BIS Journal №1(44)/2022

9 марта, 2022

Давайте не будем делить поляну

В одной из соседних стран нет специалистов-ибэшников, там за инциденты ИБ наказывают руководителей ИТ.

Традиционно новые темы начинаются с «прожарки», и Сергей Викторович Вихорев это сделал, как всегда, блестяще. Должен согласиться с ним и обратить внимание авторов статьи «Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях», что нынче действительно актуально положение Банка России № 747-П от 2021 года. И это, с одной стороны, серьёзно сужает круг организаций, дОлжных реализовывать стандартный и усиленный уровень защиты, а с другой – формирует требования к новациям финансового рынка – акторам цифровых активов, что само по себе составляет маленькую революцию.

Эти замечания не делают статью неактуальной, наоборот, мне, как практику, статья понравилась поднятием как минимум двух тем:

  1. Рассматриваемые категории субъектов нормотворчества БР никто ранее не регулировал, поэтому для них мало что адаптировано, и про них очень мало говорили на профессиональных банковских площадках, особенно касаясь цифровых активов.
  2. В статье поднята тема организационных мер как начального подхода к обеспечению ИБ и дан довольно полный перечень документов «с чего начать». Сам по себе этот посыл — уже плюс.

Не буду дискутировать о наборе документов и глубине их проработки, технической поддержке решений «по ИБ», уверен, что значительное число задач по ИБ уже решается подразделениями ИТ и им не хватает лишь (?) методической поддержки с точки зрения ИБ, а это уже вопрос зрелости компании.

Чтобы ответить на вопрос о достаточности набора документов, могу предложить простое упражнение: надо составить табличку направлений защиты (совокупность выбранных для организации организационных и технических мер в соответствии с выбранным уровнем защиты) и имеющимися внутренними нормативными документами (ВНД), пустые клетки в этой табличке будут говорить об отсутствии необходимого ВНД. Для полноты картины можно указать там же те документы четвёртого уровня, которые будут подтверждать выполнение этого требования. Полезный инструмент для офицера безопасности и для аудитора.

В предложенном перечне документов было бы правильно акцентировать внимание на контроле жизненного цикла прикладного программного обеспечения, работающего с использованием сети Интернет, особенно при наличии собственной разработки.

Чего не хватает в статье, так это более широкого взгляда на проблему соответствия требованиям.

В очередной раз в нормативных документах БР требования к аудиторам сводятся лишь к наличию лицензии ФСТЭК у организации, осуществляющей проверку. А ведь при требованиях внешней проверки должны быть определены специальные профессиональные требования к аудиторам по принципам типа аудиторов PCIDSS, с обязательным периодическим подтверждением соответствия этим требованиям. Определена юридическая и финансовая ответственность компаний-аудиторов, порядок аккредитации таких компаний, разработаны и утверждены (кем?) программы обучения и аттестации аудиторов. Если не будут решены эти проблемы, говорить о каком-то существенном прорыве в обеспечении информационной безопасности просто несерьёзно.

И в заключение ещё раз подчёркиваю: статья нужная и направление её правильное.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
29.03.2024
«Когда мы говорим об учителях, то подошли бы и китайские планшеты»
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных