НБУ прийняв ISO/IES 27001:2005 та ISO/IES 27002:2005 галузевими банківськими стандартами

НБУ прийняв ISO/IES 27001:2005 та ISO/IES 27002:2005 галузевими банківськими стандартами

Відповідно до статті 7 Закону України “Про Національний банк України” і статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України постановляє:

1. Увести в дію такі галузеві стандарти України (далі – галузеві стандарти):
ГСТУ СУІБ 1.0/ISO/IES 27001:2010 “Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги” (ISO/IES 27001:2005, МОD);
ГСТУ СУІБ 2.0/ISO/IES 27002:2010 “Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою” (ISO/IES 27002:2005, МОD).

2. Департаменту інформатизації (А.С.Савченко) протягом 10 днів після державної реєстрації цієї постанови в Міністерстві юстиції України довести її зміст та галузеві стандарти до відома банків України для керівництва і використання в роботі.

3. Банкам України впровадити галузеві стандарти до 01.01.2011.

.....................................


http://bank.gov.ua/B_zakon/Draft/02022010/27001.pdf
http://bank.gov.ua/B_zakon/Draft/02022010/proekt.pdf

8 months ago

Stanislav Varyukhno (Variukhno) Жесть... Интересно, внедрение будет контролироваться?

Valentin Sysoev Цікаво, хто буде перевіряти на відповідність стандарту: НБУ особисто, чи треті компанії, ліцензовані НБУ....

Gleb Paharenko Добавлю ссылку на 27002:
http://bank.gov.ua/B_zakon/Draft/02022010/27002.pdf

ИМХО, НБУ в плане защиты информации достаточно прогрессивная структура. Спасибо им за то что на законодательном уровне способствуют развитию рынка и акцентируют внимание на ИТ-рисках.

Volodymyr Styran Коллеги, я соглашусь, что в целом обучение банковских сецов по ИБ требованиям ISO -- это хорошо. Но внедрить за год 27001 в крупном банке... Как вы себе это представляете? Или у нас уже все готово, и осталось только документы обновить? Хотелось бы услышать мнение банкиров.

С другой стороны, НБУ еще в 2006 году поднимал эту тему, так что они на этот вопрос могут ответить в духе "А чего вы, собственно, ждали?"

Valentin Sysoev Щодо мого банку, то дійсно уже все давно готово :)
Згоден, що за рік це нереально зробити, і думаю, що НБУ і не буде цього вимагати, а просто хоча б почати процес. Хоча, дійсно, НБУ намагалося зробити це уже декілька років і всі про це знали, не кажучи вже, що будь-який банк сам повинен був приводити свою інформаційну безпеку в порядок.
Чекаємо роз"яснень від НБУ.

Sergii Liulchenko Я перепрошую, але в мене питання: один я читаю "ПРОЕКТ", чи є десь і ПОСТАНОВА?

PS
2 Volodymyr Styran: За рік ніхто його не впровадить в повному обсязі - гарантія 100%. Максимум - зовнішні консалтери трошки дірок залатають. Ну а якщо для галочки - пуркуа б і не па?

Volodymyr Styran Ні, ну в принципі реально. Якщо найняти 10 мега-брейнів з біг4 і запланувати безлімітний бюджет по грошах і внутрішніх л/г. Але ж мегабрейнів на всіх не вистачить, та й бюджет нині не дуже щоб гумовий був. Так що я вагаюся, але згодний -- слабо досяжно.

Oleksandr Andriyanov Как бы последовательность в этом есть (в постановлении НБУ №243 уже прослеживалось).

По поводу банков - там вовсе не все так запущено, как хотелось бы нам.

Известные мне дочки европейских банков проводят ежеквартальные аудиты на соответствие ISO 17799/27001.

Дочки российских банков настроены скептически, однако после того самого постановления НБУ №243 стали включать эти требования в технические задания по проектным работам, которые связаны с оборудованием серверных и ЦОД, что уже харрактерно.

