html
Все пишут. Я год назад все сказал 🙂 https://lukatsky.blogspot.com/2018/02/ibbank_39.html и https://lukatsky.blogspot.com/2018/02/ibbank.html
DK
Павел Луцик
Написал заметку по обсуждаемому вопросу, можно начинать кидаться яйцами:) https://plutsik.blogspot.com/2018/12/blog-post.html
В п. 5 ошибка :)
Показатель звучит так: "прекращение операций клиентов по счетам или операций, осуществляемых системно значимыми". Ни в одном известном мне диалекте русского языка это не означает "прекращение операций только системно значимыми" :)
Показатель звучит так: "прекращение операций клиентов по счетам или операций, осуществляемых системно значимыми". Ни в одном известном мне диалекте русского языка это не означает "прекращение операций только системно значимыми" :)
ПЛ
Спасибо за наводки, будем разбираться.
ПЛ
В п. 5 ошибка :)
Показатель звучит так: "прекращение операций клиентов по счетам или операций, осуществляемых системно значимыми". Ни в одном известном мне диалекте русского языка это не означает "прекращение операций только системно значимыми" :)
Показатель звучит так: "прекращение операций клиентов по счетам или операций, осуществляемых системно значимыми". Ни в одном известном мне диалекте русского языка это не означает "прекращение операций только системно значимыми" :)
Как я понял, ошибка в п. 5 только в том случае, если не прислушиваться к позиции ЦБ, озвученной устно, на которую ссылается Алексей Лукацкий.
DK
Павел Луцик
Как я понял, ошибка в п. 5 только в том случае, если не прислушиваться к позиции ЦБ, озвученной устно, на которую ссылается Алексей Лукацкий.
Об том и спич: устное заявление ЦБ противоречит написанному в ПП-127. Но ЦБ в этом вопросе еще и не является регулятором :)
ПЛ
ЦБ прописал этот показатель в 127-ПП. Логично, что и все, что связано с этим показателем тоже комментирует ЦБ, хотя формально и не является регулятором в этой части.
AB
Коллеги, 1) откуда у вас мнение, что ЦБ участвовал в разработке показателей? 2) где ЦБ "устно" комментирует показатели? 3) с какого момента ЦБ оказался вовлеченным в вопросы КИИ?
ПЛ
1) Сычев озвучил это на SOC-Форуме (в моем посте есть ссылка и время где он это говорит)
2) Тут Алексей Лукацкий подскажет
3) В 187-ФЗ прописано, что ФСТЭК согласовывает с ЦБ многие вопросы касающиеся банков
2) Тут Алексей Лукацкий подскажет
3) В 187-ФЗ прописано, что ФСТЭК согласовывает с ЦБ многие вопросы касающиеся банков
D
Павел Луцик
Написал заметку по обсуждаемому вопросу, можно начинать кидаться яйцами:) https://plutsik.blogspot.com/2018/12/blog-post.html
Блоггеры пишут, а люди потом послушают и огребут. Часть вопросов взята с устных уточнений ФСТЭК без рефренов, что по ФЗ есть нестыковки и могут спросить по нему. Ключевой момент, как уже сказали, неверный полностью, потому что там есть "или". Из-за него и весь сыр-бор тут
DK
Павел Луцик
ЦБ прописал этот показатель в 127-ПП. Логично, что и все, что связано с этим показателем тоже комментирует ЦБ, хотя формально и не является регулятором в этой части.
ЦБ комментирует, что он хотел написать. Хотел написать одно, написал другое. Бывает :)
Если речь идет о банке с незначительным количеством операций, это непринципиальный вопрос.
Но если количество операций попадает в один из критериев, опираться на устный ответ ЦБ будет мегаглупостью. Даже письменный его ответ в этом случае не будет иметь никакого значения
Если речь идет о банке с незначительным количеством операций, это непринципиальный вопрос.
Но если количество операций попадает в один из критериев, опираться на устный ответ ЦБ будет мегаглупостью. Даже письменный его ответ в этом случае не будет иметь никакого значения
D
Еще один "устный ответ от регулятора", универсальный для таких случаев и реально работающий ИМХО:
ФСТЭК важно грамотное и имеющее вес обоснование при категорировании. Если у банка будет письменный ответ от ЦБ по данному вопросу, в котором написано как нужно читать и почему это так, то банк сможет его использовать и ФСТЭК прислушается.
То же самое было с вопросом про взносы в бюджет - был ответ, что мы закладывали и видим вот так, но если вы считаете иначе и будет соответствующий ответ от Минфина, то мы его примем.
И это все касается только проверок ФСТЭК! Если у кого будет суд, то первостепенны будут запятые в ФЗ
ФСТЭК важно грамотное и имеющее вес обоснование при категорировании. Если у банка будет письменный ответ от ЦБ по данному вопросу, в котором написано как нужно читать и почему это так, то банк сможет его использовать и ФСТЭК прислушается.
То же самое было с вопросом про взносы в бюджет - был ответ, что мы закладывали и видим вот так, но если вы считаете иначе и будет соответствующий ответ от Минфина, то мы его примем.
И это все касается только проверок ФСТЭК! Если у кого будет суд, то первостепенны будут запятые в ФЗ
D
правки в 127ПП же планируются, в том числе по теме критериев - предложите и данный момент рассмотреть
DK
Еще один "устный ответ от регулятора", универсальный для таких случаев и реально работающий ИМХО:
ФСТЭК важно грамотное и имеющее вес обоснование при категорировании. Если у банка будет письменный ответ от ЦБ по данному вопросу, в котором написано как нужно читать и почему это так, то банк сможет его использовать и ФСТЭК прислушается.
