👍

В итоге получается, что по ЗОКИИ из ФЗ о НПС достаточно провести комплаенс ранее реализованных на этих системах требований ЦБ, PCI DSS, может быть ПДн и ещё чего-нибудь?
А если эти системы под закон о КИИ ранее не попали, то из закона о НПС ни с того ни с сего, просто, без категорий, должны быть выполнены требования по ЗОКИИ, и в части ФСТЭК и в части ФСБ.
Ещё один ляп в законодательстве, который закрывается бумажкой.

"Ранее реализованных" - это очень оптимистично :) А про "закрывается бумажкой" - это даже не оптимизм.

Требования приказа 239 гораздо шире требований PCI DSS, положений ЦБ и 21го приказа по персданным. И я сильно сомневаюсь, что в РФ найдется много банков, которые даже эти требования в полном объеме выполнили.

Скорее всего придется делать систему защиты с нуля. Можно попытаться забить на практическую реализацию, но тогда при любом хищении денежных средств на сумму свыше четверти миллиона (или какой там порог крупного размера?) над банком дамокловым мечем повиснет 274.1 УК РФ.

А вас не смущает фраза: "Информационные системы операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и ". ЭСП при переводе через системы денежных переводов не применяются. Клиент приходит ножками в офис и просит перевести вот эти деньги вот в эту дружественную страну. А вот в интернет-банке или банкомате уже применяются ЭСП (карты, токены....). И у большинства кредитных организаций не из топ-50 просто нет таких систем, которые и эсп принимают, и напрямую с зарубежными партнерами общаются.

В этой норме нет слова "напрямую" :)

Если у меня договор с российским представительством визы, то я зарубеж ничего не передаю. Этим занимается виза, точнее ее российское представительство. Если я прихожу к врачу в российскую поликлинику, а он результаты моих анализов отправит в немецкую больницу, то передачей занимается он, а не я. Зачем, зачем накручивать проблемы там, где их нет? Чтобы продать больше средств защиты тем, кому они не нужны?

Смотрите, стандартный в последние годы кейс. Очередные MoneyTaker ломают очередной российский банк и через SWIFT выводят из очередные 100 млн. рублей.

Вы гарантируете, что прокуратура, на основе этой формулировки, не назовет обмен свифтовками "обменом информацией с иностранными поставщиками платежных услуг"? Я, например, не вижу причины, почему прокурор не должен этого делать. А это - все та же 274.1 УК РФ.

Это - риск, и об этом риске нужно знать, а не прятаться от него за аналогиями.

А обмен в свифт выполняется напрямую либо через банк-посредник, в котором открыт счет. Если я взаимодействую со свифт сама, то согласна, а если я просто размещаю деньги на корсчете у партнера и уже тот работает в свифт, то какое это отношение имеет ко мне? Если сломают мой корсчет у них в российском банке, то это не потому, что я недооценила и не натянула на себя категорию значимости.категория в данном случае у них, они и должны эти риски оценивать и предотвращать

Все правильно. Вы внимательно смотрите на свой платежный процесс и решаете: конкретно в вашем случае можно считать, что вы обмениваете информацией с иностранным поставщиком платежных услуг или нет. И если вы решаете, что нет, это "нет" относится конкретно к вашему случаю, а не общее правило.

Юристы в подобных случаях поступают просто. Обмен информацией есть? Есть. Этот обмен информацией происходит в рамках платежного процесса? Платежного. Правила платежного процесса устанавливает иностранная организация? Иностранная.

Все, совокупность формальных признаков для применения этой нормы есть. А то, как именно информация от вас попадает в эту организацию - несущественные технические подробности.

С такими юристами можно все деньги клиентов потратить на сзи, только 100%  гарантию защиты это все равно не даст, а прибыль просядет ощутимо. Иногда надо с позиции вендора немножко спуститься на уровень заказчика. И тогда оказывается, что чтобы рубль защитить, этот рубль надо вначале еще и заработать. А неадекватные затраты на покрытие рисков - это тоже риск, причем операционный, на покрытие которого тоже нужны деньги.  Так что каждый выбирает для себя

На минутку напомню, что "такие юристы" в контексте обсуждаемого вопроса - это, прежде всего, следствие, прокуратура и суд. Именно им будет глубоко наплевать, обмениваетесь вы информацией напрямую или через промежуточное звено - потому что в формулировках данной нормы это несущественно.

Поэтому, оценивая риски, стоит исходить из их образа мыслей, а не из своей убежденности в том, что они неправильно делают свою работу :)

чрезвычайно увлекательный у вас спор вышел, господа и дамы :)

а теперь вопрос: чего такого особенного в этих ИС, коммуницирующих с иностранными поставщиками, что их нужно защищать по нормам КИИ?

А это уже к законодателям :)

По мне, так сама эта формулировка противоречит ФЗ-187: по закону решать, является система значимым объектом или нет, должен субъект по правилам, которые устанавливает правительство. И тут опа! появляется закон, который для некоторых систем вводит другой порядок.

Идея авторов понятна, в год фиксируются десятки APT-атак на банки с выводом денег через SWIFT. Но НСПК в этом плане ничем не отличается

не думаю, что законодателей заботит тематика APT, в конце концов SWIFT попадает под регулирование не только CSP, но и 683-п (читай - ГОСТ), а деньги выводят и внутри страны (хотя уже сложнее отмыть, да). скорее есть цель притянуть 274.1 для решения каких-то экономических или политических задач

хотя и раньше было неважно, к какой категории значимости относился объект КИИ, при этом формально выделение самих объектов было отдано на откуп субъектам. сейчас эту лазейку убрали

Добрый день. Подать сведения гос учреждениям срок стоит до 1 сентября (рекомендация). С этим все понятно. А как на счёт категорирования? Какой срок категорирования?

Не более года с момента утверждения перечня.

До 1 сентября надо утвердить перечни (направить их нужно до 13 сентября в ФСТЭК), т.е. крайний срок категориования до 1 сентября 2020.

А есть ссылка на документ где эти сроки прописаны для гос. учреждений?

п. 15 ПП-127 и п. 2 ПП-452.