СУИБ в банках - внедрить нельзя платить штраф

Vladimir Tkachenko, Alexey Yanko et 1 autre aiment

61 commentaires

Sergii Liulchenko Т.е. это вот такой совет для всех банков - "получить отсрочку на год и сфокусироваться на более насущих вещах" и не париться? :)

il y a 10 jours



Vladimir Matviychuk, CISA, CISM Это такая реальность. Нельзя впихнуть невпихуемое. Если регулятор не дает нормальной возможности сделать что-то путнее - нужно это обойти с минимальными потерями. У большинства банков сейчас есть более серьезные проблемы, чем внедрение СУИБ.

il y a 10 jours



Anatoliy Pokosa CCNA,CCNP НБУ пытается хоть как-то начать...
У банков всегда будут более важные дела и если НБУ не настаивать-никто ничего не будет делать.
Я бы в ноябре(на месте НБУ) оштрафовал бы пару банков....

il y a 10 jours



Vladimir Matviychuk, CISA, CISM Остается вопрос: штрафы - это цель?
Если бы делали по-умному - определили бы часть, которую нужно сделать к 1-у октября. Дальше можно и штрафы. Потом следующий этап со сроком (только реальным). Тогда это может быть начнет работать.
На самом деле, так изначально и задумывалось. Только в пылу реорганизации Нацбанка эта инициатива потерялась.
А так - сейчас львиная доля банков строит плюшевый СУИБ для комплаенса. И если они пройдут проверку - ценность инициативы приравняется нулю. Кто-то верит в то, что банки, пройдя проверку с бутафорским СУИБом начнут его переделывать по-нормальному?
Я не говорю сейчас о горстке банков с иностранным капиталом, у которых требования к безопасности формирует группа, у которых все более-менее и задача подогнать то, что есть под стандарт.

il y a 10 jours



Sergii Liulchenko На постройку СУИБ было время с февраля. Кто хотел - озадачился. Но в основном "чесаться" начали только сейчас... Отсюда вопрос - кто кому злой буратино? Согласен с Анатолием - без пинка вообще ничего не будет. А плюшевость суиба можно выявить - было бы умение и желание. Понимаю, что особо-то и некому проверять, но после первых проверок системных банков у проверяльщиков появиться немного понимания "как должно быть". Думаю в следующую проверку будет уже веселее - главное, чтобы эти люди сразу не разбежались по мелким банкам! :))))
Ну и насчет "начнут переделывать по нормальному" - если подход изначально для отмазки, то нет, не начнут и тут поможет только инцидент. Но есть и хорошие примеры, когда просят сделать "чтоб работало" и это радует. Радует в том смысле, что через некоторое время уровень культуры ИБ повысится в целом, т.к. хочеш не хочеш, а в процессе хоть немного, но поучавствуй. Надеюсь так и будет :)

il y a 9 jours



Vladimir Matviychuk, CISA, CISM А можно хоть один пример, где хотят "чтоб работало"?

il y a 9 jours



Sergii Liulchenko Нет, пока сами не разрешат. Но примеры есть - просто поверте.

il y a 9 jours



Alex Grebenyuk я думаю, что времени было достаточно, чтобы решать эти задачи. Тем, кто достиг соответствия по PCI DSS проще. У них уже есть нормативно-регуляторная база, отработанный план реакции на инцидент и процедуры риск менеджмента - не в полном объеме, но есть. Ну, и сакма система уже приведена на некий уровень соответствия с требованиями Стандарта

il y a 9 jours



Vladimir Gninyuk Я тоже не вижу обьективных причин, кторые сподвигли бы руководителей банков на финансирование проектов для достижения «комплаенса от НБУ», как такового.
Или кто-то может назвать эти причины?

il y a 9 jours



Alex Grebenyuk штрафы являются хорошим стимулом

il y a 9 jours



Vladimir Gninyuk Алекс, если позволите, предлагаю маленькое уточнение: величина штрафа может стать хорошим стимулом

il y a 9 jours



Vladimir Matviychuk, CISA, CISM Для консультантов

il y a 9 jours



Alex Grebenyuk А причем тут консультанты? или к тому, что вдруг - ни с того, ни с сего - появилось масса компаний, предлагающих услуги?
А по личному опыту скажу - штрафы как стимул - единственный двигатель прогресса в достижении соотвествия. Особенно после прихода первых "писем счастья"

il y a 8 jours



Vladimir Matviychuk, CISA, CISM Как я уже писал, я не против силового метода внедрения. Но нужно давать реальные сроки на внедрение. Разбить на этапы. Или, как поступила Россия, определить степени зрелости процессов и сроки достижения каждого уровня.
Теперь о консультантах.
Люди, имеющие за плечами хоть одно внедрение СУИБ в соответствии с 27001 в том объеме, в котором требуется НБУ, никогда не станут обещать банку, даже маленькому, внедрить все за две недели, провести аудит соответствия и выдать сертификат. А предложений сейчас таких - масса. Я уже молчу за какие деньги они готовы это делать. После такого "внедрения" банк может надолго отказаться от услуг консультантов вообще.

il y a 8 jours



Alex Grebenyuk Консультант - это не просто статус и не должность. Хотя у меня должность старшего консультанта. Но до до реальности надо дорасти, получив несколько успешных проектов, причем полных, а не - подготовка, первичная проверка etc

il y a 7 jours



Vladimir Tkachenko Коллеги, ну что вы пикируете в самом деле. Все таки Vladimir Matviychuk прав и даже за 3 недели или месяц ни о каком СУИБ речи быть не может. Другой вопрос, что стимула особо для банков нет. По причинам выше. Тут нужно согласиться и с Alex Grebenyuk, таки да - надо как-то стимулировать банки. Насчет консультантов - кто мешает НБУ сделать некую аттестацию (как для аудиторов банков). Но это все время, а время- деньги. Получается замкнутый круг.
Чтобы его разорвать надо как минимум показать какой экономический эффект будет от внедрения СУИБ сейчас. Да хотя бы и по логике - реально консультантов по внедрению СУИБ ну пусть 10 (из них 5 что-то реально делали и делают, остальные интеграторы, просто с желанием продать "и это"). Банков 180. Ну минус ликвидирующиеся и с временной администрацией - 150. Ну пусть даже 50 "сделают своими силами" (в чем я лично сомневаюсь, это не чистое ИТ и не чистое ИБ). Таким образом на 100 банков 10 компаний. Ну пусть компания может вести 3-5 проектов одновременно (сужу по себе). Ну пусть даже 7. Математика такая, что при наилучшем раскладе будет 70 на 100. Или я не прав?

il y a 5 jours



Vladimir Matviychuk, CISA, CISM А какой интерес НБУ делать аттестацию для консультантов? По большому счету, НБУ глубоко плевать как банки будут внедрять стандарт - с консультантами или без. Банки должны соответствовать. Или если они не соответствуют, то спрос с них одинаковый, что с тех, кто внедрял сам, что с тех, кто с "аттестованными" консультантами. На счет аудита - то же самое. Хотите - делайте сами, не хотите - зовите консультантов. Спрос за непроведение, а не за то, кто выполнял.

il y a 5 jours



Vladimir Gninyuk Поддерживаю и считаю, что Владимир М. совершенно прав, как говаривал мой сержант: "Ты можешь не подшиваться, главное, что-бы воротничок был чистый".

А вот сам НБУ должен «соответствовать»? Как движется внедрение? Как будет организовываться независимый аудит? Ведь это не 27к и 27000 LA здесь как бы не игрок… ;-)

il y a 5 jours



Vladimir Matviychuk, CISA, CISM НБУ должен соответствовать, как и всем остальным своим постановам.
Независимый аудит они могут проводить самостоятельно. Ведь независимость в том, чтобы проверяли не те, кто внедрял и управляет. Внешний аудит как обязательный стандартом не требуется.
27000 LA здесь как бы не игрок, но. В тендере на проведение аудита финансовой отчетности НБУ есть требование на наличие 27000 LA в команде.

il y a 5 jours



Alex Grebenyuk Звучит мрачновато, но в начале нужно будет создать массу бумаг... Потому как в первый раз сами проверяющие будут плохо представлять - что и как проверять. А в этом случае - по тому же принципу - можешь ничего не делать, но бумаги о том, что делал - покажи....

