Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України


Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України

28.10.2010 в Постановлении № 474 НБУ ввел в действие 2 стандарта:
- СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IES 27001:2005, МОD);
- СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IES 27002:2005, МОD)

Все банки до 01.10.2011 должны внедрить систему управления информационной безопасностью согласно требованиям стандартов


Volodymyr Styran Новость хорошая, пусть и пришлось подождать 10 месяцев. Теперь открыт новый вопрос: как внедрить СУИБ по ISO27002 за год? =)

Vladimir Matviychuk, CISA, CISM На самом деле, Нацбанк и не ждал полного внедрения за год.
На круглом столе, когда нацбанк презентовал данный стандарт, я "в лоб" спрашивал "что будет если не внедрят?". Ивченко тогда сказала: "если проведут классификацию, оценят риски и разработают план дальнейших действий (за год)" - это будет счастье.

Volodymyr Styran Прагматично. Тогда, пожалуй, картина более приближена к реальности. Точно, конечно же, утверждать сложно, потому что банки разнятся как по масштабам процессов и ИТ сред, так и по уровню зрелости СУИБ.

Кстати, есть ли в этом плане "фавориты"? Кто-то уже готов, или может быть близок к соответствию? Названий не жду, хотя бы цифры =)

Vladimir Matviychuk, CISA, CISM Я знаком с где-то с 30ю (с хостиком) банками, в основном крупными. К соответствию близки 2 (ИМХО). Названий, естественно не будет :)
У некоторых банков ИБ вообще только в этом году появилась как функция. И это не самые мелкие банки. (1-2-я группы). Про аудит ИТ я вообще молчу. А в стандарте сказано прямо - должен быть.

Boris Kosyakov Наверное, как обычно, строгость законадательства смягчается некомпетентностью контролирующих органов.
Сомневаюсь, что в банковском надзоре НБУ есть сертифицированные аудиторы по 27001.

Vladimir Matviychuk, CISA, CISM Вспоминая проверки нацбанка по другим околоИБшным темам, в надзоре нет вообще специалистов по ИБ. Вспоминается случай, когда при проверке 112-й постановы (тогда еще 280-й) спросили почему сейф не на сигнализации. Показали им телефонный шнур, уходящий за сейф, сказали, что это сигнализация. Прошло на ура. Про репетицию ролей, расклеивание пластилиновых печатей на сейфы и двери на время проверок и заполнение журнала за период "с последней проверки до сегодня" я молчу.

Alexey Kornilov в тесте постановы не увидел сроков внедрения. Подскажите, где сроки смотреть.

Vladimir Matviychuk, CISA, CISM 3. Банкам України впровадити системи управління інформаційною безпекою до 01.10.2011 відповідно до стандартів Національного банку України, затверджених пунктом 1 цієї постанови.

Vladimir Gninyuk Касательно наличия "сертифицированные аудиторы по 27001", вопрос пикантный, так как принятый стандарт гласит, что

"Національний банк України не вимагає від банків отримання сертифіката відповідності міжнародному стандарту ISО/ІЕС 27001. Такий сертифікат банк може отримати за власним бажанням."

Посему нам нужны не сертифицированный аудиторы от BSI, а наши украинские (свои "велосипеды")

Alexey Kornilov хоть что-то хорошее. Ибо пройти сертификацию на 27001 очень тяжело даже по простейшему бизнес процессу, а в масштабах банка просто утопично.

Vladimir Matviychuk, CISA, CISM А главное дорого и бессмысленно.
Компании, которые получили сертификаты в России, обычно сертифицируют отдельные процессы. А в новостях естественно этих деталей нет.

Vladimir Gninyuk Хорошо, если НБУ требует "впровадити" при этом в теле стандартов подчеркивается, что под скоупом подразумевают весь банк, то разве здесь речь не идет, что внедрено должно быть "все и везде"?

Или сразу, отталкиваясь от невозможности такой реализации, будет забито "на все и на всех"? Потому как "дорого и бесмысленно"? (я не спорю с последним утверждением)

Vladimir Matviychuk, CISA, CISM Я писал про Россию. Там стандарт носит рекомендательный характер и можно играться как хочется.
Как будет у нас - остается только гадать. Кто-то начнет выполнять, кто-то будет ждать "последнего пинка". Я общался с некоторыми банками с западным капиталом. У них глобал про 27001 говорил - не требуется законодательством - нафиг, требуется - соответствовать. Вот и посмотрим на сколько они последовательны.
Кстати в стандарте есть лазейка - после оценки рисков руководство может принять все риски, составить об этом соответствующий документ - и телемаркет - полное соответствие стандарту. Если в обещанных методиках оценки рисков не напишут что-то другое.

Vladimir Matviychuk, CISA, CISM Кстати о методиках оценки рисков. Кто-то знает на чем остановились ? Последний раз Ивченко SPRINTом махала, но там вроде с копирайтом проблемы...

Alexey Kornilov все-таки надеюсь, что они ограничатся рекомендациями общего плана про методики оценки риска и оставят свободу выбора и маневра.

Vladimir Matviychuk, CISA, CISM Разговоры шли о методиках, которые оценивают риски количественно и в деньгах. А это сильно сужает выбор.

Vladimir Gninyuk А почему не быть последовательным и не рекомендовать за основу 27005?

Vladimir Matviychuk, CISA, CISM Это отдельный парадокс. Сначала нацбанк рекомендовал 13335-3 и при этом говорил чтобы 27005 не использовали, ибо он кривой. Хотя на самом деле это один и тот же стандарт как 27002 и 17799.

Мое личное впечатление от 27005 - стандарт высокоуровневый и под него можно запихнуть ту методику, которая нравится. Главное что бы оценка рисков была количественной

Vladimir Gninyuk "можно запихнуть ту методику, которая нравится" - и я о том же.

А касательно "качественные" vs "количественный" для меня это парадокс. При оценке риска используются и качественные, и количественные оценки. И они неразрывны. А если один из элементов отсутствует (например, "количественная оценка"), то это просто незавершенная (не доделанная) методика. ИМХО

Vladimir Matviychuk, CISA, CISM Согласен, что пользы от одной качественной оценки мало. Но есть достаточно много методик, которые количественную оценку не предусматривают. Или предлагают невнятную шкалу, типа от 1 до 10. Пользы от такой оценки столько же сколько и от качественной оценки.

Vladimir Gninyuk Я и говорю: "недоделанные". Нужно шкалу отградуировать: в деньгах. Задача не тривиальная, но необходимая. Но самое главное: одинаковая во многих методиках.

ИМХО: ситуация сложилась по причине, что разработчики "шкал" считают, что оценку акивов должны делать владельцы активов (трудно спорить). Но почему не описать в методике, как консолидировать данные - загадка. Каждый считает, что это должен сделать кто-то другой.

Vladimir Matviychuk, CISA, CISM Осознание, что считать риски нужно в деньгах пришло относительно недавно. А "недоделанные" методики просто более старые. По-этому мой вопрос и возник - что же предложит нацбанк? 27005 в данном случае не поможет т.к. он не дает ответ _как_ считать:

Risk analysis may be undertaken in varying degrees of detail depending on the criticality of assets, extent of
vulnerabilities known, and prior incidents involving in the organization. An estimation methodology may be
qualitative or quantitative, or a combination of these, depending on the circumstances.

Vladimir Gninyuk В этом ключе 800-30 гораздо дружелюбней. Самое, для меня удивительное, редакцию держит с 2002 года.

Но рекомендовать его вроде не корректно: статус национального, а не международного.

Vladimir Matviychuk, CISA, CISM Да, NIST мне тоже нравится.
И ISFовский IRAM. Вот уж где все подробно и в деньгах...

Alexey Kornilov Вот мы вот попытались iram. Грустно если честно, страшно далека эта методика от реальной жизни простого украинского банка. Я был склонен делать рабочий гибрид на основе качественных оценок, но теперь прийдется ждать 90 дней в ожидании роз`яснень от НБУ.

Vladimir Matviychuk, CISA, CISM А в чем сложность?

Мы неоднократно использовали методику - все прекрасно работает. И главное отлично воспринимается высшим руководством.

