9 марта, вторник 11:10
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Внедрение ИББС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Внедрение ИББС

    Добрый день, коллеги.
    Собственно говоря, было принято стратегическое решение внедрения в банке положений комплекса ИББС. Сделано это было не для успокоения души в части 152-ФЗ, прошу заметить. Острой проблемы защиты ПДн у нас нет - аттестованы по требованиям ФСТЭК.
    В общем, принял решение Комплес ИББС внедрять, в связи с этим, собственно, и пишу. Возникло несколько вопросов, разобраться самостоятельно с которыми не получается:

    1. Примерно определен состав рабочей группы (Приказом по банку пока не утверждали). Получается около 14 человек. Не многовато ли?
    2. С чего начинать все-таки? Самооценка или определение банковских технологических процессов? На основании чего определять БТП? Регламен/положение или Приказа по банку достаточно? А как тогда результаты этой деятельности по определению БТП оформлять? В виде анкет за подписью соответствующих членов рабочей группы?

    Поделитесь, пожалуйста, опытом.

  • #2
    Я надеюсь, никто не будет советовать обращаться к _интригаторам_, которые в обмен на денежные знаки Банка "адаптируют" пачку макулатуры и только.

    С самооценки начинайте. Хотя я бы распараллелил процессы в виду большого числа участвующих.

    Комментарий


    • #3
      до 30 июня Вам необходимо направить подтверждение соответствия в ГУБиЗИ ЦБ. Для этого нужно хотя бы провести самооценку, которая должна показать хороший уровень защиты ПДн, раз у вас все аттестовано.

      далее нужно наметить план на будущее, из расчета "один год = +1 балл".

      начать рекомендую с классификации активов и построения бизнес процессов.. 14 человек должно хватить

      оценку соответствия не привлекая интеграторов можно сделать с помощью спец программ, которые все рисуют и формируют. самые известные - софт Арморита ( http://armorit.ru/ ), НПО Кристалл, и BSAT (www.leetsoft.ru/bsat)

      Комментарий


      • #4
        14 человек - перебор. 7 человек - максимум. Больше - у вас времени на споры и попытку всех угомонить будет уходить больше, чем на реальную работу. Это из практики управления проектами и психологии.

        Что касается процессов, то хочу предупредить, чтобы вы сами (как ИБ) не пытались описывать БТП. Это неподъемная задача для ИБ и даже для ИТ. Это должны делать бизнес-подразделения, т.е. владельцы процессов. В противном случае все это обречено на неудачу.

        Комментарий


        • #5
          Сообщение от Алексей Лукацкий Посмотреть сообщение
          Что касается процессов, то хочу предупредить, чтобы вы сами (как ИБ) не пытались описывать БТП. Это неподъемная задача для ИБ и даже для ИТ. Это должны делать бизнес-подразделения, т.е. владельцы процессов. В противном случае все это обречено на неудачу.
          Ну, а подготовку к этому кто делать будет? ИБ?
          В общем может у кого есть материалы (анкеты, регламенты, приказы и т.п.) для проведения подготовки проведения описать БТП. В общем интересен тоже сей момент, кто и как должен описывать эти БТП и какую роль играет ИБ в этом мероприятии.

          Комментарий


          • #6
            Сообщение от EUG45 Посмотреть сообщение
            Добрый день, коллеги.
            Собственно говоря, было принято стратегическое решение внедрения в банке положений комплекса ИББС. Сделано это было не для успокоения души в части 152-ФЗ, прошу заметить. Острой проблемы защиты ПДн у нас нет - аттестованы по требованиям ФСТЭК.
            В общем, принял решение Комплес ИББС внедрять, в связи с этим, собственно, и пишу. Возникло несколько вопросов, разобраться самостоятельно с которыми не получается:

            1. Примерно определен состав рабочей группы (Приказом по банку пока не утверждали). Получается около 14 человек. Не многовато ли?
            2. С чего начинать все-таки? Самооценка или определение банковских технологических процессов? На основании чего определять БТП? Регламен/положение или Приказа по банку достаточно? А как тогда результаты этой деятельности по определению БТП оформлять? В виде анкет за подписью соответствующих членов рабочей группы?

            Поделитесь, пожалуйста, опытом.
            Это точно, начинать надо с самооценки. Вопросы "Что делать?" после этого сразу отпадают.
            Но появлется огромное количество вопросов "Как это всё исполнять?"

            Комментарий


            • #7
              Это точно, начинать надо с самооценки. Вопросы "Что делать?" после этого сразу отпадают.
              Не помешает ли проведению самооценки отсутствие документированного перечня БТП?

              Что касается процессов, то хочу предупредить, чтобы вы сами (как ИБ) не пытались описывать БТП. Это неподъемная задача для ИБ и даже для ИТ. Это должны делать бизнес-подразделения, т.е. владельцы процессов. В противном случае все это обречено на неудачу.
              Действительно, мы со биральси подготовить материалы для заполнения соответствующими подразделениями. Единственная на сегодняшний день проблема, с этим связанная, - отсутствие понимания того, как результаты описательной работы должны оформляться и на основании чего такая работа должна проводиться?

              Комментарий


              • #8
                Сообщение от EUG45 Посмотреть сообщение
                Не помешает ли проведению самооценки отсутствие документированного перечня БТП?


                Действительно, мы со биральси подготовить материалы для заполнения соответствующими подразделениями. Единственная на сегодняшний день проблема, с этим связанная, - отсутствие понимания того, как результаты описательной работы должны оформляться и на основании чего такая работа должна проводиться?
                Задачу надо ставить не так
                Включите в рабочую группу, которая проводит самооценку представителей всех направлений, в том числе главного бухгалтера и СВК. Смысл не только в том, чтобы показать, чего не хватает, но чтобы и руководство само поняло, к чему надо стремиться.

                Комментарий


                • #9
                  Сообщение от EUG45 Посмотреть сообщение
                  Действительно, мы со биральси подготовить материалы для заполнения соответствующими подразделениями. Единственная на сегодняшний день проблема, с этим связанная, - отсутствие понимания того, как результаты описательной работы должны оформляться и на основании чего такая работа должна проводиться?
                  Оформляться как раз понятно как - IDEF0. А вот кто это будет описывать - основная проблема. Я недавно участвовал в одном проекте по ПДн - так там даже сами бизнес-подразделения не могдли адекватно описать то, что они делают, что им приходит на входе и что они отдают на выходе. Очень уж непростая задача... ;-(

                  Комментарий

                  Обработка...
                  X