23 мая, четверг 20:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Конференция АРБ "О реализации требований закона 152-ФЗ" 29 сентября

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Конференция АРБ "О реализации требований закона 152-ФЗ" 29 сентября

    Ассоциация российских банков 29 сентября 2010 года проводит конференцию "О реализации требований Федерального закона "О персональных данных" (http://www.arb.ru/forums/conf152FZ/3/#) кто собирается участвовать?

  • vilis
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    О каких таких от 0 до 5 идёт речь? Чего-то я не понимаю.
    В документе "Описание формы предоставления результатов оценки.." есть таблица соответствия уровням шкалы COBIT : от 0 до 5

    Прокомментировать:


  • Toparenko
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    Спасибо, но я хотел бы понять откуда это вытекает.
    Где определены эти уровни?
    СТО БР ИББС-1.2-2010
    11.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
    11.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:
    — оценки уровня осознания ИБ организации (EV3);
    — оценки менеджмента ИБ организации (EV2);
    — оценки текущего уровня ИБ организации (EV1).
    11.3. Полученное в результате оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0 значение R является основой для формирования аудиторского заключения по результатам аудита ИБ.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Toparenko Посмотреть сообщение
    "0,85" - это 4 уровень соответствия, "1" - это пятый
    Спасибо, но я хотел бы понять откуда это вытекает.
    Где определены эти уровни?

    Прокомментировать:


  • Toparenko
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    О каких таких от 0 до 5 идёт речь? Чего-то я не понимаю.
    "0,85" - это 4 уровень соответствия, "1" - это пятый

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    уровень соответствия у вас будет варьироваться от 0 до 5. По СТО требуется выше 4-х. Но и ниже тоже возможно, особенно на первых порах приведения себя в соответствие.

    Поэтому когда в письме шести написано сообщить о подтверждении соответствия, то это значит, что вы должно сообщить об уровне. У кого-то он 0.7, у кого-то 2.3, а у кого-то 4.1.
    Коллеги, Исходя из п.4.11 документа PC БР ИББС-2.1-2007 "Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0":

    "Полученное по результатам самооценки значение итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС 1.0, соответствующее интервалу от 0,85 до 1 включительно, является рекомендуемым Банком России".
    О каких таких от 0 до 5 идёт речь? Чего-то я не понимаю.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от Александр Бондаренко Посмотреть сообщение
    Если конечно разработчики письма под "документ о подтверждении соответствия" понимали в том числе результаты самооценки, которые показывают полное несоответствие требованиям стандарта, то тогда пожалуй использована не совсем правильная формулировка....
    У вас не совсем верное понимание сути оценки соответствия по СТО ;-) У вас вообще не может быть НЕСООТВЕТСТВИЯ. В принципе. Вы всегда соответствуете. Только уровень соответствия у вас будет варьироваться от 0 до 5. По СТО требуется выше 4-х. Но и ниже тоже возможно, особенно на первых порах приведения себя в соответствие.

    Поэтому когда в письме шести написано сообщить о подтверждении соответствия, то это значит, что вы должно сообщить об уровне. У кого-то он 0.7, у кого-то 2.3, а у кого-то 4.1.

    Прокомментировать:


  • Александр Бондаренко
    Участник ответил
    Из письма шести:

    5. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
    6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.


    Если конечно разработчики письма под "документ о подтверждении соответствия" понимали в том числе результаты самооценки, которые показывают полное несоответствие требованиям стандарта, то тогда пожалуй использована не совсем правильная формулировка....

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от Александр Бондаренко Посмотреть сообщение
    Довелось побывать на этом мероприятии. Краткий очерк есть в моем блоге: http://secinsight.blogspot.com/2010/10/3-152.html

    В целом ничего нового или революционного не прозвучало. До 1-го января осталось 3 месяца, но похоже уже все прекрасно понимают, что банков, внедривших СТО БР полностью (как указано в письме шести) будут единицы.
    А в каком месте письма шести говорится о внедривших ПОЛНОСТЬЮ? Таких банков вообще в России нет

    Прокомментировать:


  • Александр Бондаренко
    Участник ответил
    Довелось побывать на этом мероприятии. Краткий очерк есть в моем блоге: http://secinsight.blogspot.com/2010/10/3-152.html

    В целом ничего нового или революционного не прозвучало. До 1-го января осталось 3 месяца, но похоже уже все прекрасно понимают, что банков, внедривших СТО БР полностью (как указано в письме шести) будут единицы.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Если честно, то неудачное время они выбрали. Статистики по применению нового СТО еще нет. Как нет и результатов по Резниковскому законопроекту. Чего обсуждать тогда? Выслушивать мнение регуляторов, что они за СТО? Так это и так понятно.

    Прокомментировать:

Пользователи, просматривающие эту тему

Свернуть

Присутствует 1. Участников: 0, гостей: 1.

Обработка...
X