Это как мне кажется довольно классическая ситуация. Думаю немало коллег с ней столкнулось.
Буквально вчера получил сообщение следующего содержания (текст сохранен в оригинале):
Добрый вечер! Решил обратиться квам как специалисту по ИБ, дело втом что меня поставили на направление Иб в банке, до меня был специалист усилиями которого сообщили в цб что принимают стандарт после он растварился :), теперь вопросы мне задают :)) Подскажите счего начать внедрять стандарт ЦБ ??? где может подсматреть что в какой последовательности делать какие документы создавать или орг мероприятия :( понимаю что куча всего придёться делать но хоть по этапно подсоветуйте как поскольку отдел рисков тоже меня начал рапиливать :( хелппп. заранее огромное спс.
Навскидку я готов порекомендовать следующее:
1) Прочитайте все документы, относящиеся к Комплексу СТО БР, ну или хотя бы те, которые являются стандартами (в названии аббревиатура СТО, а не РС). Документы есть как минимум на сайте АБИСС.
2) Компания ЛЕТА выпустила неплохую методичку относительно внедрения стандарта, в ней как раз описано что и в какой последовательности надо делать. Скачать ее можно тут.
3) Советую обратить внимание на автоматизированный инструментарий, который позволит упростить выполнение ряда задач. В качестве примера ISM Revision.
Эта же компания разместила на своем сайте инструмент экспресс-оценки, так что если нужно быстро понять на каком вы уровне, то пожалуйста. Инструмент бесплатный.
4) Если возникает вопрос о том какие технические решения сейчас предлагаются на рынке, то рекомендую ISM:МАРКЕТ
5) Ну и конечно почитайте форумы. Как минимум на bankir.ru. Ну и на том же ISM:Маркете.
Давайте поможем коллеге ! Кто еще чем полезным может поделиться (прошу в комменты) ?
Facebook
==> Связаться со мной <==
Согласен, что внедрять нужно с конца - с оценки соответсвия, берем СТО-1.2 = подробнейший план действий.
ОтветитьУдалить0). Взять нормального специалиста по ИБ с опытом, так как растратив силы и ресурсы впустую, всё равно придётся это делать.
ОтветитьУдалить- Отправить в ЦБ письмо об отказе от внедрения стандарта СТО БР :)
ОтветитьУдалить- Определить потребности бизнеса и задачи стоящие перед отделом ИБ
и т.д.
Уже писал недавно в заметке, что у CISO есть несколько вариантов действий. Но гарантированного нет.
http://sborisov.blogspot.ru/2012/10/ciso.html
и последующее обсуждение тут
http://www.linkedin.com/groups/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5-%D0%A1-%D1%87%D0%B5%D0%B3%D0%BE-%D0%BD%D0%B0%D1%87%D0%B0%D1%82%D1%8C-CISO-3189141.S.180717052?qid=c8f20422-5c3c-497d-8a0b-60422712d7e7&trk=group_items_see_more-0-b-cmr
Я бы посоветовал в первую очередь начать с "Методической рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации".
ОтветитьУдалитьК сожалению "методические рекомендации" да и сам СТО БР не совсем актуальны в виду изменений законодательства по НПС и ПДн.
ОтветитьУдалитьТак что если и применять, то с собственной адаптацией под изменения
Начинать нужно с беседы с Топ менеджментом, с вытекающими отсюда последствиями: приказ о запуске проекта, о создании рабочей группы, о назначении ответственных, о сроках и т.д. В противном случае, советую бежать подальше от этой работы подальше. В одиночку вы ничего не сделаете, только шишек набьете. Я думаю, что, как обычно, нашли крайнего, на которого, если что, можно будет пальцем показывать.
ОтветитьУдалитьПривет друзья вот как вы советовали начал с конца почитал докумы сто бр провел экспрес оценку соответствия стандарту = 0,0000000012 :) неудивительно ! выделил направления для работы набор необходимых к разработке документов по иб, встал вопрос о том что яж не уневерсальный солдат и иногда хочу в отпуск и прочее нужно взять замещ сотрудника, нужна мотивация почему его нужно взять, както ранее встречал в какомто документе толи письме ЦБ описание об админах иб отом сколько их должно быть и зачем нужны замещающие, если вас не затруднит помогите найти обоснование необходимости принятия ещ одного чела согласно цб и фз требованиям, искрене надеюсь что доведу оценку соответствия даной организации до твердой двойки а дальше буду думать :) Всем за помощь и подержку огромное спс!
ОтветитьУдалить