19 октября, пятница 15:51
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Семинар по внедрению стандарта ЦБ - краткий отчет

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Семинар по внедрению стандарта ЦБ - краткий отчет

    Коллеги,
    ответы на некоторые ваши вопросы были получены от представителей УБЗИ МГТУ. Что отрадно, докладчики представляли не оценивающую сторону, а оцениваемую, и рассказывали о том, как трактуют стандарт они сами и как они проходили внешнюю проверку.

    К сожелению, большая часть практических моментов быласвязана с МГТУшной спецификой (вряд ли мы сможем выделить на заклеивание портов бюджет из рассчета 16 долларов на ПК). Однако на некоторые моменты хотелось бы обратить ваше внимание.

    1, и самое главное. Стандарт предназначен для оценки не полноты или "правильности" мер защиты, а уровня зрелости процессов ИБ. Стандарт перечисляет те механизмы защиты, которые банк должен иметь в виду при создании СУИБ. Грубо говоря, если для банка неактуальна антивирусная защита, то он должен а) прямо прописать это в политике информационной безопасности и б) предусмотреть в СУИБ процессы пересмотра этого решения (если появились актуальные вирусы или внедрена новая система и т.п.). Тогда понятно, что механизм не забыли, а приняли осознанное решение его не использовать.

    2. В ЦБ нет единого мнения о будущем стандарта. Слухи о том, что он будет обязательным, муссируются, но это только слухи. В частности, было отрадно услышать от руководства УБЗИ подтверждение тезиса о том, что у ЦБ нет правовых оснований навязывать банкам использование определенных решений или требований ИБ.

    3. Сответственно, нет правовых оснований наказывать банки за отступление от стандарта. Реальных механизмов воздействия два: а) соответствие стандарту требуется для подключения к БЭСП (причем соответствие требуется только для платежной подсистемы, а не для всей инфраструктуры) и б) высокие риски ИБ - это высокие операционные риски, и ЦБ может потребовать от банка увеличить резервы (в принципе, разумно)

    4. Интересный вопрос с "признанием" оценки, проводимой членами АБИСС. Строго говоря, у результатов такой оценки нет никакого правового статуса. То есть ЦБ эти результаты уважает, но никакими нормативными документами это признание не оформлено.

    5. Отдельный момент про адимнистраторов ИБ. В МГТУ администратор ИБ - это не администратор СЗИ, а дицо, отетственное за ИБ в данном подразделении. Грубо это человек, который, помимо сових основных обязанностей, следит за выполнением документированных требований и контактирует с УБЗИ. Чаще всего это не техничемский специалист!

    В целом было интересно - видно, что на людям приходится иметь дело с большим количеством инцидентов и с большой территориально распределенной системой. Но нужно иметь в виду, что в ИБ были вбуханы немыслемые для нас бюджеты - внедрение стандарта прозодило на фоне скандала с утечкой платежной информации, и с финансированием у людей проблем не было.

  • #2
    по п.1. Подход взят из iso 27001. Если мера нужна, пишешь что сделано, если нет, пишешь - почему не нужна.

    по п.3. "б) высокие риски ИБ - это высокие операционные риски, и ЦБ может потребовать от банка увеличить резервы (в принципе, разумно)" - может они СТО БР ИББС через требования Basel II протащат?

    по п.5. "отетственное за ИБ в данном подразделении" - это как ответственный за качество в подразделении (iso 9000). Они по ходу разделяют "администратора ИБ" и "администратора средств ИБ".

    Комментарий


    • #3
      Сообщение от box_roller Посмотреть сообщение
      по п.3. "б) высокие риски ИБ - это высокие операционные риски, и ЦБ может потребовать от банка увеличить резервы (в принципе, разумно)" - может они СТО БР ИББС через требования Basel II протащат?
      Могут. Но по мнению докладчиков это произойдет не скоро.

      Сообщение от box_roller Посмотреть сообщение
      по п.5. "отетственное за ИБ в данном подразделении" - это как ответственный за качество в подразделении (iso 9000). Они по ходу разделяют "администратора ИБ" и "администратора средств ИБ".
      Да. У них администратор СЗИ - это сотруденик УБЗИ, их всего десяток на все МГТУ. Администратор ИБ - это сотрудник структурного подразделения.

      Комментарий


      • #4
        Да. У них администратор СЗИ - это сотруденик УБЗИ, их всего десяток на все МГТУ. Администратор ИБ - это сотрудник структурного подразделения

        Причем делают это не первый год ;-) Я еще на старой работе, проводя обследования ряда ГУ ЦБ сталкивался с этой приятной особенностью.

        Комментарий

        Пользователи, просматривающие эту тему

        Свернуть

        Присутствует 1. Участников: 0, гостей: 1.

        Обработка...
        X