Обсуждение статьи
Главная угроза безопасности банков - их сотрудники, заявляют в ЦБ РФ
|
24.12.2003 20:41:08
|
|
|
|
|
|
24.12.2003 20:41:08
главная угроза автомобилям - их водители
|
|
|
|
|
|
24.12.2003 23:28:44
и опять у них ничего толкового не получится )))
|
|
|
|
|
|
25.12.2003 17:44:35
17799 планируется вводить в России достаточно скоро. Об этом уже не раз говорилось представителями Гостехкомиссии на разных конференциях.
Luka
|
|
|
|
|
|
25.12.2003 17:45:05
Нет, речь идет именно о стандарте на банковскую безопасность.
Luka
|
|||
|
|
|
|
26.12.2003 18:20:12
>2 koras - ты человек неглупый, но суждение у тебя немножко делитанское (сорри, недеюсь не обидел).
Не надейся, кина не будет  >ту ситуацию, которую ты описал, разруливают горазду проще и не надо никаких 30 минут. все описано в нормативных документах а разрабатывают их отньть неглупые люди... Рецепт, выдержку из нормативного документа, хоть чо-нить... Не люблю голословных утверждений. А про "неглупых людей", так раз на раз не приходится... >но учтити небольшую деталь, что к этому регламенту будет так же прилагатся и внутренний регламент, который будет являтся дополнением к основному документу, отражающий оссобенность пременения основного документа. и это, поверьте, нормальная практика. Я знаю что такое "Корпоративный стандарт" не понаслышке. И знаю что такое "Реестр региональных поправок к корпоративному стандарту" тоже не понаслышке. И знаю какую гору бамаги надо придумать, что бы эти поправки просто согласились передать наверх. И, к сожалению, знаю, что случается, когда весьма специфическую региональную поправку какой-нить мYдак решает директивно включить в стандарт  . Посему я и высказался об общем уровне "специалистов" брошюрующих регламентирующую документацию. |
|
|
|
|
|
27.12.2003 14:50:15
> Рецепт, выдержку из нормативного документа, хоть чо-
> нить... Не люблю голословных утверждений. А > про "неглупых людей", так раз на раз не > приходится... извени, не могу... лучше быть голословным, чем уволенныем Я знаю что такое "Корпоративный стандарт" не понаслышке. И знаю что такое "Реестр региональных поправок к корпоративному стандарту" тоже не понаслышке. И знаю какую гору бамаги надо придумать, что бы эти поправки просто согласились передать наверх. И, к сожалению, знаю, что случается, когда весьма специфическую региональную поправку какой-нить мYдак решает директивно включить в стандарт . Посему я и высказался об общем уровне "специалистов" брошюрующих регламентирующую документацию.^^^^ ты прав, но ты меня немножко не так понял... ты говоришь об изменениях регламентов/порядков, т.е. после выхода регламента в первой редакции, сначало к нему выходят изменения/дополнения, потом по мере накопления этих изменений, регламент переиздается и называется <такой-то регламент> <редакция N> ты я так понимаю этот процесс имел в виду... а я имел в виду другое... понимаешь, когда разрабатываются настолько Глобальные вещи, то как правило самим этим регламентом предусмотрено, разработка на местах, дополнений к этому регламенту, которые не отменяют его моментов, а лишь отражают специфику того места где он применяется и называется он: "<номер регламента>, <редакция N> внутренний" (это все конечно примерная схема) ну и по поводу качества... конечно оценка качества вещь, субъективная, но лично я для себя считаю, что основные регламенты по информационной безопасности, являют собой достаточно качественные и проработанный материал, по которому можно работать и ничего не будет сыпатся из рук. меня все таки немного настораживает идея разработки общебанковского регламента, так как тут важен подход, и кто будет этим заниматся.. так как на нынешний момент, технологии по инф. безопасности являют собой оформившийся вид, и кардинальных вмешательств не требуют, а в данном случае, трудно предсказать результат. т.е. унификация, вещь, безусловно полезная, да вот только зависит от очень многих обсоятельств... |
|
|
|
|
|
27.12.2003 15:10:45
><редакция N>
ты я так понимаю этот процесс имел в виду... Нет, имелось ввиду, что выпускается обкончательный и бесповоВротный регламент корпорации. Сваливается на головы в регионы, а там к нему вносятся поправки "под себя". Эти поправки со скрипом утверждают, но обязательно найдется мYдак, к-рый чужую поправку "под себя" всунет еще и под тебя:-( Животрепещущий пример: OWA (Outlook Web Access), надобен ли он? |
|
|
|
|
|
28.12.2003 02:04:27
Нет, имелось ввиду, что выпускается обкончательный и бесповоВротный регламент корпорации. Сваливается на головы в регионы, а там к нему вносятся поправки "под себя". Эти поправки со скрипом утверждают, но обязательно найдется мYдак, к-рый чужую поправку "под себя" всунет еще и под тебя:-( Животрепещущий пример:
