Центробанк разработал новые стандарты обеспечения информационной безопасности

image

Теги: банк

Вопросы, связанные с информационной безопасностью банков, вышли на первый план после громких скандалов, связанных с утечками данных о клиентах различных банков, а также поступлением в продажу нелегальной базы данных заемщиков крупнейших российских банков.

Эксперты полагают, что только 16 процентов банков готовы применять новый стандарт информационной безопасности, предложенный ЦБ для снижения рисков утечки данных о клиентах. Банкиры пока не видят экономической целесообразности внедрять дорогую технологию. Но ЦБ настойчив: к 2009 году рекомендации ЦБ по усилению информационной безопасности превратятся в требования.

Вопросы, связанные с информационной безопасностью банков, вышли на первый план после громких скандалов, связанных с утечками данных о клиентах различных банков, а также поступлением в продажу нелегальной базы данных заемщиков крупнейших российских банков.

При этом жертвами неизвестных мошенников стали 700 тысяч заемщиков. Все они попали в базы данных компаний, проводящих агрессивный маркетинг.

В России ежегодно происходит как минимум 2-3 крупных скандала, в которых замешаны банки, в частности, занимающиеся экспресс-кредитованием, когда утрачиваются сотни записей. Выходят на открытый рынок сотни тысяч записей об их заемщиках. В Америке эти утечки происходят по 10 раз в месяц.

В чем же причина столь низкой активности банков в области безопасности? Возможно, дело в высокой стоимости внедрения подобных систем - это сотни тысяч долларов. Такие расходы "не по зубам" не только мелким, но и средним банкам.

Некоторые эксперты, однако, считают, что дело не в стоимости, просто внедрение стандарта - достаточно трудозатратная вещь, сразу ее не осилить. Как правило, малым и средним банкам сложно разобраться в нем и подготовить весь комплекс защиты.

В 90-х годах, когда банки только озаботились вопросами безопасности, не было ясного понимания, от чего и от кого защищаться. Защищались от налетчиков, а ведь кража информации гораздо опаснее. При этом внутренние угрозы информбезопасности, нарушение конфиденциальности и утрата информации имеют больший приоритет перед внешними. Как же защититься от недобросовестных инсайдеров, своего рода "кротов", подрывающих авторитет собственных банков?

Стандарт ЦБ в первую очередь обращает внимание на организационные меры по защите. В этом документе прописано все, начиная от подготовки документации, политики информационной безопасности до модели потенциального нарушителя.

В принципе это достаточно стандартный набор, включающий определенные технологические процедуры, в частности, определенные ограничения от доступа, вещи, связанные с шифровкой данных, криптография, также обеспечение процедуры аудита на соответствие стандарта информационной безопасности.

Есть надежда, что стандарт все же станет обязательным требованием в контексте требований международного соглашения "Базель-2" по операционным рискам.

Справка по соглашению "Базель-2". Свод нормативов, соглашения, содержит рекомендации по совершенствованию техники оценки кредитных рисков и их управлению, а также рекомендации по развитию надзора над рисками, состоянием риск-менеджмента и рыночной дисциплины.

Но пока банки не торопятся укреплять безопасность. Главными причинами своей невысокой активности в части практического внедрения стандарта банкиры называют отсутствие методических материалов ЦБ по практическому внедрению (49 процентов), бюджетные ограничения (40 процентов) и отсутствие реальных экономических стимулов (31 процент). Лишь 5 процентов банков в той или иной степени внедрили стандарт ЦБ.


или введите имя

CAPTCHA
Страницы: 1  2  
1
30-07-2007 23:16:00
агрессивный маркетинг = cпaм?
0 |
1
31-07-2007 04:57:03
Какой же он новый, ему больше года!
0 |
31-07-2007 08:28:18
Если быть точнее, то целых три. Впервые он вышел в 2004, в 2006 вышел апгрейд. А в 2007 вышли еще пара дополняющих стандартов. И очень интересно, откуда взяли, что стандарт будет обязательным к 2009 г. ????
0 |
1
31-07-2007 09:43:17
Почитайте сей стандарт Это набор умных бессмысленных слов далеких от действительности. Это просто очередной способ натянуть банки за неисполнение чего-то там. Во время проверок ЦБ проверяет не инф. безопасность банков, а наличие всех бумажек, которые предусмотрены тем или иным стандартом (законом, инструкцией)
0 |
ak_
31-07-2007 12:25:17
Советую сесть и внимательно прочитать все-таки. Стандарт по проведению оценки информационной безопасности банка предусматривает не только наличие бумажек в проверяемом банке, но так же надо еще показать, что скажем логи хранятся и хранятся в недоступном для админов месте (в более или менее больших банках это серьезная проблема - часто логи хранятся не больше суток, т.к. "они слижком быстро растут"), что почту сотрудников мониторят на предмет утечек информации, что доступ в Интернет не просто прикрыт с целью исключения непроизводственного использования Интернета, но еще и контролируется - тоже часто это большая проблема. Зато действует всегда стандартный подход - главное чтоб на внешнем периметре ничего "не торчало" и стояли firewall. Ну в некоторых местах обрастают еще небольшим набором регламентов, регулирующих деятельность сотрудников в сфере инф. безопасности, но не более.
0 |
1
31-07-2007 14:37:26
Не надо гнать, стандарт носит РЕКОМЕНДАТЕЛЬНЫЙ характер.
0 |
1
31-07-2007 09:49:55
Я вот не понял. Эта новость о чем? О том что банки не задумываются о ифнормационной безопасности? Или о том, что не "внедряют" у себя стандарты?
0 |
1
31-07-2007 11:57:32
Плиз, дайте ссылку на стандарт. Хотелось бы подробнее ознакомится.
0 |
ak_
31-07-2007 12:27:18
http://www.techcom3623.ru/doc.14.htm?loc=5 - сайт разработчиков стандартов для ЦБ. Там есть линк на опубликованный "Вестник ЦБ"
0 |
1
31-07-2007 17:30:17
http://www.abiss.ru/download.php?link=standartABISS&type=doc&bid=32&eid=885
0 |
Страницы: 1  2