BIS Journal №1(44)/2022

9 марта, 2022

Давайте не будем делить поляну

В одной из соседних стран нет специалистов-ибэшников, там за инциденты ИБ наказывают руководителей ИТ.

Традиционно новые темы начинаются с «прожарки», и Сергей Викторович Вихорев это сделал, как всегда, блестяще. Должен согласиться с ним и обратить внимание авторов статьи «Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях», что нынче действительно актуально положение Банка России № 747-П от 2021 года. И это, с одной стороны, серьёзно сужает круг организаций, дОлжных реализовывать стандартный и усиленный уровень защиты, а с другой – формирует требования к новациям финансового рынка – акторам цифровых активов, что само по себе составляет маленькую революцию.

Эти замечания не делают статью неактуальной, наоборот, мне, как практику, статья понравилась поднятием как минимум двух тем:

  1. Рассматриваемые категории субъектов нормотворчества БР никто ранее не регулировал, поэтому для них мало что адаптировано, и про них очень мало говорили на профессиональных банковских площадках, особенно касаясь цифровых активов.
  2. В статье поднята тема организационных мер как начального подхода к обеспечению ИБ и дан довольно полный перечень документов «с чего начать». Сам по себе этот посыл — уже плюс.

Не буду дискутировать о наборе документов и глубине их проработки, технической поддержке решений «по ИБ», уверен, что значительное число задач по ИБ уже решается подразделениями ИТ и им не хватает лишь (?) методической поддержки с точки зрения ИБ, а это уже вопрос зрелости компании.

Чтобы ответить на вопрос о достаточности набора документов, могу предложить простое упражнение: надо составить табличку направлений защиты (совокупность выбранных для организации организационных и технических мер в соответствии с выбранным уровнем защиты) и имеющимися внутренними нормативными документами (ВНД), пустые клетки в этой табличке будут говорить об отсутствии необходимого ВНД. Для полноты картины можно указать там же те документы четвёртого уровня, которые будут подтверждать выполнение этого требования. Полезный инструмент для офицера безопасности и для аудитора.

В предложенном перечне документов было бы правильно акцентировать внимание на контроле жизненного цикла прикладного программного обеспечения, работающего с использованием сети Интернет, особенно при наличии собственной разработки.

Чего не хватает в статье, так это более широкого взгляда на проблему соответствия требованиям.

В очередной раз в нормативных документах БР требования к аудиторам сводятся лишь к наличию лицензии ФСТЭК у организации, осуществляющей проверку. А ведь при требованиях внешней проверки должны быть определены специальные профессиональные требования к аудиторам по принципам типа аудиторов PCIDSS, с обязательным периодическим подтверждением соответствия этим требованиям. Определена юридическая и финансовая ответственность компаний-аудиторов, порядок аккредитации таких компаний, разработаны и утверждены (кем?) программы обучения и аттестации аудиторов. Если не будут решены эти проблемы, говорить о каком-то существенном прорыве в обеспечении информационной безопасности просто несерьёзно.

И в заключение ещё раз подчёркиваю: статья нужная и направление её правильное.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных