Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
Бизнес и информационная безопасность – новые тенденции.
 
Обсуждение статьи Бизнес и информационная безопасность – новые тенденции.
 
мде.. новое - хорошо позабытье старое :)
 
При всем уважении к Илье Медведковскому и компании Digital Security, статья оставляет несколько расплывчатое впечатление. Безусловно, не стоит недооценивать степень влияния информационной (и, в частности, компьютерной безопасности) на состояние мирового рынка, НО, в то же время, не стоит ее переоценивать :)
Цитата
Сегодня вопросы компьютерной или информационной безопасности становятся для ряда компаний не просто вопросами безопасности бизнеса, а еще и жизненной необходимостью дальнейшего развития – выходом на новый жизненный цикл развития бизнеса компании.
Не уверен, что вопросы компьютерной безопасности всецело определяют полноценное развитие компании, если, конечно, она не функционироет в указанном секторе рынка. :)
Улыбнуло упоминание Молдавского национального банка. Прошу не обижаться молдаван, их искренне уважаю, но, по моему, в вопросах правового регулирования ИТ-сферы она находится на уровне Латвия-Украина-Беларусь, что подразумевает зачаточный уровень нормативной базы.
Еще более улыбнуло упоминание в качестве "... основного международного акта" акта Сарбаниса-Оксли. Не сомневаюсь, что автору тема ИТ-безопасности с финансовой сфере близка, но, по моему, не нужно замыкаться на Сарбанисе-Оксли :-))
В целом, статья описывает прописные истины и несет мало полезной смысловой нагрузки.
В целях реализации принципа "критикуя - предлагай", хотел бы предложить Илье Медведковскому подробнее описать механизм аудита информационной безопасности "с применением стандарта FISCAM". По-моему, это будет более интересно и полезно....
 
Давайте не будем мешать все в кучу. В Украине аккредитован первый частный центр сертификации ключей ЭП, украинские банки уже давно используют стандарты информационной безопасности в свое работе. Боюсь, что тут именно России придется догонять как в плане нормативной базы, так и в плане реальной используемости в народном хозяйстве.
 
хм, а ссылки на ресурсы где?
где можно прочитать про тот же FISCAM? а про "Существующий стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы РФ»"?
 
Несколько комментариев к этой статье

О SOX

Во-первых, полезность SOX для бизнеса недостаточно отчетлива. Да, он защищает акционеров и вводит уголовную ответственность для CEO компаний за манипуляцию с отчетностью. Но результатом его применения является увеличение издержек. Где-то встречалась оценка, что на выполнение требований SOX компания тратит в год в среднем около 1 млн.USD. Это не сильно радует публичные компании, ведь по сути дела увеличивается стоимость заимствований. Ряд компаний уходят из под действия SOX либо переводом своих акций на другие биржи (например LSE), либо просто переходят на финансирование через кредиты банков, а не через доп. эмиссию акций.

Во-вторых, формат самого SOX не внушает оптимизма для специалистов по ИБ. В нем нет требований к тому, как именно должна быть построена система управления рисками или система управления безопасностью. Там есть только требование о том, что все это должно быть.

Если есть размытые требования, то должны быть те, кто эти требования конкретизирует. Угадайте с трех раз кто это? Правильно – top four. Потому как только их слово на фондовом рынке весомо, а все остальное не принимается во внимание. То есть, задача из практической плоскости переходит в плоскость толкования стандарта. Совсем не обязательно строить систему, нужно просто знать, как интерпретировать документ.

В-третьих,  акции российских компаний не обращаются на американских биржах. Наверное, речь идет, все таки о производных инструментах – таких как депозитарные расписки (ADR & GDR). Но даже в этом случае таких компаний не так много.

Выпуск SOX в Америке (а он действует именно там) не сильно обрадовал участников рынка и там возможны всякие изменения в части его упрощения, а в России вообще малоприменим в силу малого числа открытых компаний. И все это осложняется тем, что рынок оценки по SOX – есть рынок top four, а не более мелких игроков.

О финансовом аудите

Если даже top four и проводит общий аудит компании (на соответствие ПБУ или МСФО), то насчет информационной безопасности речь идет только о том, насколько корректно работает учетная система этой компании. То есть 2-3 вопроса в вопроснике по ИБ и не более того. Я бы не считал это неким бизнес-требованием и велением времени.

