Давайте не будем делить поляну

Давайте не будем делить поляну

В одной из соседних стран нет специалистов-ибэшников, там за инциденты ИБ наказывают руководителей ИТ.

Традиционно новые темы начинаются с «прожарки», и Сергей Викторович Вихорев это сделал, как всегда, блестяще. Должен согласиться с ним и обратить внимание авторов статьи «Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях», что нынче действительно актуально положение Банка России № 747-П от 2021 года. И это, с одной стороны, серьёзно сужает круг организаций, дОлжных реализовывать стандартный и усиленный уровень защиты, а с другой – формирует требования к новациям финансового рынка – акторам цифровых активов, что само по себе составляет маленькую революцию.

Эти замечания не делают статью неактуальной, наоборот, мне, как практику, статья понравилась поднятием как минимум двух тем:

1. Рассматриваемые категории субъектов нормотворчества БР никто ранее не регулировал, поэтому для них мало что адаптировано, и про них очень мало говорили на профессиональных банковских площадках, особенно касаясь цифровых активов.
2. В статье поднята тема организационных мер как начального подхода к обеспечению ИБ и дан довольно полный перечень документов «с чего начать». Сам по себе этот посыл — уже плюс.

Не буду дискутировать о наборе документов и глубине их проработки, технической поддержке решений «по ИБ», уверен, что значительное число задач по ИБ уже решается подразделениями ИТ и им не хватает лишь (?) методической поддержки с точки зрения ИБ, а это уже вопрос зрелости компании.

Чтобы ответить на вопрос о достаточности набора документов, могу предложить простое упражнение: надо составить табличку направлений защиты (совокупность выбранных для организации организационных и технических мер в соответствии с выбранным уровнем защиты) и имеющимися внутренними нормативными документами (ВНД), пустые клетки в этой табличке будут говорить об отсутствии необходимого ВНД. Для полноты картины можно указать там же те документы четвёртого уровня, которые будут подтверждать выполнение этого требования. Полезный инструмент для офицера безопасности и для аудитора.

В предложенном перечне документов было бы правильно акцентировать внимание на контроле жизненного цикла прикладного программного обеспечения, работающего с использованием сети Интернет, особенно при наличии собственной разработки.

Чего не хватает в статье, так это более широкого взгляда на проблему соответствия требованиям.

В очередной раз в нормативных документах БР требования к аудиторам сводятся лишь к наличию лицензии ФСТЭК у организации, осуществляющей проверку. А ведь при требованиях внешней проверки должны быть определены специальные профессиональные требования к аудиторам по принципам типа аудиторов PCIDSS, с обязательным периодическим подтверждением соответствия этим требованиям. Определена юридическая и финансовая ответственность компаний-аудиторов, порядок аккредитации таких компаний, разработаны и утверждены (кем?) программы обучения и аттестации аудиторов. Если не будут решены эти проблемы, говорить о каком-то существенном прорыве в обеспечении информационной безопасности просто несерьёзно.

И в заключение ещё раз подчёркиваю: статья нужная и направление её правильное.