Суть – верна, детали – нет. Стандарты ИБ в банках лучше учитывают отраслевую специфику::Приложение к журналу СА №2(2010)
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 2221
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2209
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1765
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1281
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1827
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Суть – верна, детали – нет. Стандарты ИБ в банках лучше учитывают отраслевую специфику

Архив номеров / 2010 / Выпуск №2 (2) / Суть – верна, детали – нет. Стандарты ИБ в банках лучше учитывают отраслевую специфику

Рубрика: Безопасность /  Закон есть закон

Артем Сычев АРТЕМ СЫЧЕВ, заместитель директора Департамента безопасности – начальник Управления информационной безопасности «Россельхозбанка»

Суть – верна, детали – нет
Стандарты ИБ в банках лучше учитывают отраслевую специфику

Для ИТ-подразделений и служб информационной безопасности стало проблемой обеспечение соответствия работы кредитной организации требованиям различных нормативных документов и стандартов

Хотя страсти вокруг Федерального закона №152 «О персональных данных» улеглись, проблема соответствия требованиям этого закона остается актуальной. Как показывает практика, обеспечение соответствия требованиям этого закона и подзаконных актов к нему в кредитно-финансовой сфере имеет ряд проблем и особенностей.

Прежде всего необходимо учитывать следующие особенности. Вся деятельность организаций кредитно-финансовой сферы основана на риск-ориентированном подходе, как это рекомендуют Банк России и лучшая мировая практика. В полной мере риск-ориентированный подход используется и в деятельности, направленной на обеспечение информационной безопасности, в том числе и безопасности персональных данных. При этом банковское сообщество ориентируется на комплекс документов в области стандартизации информационной безопасности Банка России (БР ИББС).

В большинстве организаций кредитно-финансовой сферы еще до вступления в действие №152-ФЗ были установлены режимы банковской и/или коммерческой тайны. Тем не менее вступление в силу закона о персональных данных потребовало пересмотреть сложившуюся систему обеспечения информационной безопасности банков.

Во-первых, нет необходимости в получении дополнительных лицензий на непрофильную деятельность. Задача службы безопасности совместно с другими заинтересованными подразделениями организации – оценить риски и сформулировать требования по безопасности. В силу сложности современных автоматизированных систем и ИТ, применяемых в организациях кредитно-финансовой сферы, реализация этих требований, как правило, ложится на специализированные организации, интеграторов, которые уже имеют соответствующий набор необходимых лицензий. Последующее же использование средств и технологий обеспечения ИБ по действующей в настоящее время законодательно-нормативной базе не требует лицензирования.

Во-вторых, очевидна экономическая нецелесообразность аттестации информационных систем. Тем более когда законодательство предлагает альтернативные способы подтверждения выполнения требований по информационной безопасности. Современные информационные системы, особенно в многофилиальных организациях, – это живой организм, изменение которого происходит постоянно. Так, например, только внесение исправлений или дополнений, связанных с обновлением законодательной или методической базы, в АБС может происходить до трех раз в неделю. Поскольку АБС – это сердце любого банка, то замораживание состояния АБС на долгий срок для проведения аттестации приведет к потере конкурентоспособности банка. Процедура аттестации не только долгая, но и крайне затратная. Организации кредитно-финансовой сферы вынуждены изыскивать на эти процедуры средства, сокращая при этом кредитование физических и юридических лиц.

В-третьих, сомнительно, что найдется хоть одна кредитная организация, готовая потратить значительные финансовые ресурсы на оснащение своих операционных залов и допофисов средствами предотвращения утечки информации по техническим каналам. И прежде всего – потому, что нецелесообразно выстраивать дорогостоящую защиту от неактуальных угроз (виброакустика, ПЭМИН и т.д.). Безусловно, банки и другие финансовые организации обеспечивают особую защиту ряда своих помещений, прибегая к помощи специализированных лицензированных организаций. Но, как правило, это к персональным данным не имеет никакого отношения.

В-четвертых, типовые решения для головной организации и филиалов в части ИТ и бизнес-процессов ставят вопрос об унификации и типизации технологий и средств обеспечения ИБ, в том числе обеспечения безопасности персональных данных. В связи с этим имеет смысл рассматривать не каждую автоматизированную систему в отдельности, создавая полный комплекс защитных мер для нее одной, а оценивать всю организацию в целом. Иначе, имея несколько ИСПДн, можно получить несколько подсистем информационной безопасности, которые будут не только дублировать друг друга, но, вполне возможно, еще и мешать друг другу.

В рамках комитета по информационной безопасности Ассоциации российских банков (http://www.arb.ru/site/docs/?doccode=25) и при поддержке Центробанка (http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Met, http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd) были разработаны рекомендации для банков в части достижения соответствия требованиям №152-ФЗ и подзаконных актов к нему (http://www.abiss.ru/doc). Основа этих рекомендаций – опора на отраслевую специфику и следование стандартам отраслевого применения (БР ИББС).


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru