четверг, 20 декабря 2012 г.

На меня повесили ИБ в банке

Это как мне кажется довольно классическая ситуация. Думаю немало коллег с ней столкнулось.  

Буквально вчера получил сообщение следующего содержания (текст сохранен в оригинале):

Добрый вечер! Решил обратиться квам как специалисту по ИБ, дело втом что меня поставили на направление Иб в банке, до меня был специалист усилиями которого сообщили в цб что принимают стандарт после он растварился :), теперь вопросы мне задают :)) Подскажите счего начать внедрять стандарт ЦБ ??? где может подсматреть что в какой последовательности делать какие документы создавать или орг мероприятия :( понимаю что куча всего придёться делать но хоть по этапно подсоветуйте как поскольку отдел рисков тоже меня начал рапиливать :( хелппп. заранее огромное спс.

Навскидку я готов порекомендовать следующее:

1) Прочитайте все документы, относящиеся к Комплексу СТО БР, ну или хотя бы те, которые являются стандартами (в названии аббревиатура СТО, а не РС). Документы есть как минимум на сайте АБИСС.

2) Компания ЛЕТА выпустила неплохую методичку относительно внедрения стандарта, в ней как раз описано что и в какой последовательности надо делать. Скачать ее можно тут.

3) Советую обратить внимание на автоматизированный инструментарий, который позволит упростить выполнение ряда задач. В качестве примера ISM Revision

Эта же компания разместила на своем сайте инструмент экспресс-оценки, так что если нужно быстро понять на каком вы уровне, то пожалуйста. Инструмент бесплатный.

4) Если возникает вопрос о том какие технические решения сейчас предлагаются на рынке, то рекомендую ISM:МАРКЕТ

5) Ну и конечно почитайте форумы. Как минимум на bankir.ru. Ну и на том же ISM:Маркете.

Давайте поможем коллеге ! Кто еще чем полезным может поделиться (прошу в комменты) ?

7 комментариев:

  1. Согласен, что внедрять нужно с конца - с оценки соответсвия, берем СТО-1.2 = подробнейший план действий.

    ОтветитьУдалить
  2. 0). Взять нормального специалиста по ИБ с опытом, так как растратив силы и ресурсы впустую, всё равно придётся это делать.

    ОтветитьУдалить
  3. - Отправить в ЦБ письмо об отказе от внедрения стандарта СТО БР :)
    - Определить потребности бизнеса и задачи стоящие перед отделом ИБ
    и т.д.

    Уже писал недавно в заметке, что у CISO есть несколько вариантов действий. Но гарантированного нет.
    http://sborisov.blogspot.ru/2012/10/ciso.html
    и последующее обсуждение тут
    http://www.linkedin.com/groups/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5-%D0%A1-%D1%87%D0%B5%D0%B3%D0%BE-%D0%BD%D0%B0%D1%87%D0%B0%D1%82%D1%8C-CISO-3189141.S.180717052?qid=c8f20422-5c3c-497d-8a0b-60422712d7e7&trk=group_items_see_more-0-b-cmr

    ОтветитьУдалить
  4. Я бы посоветовал в первую очередь начать с "Методической рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации".

    ОтветитьУдалить
  5. К сожалению "методические рекомендации" да и сам СТО БР не совсем актуальны в виду изменений законодательства по НПС и ПДн.
    Так что если и применять, то с собственной адаптацией под изменения

    ОтветитьУдалить
  6. Начинать нужно с беседы с Топ менеджментом, с вытекающими отсюда последствиями: приказ о запуске проекта, о создании рабочей группы, о назначении ответственных, о сроках и т.д. В противном случае, советую бежать подальше от этой работы подальше. В одиночку вы ничего не сделаете, только шишек набьете. Я думаю, что, как обычно, нашли крайнего, на которого, если что, можно будет пальцем показывать.

    ОтветитьУдалить
  7. Привет друзья вот как вы советовали начал с конца почитал докумы сто бр провел экспрес оценку соответствия стандарту = 0,0000000012 :) неудивительно ! выделил направления для работы набор необходимых к разработке документов по иб, встал вопрос о том что яж не уневерсальный солдат и иногда хочу в отпуск и прочее нужно взять замещ сотрудника, нужна мотивация почему его нужно взять, както ранее встречал в какомто документе толи письме ЦБ описание об админах иб отом сколько их должно быть и зачем нужны замещающие, если вас не затруднит помогите найти обоснование необходимости принятия ещ одного чела согласно цб и фз требованиям, искрене надеюсь что доведу оценку соответствия даной организации до твердой двойки а дальше буду думать :) Всем за помощь и подержку огромное спс!

    ОтветитьУдалить