То же самое было с вопросом про взносы в бюджет - был ответ, что мы закладывали и видим вот так, но если вы считаете иначе и будет соответствующий ответ от Минфина, то мы его примем.
И это все касается только проверок ФСТЭК! Если у кого будет суд, то первостепенны будут запятые в ФЗ
ФСТЭК важно грамотное и имеющее вес обоснование при категорировании. Если у банка будет письменный ответ от ЦБ по данному вопросу, в котором написано как нужно читать и почему это так, то банк сможет его использовать и ФСТЭК прислушается.
То же самое было с вопросом про взносы в бюджет - был ответ, что мы закладывали и видим вот так, но если вы считаете иначе и будет соответствующий ответ от Минфина, то мы его примем.
И это все касается только проверок ФСТЭК! Если у кого будет суд, то первостепенны будут запятые в ФЗ
Проверка проводится только в отношении значимых объектов. Т.е. если объект не категорировали, оснований для проверки правильности "некатегорирования" нет.
Поэтому реальный риск существует только в случае инцидента, если его последствия окажутся соответствующими одному из критериев. И тут вы правы, в этом случае будет иметь значение именно буква нормативного акта
Поэтому реальный риск существует только в случае инцидента, если его последствия окажутся соответствующими одному из критериев. И тут вы правы, в этом случае будет иметь значение именно буква нормативного акта
ПЛ
правки в 127ПП же планируются, в том числе по теме критериев - предложите и данный момент рассмотреть
Думаю ЦБ по этому поводу давно озадачен. Посмотрим какие изменения реально пройдут.
D
Проверка проводится только в отношении значимых объектов. Т.е. если объект не категорировали, оснований для проверки правильности "некатегорирования" нет.
Поэтому реальный риск существует только в случае инцидента, если его последствия окажутся соответствующими одному из критериев. И тут вы правы, в этом случае будет иметь значение именно буква нормативного акта
Поэтому реальный риск существует только в случае инцидента, если его последствия окажутся соответствующими одному из критериев. И тут вы правы, в этом случае будет иметь значение именно буква нормативного акта
Ну самый же реальный сценарий: Банк признал себя субъектом, составил перечень ОКИИ, подлежащих категорированию. АБС там должна быть, потому что автоматизирует процесс из области деятельности, ну а процесс будет критическим по фин показателям так или иначе (ущерб бюджету в теории хоть копеечка, да будет, опять же, исходя из мыслей ФСТЭК). А потом подали сведения с результатами категорирования и там ссылаясь, что не значимый, сказали, что без категории.
ФСТЭК посмотрел в рамках полномочий и отправил на доработку
ФСТЭК посмотрел в рамках полномочий и отправил на доработку
Д
Добрый день. Коллеги по области отправили список КИИ во фстэк. Потом позвонили им. Со слов стало ясно, что отправили нам объекты, потом таблицы и живите спокойно. Так и есть?
DK
Ну самый же реальный сценарий: Банк признал себя субъектом, составил перечень ОКИИ, подлежащих категорированию. АБС там должна быть, потому что автоматизирует процесс из области деятельности, ну а процесс будет критическим по фин показателям так или иначе (ущерб бюджету в теории хоть копеечка, да будет, опять же, исходя из мыслей ФСТЭК). А потом подали сведения с результатами категорирования и там ссылаясь, что не значимый, сказали, что без категории.
ФСТЭК посмотрел в рамках полномочий и отправил на доработку
ФСТЭК посмотрел в рамках полномочий и отправил на доработку
Оснований для доработки нет. Посчитали, в критерий не попали, незначимый. У ФСТЭК нет оснований не согласиться.
На доработку могут направить, исли сведения неполные или если решение не соответствует остальным сведениям. А вот "не счесть платежный процесс критическим" и не включить АБС в перечень "несистемнозначимые" банки могут запросто. Оснований прийти и спросить "а почему не включили?" у ФСТЭК тоже нет.
Поэтому реальный риск я вижу только в инцидентах. Ради чего все и затевалось, содственно :)
На доработку могут направить, исли сведения неполные или если решение не соответствует остальным сведениям. А вот "не счесть платежный процесс критическим" и не включить АБС в перечень "несистемнозначимые" банки могут запросто. Оснований прийти и спросить "а почему не включили?" у ФСТЭК тоже нет.
Поэтому реальный риск я вижу только в инцидентах. Ради чего все и затевалось, содственно :)
D
Оснований для доработки нет. Посчитали, в критерий не попали, незначимый. У ФСТЭК нет оснований не согласиться.
На доработку могут направить, исли сведения неполные или если решение не соответствует остальным сведениям. А вот "не счесть платежный процесс критическим" и не включить АБС в перечень "несистемнозначимые" банки могут запросто. Оснований прийти и спросить "а почему не включили?" у ФСТЭК тоже нет.
Поэтому реальный риск я вижу только в инцидентах. Ради чего все и затевалось, содственно :)
На доработку могут направить, исли сведения неполные или если решение не соответствует остальным сведениям. А вот "не счесть платежный процесс критическим" и не включить АБС в перечень "несистемнозначимые" банки могут запросто. Оснований прийти и спросить "а почему не включили?" у ФСТЭК тоже нет.
Поэтому реальный риск я вижу только в инцидентах. Ради чего все и затевалось, содственно :)
опять же "по устным уточнениям" могут сравнить с поданными перечнями аналогичных организаций по рынку и поинтересоваться почему не включили