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Смотря кто проверяющий. Если надзор - вспоминая первые проверки по 280-й (ныне 112-я), скорее всего так и будет.
Опытного аудитора бумажной залипухой не возьмешь.

il y a 4 jours



Oleksandr Iegortsev Интересное обсуждение. Только настораживает, что в обсуждении не участвуют представители банков. Можно по разному относиться к инициативе НБУ внедрить СУИБ силовым методом. Но в целом, общая осведомленность и понимание, что информационная безопасность - это прежде всего системный подход, а не латание дыр, возрастет (хочется верить, что и среди руководства, хотя у них есть более важные задачи). Подготовиться к возможной проверке формально, это тоже шаг вперед. Ведь даже написать все на бумаге значит внедрить новые процессы, процедуры и контроли. А если их еще утвердит Правление,это значит, что их надо как то выполнять. Потому что, завтра придет аудит и тебя же спросит за невыполнение. В любой ситуации надо стараться делать, что можешь, ну и чуть больше...

il y a 4 jours



Sergii Liulchenko Если будут проверять как и раньше НБУ ИТ проверяло, то таки да - пачка бумаг может сработать. Но, вроде, "их" там учат... Говорят... :)

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Вообще-то представители банков участвуют. Если внимательно посмотреть, то можно встретить и бывших коллег.
И их позиция более оптимистична, хотя, по сюжету, консультантов такой подход должен радовать больше.

il y a 4 jours



Dmytro Ponomarov представители банков читают и мотают на ус :)

а комментировать - что комментировать? моя позиция - сказали внедрять, значит нужно внедрять, тем более, что начинание более чем адекватное. если менеджмент не понимает риски связанные с отсутствием действующей СУИБ (не только риски связанные с compliance аспектом), их надо учить и работать в этом направлении. этим и занимаемся. так что не так всё плохо!

ЗЫ коллеги, что касается фейковой СУИБ "на бумаге" - не смешите меня: пока будут формальные проверки, её "построить" и продемонстрировать не составит никаких проблем. как только будут квалифицированные аудиторы, то тут не отмажешься. ну да большинство из вас не хуже меня это знает. с другой стороны, на даннай момент, мне кажется, что квалифицированных аудиторов в НБУ не так много, увы.

il y a 4 jours



Oleksandr Iegortsev Неужели внедрить СУИБ можно не формализировав это на бумаге? Не надо крайностей. Любой проверяющий начинает проверку с изучения того, что у нас написано в нормативных документах (словам никто не верит!). А уже после пытается выяснить как в действительности.

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Речь идет о бумажной имитации работы СУИБ, а не о формализации процессов.

il y a 4 jours



Dmytro Ponomarov Александр,
тем кто не владеет темой в полной мере, или имеет ограниченные временные или человеческие ресурсы, можно "впарить" и не такое ;)

безусловно, первое чем займуться - бумажками. более того, я уверен, что даже имея ctrl-c ctrl-v политику и пару сопутствующих документов, можно "рассказать" что мы работаем в правильном направлении, просто ещё не успели. и я почти уверен что такое прокатит, как минимум, 1-2 раза.

другое дело, что хотелось бы построить реально работающую СУИБ..

il y a 4 jours



Oleksandr Iegortsev Я себе тоже такую цель ставлю. Но одного желания мало и сколько здесь еще всяких "Но...",

il y a 4 jours



Dmytro Ponomarov ну, "наша служба и опасна и трудна" ;)

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Парадокс в том, что это почти реально работающий СУИБ:* ответственность руководства* политика* инвентаризация* классификация* оценка рисков* план по обработке рисковДаже в случае полного принятия всех рисков и мы имеет работающий СУИБ. Но по 27001. А по СОУ Н НБУ 65.1 мы обязаны внедрить _все_ контроли во _всем_ банке.

il y a 4 jours



Oleksandr Iegortsev Так мы пришли к тому, что " СУИБ в банках - надо внедрять, нельзя платить штраф!"

il y a 4 jours



Dmytro Ponomarov хм, надо перечитать, я не думал что всё так дико. хотя, область применения: весь банк и все процессы меня изначально пугали. с другой стороны, там не такие уж дикие контроли. большинство из них, "для галочки", т.е. для формального прохождения можно внедрить максимум за пару месяцев.

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Ну да, особенно классификация, оценка рисков и BCP :-\
Есть еще несколько разделов, которые технически простые, но на практике неподвластны. Та же ответственность руководства. Убедить их регулярно собираться и закреплять решения протоколами... Для плюшевого СУИБ проще простого. А вот для настоящего...

il y a 4 jours



Dmytro Ponomarov согласен, для настоящего, что называется, "pain in the ass" - воюем уже лет 5. но прогресс есть, потому я, всё-таки, положительно оцениваю данные инициативы

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Цитирую из стандарта СОУ Н НБУ 65.1 СУІБ 1.0 раздел 4.2.1
"Сферою застосування СУІБ повинен бути весь банк в цілому."

