Бумажный журнал в серверной

Бумажный журнал в серверной

Коллеги,

Как вы знаете, существует постановление НБУ №243 от 04.07.2007 "Про затвердження Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи", в котором широко используется понятие "журнал на паперових носіях":
"4.10. У кожному серверному приміщенні та приміщенні
електронних архівів повинен вестися журнал на паперових носіях, у
якому відображаються:
дата та час відкриття і закриття кімнати;
прізвище працівника, який відвідав кімнату;
опис проведених робіт. "

Делая скидку на то, что постановление было принято более трех лет тому, могу предположить, что существует разъяснение, позволяющее вместо бумажного вести электронный журнал. Так ли это? Или во всех банковских серверных/коммутационных ведутся бумажные журналы?

7 days ago

20 comments

Vladimir Matviychuk, CISA, CISM Когда Ивченко презентовала данную постанову, были комментарии в стиле "задолбали вы своими бумажными журналами и пластилиновыми печатями". И она обещала внести оговорку, что "если не ведется журнал в электронном виде". Видно забыла :(

А в 112-й (Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України) уже электронный журнал упоминается.

Все как в нашем законодательстве. :-\

И спросить не с кого уже :(

Aleksey Nagorniy Может кто-то обращался в управление защиты информации НБУ за разъяснениями этих пунктов 243-го постановления?

Viktor Chmel У нас на папері ведуть. Як на мене, це зручніше і простіше, бо і роботи, і запис про них робиться в одному місці з мінімальною перервою.
А як би була якась спільна папка на Exchange, то гарантовано забували б туди заносити інформацію.

Aleksey Nagorniy СКД, камеры наблюдения в каждом ряду и организационные меры никому не позволят забыть внести информацию.

Alexey Kornilov Владимир, "спросить не с кого уже" - все уже так плохо в НБУ?
Ну хоть Ивченко осталась? И по прежнему непонятно как оно будет с 27001.

Alexey Kornilov А по теме - мы ведем и электронный и бумажный варианты журналов. НБУ проверяет только бумажный.

Vladimir Matviychuk, CISA, CISM 2Alexey Kornilov - ситуация с Ивченко не понятна. Ходили слухи, что ее отправили на пенсию в рамках программы по сокращению расходов. На летнем цебите она якобы выступал уже в качестве не то советника не то независимого эксперта. На телефонные звонки (нацбанковский номер) не отвечает.
Это все, что знаю. Если у кого-то есть более точная информация - буду признателен.

Volodymyr Styran Вернемся к журналу. Я, может быть, непопулярную идею выскажу, но как по мне, то бумажный журнал регистрации доступа в серверную -- это нормально. Во-первых, нечего туда часто ходить, а для редких случаев "бумажный" контроль вполне приемлем. Во-вторых, таким образом можно усилить требование ходить в серверную "парами", что существенно понизит риск травм у персонала.

Gleb Paharenko Возможо в банках в серверные заходят редко :)

Но в телекомах и ИТ сервисных компаниях могут быть огромные датацентры и туда постоянно кто-то ходит :-(

Vladimir Matviychuk, CISA, CISM Зависит от постановки процесса. В моей прошлой жизни (в банке) в серверную ходили за каждым чихом. Пока не появилось правило - в серверную нельзя, пока не получишь разрешения у административного директора. После этого посещаемость серверной резко упала.

Volodymyr Yushchyshyn Я вважаю, в принципі ідея морально застаріла. На мою думку потрібна хороша організація контролю за електронними картками доступу. Або біометрична система доступу.
Для Володимира - Ви якби заходили хоч колись в серверну, то Ваша думка би змінилась.

Vladimir Matviychuk, CISA, CISM Если это ко мне, то я ходил в серверную. Четыре года по несколько раз ко дню.
А биометрическая система не заменит журнала, не важно в каком виде он - в бумажном или электронном. Суть контроля не только в идентификации.

Volodymyr Styran 2Volodymyr Yushchyshyn, якщо ви мені, то повірте, були часи, коли я там бував, і не рідко ;) Причому серверні належали дуже різним компаніям, відповідно режим доступу, також, був різний. Деколи доходило до комізму.

Volodymyr Yushchyshyn Для Vladimir Matviychuk - я в принципі не Вас мав на увазі. Але електронна система ведення журналу мені більше подобається, тому що не потрібно контролю за веденням паперового журналу як такого, а це ресурси.

Vladimir Matviychuk, CISA, CISM Все оно так, но если в постанове сказано "паперовий", то без вариантов.
Мы в свое время поверх электронных замков лепили пластилиновые печати для нацбанковского аудита. Спорить было бесполезно

Boris Kosyakov Коллеги,
к сожалению, соответствие требованиям регулятора и безопасность плюс целесообразность не всегда совпадают :-(

Vladimir Matviychuk, CISA, CISM Я бы сказал редко совпадают. Но нужно помнить, что регулятор пишет под себя (НБУ тоже должно выполнять свои постановы) , а потом делает требование общим для всех. Вот тут нюансы в вылезают.

Vladimir Tkachenko Ивченко уволена по достижению пенсионного возраста приказом по НБУ как у них принято в августе или начале сентября не помню точно я уточнял.

2Алексей: Сорри забыл дать телефон тебе НБУ отдела ТЗИ уже отправил СМС. По бумажным журналам и пластилиновым печатям мое личное мнение ничего проще и лучше нет (они не требуют питания, средств отображения и прочей электроники). Но касательно вопроса, конечно если есть системы контроля доступа (видео, проксимити, биометрия и др., то скорее всего недостатком это не запишут.

Vladimir Matviychuk, CISA, CISM Влидимир, а кто сейчас исполняет ее обязанности?

Vladimir Tkachenko Сейчас И.О. Лукьянов Дмитрий Александрович.
т.527-38-41 (раньше такой был, по идее не менялся) Ну или по телефонам Ивченко.
Он в должности зам. нач. управления защиты информации - нач. отдела анализа и разработки программных систем защиты информации .

Comments