Об отчете Ernst&Young

Картинка хорошая. Но без прочтения самого отчета дает искаженное представление о результате исследования. На русском можно прочитать выдержки по ссылке (http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291).
Особо следует обратить внимание на следующую табличку, после приведенной, где указаны меры. Эта табличка полностью показывает отношение бизнеса к таким тенденциям. Отношение простое – “на любой дурацкий вопрос должен быть любой, но очень быстрый ответ”. Никто и не думал что-то переделывать. Все сосредоточились на разработке документов. Формальные требования – формальный ответ. Ничего лишнего.

О стандартах

Стандарт ЦБ РФ - один из немногих документов, составленных достаточно добротно и отчетливо. Маленький нюанс – ему полтора года и до сих он не стал обязательным. Если он и станет таким, то, скорее всего, “в исторической перспективе”, то есть в ближайшие 2-3 года, не раньше.

Можно упомянуть также требования VISA к своим платежным центрам, но в Восточной Европе эти требования находятся в том же статусе. Почему так? Прежде всего потому, что бизнес – первичен, а ИТ-безопасность далеко вторична. И это понимают не только участники рынка, но и его регуляторы.

Стандарты ISO 17799 и 27001 есть вещи еще более загадочные. На бизнес влияют слабо, а продвигаемая бизнес цель есть “укрепление доверия при взаимодействии”. Это безусловно важно, но на мой взгляд, это вещь вторичная после адекватного поведения компании на рынке и взаимовыгодных условий сотрудничества. Это подтверждает как раз и исследование E&Y:

А) лишь 18% опрошенных компаний с оборотом <1 млрд. USD сертифицированы/ формально приняли ISO/BS

Б) лишь 17% опрошенных компаний выдвигают в качестве требования к контрагенту независимую проверку состояния его безопасности.

Выводы

Прежде всего, на мой взгляд, выдвинутый тезис о тесной связи бизнеса и ИБ фактурой не подтвержден. Данные Ernst&Young показывают именно это. Надо только посмотреть все картинки, а не только первую из них.

Чем быстрее специалисты по безопасности избавятся от иллюзии, что “безопасность есть часть стратегии”, “безопасность помогает делать основной бизнес компании” - тем лучше.

Безопасность (в том числе и IT) есть гигиенический фактор, она не создает стоимости для компании, а затраты на нее не есть инвестиции. И не надо искать скрытую логику там, где ее просто нет.
 
Цитата
Давайте не будем мешать все в кучу. В Украине аккредитован первый частный центр сертификации ключей ЭП, украинские банки уже давно используют стандарты информационной безопасности в свое работе. Боюсь, что тут именно России придется догонять как в плане нормативной базы, так и в плане реальной используемости в народном хозяйстве.
То, что в Украине открыт первый частный центр сертификации ключей электронно-цифровой подписи, еще не говорит о том, что нормативно-правовая база текущего украинского законодательства более эффективна, чем российская. Читая на www.crime-research.ru сравнительный анализ отдельных отраслей законодательства в ИТ-сфере, в этом не трудно убедиться. Я не хочу сказать, что Украина в этом плане отстала, совем нет. Можем для примера взять отдельную отрась права(гражданское, хозяйственное, уголовное) и сравнить, чье законодательство эффективнее. =) Вопрос серъезный и объемный.
 
Стандарт ЦБ РФ является фактически переработанным СТР-К в приложении к АБС.
Многие требования Стандарта ЦБ РФ УЖЕ являются обязательными на основании либо ФЗ РФ либо других нормативных актов (хотя бы наличие у всех банков лицензий ФСБ в обязательном порядке).
Что касается отношения топ-менеджмента то здесь все достаточно просто: есть владелец информации считает, что информация стоит денег, то появляется статья расходов на ИБ с обоснованием., иначе либо профанация либо вообще нет ИБ.
 
2 oldman sysadmin:

Откуда такое мнение насчет стандарта ЦБ РФ, что это есть переработанный СТР-К?
 
Цитата
vgarry пишет:
Безопасность (в том числе и IT) есть гигиенический фактор, она не создает стоимости для компании, а затраты на нее не есть инвестиции. И не надо искать скрытую логику там, где ее просто нет.

