23 апреля, вторник 04:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Конференция АРБ "О реализации требований закона 152-ФЗ" 29 сентября

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Конференция АРБ "О реализации требований закона 152-ФЗ" 29 сентября

    Ассоциация российских банков 29 сентября 2010 года проводит конференцию "О реализации требований Федерального закона "О персональных данных" (http://www.arb.ru/forums/conf152FZ/3/#) кто собирается участвовать?

  • #2
    Если честно, то неудачное время они выбрали. Статистики по применению нового СТО еще нет. Как нет и результатов по Резниковскому законопроекту. Чего обсуждать тогда? Выслушивать мнение регуляторов, что они за СТО? Так это и так понятно.

    Комментарий


    • #3
      Довелось побывать на этом мероприятии. Краткий очерк есть в моем блоге: http://secinsight.blogspot.com/2010/10/3-152.html

      В целом ничего нового или революционного не прозвучало. До 1-го января осталось 3 месяца, но похоже уже все прекрасно понимают, что банков, внедривших СТО БР полностью (как указано в письме шести) будут единицы.

      Комментарий


      • #4
        Сообщение от Александр Бондаренко Посмотреть сообщение
        Довелось побывать на этом мероприятии. Краткий очерк есть в моем блоге: http://secinsight.blogspot.com/2010/10/3-152.html

        В целом ничего нового или революционного не прозвучало. До 1-го января осталось 3 месяца, но похоже уже все прекрасно понимают, что банков, внедривших СТО БР полностью (как указано в письме шести) будут единицы.
        А в каком месте письма шести говорится о внедривших ПОЛНОСТЬЮ? Таких банков вообще в России нет

        Комментарий


        • #5
          Из письма шести:

          5. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
          6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.


          Если конечно разработчики письма под "документ о подтверждении соответствия" понимали в том числе результаты самооценки, которые показывают полное несоответствие требованиям стандарта, то тогда пожалуй использована не совсем правильная формулировка....

          Комментарий


          • #6
            Сообщение от Александр Бондаренко Посмотреть сообщение
            Если конечно разработчики письма под "документ о подтверждении соответствия" понимали в том числе результаты самооценки, которые показывают полное несоответствие требованиям стандарта, то тогда пожалуй использована не совсем правильная формулировка....
            У вас не совсем верное понимание сути оценки соответствия по СТО ;-) У вас вообще не может быть НЕСООТВЕТСТВИЯ. В принципе. Вы всегда соответствуете. Только уровень соответствия у вас будет варьироваться от 0 до 5. По СТО требуется выше 4-х. Но и ниже тоже возможно, особенно на первых порах приведения себя в соответствие.

            Поэтому когда в письме шести написано сообщить о подтверждении соответствия, то это значит, что вы должно сообщить об уровне. У кого-то он 0.7, у кого-то 2.3, а у кого-то 4.1.

            Комментарий


            • #7
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              уровень соответствия у вас будет варьироваться от 0 до 5. По СТО требуется выше 4-х. Но и ниже тоже возможно, особенно на первых порах приведения себя в соответствие.

              Поэтому когда в письме шести написано сообщить о подтверждении соответствия, то это значит, что вы должно сообщить об уровне. У кого-то он 0.7, у кого-то 2.3, а у кого-то 4.1.
              Коллеги, Исходя из п.4.11 документа PC БР ИББС-2.1-2007 "Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0":

              "Полученное по результатам самооценки значение итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС 1.0, соответствующее интервалу от 0,85 до 1 включительно, является рекомендуемым Банком России".
              О каких таких от 0 до 5 идёт речь? Чего-то я не понимаю.

              Комментарий


              • #8
                Сообщение от ost Посмотреть сообщение
                О каких таких от 0 до 5 идёт речь? Чего-то я не понимаю.
                "0,85" - это 4 уровень соответствия, "1" - это пятый

                Комментарий


                • #9
                  Сообщение от Toparenko Посмотреть сообщение
                  "0,85" - это 4 уровень соответствия, "1" - это пятый
                  Спасибо, но я хотел бы понять откуда это вытекает.
                  Где определены эти уровни?

                  Комментарий


                  • #10
                    Сообщение от ost Посмотреть сообщение
                    Спасибо, но я хотел бы понять откуда это вытекает.
                    Где определены эти уровни?
                    СТО БР ИББС-1.2-2010
                    11.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
                    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
                    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
                    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
                    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
                    Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
                    11.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:
                    — оценки уровня осознания ИБ организации (EV3);
                    — оценки менеджмента ИБ организации (EV2);
                    — оценки текущего уровня ИБ организации (EV1).
                    11.3. Полученное в результате оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0 значение R является основой для формирования аудиторского заключения по результатам аудита ИБ.

                    Комментарий


                    • #11
                      Сообщение от ost Посмотреть сообщение
                      О каких таких от 0 до 5 идёт речь? Чего-то я не понимаю.
                      В документе "Описание формы предоставления результатов оценки.." есть таблица соответствия уровням шкалы COBIT : от 0 до 5

                      Комментарий

                      Пользователи, просматривающие эту тему

                      Свернуть

                      Присутствует 1. Участников: 0, гостей: 1.

                      Обработка...
                      X