Цитата №2 Там же, раздел 1.2
"Вилучення будь-якої з вимог, визначених у розділах 4, 5, 6, 7 і 8 неприпустиме, якщо організація заявляє відповідність цьому стандарту."
4, 5, 6, 7 і 8 - это весь СОУ Н НБУ 65.1 СУІБ 1.0 в полном объеме без вступления

il y a 4 jours



Oleksandr Iegortsev Владимир, правильно поднимает проблемы. Даже провести инвентаризацию ресурсов, назначить за них ответственных, сделать их реестр и внедрить процедуру поддержки всего этого в актуальном состоянии - это надо всех убедить, заставить, со всеми переругаться и т.д. Можно конечно все попробовать делать самому, но результат будет почти нулевой, да и силенок не хватит. А реально работающий BCP - это конкретные деньги, время, люди и конечно до октября здесь никак не успеешь...И продвигать это можно при полной поддержке руководства.

il y a 4 jours



Dmytro Ponomarov я ведь не спорю..

да, это тяжело, но все лидеры-середнячки и так должны были иметь ввиду большинство требований, поскольку они просто рациональные, ведь правда? потому, те банки из топ30 которые не готовы продемонстрировать СУИБ в core процессах, я бы и сам штрафовал (область применения "весь банк" меня таки дико коробит, если честно; я боючь на такое мало кто вообще способен)

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Меня больше смущает целесообразность

il y a 4 jours



Vladimir Gninyuk Владимиру Матвийчуку: Спасибо, за Ваш ответ на мой вчерашний пост, но принципы «независимости» аудита изложенные, например, в 19011, понятны, я в большей степени имел ввиду, что логика происходящего, должна «породить» NBU 65.1 ISMS LA и эти специалисты должны работать не только в «надзоре».

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Владимир, цель моего ответа была не излагать прописные истины и не спорить о номерах стандарта, которые Вы, я уверен, знаете лучше всех.
Я говорил о том, что независимый аудит будет проходить независимо. От консультантов. ;) На самом деле, если внешний аудитор и будет там что-то делать, то скорее всего, это будут доп процедуры в рамках аудита финансовой отчетности. Я бы на месте нацбанка поступил именно так - часть процедур все равно делается - остальную часть можно заказать за меньшие деньги и получить комплексную картину.

В 27001(2,3,4) тоже много чего было изложено. Что не помешало нацбанку перевести это в весьма своеобразной манере. Особенно 27003, который (это мое ИМХО) был прочитан в объеме, доступном в бесплатном доступе - оглавление и вступление.

Еще раз повторюсь (опять ИМХО), что NBU 65.1 ISMS LA не появится в ближайшее время потому что:
- нацбанк в этом не заинтересован
- это требует существенной работы - как минимум нужна адаптация 27006, а у нацбанка сейчас и без того есть чем заниматься

Очень хочется оказаться неправым. Но реалии таковы. Возможно через год - два что-то изменится. Опыт России показал, что нужно 4 года, чтобы банки хотя бы начали внедрять.

il y a 4 jours



Vladimir Gninyuk Целесообразность? – Когда, в качестве «необходимости» НБУ кроме как:
«Необхідність впровадження в банках України стандартів з управління інформаційною безпекою продиктована вимогами Базельського комітету Basel II з управління та зменшення операційних ризиків банків.»
больше ничего написать не смог (все остальное представленно как «возможности»), но, при этом, сложность системы многократно увеличил, то о какой «целесообразности» может идти речь.
Более того, ведь СУИБ это инструмент управления, а не сама система безопасности. Но разве в наших банках главная проблема в плохом управлении именно безопасностью?

«Обязы», например, по ISO 9000 были бы более логичны. И если бы это было осуществлено, и годика 3-4 поработало, то многие вопросы даже здесь обсуждаемые отпали бы сами собой. ИМХО.

il y a 4 jours



Vladimir Gninyuk Очень здорово, что Вы обратили внимание присутсвующих на 27006-ой. Его, почему-то не кто не вспоминает. А там, очень много ответов на вопросы, обсуждаемых в данной ветке.

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Про Basel II - это действительно истинная причина. Нацбанк ни чего не выдумывал. Они это внедряют точно также из-под палки, только палка в руках у Европы.

il y a 4 jours



Vladimir Gninyuk Не вопрос, понятно, но зачем же так усложнять задачу? Для требуемого контроля и стандартного 27-го хватило бы, или не так?

"Закон о защите Перс Данных" имеет аналогичную предысторию, но ведь пока все адекватно ситуации и стремления "перегнуть палку" со стороны "держ служби" пока не чувствуется.