Вцелом же, учитывая специфику нашей страны, эти постановления надо рассматривать как рычаг давления на банки.

И отвечая на вопрос "кто будет этим заниматься?"
Конечно специалисты сертифицированные ISACA.
- Внутренние банковские специалисты безопасности.
- Безопасники аудиторских компаний.
- Безопасники дружеских банкам компаний.

p.s.
Это не постанова, но требования (отраслевой стандарт). см первую ссылку в новости.

Sergii Liulchenko Александр, а почему спецы от ИСАКИ на первом месте? Вроде это родной британский стандарт (BSI) - ИСАКА как бы не в первых рядах в данном случае. А у БСИ и свои спецы есть :) И не вижу в списке собственно аудиторов :)

И что требования - хорошо, но их никто пока не обязывал внедрять. Вот будет постанова - тогда вперед с песней. Или я ошибаюсь?

Oleksandr Andriyanov Сергей, спасибо за замечание. :)

Опыт приводит к обобщению, а обобщение к ошибкам.

Стандарт конечно британский, но, например, французы уже делают оговорку Европейский.

По опыту - европейских дочек мне пока не известны прецеденты приглашения специалистов BSI. Либо из "материнского" банка кого-то приглашали, либо локально с кем-то сертифицированным договаривались, но не исключаю вариант, что НБУ может рекоммендовать обращаться в аудиторские компании.

А по требованиям обратим стопы к тексту:

"3. Банкам України впровадити галузеві стандарти до 01.01.2011."

Можно конечно оспорить это требование, но подобный демарш тут же отразится на рейтинге банка. Так что врядли кто-то будет возражать.

Volodymyr Styran Джентльмены, а по-моему он международный =)

Кстати о самом стандарте. Я в жизни видал немного, но на данном этапе мне лично кажется, что ISO27000 в качестве ISMS framework подходит наилучшим образом, и вот почему:
1. Прекрасно масштабируется -- подходит бизнесам разного калибра.
2. Охватывает все _необходимые_ домены и процессы. Подчеркиваю "необходимые", потому что уверен, что список контролей в 002 не исчерпывающий, но все что необходимо (baseline) -- в нем есть.
3. Сравнительно прост во внедрении, потому что оставляет за бизнесом право выбора конкретных продуктов в качестве контролей и не придирается к результатам этого выбора.

Хотелось бы услышать об альтернативах и недостатках стандарта. Кто-то может поделиться опытом/взглядами?

Sergii Liulchenko Я все же придерживаюсь мнения, что пока это лежит в папке draft и пока называется "проект" на сроки и т.д. не стоит смотреть как на уже случившееся. Как говорит народная мудрость "за время пути, собачка могла подрости". Мне всё же думается, что перед принятием такого документа НБУ проконсультируется (согласует) детали с банками, хотя бы основными. Ну и дата внедрения может плавно превратиться, например в 01.01.2012 или 2013. Ну или еще какие оговорки появятся, типа "по мере возможностей". Разве только наше мудрое правительство уже подписало, например с МВФ, какую-нить писульку "мы обязуемся". Тогда да- в таком виде и пойдет. И полетят к нам в страну манагеры по внедрению ИСО 27001 :)

Ну и заявить соответствие ИСО - это одно. Подтвердить какой-нибудь карманной (или "дружелюбной", что сути не меняет) аудиторской конторой, что "почти внедрили + написали компенсирующие контроли=внедрили" - это все то же одно, но дороже. А вот реально внедрить и наладить жесткие контроли - это немного другое. Не думаю, что хотя бы 10% банков будут способны за год это сделать.

Sergii Liulchenko Джентльмены, а по-моему он международный =)
======

Угу. Но родина - Британия (BS 7799). А ИСО у них скопирайтили :)
Во:
http://shop.bsigroup.com/en/Browse-By-Subject/ICT/Information-security/

Могу поделится не то чтобы опытом, но чем-то рядом лежащим: а нет альтернатив для ИТ безопасности :) Кобит и ИТИЛ немного в других плоскостях находятся. А этот как раз заточен на разумный подход к внедрению инф. безопасности. Все ИМХО, конечно, но почерпнутое на курсах по этому самому ИСО 27001(2).