Alex Bodryk А де банки стільки ІБ-людей візьмуть? Можливий дефіцит на ринку праці і ріст компенсації

Alexey Kornilov Не будет никакого роста компенсации. заставят работать тех, что есть. это не единственная инструкция НБУ, которую надо соблюдать.

Alexey Kornilov да и ребята из bsi оперативно отработали, Уже сегодня разослали "горячее предложение" для банков по обучению. Хотя недешево.

Vladimir Matviychuk, CISA, CISM Склоняюсь к варианту Алексея - никакого роста компенсации. Что бы коровы меньше ели и больше давали молока их нужно меньше кормить и больше доить.

На счет предложений по обучению, внедрению и прочему деребану бабла предложений в ближайшее время будет очччень много.

Vladimir Tkachenko To Vladimir Matviychuk, CISA, CISM . С копирайтом на SPRINT проблем нет. Платишь денюжку и используешь. Вопрос в другом. НБУ не может сказать - делайте только по спринту (IRAM сейчас). Так как вылазит проблема - с другими банками что делать. Например некоторые корпоративно приняли MESARI, а некоторые (американцы особенно)- NIST. Поэтому скорее всего будет какая-то методика а-ля для Украины. Разработанная самостоятельно НБУ, так как и стандарты (как правильно подчеркивал Vladimir Gninyuk) не есть в чистом виде 27001 а их модификация под банки. Чего только ресурсы СУИБ стоят....

Vladimir Matviychuk, CISA, CISM В первую очередь Нацбанк не может обязать банки платить за IRAM. С остальными аргументами полностью солидарен.

ЗЫ "ресурсы СУИБ" - это компромис. После того, как банки закидали камнями "информационные активы" дабы избежать путаницы с "банковскими активами" пришлось выдумывать. А сроки поджимали :)

Vladimir Gninyuk Трудно с «тезками» не согласится: Нельзя, используя "служебное положение", вынуждать кого-то, что-то покупать конкретное. Даже нельзя, вынуждать пользоваться "бесплатным".

ИМХО: Самый простой и самый правильный путь - это рекомендовать банкам использовать методики "гармонизированные с 27005" на свое усмотрение. Ведь «процессы и контроли» выбраны из 27к. Ну, а как по другому?

И пусть уже локально люди думают, «мапируют», советуются… Интересовать должен результат, а не процесс…

Vladimir Matviychuk, CISA, CISM Это поможет банкам, кто знает как считать. Но есть же много тех, кто просто будет ждать разъяснений "как?".
И тут им 27005 не поможет - там нет конкретных методик. Стандарт понятен только специалистам, которые и без него знают что делать.

Vladimir Gninyuk Во всех остальных бизнесах привлекают внешних консультантов.
НБУ может быть таким внешним консультантом.
Каждый консультант предлагает свою методику.

Но у банка есть право выбора консультанта (методики).

Если "рекомендовать" конкретное, то отсутствует возможность замены в перспективе если не будет на то воли Регулятора. А обьективных причин для таких замен может быть много.

Vladimir Matviychuk, CISA, CISM Позиция Ивченко по поводу обучения была следующей - "на рынке куча консультантов - обращайтесь к ним. мы этим заниматься не будем". Это дословная цитата ответа на вопрос банков "вы нас обучите как считать риски?" на круглом столе, когда впервые анонсировались стандарты и управление рисками.
У нового нач.депа может позиция и отличается... К сожалению, я ны слышал чтобы он ее озвучил.

Vladimir Gninyuk Банкиры хитрят: они своих бухгалтеров в налоговой обучают? Лучший способ "спрыгнуть" с темы.

А вообще, нужен национальный стандарт.

Alexander Zacheshygryva Коллеги, думаю, опыт наших российских коллег будет полезным.
Особенно, с учетом требований законодательства о данных...

http://www.abiss.ru/news/337/

Vladimir Gninyuk Алекасандр, а в чем Вы усматриваете "полезность"?

Alexander Zacheshygryva как минимум, в разделе Документы ))

Vladimir Gninyuk Безусловно, изучение любого опыта полезно...

Vladimir Matviychuk, CISA, CISM К сожалению, в случае АБИСа опыт - это то, что мы получаем вместо того, что хотели

1 day ago
Comments