А я бы не делал столь поспешных выводов. Не надо грести всех под одну гребенку. Я знаю, достаточное количество примеров, когда ИБ не только предотвращала потери и снижала издержки (что уже для бизнеса немало), но и создавала новый источник приращения стоимости для компании и новый источник доходов. Например, Tiscali, AT&T, Bluewin и многие другие, предоставляющие услуги Managed Security Services и зарабатывающие на этом деньги.

Есть отдельные технологии ИБ, которые позволяют зарабатывать компании, а не только тратить.

Я согласен, что пока взаимосвязь ИБ и экономической эффективности исследована не очень хорошо, но... Существует достаточное количество исследований, показывающих, что эффективность ИБ не всегда надо мерять в деньгах, существуют другие мерила. Все зависит в первую очередь от выбранной методики оценки.
Luka
 
Цитата
vgarry пишет:
Откуда такое мнение насчет стандарта ЦБ РФ, что это есть переработанный СТР-К?

Ну недословно, конечно. Просто это стандарты "одного поля ягоды".
1. И там и там прописаны требования по защите автоматизированной системы.
2. И там и там эти требования практически совпадают (по смыслу, не по тексту).
3. И там и там требования не ограничиваются только техникой, но и затрагивают обучение персонала.
4. И там и там требования опираются на практически одни и те же технологии.
5. И там и там требования носят в первую очередь рекомендательный характер.

У нас на сайте (www.cisco.ru) есть описание этих требований. Можно заметить, что они очень и очень похожи. Особенно в части средств, которые "закрывают" эти требования.
Luka
 
Цитата
vgarry пишет:
Во-вторых, формат самого SOX не внушает оптимизма для специалистов по ИБ. В нем нет требований к тому, как именно должна быть построена система управления рисками или система управления безопасностью. Там есть только требование о том, что все это должно быть.

Ну начнем с того, что SOX - это не стандарт по безопасности. Также как и трехглавый закон не описывает конкретные требования. Или если быть ближе к теме, рекомендации ЦБ по управлению операционным риском (имеющим прямое отношение к ИБ), прописанные в письме №76-Т от 24 мая 2005 года, также не включают подробный перечень требований по ИБ - для этого есть стандарт ЦБ по ИБ, конкретизирующий те или иные требования. Также как и в пока еще не принятой Концепции Минсвязи по ИБ. Там есть требование защиты оператором определенных категорий информации. А вот детализация этих требований не является задачей концепции. Аналогичная задача и у SOX. Он говорит "Должно быть". А вот как, это уже другой разговор.
Luka
 
Отличная тема.

Про стандарт ЦБ.
Да, его приняли, возможно, вскоре он будет обязательным, но тут надо поменьше иллюзий для возможности зарабатывания на этом денег. Скорее всего, ЦБ будет использовать этот стандарт как еще один рычаг власти, предоставив право проводить аудит только для своих служб. В итоге это превратится в простой бизнес - хотите, чтобы мы вам подписали приличное заключение - сделайте то то и то то, дайте денег. Впрочем, как и всегда в нашей стране.

Про другие нормативные акты
Все остальное у нас в принципе носит противоречивый характер (указы президента, федеральные законы и постановления). С использованием криптографии вообще полное до свиданья. Законодательство построено таким образом, что даже если хочешь его соблюсти - ничего не выйдет. И далее по стандартному сценарию, всем известному.

Таким образом мне кажется не совсем уместным тезис о том, что нормативные акты способствуют развитию ИБ. Они способствуют деятельности по удовлетворения формальностей, что является совсем другим делом. Мне лично пришлось деятельность по ИБ и деятельность по удовлетворению требований законодательства развести в два разных направления, так как они мало где пересекаются в реальной жизни.

С другой стороны, я не согласна и с высказанным в комментариях мнением, что
Цитата
Чем быстрее специалисты по безопасности избавятся от иллюзии, что “безопасность есть часть стратегии”, “безопасность помогает делать основной бизнес компании” - тем лучше.

