Показаны сообщения с ярлыком банки. Показать все сообщения
Показаны сообщения с ярлыком банки. Показать все сообщения

вторник, 30 августа 2011 г.

Автоматизация управления ИБ в Банках

Разбираясь с результатами опроса по оценке рисков ИБ, заинтересовался тем, что же есть сейчас в плане программного обеспечения, которое можно использовать для проведения оценки рисков. Западных программ полно, а вот наших кроме древнего и по моему мнению очень неудобного ГРИФа от Digital Security больше ничего нет. И он, понятно дело, для банков не годится.

Коллеги скинули ссылку на сайт компании ISM SYSTEMS. Судя по описанию, компания занимается разработкой специализированного софта ISM Revision, который предназначен для автоматизации процессов управления ИБ (в том числе и управления рисками). Вот что они пишут о продукте:

«ISM Revision – комплексный программный продукт, предназначенный для автоматизации процессов управления информационной безопасностью. Каждый из модулей нашего решения обеспечивает автоматизацию управления определенным процессом: аудит информационной безопасности, риск-менеджмент, инцидент-менеджмент и другие.
Наш продукт разработан на базе веб-технологий, поэтому для его использования достаточно наличия на компьютере веб-браузера. Стоимость ISM Revision фиксирована для любой организации и не зависит от количества пользователей.
Еще одним преимуществом нашего программного продукта является возможность создавать документы, содержащие результаты деятельности по управлению информационной безопасностью. Эти документы могут быть использованы как для отчетности перед руководством, так и при проведении проверок со стороны Банка России.»

Пока для ознакомления доступен только модуль для проведения самооценки на соответствие СТО БР ИББС, модуль по рискам в разработке и в ближайшее время обещан его релиз. Посмотрим, что у них получится.
Автор: Александр Бондаренко на 00:10 2 коммент.
Ярлыки: ,

воскресенье, 28 августа 2011 г.

Ситуация с оценкой рисков ИБ в банках

Как и обещал выкладываю результаты проведенного опроса по оценке рисков ИБ в банках. Всего в опросе приняло участие 67 банков, что составляет примерно 7-8% от общего числа.

Первый вопрос касался того, проведена ли в банке оценка рисков, и вот его результаты:

Я честно говоря ожидал худшего, но судя по ответам в 43% банков оценка рисков ИБ уже проведена и почти 15% проводят ее сейчас.

Следующий вопрос касался того, кому в банке поручен процесс оценки рисков

В подавляющем большинстве это служба информационной безопасности. Реже всего - служба ИТ.

Следующий вопрос касался того, какая методика применяется при оценке рисков. И тут снова в общем ожидаемая ситуация - большинство выбирает методику Банка России. (в описании методики у меня вкралась ошибка, конечно же это РС БР ИББС-2.2-2009, а не тот документ, который указан в опросе, но видимо все поняли правильно :) )

Последний вопрос касался территориальной принадлежности банка. Надо сказать здесь несколько смутило, что московских банков оказалось меньше половины, но зато выборка получилась равномерной с точки зрения территориального распределения (есть по крайней мере повод так думать)

Все спасибо за участие в опросе. Для начала получилось совсем неплохо. Есть над чем поразмыслить.
Автор: Александр Бондаренко на 20:10 0 коммент.
Ярлыки: ,

четверг, 25 августа 2011 г.

Риски в банковской отрасли

Продолжая тематику рисков в банковской отрасли (кстати, опрос по ИБ-рискам пока еще продолжается) хотелось бы рассказать об исследовании, которое ежегодно проводит Pricewatehousecoopers - Banking banana skins. Текущая версия отчета относится к 2010 г. и в том числе отдельно описывает ситуацию в России. Что же мы видим:

Я обвел красным цветом то, что косвенно имеет отношение к вопросам информационной безопасности. Напрямую риски информационной безопасности в списке не представлены, что видимо свидетельствует о том, что они не способны привести к критическим последствиям для банков (точнее так это видится банкам).

Можно также отметить интересные тенденции. По сравнению с 2008 г. выросли риски непрерывности работы организаций, но снизились риски высокой зависимости от технологий.

Автор: Александр Бондаренко на 08:59 4 коммент.
Ярлыки: ,

вторник, 15 февраля 2011 г.

III Межбанковская конференция «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

Как известно с сегодняшнего дня в Магнитогорске проходит конференция "Информационная безопасность банков". Мероприятие безусловно знаковое (для банков пожалуй вообще ключевое). В этом году по стечению обстоятельств я не смог поехать в Магнитогорск, поэтому как и все буду следить за тем, что там происходит со стороны.

Сейчас единственным (мне известным) источником информации о конференции являются твиттер-сообщения Алексея Лукацкого. Позволю себе дать несколько комментариев по той информации, которую запостил Алексей.

