22 октября, понедельник 03:12
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Третья редакция Стандарта Банка России (СТО БР ИББС-1.0-2008)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Третья редакция Стандарта Банка России (СТО БР ИББС-1.0-2008)

    уже не Проект третьей редакции Стандарта Банка России (СТО БР ИББС-1.0-2008).

    http://www.abiss.ru/news/detail.php?ID=1202
    Последний раз редактировалось box_roller; 23.01.2009, 14:04.

  • #2
    спасибо

    Комментарий


    • #3
      Коротенько так пробежался - http://lukatsky.blogspot.com/2008/09/blog-post_12.html

      Комментарий


      • #4
        Для меня достаточно важными являются замечания указнанные в несколько ироничной, но от этого не теряющей свою значимость статье.

        Если кратко:
        1. Путаница в парадигме и с определениями злоумышленник/нарушитель ИБ, собственник.
        2. Отсутствие модели нарушителя.
        3. Зачем в стандарт ввели расширенные требования к СМИБ не совсем понятно, ранее ведь планировался отдельный стандарт по этому направлению.
        4. Расширили термины и определения, вместо того чтобы опять же сделать отдельный стандарт, как ранее и планировалось

        От себя замечу, что есть информация, что во время комплексных проверок ЦБ РФ уже во всю пишет замечания в акт проверки с формулировками, что не выполняются требования СТО БР ИББС-1.0-2006.
        А, как всем известно, то, что написано в акте проверки в статусе замечания, обязательно к исправлению в достаточно короткий срок.
        Исправить кусками такие замечания с формальной точки зрения нельзя, соответственно придётся всё же внедрять стандарт официально с прицелом на оптимизацию затрат по внедрению и получение максимально возможных показателей. Т.е. опять всё сведётся к формалистике.

        Комментарий


        • #5
          Zuz

          Так почему бы не отправить эти комментарии разработчикам?

          Комментарий


          • #6
            to Алексей Лукацкий

            В лучших домах Лондона и Парижа, после фразы :"Вопросы и комментарии приветствуются.", оставляют контакты, по которым можно связаться с разработчиками... задать им вопросы и сообщить им свои комментарии

            На данный момент их ТУТ нет

            имхо А нужны ли им наши комментарии?

            Комментарий


            • #7
              На сайте технического комитета указано, что стандарт выложен для ознакомления см. http://www.techcom3623.ru/
              Комментарии, конечно, можно выслать по наработанным контактам, но на сайте ABISS их дейсвительно нет.
              Последний раз редактировалось Zuz; 15.09.2008, 13:04.

              Комментарий


              • #8
                Комментарии, конечно, можно выслать по наработанным контактам, но на сайте ABISS их дейсвительно нет

                Они есть тут - http://www.abiss.ru/contacts.php

                А нужны ли им наши комментарии?

                Были бы не нужны, не стали бы выкладывать проект. А раз выложили, то какую-то цель преследовали. Я вижу только одну - получить комментарии. В противном случае минусов от выкладывания больше чем плюсов.

                Комментарий


                • #9
                  Что форма, что электронный адрес периодически не работали, поэтому я перестал их воспринимать как рабочие, проверил, сейчас действительно работают.

                  Комментарий


                  • #10
                    Могу координаты координатора (Павла Гениевского) скинуть ;-)

                    Комментарий


                    • #11
                      Мне не надо, уже есть, спасибо, все необходимые контакты наработаны ;-)

                      Комментарий


                      • #12
                        Несколько месяцев назад на одной тусовке я дисскутировал с начальником отдела ФСТЭК на тему "параноидальности" многих документов этой уважаемой конторы. Я ему говорю, ну как вы так можете - принимаете документы, которые ориентированы на гостайну, на госструктуры и совершенно мешают бизнесу. А он мне в ответ: "А что надо бизнесу? Почему бизнес ни разу не сказал, что ему надо? Почему бизнес не вышел к нам с предложениями?" И я не нашелся, что ему ответить ;-( Хаить мы все гораздо, а вот предложить... Поэтому я так и настаиваю, чтобы все замечания были отосланы в АБИСС ;-)

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          начальником отдела ФСТЭК в ответ: "А что надо бизнесу? Почему бизнес ни разу не сказал, что ему надо? Почему бизнес не вышел к нам с предложениями?"
                          То есть по логике г-на из ФСТЭК они ВНАЧАЛЕ разработают документ, который будет обязателен для бизнеса, а потом начнут у бизнеса спрашивать - то они сделали или нет?
                          А не логичнее ли ПЕРЕД началом разработки любой бумаги поинтресоваться что надо сделать, а что нет, а уже потом приступить к ее составлению.
                          Это, конечно, при условии, что составляющие заинтересованы в развитиии бизнеса, а не своей кормушки.

