24 ноября, вторник 17:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по Стандарту СТО БР ИББС и Рекомендациям РС БР ИББС-2.9-2016

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы по Стандарту СТО БР ИББС и Рекомендациям РС БР ИББС-2.9-2016

    Здравствуйте!
    1. Банк присоединился к стандарту СТО БР ИББС.
    Значит ли это, что "теперь" выполнение всех требований и РЕКОМЕНДАЦИЙ из Стандарта является обязательным ?
    2. Как Вы все знаете, в мае этого года появились Рекомендации в области стандартизации РС БР ИББС-2.9-2016
    "Обеспечение ИБ организаций БС РФ. Предотвращение утечек информации".
    Обязывает ли ЦБ выполнять все требования этой Рекомендации или это действительно "рекомендации" ?
    Особенно интересуют мнения по приобретению систем, обеспечивающих инструментальную поддержку решения задач...
    (системы фрод-мониторинга, dlp-системы и другие системы по ИБ).
    Считаем, что в том или ином виде все банки на сегодня что-то наверняка имеют и делают в этом плане.


  • #2
    из письма-обращения ЦБ
    "Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. В соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении"

    Комментарий


    • #3
      Сообщение от nightrus Посмотреть сообщение
      из письма-обращения ЦБ
      "Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. В соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении"
      Перевожу на нормальный язык.

      Есть нормативные документы, проверять исполнение которых Банк России имеет право и даже, не побоюсь этого слова, обязан (например, 382-П).
      В этих документах требования сформулированы в очень общем виде (буквально одной строчкой).

      Если в одном из таких документов есть требование "контролировать утечки" И вы добровольно прописали в своих нормативных документах, что руководствуетесь СТО БР, то Банк России при проверке имеет право сказать: "Ай-яй-яй, как нехорошо, сказали, что выполняете это требование так, как написано в СТО БР, а на самом деле это не так. Обманули, получается, А обман наказуем, знаете ли".

      Если такое нормативное требование есть, но вы НЕ прописали в своих нормативных документах, что руководствуетесь СТО БР, тогда у вас должен быть свой собственный документ, который прописывает, как это требование выполняется. Проверять вас будут по нему, но при проверке в качестве "эталона" все равно будут держать в голове соответствующие рекомендации из СТО БР. Но за их формальное невыполнение наказать не смогут, будут искать другое формальное основание.

      Если такого нормативного требования нет, то у Банка России формально нет полномочий проверять, выполняете ли вы рекомендации по стандартизации в этой части или нет.

      Комментарий


      • #4
        Сообщение от malotavr Посмотреть сообщение

        Если такое нормативное требование есть, но вы НЕ прописали в своих нормативных документах, что руководствуетесь СТО БР, тогда у вас должен быть свой собственный документ, который прописывает, как это требование выполняется. Проверять вас будут по нему, но при проверке в качестве "эталона" все равно будут держать в голове соответствующие рекомендации из СТО БР. Но за их формальное невыполнение наказать не смогут, будут искать другое формальное основание.
        Добавлю лишь, что будет ещё хуже. К вам придёт проверяющий, который нечего не знает об ИБ, но перед которым стоит задача провести проверку по 382-П. И именно в СТО БР он и полезет за комментариями и разъяснениями, а потом будет втирать вам, что правильно делать вот так (как написано в СТО БР), а не как сделали вы.

        Комментарий


        • #5
          Сообщение от Berckut Посмотреть сообщение
          Добавлю лишь, что будет ещё хуже. К вам придёт проверяющий, который нечего не знает об ИБ, но перед которым стоит задача провести проверку по 382-П. И именно в СТО БР он и полезет за комментариями и разъяснениями, а потом будет втирать вам, что правильно делать вот так (как написано в СТО БР), а не как сделали вы.
          Разумеется. Но если банк "не присоединившийся", и у него действительно нормально, пусть по-своему, реализована данная мера, то нервы он, конечно, помотает, но без серьезных последствий

          Комментарий

          Обработка...
          X