Alexey Lukatsky
Гришанков: все благие поправки в законопроект о лицензировании в Правительстве завернули без веских оснований

Неприятная новость, т.к. если в законе о лицензировании ничего не поменяется, то получается, что придется всем либо получать лицензию на ТЗКИ, либо отдавать безопасность на аутсорс, однако в условиях неразвитости этого рынка это будет больше похоже на формальную плату за то, чтобы не было претензий от регуляторов
.

Alexey Lukatsky
Курило: средний срок приведения в соответствие с СТО - 3 года

С оценкой согласен, но что понимается под соответствием ? 4-5 уровень ? Тогда что должны согласно письму шести подтвердить банки до 1 июля 2011 г. (у них осталось менее 5 месяцев) ? В общем слово "соответствие" в терминологии СТО БР имеет какое-то специфичное и неконкретное значение.

Alexey Lukatsky
Курило: средняя цена затрат на приведение в соответствие с СТО - 5 млн. рублей

На мой взгляд это минимальная оценка, если мы говорим об уровне не ниже 3-го. Это означает, что если кто-то из консультантов обещает вам "сделать СТО" за 100 рублей (условно), то это будут просто выброшенные деньги. Тут думаю стоит прислушаться к поговорке "Мы не такие богатые, чтобы покупать дешевые вещи".

Alexey Lukatsky
Курило: лицензия ФСБ банкам нужна

Нужна и точка. Несмотря на то, что закон о лицензировании не относится к деятельности кредитных организаций, но тут видимо исторические договоренности....

п.1 Вождь всегда прав, п.2 если вождь не прав смотри п.1

Alexey Lukatsky
Курило: ЦБ должен стать регулятором ИБ для банков, чтобы директивно спускать требования, а не рекомендации. В ГД такое предложение ушло

Интересно о каких директивных требованиях идет речь, ранее ЦБ говорил про свои документы (СТО БР) как про рекомендательные (хорошая практика), теперь видимо ветер изменился.... у кого-то еще остались сомнения, что СТО БР не придется выполнять ?

Alexey Lukatsky
Гениевский: ABISS хочет стать организацией, работающей не только с ЦБ, но и с РКН, ФСБ и ФСТЭК, те. посредником между банками и регуляторами

Слово "посредник" в России имеет очень конкретный "оттенок"

Alexey Lukatsky
Гениевский: ABISS станет аналогом PCI DSS Council в России - будет аккредитовать аудиторов, обучать специалистов, оценивать результаты...

А вот это уже другое.. Цель хорошая, но о ней говорят уже больше года, а воз и ныне там. Курсы и сертификация аудиторов так и не появились. Кроме того аналогия не получается прямой. PCI Council разрабатывает и утверждает стандарты PCI, а вот ABISS в отношении СТО БР этого делать не может, ведь для этого надо забрать эти функции у ТК362.... только думаю я, что не отдадут...

Alexey Lukatsky
Борисова: РКН не согласен с редакцией законопроекта Резника ко второму чтению. От меня - еще бы; РКН вообще выпал из законопроекта ;-)

Да уж..... перспективы законопроекта какие-то туманные. На Инфофоруме недавно также было отмечено, что ждать новую редакцию надо не раньше мая, т.к. до сих пор нет между составителями консенсуса.

Alexey Lukatsky
Акимов: 400 проверок по линии ПДн со стороны 8-го центра в 2010-м году

Цифра поражает. Откуда столько ? И вообще интересно что и на каком основании проверял ФСБ если учесть, что требования по приведению ИСПДн в соответствие так и не вступили в силу.

Alexey Lukatsky
Лютиков: около 40% банков находятся на 4-5 уровнях соответствия СТО

Здесь как у Станиславского - "Не верю!", 4-5 уровень это очень круто, при той математике подсчета, которая заложена в документах ЦБ, для такого уровня нужно реально много сделать. Не знаю откуда такие цифры у представителя ФСТЭК, но по моему мнению банки, которые по честному (без натяжки) соответствуют 4-5 уровню, можно пересчитать по пальцам.

Alexey Lukatsky
Лютиков: после принятия поправок к законопроекту Резника ФСТЭК будет контролировать только госы и муниципалов

Вот отличная новость (ну хотя бы для коммерческих организаций), если ФСТЭК будет заниматься только госами и муниципалами, то тогда логично предположить, что их требования и методические документы будут применяться только обозначенными организациями, а для всех остальных будут отраслевые стандарты, лучшие практики, мировой опыт и ..... счастье :) Поживем-увидим.

Ну и продолжаем следить за тем, что происходит в Магнитогорске....



Автор: Александр Бондаренко на 21:55 0 коммент.
Ярлыки: , ,
Подписаться на: Комментарии (Atom)