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Несколько месяцев назад на одной тусовке я дисскутировал с начальником отдела ФСТЭК на тему "параноидальности" многих документов этой уважаемой конторы. Я ему говорю, ну как вы так можете - принимаете документы, которые ориентированы на гостайну, на госструктуры и совершенно мешают бизнесу. А он мне в ответ: "А что надо бизнесу? Почему бизнес ни разу не сказал, что ему надо? Почему бизнес не вышел к нам с предложениями?" И я не нашелся, что ему ответить ;-( Хаить мы все гораздо, а вот предложить... Поэтому я так и настаиваю, чтобы все замечания были отосланы в АБИСС ;-)
                            Это, конечно, здорово, но бизнесу от ФСТЭКа нужно только чтобы ФСТЭК ему не мешал Кроме того, процедура разработки методических документов просто не предполагает участие в ней бизнеса.

                            Вкратце процедура проста: появляется задача, под ее решение планируется НИР (секретный, естественно), этот НИР выполняется ведомственным подрядчиком, отчет о НИР (такой же секретный) принимается ведомственной комсииссей, несекретное приложение к отчету принимается в качестве методического документа. Где ж тут бизнесу поучаствовать?

                            Есть альтернативы - либо поступить, как ЦБ (замечания к промежуточным версиям высказывались как минимум компаниями-участниками ТК 362-3, про участников АБИСС - не знаю), либо работать в соответствии с законом оформлять документы в виде техничеких регламентов (а это минимум две промежуточные редакции, не считая замечаний профильных комитетов).

                            Ни ФСТЭК, ни ФСБ ни одна из этих альтернатив почему-то не устраивает

                            Комментарий


                            • #15
                              Berrimor А не логичнее ли ПЕРЕД началом разработки любой бумаги поинтресоваться что надо сделать, а что нет, а уже потом приступить к ее составлению.

                              А у кого поинтересоваться? Назовите конкретный орган, организацию, компанию, которая должна представлять интересы бизнеса.

                              по логике г-на из ФСТЭК они ВНАЧАЛЕ разработают документ, который будет обязателен для бизнеса, а потом начнут у бизнеса спрашивать - то они сделали или нет?

                              Не совсем. По логике г-на мз ФСТЭК бизнес должен сказать свои требования, под которые будет разработан документ. Или самим разработать документ и представить его в ФСТЭК на утверждение. А раз такой инициативы от бизнеса нет, то ФСТЭК это делает так, как умеет.

                              Я не оправдываю то, что делает ФСТЭК. Но в их словах есть доля истины.

                              malotavr Кроме того, процедура разработки методических документов просто не предполагает участие в ней бизнеса

                              Это уже другой вопрос.

                              Вкратце процедура проста:

                              Так ты рассказываешь процедуру исходя из текущей ситуации, когда бизнес не участвует. А если бы бизнес вышел с такой инициативой?

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                А если бы бизнес вышел с такой инициативой?
                                С какой? Бизнес может по собственной инициативе придти к регулятору в двух случаях:
                                - если у регулятора есть компетенция, которой нет у самого бизнеса
                                - если бизесу нужен гарант для взаимного сдерживания сторон

                                У ФСБ и МВД по крайней мере есть уникальные компетенции - криптография, проведение расследований. А что могло бы понадобиться от ФСТЭКа - я не очень представляю. Даже с ролью доверенного оценщика (при аттестации и сертификации) эта служба не справляется совсем.

                                Комментарий


                                • #17
                                  malotavr А что могло бы понадобиться от ФСТЭКа - я не очень представляю.

                                  А я тебе расскажу ;-) Роли могут быть следующие (не беря сертификацию и лицензирование):
                                  - орган, выдающий заключения по преступлениям в сфере ИТ (для страхования информационных рисков)
                                  - орган, разрабатывающий рекомендации по безопасности различных технологий (а-ля NIST)
                                  - орган, выступающий как единая точка контакта при расследований транснациональных ИТ-преступлений
                                  - ну и т.д.

                                  Я, конечно, идеализирую, но сценариев много. Было бы желание у самой ФСТЭК.

                                  Комментарий


                                  • #18
                                    Алексей Лукацкий
                                    Значит, наверное, пора создать организацию/ассоциацию/чегототам, которая будет заниматься представлением интересов бизнеса в госструктурах с точки зрения ИБ.
                                    DLP-эксперт создали? Ну вот то же самое, только в профиль. На инфосекьюрити хороший повод для круглого стола.

                                    Комментарий


                                    • #19
                                      Сообщение от sunny Посмотреть сообщение
                                      Алексей Лукацкий
                                      Значит, наверное, пора создать организацию/ассоциацию/чегототам, которая будет заниматься представлением интересов бизнеса в госструктурах с точки зрения ИБ.
                                      Это очень широко и, соответственно, не подъемно. В рамках банковской системы РФ такая организация есть - АРБ. Вопрос в том захочет ли (сможет ли) она представлять банки РФ в структурах типа ФСТЭК.

                                      Комментарий


                                      • #20
                                        sunny Значит, наверное, пора создать организацию/ассоциацию/чегототам, которая будет заниматься представлением интересов бизнеса в госструктурах с точки зрения ИБ.

