15 Февраля, 2011

III Межбанковская конференция «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

Александр Бондаренко
Как известно с сегодняшнего дня в Магнитогорске проходит конференция "Информационная безопасность банков". Мероприятие безусловно знаковое (для банков пожалуй вообще ключевое). В этом году по стечению обстоятельств я не смог поехать в Магнитогорск, поэтому как и все буду следить за тем, что там происходит со стороны.

Сейчас единственным (мне известным) источником информации о конференции являются твиттер-сообщения Алексея Лукацкого. Позволю себе дать несколько комментариев по той информации, которую запостил Алексей.

Alexey Lukatsky
Гришанков: все благие поправки в законопроект о лицензировании в Правительстве завернули без веских оснований

Неприятная новость, т.к. если в законе о лицензировании ничего не поменяется, то получается, что придется всем либо получать лицензию на ТЗКИ, либо отдавать безопасность на аутсорс, однако в условиях неразвитости этого рынка это будет больше похоже на формальную плату за то, чтобы не было претензий от регуляторов
.

Alexey Lukatsky
Курило: средний срок приведения в соответствие с СТО - 3 года

С оценкой согласен, но что понимается под соответствием ? 4-5 уровень ? Тогда что должны согласно письму шести подтвердить банки до 1 июля 2011 г. (у них осталось менее 5 месяцев) ? В общем слово "соответствие" в терминологии СТО БР имеет какое-то специфичное и неконкретное значение.


Alexey Lukatsky
Курило: средняя цена затрат на приведение в соответствие с СТО - 5 млн. рублей

На мой взгляд это минимальная оценка, если мы говорим об уровне не ниже 3-го. Это означает, что если кто-то из консультантов обещает вам "сделать СТО" за 100 рублей (условно), то это будут просто выброшенные деньги. Тут думаю стоит прислушаться к поговорке "Мы не такие богатые, чтобы покупать дешевые вещи".

Alexey Lukatsky
Курило: лицензия ФСБ банкам нужна

Нужна и точка. Несмотря на то, что закон о
лицензировании не относится к деятельности кредитных организаций, но тут видимо исторические договоренности....

п.1 Вождь всегда прав, п.2 если вождь не прав смотри п.1

Alexey Lukatsky
Курило: ЦБ должен стать регулятором ИБ для банков, чтобы директивно спускать требования, а не рекомендации. В ГД такое предложение ушло

Интересно о каких директивных требованиях идет речь, ранее ЦБ говорил про свои документы (СТО БР) как про рекомендательные (хорошая практика), теперь видимо ветер изменился.... у кого-то еще остались сомнения, что СТО БР не придется выполнять ?

Alexey Lukatsky
Гениевский: ABISS хочет стать организацией, работающей не только с ЦБ, но и с РКН, ФСБ и ФСТЭК, те. посредником между банками и регуляторами

Слово "посредник" в России имеет очень конкретный "оттенок"

Alexey Lukatsky
Гениевский: ABISS станет аналогом PCI DSS Council в России - будет аккредитовать аудиторов, обучать специалистов, оценивать результаты...

А вот это уже другое.. Цель хорошая, но о ней говорят уже больше года, а воз и ныне там. Курсы и сертификация аудиторов так и не появились. Кроме того аналогия не получается прямой. PCI Council разрабатывает и утверждает стандарты PCI, а вот ABISS в отношении СТО БР этого делать не может, ведь для этого надо забрать эти функции у ТК362.... только думаю я, что не отдадут...

Alexey Lukatsky
Борисова: РКН не согласен с редакцией законопроекта Резника ко второму чтению. От меня - еще бы; РКН вообще выпал из законопроекта ;-)

Да уж..... перспективы законопроекта какие-то туманные. На Инфофоруме недавно также было отмечено, что ждать новую редакцию надо не раньше мая, т.к. до сих пор нет между составителями консенсуса.

Alexey Lukatsky
Акимов: 400 проверок по линии ПДн со стороны 8-го центра в 2010-м году

Цифра поражает. Откуда столько ? И вообще интересно что и на каком основании проверял ФСБ если учесть, что требования по приведению ИСПДн в соответствие так и не вступили в силу.

Alexey Lukatsky
Лютиков: около 40% банков находятся на 4-5 уровнях соответствия СТО

Здесь как у Станиславского - "Не верю!", 4-5 уровень это очень круто, при той математике подсчета, которая заложена в документах ЦБ, для такого уровня нужно реально много сделать. Не знаю откуда такие цифры у представителя ФСТЭК, но по моему мнению банки, которые по честному (без натяжки) соответствуют 4-5 уровню, можно пересчитать по пальцам.

Alexey Lukatsky
Лютиков: после принятия поправок к законопроекту Резника ФСТЭК будет контролировать только госы и муниципалов

Вот отличная новость (ну хотя бы для коммерческих организаций), если ФСТЭК будет заниматься только госами и муниципалами, то тогда логично предположить, что их требования и методические документы будут применяться только обозначенными организациями, а для всех остальных будут отраслевые стандарты, лучшие практики, мировой опыт и ..... счастье :) Поживем-увидим.

Ну и продолжаем следить за тем, что происходит в Магнитогорске....