Какие могут взаимоотношения между СУИБ (27001) и Системой противодействия мошенничеством?

Какие могут взаимоотношения между СУИБ (27001) и Системой противодействия мошенничеством?

Брат- Сестра или Отец - Сын?
Ведь СУИБ покрывает риски связанные с персоналом ( внутренний персонал ,поставщики и третьи лица )? Буду рад услышать мнения экспертов.

13 days ago

12 comments

Georgiy Kuznetsov ИМХО, тут нужно уточнить, в контексте чего-то или вообще. Ибо мировая практика в этом плане, как мне думается, отличается от отечественной.

alexandr varlamov В контексте - взаимоотношений руководителей двух систем

Maksym Pomerko на мой взгляд, эти области равнозначны и пересекаются только в части "возможность" треугольника мошенничества:

Цитирую блог Владимира Матвийчука:
• Возможность – обычно слабость системы внутреннего контроля или возможность ее обойти. [...]
• Давление – факторы, заставляющие идти на злоупотребление (например, финансовая нужда). Ни что так не создает финансовую нужду как финансовый кризис.
• Оправдание – способность оправдать совершение противоправных действий (например, «все воруют – чем я хуже?»). Имея возможность и находясь под давлением внешних факторов, найти оправдание своим действиям очень легко.

Pasted from <http://notesonthecuff.blogspot.com/2011/02/blog-post.html>

В свою очередь, СУИБ покрывает и другие риски, кроме нарушения целостности информации через слабость контроля доступа. Например, риск доступности ИТ сервисов, куда входит такой большой раздел как ВСР, а также вопросы составления соглашений об уровне сервиса (SLA).

Vladimir Gninyuk Если речь идет о мошенничестве связанном с информацией, как активом, то необходимо, в первую очередь обеспечить, в СУИБ контроли, направленные на защиту и мониторинг таких свойств как: confidentiality, integrity, authenticity, accountability, non-repudiation.

Акцент важен, так как факт наличия СУИБ не определяет множество и качество внедренных контролей.

Касательно взаимоотношение, разделяю мнение, что мы имеем дело с «пересечением»: когда «контроли» находятся в различных подразделениях, а задача службы CSO обьеденить их «в систему». При этом ничто не отрицает наличие отдельных подсистем – например, «противодействия мошенничеству».

Vladimir Tkachenko Владимир прав Саша. Единственное добавлю, в вашей ситуации вероятно нужно поступить так:

1) дождаться методический рекомендаций НБУ (выйдет в середине/конце февраля)
2) Если там требуются все контроли (133) то внедрить их в любом виде и потом совершенствовать до эффективного уровня
3) Более вероятно, что будет акцент на какие-то основные контроли (скорее всего правовая база внутренняя, политики, процедуры), а затем уже их техническое воплощение. В этом случае сосредотачиваетесь на организационных аспектах (риск комитет или комитет по ИБ, идентификация ресурсов СУИБ, классификация и владельцы, оценка рисков, вопросы HR, третьих сторон). Затем техническая реализация мероприятий по безопасности (контролей) - велкам ту заманчивый мир системных интеграторов.

Vladimir Gninyuk Украинским банкам "проще" - защита перечисленных свойств требуется со стороны НБУ.

В общем случае классикой при построении СУИБ является CIA, а в борьбе с мошенничеством - этого явно недостаточно. По крайней мере, решение должно быть принято осознано (например, после RA).

alexandr varlamov Но в принципе, если желание и возможности, контроли А8 можно углубить и расширить.
В итоге получаем СУИБ, а в А8 все что касается Системы противодействия мошенничеству.
Имеет ли право на жизнь такой организм?

Alexey Kornilov Политики не нужны, стандарты тоже ;)
Нужна сеть информаторов и своих людей в каждом подразделении банка, хорошо поставленная оперативная работа, периодические проверки на вшивость.

Maksym Pomerko Такой организм, думаю, имеет право на жизнь, однако, как правильно заметил Владимир, решение о выделении функции anti-fraud, подчинении или не-подчинении ее CISO должно быть принято обоснованно, с учетом того, какую важность данной функции придает топ-менеджмент, уровня данного риска и фактического ущерба от него в организации. Если принимать во внимание органиченность ресурсов, то, на мой взгляд, зона ответсвенности CISO может покрывать и систему противодействия мошенничеству, по-крайней мере в части создания системы внутреннего контроля.

Maksym Pomerko еще добавлю касательно ответсвенности CISO в отношении anti-fraud. Возможно, здесь можно применить подход, который применяется во внутреннем аудите (согласно международным стандартам и их трактовке Институтом внутренних аудиторов, дословно не помню): внутренние аудиторы не обязаны быть специалистами в области противодействия мошенничеству, однако должны иметь в виду данные риски и покрывать их в своей работе. Т.е., если попробовать провести аналогию (мне кажется, она уместна), то CISO не обязан быть anti-fraud officer, однако должен учитывать данные риски при построении СУИБ.

Vladimir Gninyuk к alexandr varlamov: для того, что бы переходить от общего к конкретному (вы например упоминули А8 или зон ответственности руководителей, о которых написал Максим), необходимо представлять ВАШУ модель (framework) системы управления предприятием и (на данном уровне - подсистемы) ИБ.

Это все нужно рассматривать в едином контексте иначе есть риск, что хорошие советы сыграют плохую роль. Например, А8 может быть достаточен и даже избыточен для построения контролей (управления), но надо быть уверенным, что вы будете своевременно и в полном обьеме получать информацию от систем мониторинга, и быть уверенным, что реагирование будет адекватным…

alexandr varlamov интересно, неужели никто с этим на практике не сталкивался?

Comments