                                        Либо через Торгово-промышленную палату это делать ;-) У нее вес больше. А плодить очередную бюрократическую структуру...

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          sunny Значит, наверное, пора создать организацию/ассоциацию/чегототам, которая будет заниматься представлением интересов бизнеса в госструктурах с точки зрения ИБ.

                                          Либо через Торгово-промышленную палату это делать ;-) У нее вес больше. А плодить очередную бюрократическую структуру...
                                          Либо привлечь к разработке специалистов, которые знают тему. Например Алексея Лукацкого, Malotavr-а и т.д.. Только они привлекаться не захотят - условия привлечения непривлекательные. Так и живем.

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Коротенько так пробежался - http://lukatsky.blogspot.com/2008/09/blog-post_12.html
                                            Вы пропустили очень важную идеологическую составляющую п.5.20. Этот пункт делит людей (не процессы) на три сорта - полная дискриминация и внедрение классового неравенства. Наличие приписки, типа составляют единое целое, оправданием являться не может.

                                            Комментарий


                                            • #23
                                              Идущий Либо привлечь к разработке специалистов, которые знают тему.

                                              Ошибочка ;-) Я готов привлечься ;-) Только нужно четкое понимание, что от нашего привлечения будет результат. Т.е. привлекать нужно весомой организации ;-)

                                              Комментарий


                                              • #24
                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                Идущий Либо привлечь к разработке специалистов, которые знают тему.

                                                Ошибочка ;-) Я готов привлечься ;-) Только нужно четкое понимание, что от нашего привлечения будет результат. Т.е. привлекать нужно весомой организации ;-)
                                                Рад читать Ваш ответ. Жаль только, что я не работаю в этих организациях. Надеюсь они посещают данный форум и воспользуются Вашей готовностью.

                                                Комментарий


                                                • #25
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  Либо привлечь к разработке специалистов, которые знают тему. Например Алексея Лукацкого, Malotavr-а и т.д.. Только они привлекаться не захотят - условия привлечения непривлекательные. Так и живем.
                                                  То есть вы предлагаете привлечь к разработке Банковского стандарта в качестве экспертов со стороны банков, людей, которые в этих самых банках не работают?

                                                  Комментарий


                                                  • #26
                                                    Berrimor речь не только и не столько сейчас о банковском стандарте, сколько об ИБ в бизнесе в целом.
                                                    АРБ и АБИСС есть у банков, но регуляторы регулируют ИБ не только в банках, но и в целом. Помнится, в 2006 или 2007 году был новый проект ФЗ об ЭЦП - и где он теперь? Это к примеру.

                                                    Комментарий


                                                    • #27
                                                      Алексей Лукацкий не бюрократическую структуру, а совет, лёгкий на подъём. Уже не веб-форум, но ещё не заседание пленума ЦК.
                                                      Участники должны знать цели госрегуляторов, помимо целей своих бизнесов, чтобы генерить адекватные и взвешенные решения, отвечающие целям тех и других. Адекватностью предложений и будет обеспечиваться "весомость структуры". Хотя, если есть уже готовая весомая структура, вроде какой-нибудь Палаты или Думы - так это просто замечательно
                                                      Но номер этой Палаты должны знать все заинтересованные в развитии ИБ лица

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Berrimor Посмотреть сообщение
                                                        То есть вы предлагаете привлечь к разработке Банковского стандарта в качестве экспертов со стороны банков, людей, которые в этих самых банках не работают?
                                                        Я предлагаю привлечь к разработке тех, кто хоть что-то знает. Достало работать с людьми, которые делают вид что они что-то знают. Сам я себя специалистом с достаточной квалификацией не считаю.
                                                        Я так же считаю, что людей, которые знают ВСЕ найти невозможно. Они очень хорошо прячутся - они же все знают(включая то, что их будут искать).

                                                        Комментарий


                                                        • #29
                                                          Сообщение от sunny Посмотреть сообщение
                                                          Berrimor речь не только и не столько сейчас о банковском стандарте, сколько об ИБ в бизнесе в целом.
                                                          Вы посмотрите внимательно как называется топик куда Вы пишете.
                                                          Здесь говорили, что надо привлекать бизнес, в качестве "обратной связи".
                                                          Надо, конечно. Но именно тот бизнес, для которого этот стандарт и создается. Следовательно - работников банков.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Berrimor Посмотреть сообщение
                                                            Вы посмотрите внимательно как называется топик куда Вы пишете.
                                                            Здесь говорили, что надо привлекать бизнес, в качестве "обратной связи".
                                                            Надо, конечно. Но именно тот бизнес, для которого этот стандарт и создается. Следовательно - работников банков.
                                                            Только так и надо делать.
                                                            По топикам этого раздела походите - Вы там найдете предложения о найме переводчиков для общения спецов ИБ и "бизнеса". Люди работающие в одной организации друг друга не понимают - им переводчики с русского на русский требуются. Здесь на форуме специалисты ИБ друг друга понять не могут.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X