OWA (Outlook Web Access), надобен ли он? ----------- хмм я вообщем понял тебя, но ты описываешь IMO принцип воздействия без обратного механизма регулирования, мол вот упала перед Моисеем на песок доска с заповедями и все, никакой самодеятельности... но в банковской системе это не так. ибо эта бесхребетная и неманевренная махина не выжела бы в данных услоиях. существуют куча контролирующих и информирующих рычагов, как то сборы (обучения) когда центральное руководство прислушивается к мнениям и вопросам подчиненных и делают выводы (и это действительно так) либо как более жесткий вариант - ревизии, ну и естественно отчеты... и т.д. и т.п. т.е. фокус, что мол кто то там решил да и сделал поправку которая удовлетворяет интересы какого-то меньшинства сумевшего повлиять на верхушку, но обсалютно не отражающие интересы большинства - не пройдет. так как отлаженный механизм тут же начнет давать сбой. но стоит оговорится, что примерно такой механизм действует в государственных, либо окологосударственных банках, в коммерческих банках, мне известно, информационной безопасности уделяется куда меньше времени и сил, соответственно и уровень ее намного ниже, и вот у них то действительно будут проблемы при переходе, на гос. стандарт (если конечно от них это потребуется), но тут уже возникает вопрос контроля, кто этим будет заниматся и насколько качественно... вообщем ясности по прежнему нет. лично мне эта статья (по крайней мере представленной форме кажется полным бредом, так как та кроха информации в ней предоставленной, являет собой образец антирекламы, ибо что собственно будет предпринято, осталось за кадром. а вообще от себя добавлю, что существующее положение действительно сложилось нелицеприятное, когда часть обязанностей по поддержанию информационной безопасности возлагается на обсалютно не компетентный персонал, и сделать с этим ничего нельзя, так как при приеме на работу нового человена, к примеру на должность бухгалтера от него будут требовать знание экономики, а не досканального знания компьютера... и пока существующее положение не изменится, информационная безопасность в банках, и оссобенно в отделениях, будет "слегка" прихрамывать |
|
|
|
|
|
29.12.2003 21:04:48
2 Mike: А зачем бухгалтеру досканально знать компьютер? Ему надо только уметь работать в своей бухгалтерской программе, а за безопасностью пускай админы следят - им за это бабки платят. Каждый должен заниматься своим делом, а иначе черти-что получится...
|
|
|
|
|
|
30.12.2003 12:41:16
ИМХО Если бухгалтер "сольет" по ошибке ли или по умыслу все деньги со счета организации, то секурити админ тут вряд-ли что-то сделать сумеет, потому как это не входит в его компетенцию. Тоже самое и с контрактами, админ ни-при-чем если в контракте есть "щель", которая образовалась после ошибки ворда, которую не заметили, и через которую поимели всю организацию с треском. ИМХО Ни одним, ни несколькими регламентным документом нельзя на 100% перекрыть "стыки" между отделами организации. Примеров, я думаю каждый может привести массу. А для того, чтобы это работало на 99,9 необходимо: 1) В первую очередь здравомыслящее профессиональное руководство 2) Команда(коллектив), что подразумевает в любой ситуации решение вопроса "Что делать?", а не "Кто виноват?(поиск стрелочника)". 3) Регламентная документация. Однако это все-равно будет 99,9, а из всех бед случиться именно та, о которой забыли, и которая принесет максимальный ущерб =) (с) Законы Мерфи. Хотелось бы, чтобы было как лучше. Однако боюсь, что получиться как всегда. =) |
|||
|
|
|
|
03.01.2004 01:16:34
да, ваши разглагольствования по поводу бухгалтеров, весьма занятны... но вы хоть и выделили разделение обязанностей, но так и не сказали главного.
то что вы описали, достаточно простой пример, на котором можно иллюстрировать дейтельность организаций. во первых. описанная Вами ошибка не принадлежит к "информационной", так как это несколько разные вещи... кстати, нужно отметить, что пример с вордом - неудачный, так как если ошибка в Ворд документе, при составлении договора, это значит, что юрись просмотрел и он понесет ответственность. а вообще ms-word не фигурирует в средствах по оброботке платежной информации, а играет лишь роль инструмента по редактированию, при осуществлении деловой переписке, инструктирующей документации. во вторых сама должность бухгалтера существует уже достаточно давно, и за то время, вся наиболее слабые стороны были обнаружены и укрепленны соответствующими мерами, как то, проверки, дополнительные формы, и т.д. остальную информацию, по этому поводу, оставлю за кадром. --- по поводу регламентов... безспорно, регламентировать ВСЕ, не только невозможно, но и бесполезно, реальность нестоит на месте. но и люди пишущие регламенты, тоже недураки, так как при написании регламента, всегда "между строк" оставляется место для фактора - Х, и которая, позволяет немного маневрировать, в указанных рамках. --- и в завершение, поделюсь своим выводом, касательно возможности или невозможности ограбить банк "изнутри" конечно, как было оговорено в статье, случаи эти нет-нет да и происходят, но они настолько единичны, что слухи о реальной опасности (imho) сильно преувеличены. ведь такая организация, как Сбербанк, состоит не из управления, а из региональных представительств (филиалов) и именно они разбросанные по всей России, являются 99% Сбербанка. А как мне подсказывают наблюдения, что большая часть людей работающая в отделениях себрбанка является компьютерно-неграмотной. и угрозы информационной безопасности собой не представляет, по крайней мере "злого" умысла нет, остается только "по незнанию". Да, остается конечно угроза со стороны, наиболее просвященной в части компьютеров должностей, програмистов и инф. безопасности, но и тут не все так просто... во первых, на эти должности не легко попасть, ведт как известно, за "хакерство" уже есть определенные статьи, и лица злоупотребляющие этим делом, наерняка уже засвечены, а от "начинающих" хакеров, много вреда не будет, так как они быстро выдадут свои истенные намерения, своими неумелыми "опытами". ну а во вторых, внимание этим службам, со стороны управления уделяется немалое, и вывести на чистую воду - не составит труда. |
||||
|
|
|
|||
Читают тему