Курсы в АИС по СТО БР ИББС

марта 23

Курсы в АИС по СТО БР ИББС

Персональные данные Добавить комментарий

Предлагаю подписаться на обновление блога через RSS feed .

На прошлой неделе отчитал свою часть курса по СТО БР ИББС в АИС. Вопросы по прежнему касаются 3-х аспектов стандарта:

Оценка рисков
Самооценка
Защита персональных данных

Немного о каждом.

В части оценки рисков нужно понимать, что методика, которая предлагается в стандарте, не очень хорошая. Это легко «лечится» выбором другой методики или доработки существующей (благо стандарт предоставляет в этой части свободу). При желании можно найти неплохие описания методик в интернете, однако учитывая важность задачи лучше найти специалистов, которые могут выстроить полноценный процесс оценки рисков и разработают методику под конкретный банк и конкретную службу ИБ.

В самооценке для начала нужно разделить понятия самооценки и аудита. Аудиты которые сегодня предлагают интеграторы – это помощь в самооценке, а не аудит. Правильнее всего это называть оценкой соответствия. Хотя… это буквоедство. Дело в том, что эти понятия в применении к стандарту пока не разделились, но обязательно разделятся. Также в самооценке «навороченная» система подсчета показателей. Все чаще банки интересуются автоматизированными средствами для проведения самооценок. Чем сложнее математика, тем лучше для производителей таких систем.

Защита персональных данных по прежнему вызывает самые острые дискуссии. Так, например, запомнился вопрос о разработке модели угроз. В принципе имеет смысл выделять из Модели угроз информационным активам в отдельный документ угрозы по ПДн (Частная модель угроз по ПДн). Это для удобства, чтобы в случае появления интереса со стороны регуляторов по ПДн можно было передать только Частную модель угроз по ПДн.

По прежнему, много споров вызывает вопрос какие автоматизированные системы относятся к ИСПДн, а какие нет. Много раз об этом говорил, в том числе и в статье для «Финансовой газеты». Многие видят в позиции стандарта прямое противоречие 152-ФЗ и подзаконным актам. В таких случаях я привожу пример с камерами видеонаблюдения которыми обвешана вся Москва. С моей (гражданской) позиции – это прямое нарушение конституционного права на защиту личной жизни (23-24 статей Конституции РФ), однако конституционные суды (не только в РФ) считают что это не так. Чем эта ситуация принципиально отличается от проблемы ИСПДн/не ИСПДн? На мой взгляд стандарт в данном случае не нарушает, а уточняет требования закона и подзаконных актов. Этой же позиции придерживаются и регуляторы (включая Роскомнадзор), которые согласовали стандарт (интересный момент, его согласовали «замы», а не руководители служб ).

Конечно вопросов по СТО БР ИББС очень и очень много именно поэтому курс такой большой.

Буду благодарен, если поделитесь этой статьей:

Другие записи

Автор Царев Евгений | Метки: Ассоциация российских банков, Банки, безопасность персональных данных, Законодательство, защита персональных данных, Информационная безопасность, Коллеги, Опыт работ, СТО БР ИББС, угрозы безопасности, федеральный закон о персональных данных

9 Responses to “Курсы в АИС по СТО БР ИББС”

1. Ригель Says:
марта 24, 2011 at 8:38
> Правильнее всего это называть оценкой соответствия

А gap-анализом, стало быть, уже не правильно?

[Reply]
Царев Евгений Reply:
марта 24, 2011 at 10:38
С стандарте таким понятием не оперируют, но по сути это тоже самое.

[Reply]
2. Илья Says:
марта 27, 2011 at 21:23
Был на этой неделе в АИС. Хотелось бы попасть к Вам на курсы, но пока не получается

[Reply]
Царев Евгений Reply:
марта 27, 2011 at 23:30
У меня много мероприятий этой весной будет, может быть получится.

[Reply]
3. Юрий Шелихов Says:
декабря 13, 2011 at 15:47
Евгений, вы написали: “В части оценки рисков нужно понимать, что методика, которая предлагается в стандарте, не очень хорошая. “.

Почему она не очень хорошая? Чье это суждение и чем обосновано?

[Reply]
Царев Евгений Reply:
декабря 14, 2011 at 9:47
Если вас устраивает методика по РС2.2, принимайте. но это не самая лучшая методика, таково мое мнение и мнение большинства экспертов. Откройте 6-й раздел методики и посмотрите на цифры, далеко не для каждого банка подойдут такие шкалы. Да и обосновать эти, или любые выбранные вами цифры, весьма сомнительно, слишком много субъективизма.
В большинстве банков уже существуют свои подходы к оценке рисков их и нужно брать, если нет, то можно подыскать другую методику под себя.

[Reply]
4. Юрий Шелихов Says:
декабря 19, 2011 at 11:43
Я вас понял, Евгений. Цифры в 6-м разделе приведены для примера, совсем не обязательно их использовать для всех банков. Это не причина того, что она “не самая лучшая”.
Конечно, любой банк вправе выбрать любую методику, но чем хороша эта методика ИМХО, она позволяет маленькими (но периодичными) итерациями (без особых временных затрат) добиваться очень приемлемых результатов.
Методика наглядна и согласована понятийным аппаратом СТО БР.

Ссылаться на мнение большинства экспертов – дело несложное, всем знакомое. Евгений, если не сложно, посвятите общественность тайными знаниями экспертов. Лично я буду очень благодарен.
Не хочу вдаваться в споры, но к сожалению пока не увидел обоснованных минусов этой методики.

[Reply]
Царев Евгений Reply:
декабря 19, 2011 at 14:21
У вас субъективных переменных очень много, вам придется подгонять свои оценки под методику. Просто попробуйте ее применить для своего банка, все сразу ясно станет.

[Reply]
5. Юрий Шелихов Says:
февраля 11, 2012 at 15:13
Евгений, неужели вы знаете практичную методику, которая исключает субъективные (экспертные) оценки и на практике удавалось ее реализовать?
Ну ладно – это спор о вечном
А вообще – чтобы избежать субъективных оценок, которые порой сложно обосновать, достаточно выбрать подходящий уровень детализации и адекватные границы оценки. Объять необъятное экспертными оценками сразу ВСЁ конечно же не получится.

[Reply]

Информационная безопасность по-русски