Вот как раз на бизнес-процессы ИБ влияет отлично.
Вот представим себе обычный процесс. Появляется компания, с бизнес-идеей, реализует ее, успешно, быстро (любыми средствами). Все мы знаем, что это бывает обычно без какого-либо проектирования, которое для растущей компании практически нереально. В какое-то момент компания вырастает.
Так называемый кризис роста начинается. увеличивается штат, а бизнес-процессы не налаживаются.
Есть 4 силы, которые могут на это повлиять -
- привлечение системных интеграторов для автоматизации бизнес-процессов. Системные интеграторы обычно сталкиваются с полным бардаком в этих самых бизнес процессах - но они ничего с этим не смогут поделать, это не их функция
- управленческий консалтинг - этот влияет только на высшее руководство. Реальные бизнес-процессы меняются ненамного.
- работы по качеству услуг. Но у них там тоже есть только ОПИСАНИЕ бизнес-процессов и упорядочивание входов и выходов.

И есть ИБ. Которое может повлиять на все это. Но тут по большей части виноваты сами специалисты по ИБ, которые ограничиваются написанием политик безопасности и внедрение технических средств. Забывая про основной источник уязвимостей в компании - неотлаженный технологический процесс (естественно, я говорю о технологических процессах, связаных с движением информации).
Для этого нужен большой опыт, нужно желание, потому что придется сталкиваться с сопротивлением на всех уровнях.

Но на самом деле это как раз, на чем следует концентрироваться. Чтобы Иб могла дать то, ради чего она существует - возможность хоть как-то управлять информационными рисками, то надо заниматься этими рисками. А не продавать технические средства, чем занимаются большинство современных компаний по ИБ, именующих себя консалтинговыми.
 
2 Алексей Лукацкий

1. Хотел бы услышать хотя бы один пример насчет снижения издержек и технологии, которые позволяют не только тратить, но и зарабатывать. Приведенные тобой примеры некорректны. В них идет речь о предоставлении _внешних_ услуг другим компаниям, то есть безопасность для этих компаний стала _бизнесом_. В оригинальной статье и в моем посте речь шла о _безопасности для себя_.

2. Насчет СТР-К и стандарта ЦБ. IMHO, так любой документ к азбуке можно свести. Буквы те же.

3. По поводу твоего замечания по SOX. RTFM мой пост, абзац первый. Там определено назначение SOX. SOX не есть концепция, это документ прямого действия, за его несоблюдение сажают в тюрьму до 10 лет. И он носит не рекомендательный характер. Если ты это понимаешь, то зачем ты мне рассказываешь о вещах, не имеющих к нему отношения (письма ЦБ, концепция Минсвязи и т.д.)? Для того чтобы я понял что ты это видел? Я верю. Но к сути вопроса это опять не имеет никакого отношения.
 
2 janeRKC

1. Я совсем не согласен с твоей оценкой невлияния стандарта ЦБ. Если (sic!) он станет обязательным, то на бизнес он будет влиять двояко. Во-первых, он _обяжет_ кредитные организации принимать меры по защите собственной ИС. Во-вторых, кто-то должен проверять соблюдение требований этого стандарта (равно как собллюдение ПБУ или МСФО в компаниях). ЦБ не может и не сможет в дальнейшем нарастить собственные силы для проверки - хорошо бы справиться с постоянной работой по контролю за соблюдением нормативов.

Следовательно, очень вероятно появление компаний, уполномоченных ЦБ РФ на проведение этих работ. То есть создание реального и достаточно емкого рынка. То есть то же самое, что сделала VISA везде, кроме Восточной Европы. И я бы не приписывал ЦБ РФ кровожадность и беспринципность :-)

2. Насчет помощи безопасности в основном бизнесе. Согласен в сути постановки вопроса - в основном, проблемы безопасности организации (sic!, а не информационной безопасности) лежат в некорректных бизнес-процессах . Но, по моему мнению, специалист по безопасности - явно не тот человек, который должен спроектировать и внедрить эти самые _корректные_ бизнес-процессы. Эта работа - суть деятельности управленческого консалтинга. (Кстати, по-моему, никто не знает, какие процессы будут корректными, а акие-нет. Это очень зависит от самой организации)

Если же тебе приходилось встречаться с тем, что управленческий консалтинг затрагивает только top-менеджмент, то, как мне кажется, это проблема той компании, которая консультирует.

Если же говорить о рисках, то считать их надо и это может сделать ИБ (хотя ни одной более или менее адекватной методики мне пока увидеть не пришлось). Результат такого расчета - оповещение top-уровня, но никак не изменение бизнес-процессов.

3. Все-таки повторюсь насчет гигенического фактора. Проиллюстрирую на примере. Вот разница между двумя точками зрения:

"Мойте руки перед едой! Это, как правило, избавит Вас от дизентерии" [ИБ как гигенический фактор]
"Мойте руки перед едой! Это позволит Вам заработать подняться по карьерной лестнице" [ИБ как способ развития бизнеса компании]

Мне ближе первая точка зрения, просто потому, что
а) она проста и логична
б) подтверждается моим более чем 10-ти летним опытом работы в области безопасности
в) подтверждается опытом моих зарубежных коллег, с которыми приходится общаться.

Вторая точка зрения, на мой взгляд, есть продукт титанических креативных усилий маркетологов  по продвижению технической продукции. Появляются бизнес-ориентированные маршрутизаторы, коммутаторы, системы обнаружения атак, системы связи. А все почему? Потому что сейчас трудно продать бизнесу то, что не поможет ему зарабатывать деньги. Вот люди и ищут аргументы. И, что замечательно, находят их и связывают в псевдологические цепочки.  

Но, на мой взгляд, к реальной жизни это имеет очень малое отношение. Это не хорошо и не плохо. Это маркетинг.  Но я бы не относился к этому серьезно.
 
Обратите внимание на то, что у Государства есть "Концепция Информационной Безопасности". Если кто-нибудь из Вас, её читал, то наверно обратил внимание на определение чётких сфер информации нуждающихся в защите. Рассмотрим компанию или Компанию как аналог Государства, определите, есть ли информация, которую Вам нельзя потерять.. рассмотрите информацию как ресурс и Вы получите ответы нужна ли Вам защита информации или нет. Как обеспечить защиту информации можно действительно прочитать в стандартах (в том числе и ЦБ РФ).
Обратите внимание на то, что из ИТ (в западных Компания) наивысшая зарплата именно у специалистов по Защите Информации. Исторически складывается: они придумывают, а Мы адаптируем :)

Цитата
vgarry пишет:
2 Алексей Лукацкий

1. Хотел бы услышать хотя бы один пример насчет снижения издержек и технологии, которые позволяют не только тратить, но и зарабатывать. Приведенные тобой примеры некорректны. В них идет речь о предоставлении _внешних_ услуг другим компаниям, то есть безопасность для этих компаний стала _бизнесом_. В оригинальной статье и в моем посте речь шла о _безопасности для себя_.

В Вашей Компании 100 компьютеров и 10 серверов.
Ваш бизнес - построение прогнозов и тенденций (аналитика)
Ваши клиенты - готовы платить 100000$ за долгосрочный прогноз.
У ваших клиентов есть конкуренты - конкуренты так же занимаются аналитикой, но так же могут вести информационные войны.

Вы директор, вам кажется, что если cd-rom с файлами закрывать в сейфе то инфа не пропадёт.
Вы не знаете, что инфу можно не красть её можно скопировать.
Вы посчитали, что стоимость защиты периметра 150000$, антивируса 30000$, системы контроля действий на лок. компе 150000$ и т п.
Вы спросили у знакомых.. а что может быть если ..
Вы забыли об инсайдерах..
Вы скептически относитесь к вирусным атакам, потому что не понимаете, откуда они берутся.
Аналитику вы посылаете по e-mail.

Вы сделали:
Купили: защиту периметра, антивирус..
Приняли, скачанную из интернета, политику ИБ

Вы сделали аналитику, вы проверили..  вы послали её клиенту..

У клиента начались убытки, он перестал у вас, её покупать..
ПОЧЕМУ..
Да потому что вы делали одну аналитику, а получал он другую..


Как же так спросите ВЫ????
А вот так:
1. Вы мыли руки, но не мыли яблоки (вам просто не сказали)
2. Вы мыли руки раз в неделю, а не каждый раз по необходимости (вам просто не сказали)
3. Вы мыли руки только себе, а все окружающие не мыли руки (они просто не знали)
4. Вы мыли руки в воде без мыла, но часть бактерий не смывалась (вы не знали, что бывают новые угрозы)
5. Вы мыли руки с мылом (которое нашли в туалете), но это мыло подложили Вам конкуренты и оно нисколько Вам не помогало (вы не знали, что так может быть)
6. Вы увлеклись мытьём рук с мылом и забыли о других отделах вашего организма (вы знали, что кроме кишечника, желудка и печени что-то есть)
7. Вы вымыли руки с мылом, вышли на улицу, а Вам на голову упал горшёк с цветком (или машенька масло разлила на трамвайных путях) - вы забыли о непрерывности бизнеса (вместе с вами, аналитику надо было послать по обыкновенной срочной почте)

И т  п..

Обратите внимание Вы руки мыли..НО ЭТОЙ ГИГИЕНЫ НЕ ДОСТАЧНО
 
В Украине то введен центр сертификации и банки используют стандарты, однако стандарта Национального банка (или руководящего документа, который был регламентировал применение того или иного международного стандарта) - нет. Как нет и государственного стандарта в этой области. Аналогично нет стандарта в проведении аудита, увы
 
Цитата
vgarry пишет:
По поводу твоего замечания по SOX...зачем ты мне рассказываешь о вещах, не имеющих к нему отношения

А затем, что SOX - не стандарт по безопасности и не может содержать конкретных требований по ее соблюдению. Я говорю только об этом.

Цитата
vgarry пишет:
Приведенные тобой примеры некорректны.  Хотел бы услышать хотя бы один пример насчет снижения издержек и технологии, которые позволяют не только тратить, но и зарабатывать.

Не надо делать выводы, даже не удосужившись покопаться в теме. Конкретно Tiscali защищает СЕБЯ от DDoS-атак и существенно снижает издержки. И ни к каким сервисам MSS это отношения не имеет. Возьмем другой пример - УкрТелеком. Один из немногих примеров на постсоветском пространстве, когда был подсчитан ущерб от нарушения ИБ - миллион гривен. Или Choice Point. Утечка базы данных сказалась на курсовой стоимости акции, отказе от крупных контрактов и других, уже сложнее измеримых вещах. Вот тебе прямая связь между собственной ИБ и бизнесом.
Luka
 
Цитата
vgarry пишет:
подтверждается моим более чем 10-ти летним опытом работы в области безопасности

В России!!! Где ИТ только начинают подниматься, а ИБ до сих пор воспринимается многими, как технический способ затыкания дыр. А уж когда даже компании, продвигающие безопасность, начинают говорить о ней, как о "гигиеническом факторе", то чего уж ожидать от заказчиков.
Luka
 
Цитата
В Украине аккредитован первый частный центр сертификации ключей ЭП, украинские банки уже давно используют стандарты информационной безопасности в свое работе. Боюсь, что тут именно России придется догонять как в плане нормативной базы, так и в плане реальной используемости в народном хозяйстве.

И это, типа, прорыв? А в курсе, сколько в РФ УЦ имеется, и сколько им лет?
Я уж молчу, что по приведенной ссылке (http://www.ria.ua/view.php?id=34885) красуется картинка, нагло спионеренная из нашей статьи (http://cybervlad.net/ecp/index.html), опубликованной в июле 2001 года...
Про использование стандартов - я плакалЪ (с). Типа, только в UA (при всем моем к ней уважении) люди стандарты используют, а остальные - заборы помазком красят. И не было ни РД ГТК, ни СТРов всяких, и буржуйские стандарты старательно игнорируются...

Цитата
Стандарт ЦБ РФ - один из немногих документов, составленных достаточно добротно и отчетливо. Маленький нюанс – ему полтора года и до сих он не стал обязательным.
Володя, если он станет обязательным, комбанки повесятся. Да, здравые мысли в нем есть (грамотные люди их и так знают). Но авторы "местами жгут". Пример? Пожалуйста:
Цитата
регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами реализация данного требования должна быть обеспечена организационными и/или административными мерами
И таких "сферических коней в вакууме" там - достаточно.
При том, что некоторые формулировки двусмысленны, соглашусь с janeRKC - этот стандарт (если станет обязательным) просто еще один рычаг давления.

p.s. А еще есть "мудрое наставление" ЦБ РФ комбанкам по работе с сетью ИНтернет (которое никто не отменял). Там настойчиво рекомендуется серверам и-банкинга не давать DNS-имен (обращаться исключительно по IP-адресам), при этом IP-адреса рассматривать как "информацию ограниченного распространения".
Страницы: 1 2 3 След.
Читают тему