Перейти к содержанию

Центробанк разработал новые стандарты ИБ


Рекомендуемые сообщения

Эксперты полагают, что только 16 процентов банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах. Банкиры пока не видят экономической целесообразности внедрять дорогую технологию. Но ЦБ настойчив: к 2009 году рекомендации ЦБ по усилению информационной безопасности превратятся в требования.

 

Вопросы, связанные с информационной безопасностью банков, вышли на первый план после громких скандалов, связанных с утечками данных о клиентах различных банков, а также поступлением в продажу нелегальной базы данных заемщиков крупнейших российских банков.

 

При этом жертвами неизвестных мошенников стали 700 тысяч заемщиков. Все они попали в базы данных компаний, проводящих агрессивный маркетинг.

 

В России ежегодно происходит как минимум 2-3 крупных скандала, в которых замешаны банки, в частности, занимающиеся экспресс-кредитованием, когда утрачиваются сотни записей. Выходят на открытый рынок сотни тысяч записей об их заемщиках. В Америке эти утечки происходят по 10 раз в месяц.

 

В чем же причина столь низкой активности банков в области безопасности? Возможно, дело в высокой стоимости внедрения подобных систем - это сотни тысяч долларов. Такие расходы "не по зубам" не только мелким, но и средним банкам.

 

Некоторые эксперты, однако, считают, что дело не в стоимости, просто внедрение стандарта - достаточно трудозатратная вещь, сразу ее не осилить. Как правило, малым и средним банкам сложно разобраться в нем и подготовить весь комплекс защиты.

 

В 90-х годах, когда банки только озаботились вопросами безопасности, не было ясного понимания, от чего и от кого защищаться. Защищались от налетчиков, а ведь кража информации гораздо опаснее. При этом внутренние угрозы информбезопасности, нарушение конфиденциальности и утрата информации имеют больший приоритет перед внешними. Как же защититься от недобросовестных инсайдеров, своего рода "кротов", подрывающих авторитет собственных банков?

 

Стандарт ЦБ в первую очередь обращает внимание на организационные меры по защите. В этом документе прописано все, начиная от подготовки документации, политики информационной безопасности до модели потенциального нарушителя.

 

В принципе это достаточно стандартный набор, включающий определенные технологические процедуры, в частности, определенные ограничения от доступа, вещи, связанные с шифровкой данных, криптография, также обеспечение процедуры аудита на соответствие стандарта информационной безопасности.

 

Есть надежда, что стандарт все же станет обязательным требованием в контексте требований международного соглашения "Базель-2" по операционным рискам.

 

Справка по соглашению "Базель-2". Свод нормативов, соглашения, содержит рекомендации по совершенствованию техники оценки кредитных рисков и их управлению, а также рекомендации по развитию надзора над рисками, состоянием риск-менеджмента и рыночной дисциплины.

 

Но пока банки не торопятся укреплять безопасность. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49 процентов), бюджетные ограничения (40 процентов) и отсутствие реальных экономических стимулов (31 процент). Лишь 5 процентов банков в той или иной степени внедрили стандарт ЦБ.

 

_ttp://www.securitylab.ru/news/300409.php

Ссылка на комментарий
Поделиться на другие сайты

Кажется не названа еще одна причина - недоверие к самой системе. Был печальный опыт введения ЕГАИС, до сих пор отлаживают, вот банкиры вполне законно и не доверяют ЦБ. Как у много мной уважаемого В.С. Высоцкого

"..Но не се, то что сверху от Бога.."

Кстати

отсутствие методических материалов ЦБ по практическому внедрению (49 процентов)
об этом говорит.
Ссылка на комментарий
Поделиться на другие сайты

Кажется не названа еще одна причина - недоверие к самой системе. Был печальный опыт введения ЕГАИС, до сих пор отлаживают, вот банкиры вполне законно и не доверяют ЦБ. Как у много мной уважаемого В.С. Высоцкого

"..Но не се, то что сверху от Бога.."

Кстати  об этом говорит.

28793[/snapback]

 

Зря вы так. Вы этот стандарт читали? style_emoticons/default/smile3.gif

Кстати, в версии от 2006 года (являющейся по сути неплохим переводом зарубежных банковских стандартов) есть помимо общих требований и руководство по проведению аудита. Правда, уровень детальности там на уровне незабвенных руководящих документов ГосТехкомиссии style_emoticons/default/smile2.gif Но только с помощью внешних аудитов можно заставить что-то сделать... style_emoticons/default/smile8.gif

 

Между прочим зарубежные стандарты не лучше style_emoticons/default/smile7.gif

Ссылка на комментарий
Поделиться на другие сайты

Дублирую с ABISS:

Сообщество ABISS объявляет о добавлении в свою библиотеку (раздел Документы) четырех новых официальных документов Банка России:

 

    * Стандарт ЦБ РФ СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»;

    * Стандарт ЦБ РФ СТО БР ИББС-1.2-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта»;

    * Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;

    * Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0».

 

Скачать каждый из этих документов можно отсюда.

 

В заключение Сообщество ABISS напоминает о завершении на своем сайте исследования, которое посвящено Стандарту Банка России по информационной безопасности (СТО БР ИББС-1.0–2006). Все кредитно-финансовые организации, которые еще не приняли участие в этом проекте и не ответили на вопросы анкеты, приглашаются к участию в исследованию. Анкету с вопросами можно найти здесь.

Ссылка на комментарий
Поделиться на другие сайты

  • 1 год спустя...

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...