Valentyn Averin Посмотрим, чем нас завтра удивит НБУ. Но подход интересный )).
ISO 27001 вообще-то носит рекомендательный характер. И как понимать фразу "Банкам України впровадити галузеві стандарти до 01.01.2011."

Valentyn Averin Решил посмотреть не изменился ли список украинских организаций, имеющих сертификат по 27001. Все по старому))
- 3-T Ltd.
- Art-master Ltd.

Victor Zhora Документ правильный и уже давно ожидаемый.
Но есть несколько вопросов:

1. Что означает "Банкам України впровадити галузеві стандарти до 01.01.2011"?
Варианты:
- принять за основу внутрибанковского распорядительного документа данный стандарт;
- внедрить СУИБ, соответствующую требованиям стандарта;
- пройти сертификационный аудит на соответствие ISO/IEС 27001:2005.

2. Степень корреляции ГСТУ с ISO/IEС 27001:2005. Будет ли определен национальный сертификационный орган?

3. На кого будут возложены контролирующие функции?

4. Какие санкции будут применены к тем банкам, которые не внедрили стандарт? И вообще, он носит рекомендательный характер или обязателен к исполнению?

Victor Zhora К слову. Если все банки заставят пройти сертификационный аудит по ISO/IEС 27001:2005, то это не по-детски всколыхнет рынок. Что-то мне подсказывает, что в Украине сертифицированных внешних аудиторов по этому стандарту можно пересчитать по пальцам (как бы не одной руки).

Konstantin D Вряд ли это решение обезопасить банки, или "пушинг" этого стандарта аудиторскими конторами, обычно такие узко направленные решения не принимаются. Думаю стоит искать большого инвестора, который идет в Украину или что-то вроде того.
А британский стандарт или нет, по моему для нашего правительства не имеет значения. Просто он один из самых гибких и универсальных.
Не хочу менять тему, но при смене ю на я, данная постанова может быть уже не столь желанна нашими верхами.

Sergii Liulchenko К слову у северных соседей этот стандарт так же перевели и приняли. Только пару лет назад. Так что, как вариант, просто НБУ пытается не отставать от современных требований.
И это, насколько я знаю, в Украине нет сертефицированных представительств по 2700х - к нам приезжал из Москвы спец.

Artem Karpinsky слушайте иль я чет не понимаю или все таки насколько я знаю контора-консультант\внедренец не может быть конторой-аудитором согласно стандарту... тоесть

если планеты станут в ряд и нбу отправит своих спецов на трех-этапный курс по 27001, то чисто гипотетически они сами могут и будут внедрять сией стандарт...
но, автентификации соответствию стандарта, контора-аудитор должна быть абсолютно левая...
а вот теперь давайте на пальцах одной руки пересичлим ИСО аудиторов в украине... эти чуваки очень много бабла заработают с таким подходом нбу)))

есть еще конечно другой вариант... нбу создаст подставную контору на которую оформит лицензию аудитора и будет сам себе строить и сам себя проверять....

главное ведь что? бюджет освоить))))

Victor Zhora Сертификацию в Украине по ISO/IEС 27001:2005 могут проводить партнеры BSI, по меньшей мере SGS, Tuev Nord и Bureau Veritas.

Artem Karpinsky ok....есть такая буква.... сюда же допишем бмс-консалтинг и т.д. , которые за последние 5 лет на территории украины получили лицензии...

значит мы получаем два фронта...
первый: нбу нужен будет внедренец\консультант
второй: аудитор...

с аудиторами боль мень понятно... вопрос, кто будет внедренцем...
и чисто практический вопрос, как вы думаете господа, сколько они его внедрять будут и внедрят ли????:)))

кстати, ссылка по теме
http://www.bsi-emea.com/About+BSI/News/Sberbank_June2007.xalter

Sergii Liulchenko 2 Artem Karpinsky

На самом деле один и тот же аудитор может и внедрить и проверить. Есть уловка: в первом случае он выступает просто консультантом без права принятия решения, ну а потом уже полноценно проверяет.
Для фирм это решается сменой сотрудников: наприме 2 идут консультируют, а потом другие 2 проверяют. Если надо, чтобы не та же фирма проверяла, то ее сотрудники в первом случае выступают как независимые консультанты - по индивидуальным договорам.
Вот. Вроде все карты сдал :)

2 Victor Zhora
Интересно - я был не в курсе.

2 Artem Karpinsky
"как вы думаете господа, сколько они его внедрять будут и внедрят ли????:)))"
ИМХО, из практики: 1. внедрять будут пару лет минимум. 2. да - внедрят, если руководство того пожелает. это вполне реальная задача :)

Victor Zhora Чего-то я не понял по поводу уважаемой компании БМС... Давайте не путать возможности осуществлять предсертификационный и сертификационный аудит. Первых-то (внедренцев) как раз хватает, просто они сидят без дела. А вот вторых (прежде всего специалистов по внешнему аудиту) - раз, два и обчелся.

Artem Karpinsky а что с компанией бмс???)))

ну с внешним аудитом мы вроде как разобрались... это аудиторские конторы... те же веритас, там делойт шмелойт и т.д.

давайте лучше поговорим о внедренцах, у которых есть РЕАЛЬНЫЙ опыт на терр. украины внедрения 27000.......

Victor Zhora Внедряет заказчик всегда САМ. Остальные - консультируют и проводят предсертификационный аудит. Опыта у украинских консультантов достаточно, благо, как и опыта внедрения ОТДЕЛЬНЫХ ПОЛОЖЕНИЙ стандарта украинскими заказчиками.

Artem Karpinsky да понятно, что он внедряет сам... под внедренцами я как раз и понимаю украинских консультантов с реально завершенными проектами!!!!!!!!??????

Victor Zhora См. комментарий Валентина:

"Решил посмотреть не изменился ли список украинских организаций, имеющих сертификат по 27001. Все по старому))
- 3-T Ltd.
- Art-master Ltd."

Проект, о котором знают, - это либо сертификат, либо объявление о внедрении СУИБ по требованиям 27000 (не обязательно завершившемся сертификацией). Все остальное - от лукавого.

Volodymyr Styran Артем, ты явно преувеличиваешь сложность внедрения ISO27001/2. Я смею утверждать, что _любая_ компания в Украине может внедрить систему внутренних контролей по 27002, соответствующую требованиям 27001, если у нее есть:
1) пробивной ПМ;
2) несколько головастых безопасников, и чтобы один из них умел разговаривать как на языке ИТ, так и на языке бизнеса;
3) вменяемое ИТ;
4) пара-тройка мега-мозгов (консультантов) на начальную оценку степени беспорядка и помощь в в составлении проектного плана;
5) и чтобы один из этих мега-мозгов периодически консультировал 1) и 2) на тему, в правильном ли направлении они двигаются.

Artem Karpinsky Володь, я де не говорю, что это мего сложно или анреал...
я просто хочу понять, кто в украине имеет реальный опыт завершенного внедрения....

я поясню свою дотошность....
1. предполагаю, что таких нет
2. у меня сейчас этот гребанный 27000 начинает потихоньку превращаться в головную боль в виду требования IPO и невменяемого АйТи с топ менеджерами....

Volodymyr Styran Артем,

1. Такие есть, я их видел.
2. Просвети где на айпио надо комлаянс по 27001... Без шуток, я действительно не знаю.

Artem Karpinsky что значит где на ИПО??? дефайн плиз)))
нам инвесторами было поставлено четкое требование... которые явным образом влияет на стоимость компании во время торгов...

явным образом нет требования при выходе на ИПО соответсвовать 27000, но формально это маст хэв для любой более менее большой компании, которые планирует размещаться на лондоне и в штатах... а по скольку эти гаврики так напуганы нашими "мега кул хацкерами", то и требования закидывают соответствующие...

Artem Karpinsky 1. Такие есть, я их видел.

пример плиз.... это же не мега закрытая информация и уж тем более не комм.тайна....

Volodymyr Styran да нет никаких де факто требований =) SOX и все. да, не спорю, на стоимость компании повлиять может, но это чисто маркетинговый эффект комплаянса.

пример тех спецов, кто внедрял, или тех компаний, в которых совершено успешное внедрение?

Valentin Sysoev Вчора була зустріч НБУ з представниками банків. Якщо коротко:
- Стандарт перекладали своїми силами, бо ніхто не фінансував це, тому зараз чекають від банків пропозицій та зауважень по тексту
- Що робити далі, поки незррозуміло - з одного боку, НБУ не може змусити впроваджувати стандарт, і він носить рекомендаційний характер, з іншого, НБУ тепер буде проводити перевірку ІТ безпеки банку і на відповідність до ISO.
Короче, поки нічого незрозуміло, особисто я думаю, що перший час цей стандарт буде носити рекомендаційний характер, а в майбутньому уже, можливо, і стане обов"язковим.

Sergii Liulchenko "Що робити далі, поки незррозуміло - з одного боку, НБУ не може змусити "

Тут можна ставити крапку і дискусію закривати :)))))))). Це я як аудитор кажу ;). А то вже гвалт підняли...
Якщо так і є, то хтось, можливо, премію в НБУ отримає та й усе. А за переклад подякують, хто буржуїнів не читає в оригіналі.

Eugen Ermolaev, CISM Есть еще вариант, что НБУ будет давать лицензии сторонним конторам на проведение сертификационного аудита по локальному моду 27001.

Пахнет очередным грандиозным проэктом по отмыванию денег, (как КСЗИ)...:(

Gleb Paharenko Модератор здесь,

Главное действительно не цепляться к словам на публике :)
А так топик то неплхой сам по себе.

Valentyn Averin Позвольте пару тезисов, как участнику конференции в НБУ, получается интересно:

- Действительно, стандарты ГСТУ ISO/IEC 27001/27002 вводятся постановлением правления НБУ (регистрация в минюсте не нужна!) и являются обязательными к внедрению в банках.

- Стандарты являются де факто переведенными "как есть" + добавлены национальные ведомственные приметки.

- Сертификация по внедренным стандартам - не нужна (её и не может быть, т.к. нет соответствующих сертификационных органов).

- Контроль за внедрением стандарта - Будет! Функции контроля за внедренными стандартами будет осуществляться исключительно органами надзора НБУ.

а теперь на закуску самое на мой взгляд интересное:

- Скоуп для внедрения ГСТУ ISO/IEC 27001 - ВСЕ Процессы банка!

- Если даже банк будет сертифицирован по оригинальному стандарту ISO/IEC 27001 - это НЕ ЗНАЧИТ (!) что банк соответствует ГСТУ ISO/IEC 27001!
вот так:)

Artem Karpinsky - Скоуп для внедрения ГСТУ ISO/IEC 27001 - ВСЕ Процессы банка!

- Если даже банк будет сертифицирован по оригинальному стандарту ISO/IEC 27001 - это НЕ ЗНАЧИТ (!) что банк соответствует ГСТУ ISO/IEC 27001!


эт по нашему.... эт круто)))

Victor Zhora Насчет "отмывания" и т.п., я бы не был так резок в высказываниях, поскольку польза от внедрения как ГСТУ ISO/IEC 27001, так и построения КСЗИ очевидна.

Насчет потребности в ISO/IEC 27001 comliance для IPO, опять-таки не очевидно. Практически все ФПГ в свое время начали движение к соответствию, и работы эти свернули, каждый на разных этапах. Причин тому две:
- неочевидность выгод от выхода на IPO;
- неочевидность влияния сертификата 27000 на due diligence и последующие результаты IPO.

Artem Karpinsky - неочевидность выгод от выхода на IPO;
достаточно смелое...и в то же время, не побоюсь, абсолютно некомпетентное завление... наверное люди, которые в наши времена построили и фпг и прикладывают усилия для привлечения внешних инвестиций, абсолютно не замечают "неочевидности выгоды от выхода IPO".... однозначно))) и одна из таких скромных с\г компаний в период кризиса повысила цену за акцию на 10.5$ и получила общую капитализацию 2.1 млрд юсд, в сравнении с 1.4 млрд юсд будучи "монополистом" на рынках украины...

- неочевидность влияния сертификата 27000 на due diligence и последующие результаты IPO.
я все же повторю консенсус, к которому мы с Володей пришли....
у вас на выбор есть две машины....обе якобы спортивные... одна конфетка с отличным дизайном с сертификатом качества 9001, тюф, с тестами нкап где она показывает высшие результаты и прочей всякой фигней.... вторая автомобиль таврия, но якобы с такими же ТТХ, и стоит в разы меньше.... вы как уважающий себя человек, который чего-то добился в жизни и явно не признаете себя венчурным капиталистом, какой-то автомобиль возмете???? таврию...??? я думаю врядли!

Точно также и с 27000, не важно, что нет явных требований, это влияет на стоимость компании.

Artem Karpinsky кстати, никто не заметил, что практически все наши дискуссии в холивар превращаются???:)

Victor Zhora >> достаточно смелое...и в то же время, не побоюсь, абсолютно некомпетентное завление"

Не думаю, что есть смысл продолжать дискуссию в таком ключе. Вы руководствуетесь исключительно информацией и целями, поставленными Вам Вашим руководством, хотя могли бы для разнообразия почитать ресурсы:
http://www.ugmk.info/art/1211191153/1.html
http://www.pravda.com.ua/articles/2007/10/26/3309700/
http://www.pravda.com.ua/articles/2008/04/2/3407185/
http://smi.liga.net/articles/IT085749.html
http://fundmarket.ua/digest/49b617c05d40b/

Что касается самого 27000, то опять-таки я не претендую на истину в последней инстанции, но полагаю, что вправе иметь собственное мнение. Впрочем, допускаю, что оно абсолютно не является авторитетным, поэтому привожу линк на мнение достаточно авторитетного в этих вопросах человека:
http://daily.sec.ru/dailypblshow.cfm?rid=9&pid=18908&pos=2&stp=50

Artem Karpinsky Я не читаю интрнетовскую желтую прессу, так уж сложилось, что я предпочитаю блумберг и файненшиал таймс, а на айфоне у меня установлено замечательное приложение под названием "Акции"

Приводить примеры 21 века, который ушел в минус на ипо, это простите, абсолютно безсмысленно.

Давайте так же говорить о том, что есть варшавский рыннок.... есть лондонский рынок... нью-йорк и т.д.

Давайте не будем затрагивать темы и приводить факты\аргументы в тех областях, в которых мы не являемся проФФессионалами

Что касается самого 27000 я устал повторять, что принятие на вооружение данного "стандарта" в нашем мире (СНГ) в 90% случаев является исключительно маркетинговым ходом... это говорил и Володя и в последствии говорил об этом и я.

Сути вопорса это не меняет, есть задача, которую необходимо выполнить. Рассуждать о фондовых рынках задача бизнеса, который зарабатывает деньги в частности и нам - на проекти по ИБ. Поэтому смысл приводить статьи о том кто круче комбинатор - коломойский или господин пинчук, к которому я отношусь с большим, кстати, уважением.

Я считаю, что каждый должен заниматься своим делом... кто-то зарабатывать деньги, принимая те, или иные экономические решения, а кто-то должен эти решения защищать.

Глеб, почисти тему нафиг, мусора много...

Comments