С ответственностью, конечно, начудили... Посмотрим как будут развиваться события дальше.

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Я так понимаю, вопрос риторический?

il y a 4 jours



Vladimir Gninyuk ;-))) Мало-ли, а может у кого-то есть ответ

il y a 4 jours



Vladimir Matviychuk, CISA, CISM Начудили с ответственностью или нет скоро узнаем. Пока ведь окончательного решения нет. Или это уже про персданные было?

il y a 4 jours



Vladimir Gninyuk Сорри за неудачное форматирование, но реплика "о ответственности" касалась ПерсДанных.

il y a 4 jours



Vladimir Matviychuk, CISA, CISM На мой взгляд, ответственность более мягкая, чем в Европе. И подход по внедрению более разумный, чем у НБУ.
Но, оффтопик

il y a 4 jours



Aleksey Nazarenkov а можно я буду более консервативным?.. Постанова №265 существует уже ого-го сколько лет. И сколько при этом банков имеют указанную там документацию ? А у скольких из них при этом она сооветстсвует требованиям Постановы? А у скольких из них "План действий..." при этом не для галочки (читай "надзора"), а реально применимый в случае кризисной ситуации? И при этом скольких показательно серьезно наказали (большими штрафами, отзывом лицензии и т.д.)? А ведь для внедрения 265й/271й необходимо на порядок меньше усилий и средств.

Вот этим, по-моему, и объясняется массовая выжидательно позиция относительно внедрения требований 27ххх в редакции НБУ. То есть: кто и раньше был вынужден все соблюдать - будет соблюдать и это. Кто раньше мог позволить себе закрывать глаза на определенные вещи - будет продолжать. И изменится ситуация может только если существенно изменятся подходы НБУ в сфере надзора. Но тогда, опять же по-моему, требования в области СУИБ будут не самой большой головной болью банков в области комплаенса. А ресурсы на комплаенс, как известно, обычно выделяются в порядке снижения уровня головной боли, связанной с несоответствием.

il y a 3 jours



Vladimir Matviychuk, CISA, CISM Леша, ты сам знаешь, что ответ кроется в 369-й. Поменяют - появится стимул. Нет - стандарт возглавит ряды идущих ... пардон, бумажных процессов.

no pain - no gain :)

il y a 3 jours



Alex Grebenyuk практика расставит все по своим метсам. Изучение правил языка не исключает ошибок. Для работы аудитором - нужна практика применения адекватных правил или отсутствия такой практики. Инструментальные средства? На каком обучении вам дадут адекватный ответ?

il y a 3 jours



Alex Grebenyuk 1. Vladimir

а вы подзаконныке акты видели - я про закон о перс. данных? Не поверите - но люди о нем - и - соответственно, о подзаконных актах - говорят чисто теоретически. Даже про стандарты безопасности не заикаются. Точнее, заикаются, но только по стандартам ITU. Все, мертвых можно выносить, ибо X.800 не решает проблем ИБ

il y a 3 jours



Vladimir Matviychuk, CISA, CISM Мы сейчас о каких подзаконных актах говорим? О типовом порядке обработке персональных данных? Видел. Нормальный документ. Честно списанный с европейских. Или мы сейчас говорим о ДССЗишных фантазиях ? Так о них либо хорошо, либо ничего ;)

il y a 3 jours



Artem Gonchar Посмотрим какой размер штрафа будет.

il y a 3 jours



Alex Grebenyuk Тогда промолчу;)

il y a 3 jours



Aleksey Nazarenkov Володя, полностью с тобой согласен. Но кроме 369й я знаю, что банки до сих пор не вернули хх ярдов гривен рефинансирования, полученных в 2007-2008 годах на 6-12 месяцев. И судя со сообщениям в СМИ некоторые не особо и торопятся возвращать несмотря на прибыль в 2010 г. Поэтому - тот кто мог договрится с НБУ о лояльности раньше - договорится и теперь, причем размер штрафа особой помехой не будет. Кого показательно прессовали - будут прессовать и за 27ххх.

il y a 3 jours



Vladimir Matviychuk, CISA, CISM Не могу не согласится :)

il y a 3 jours



Alex Grebenyuk В сухом остатке - все равно реальная практика всех расставит по своим углам

Naseeb Shaikh hi friends nice to meet u all of u i am keen learner in it security i am very interested will do some more diffrence frm india

il y a 2 jours



Comments