BIS Journal №1(44)/2022

9 марта, 2022

Давайте не будем делить поляну

В одной из соседних стран нет специалистов-ибэшников, там за инциденты ИБ наказывают руководителей ИТ.

Традиционно новые темы начинаются с «прожарки», и Сергей Викторович Вихорев это сделал, как всегда, блестяще. Должен согласиться с ним и обратить внимание авторов статьи «Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях», что нынче действительно актуально положение Банка России № 747-П от 2021 года. И это, с одной стороны, серьёзно сужает круг организаций, дОлжных реализовывать стандартный и усиленный уровень защиты, а с другой – формирует требования к новациям финансового рынка – акторам цифровых активов, что само по себе составляет маленькую революцию.

Эти замечания не делают статью неактуальной, наоборот, мне, как практику, статья понравилась поднятием как минимум двух тем:

  1. Рассматриваемые категории субъектов нормотворчества БР никто ранее не регулировал, поэтому для них мало что адаптировано, и про них очень мало говорили на профессиональных банковских площадках, особенно касаясь цифровых активов.
  2. В статье поднята тема организационных мер как начального подхода к обеспечению ИБ и дан довольно полный перечень документов «с чего начать». Сам по себе этот посыл — уже плюс.

Не буду дискутировать о наборе документов и глубине их проработки, технической поддержке решений «по ИБ», уверен, что значительное число задач по ИБ уже решается подразделениями ИТ и им не хватает лишь (?) методической поддержки с точки зрения ИБ, а это уже вопрос зрелости компании.

Чтобы ответить на вопрос о достаточности набора документов, могу предложить простое упражнение: надо составить табличку направлений защиты (совокупность выбранных для организации организационных и технических мер в соответствии с выбранным уровнем защиты) и имеющимися внутренними нормативными документами (ВНД), пустые клетки в этой табличке будут говорить об отсутствии необходимого ВНД. Для полноты картины можно указать там же те документы четвёртого уровня, которые будут подтверждать выполнение этого требования. Полезный инструмент для офицера безопасности и для аудитора.

В предложенном перечне документов было бы правильно акцентировать внимание на контроле жизненного цикла прикладного программного обеспечения, работающего с использованием сети Интернет, особенно при наличии собственной разработки.

Чего не хватает в статье, так это более широкого взгляда на проблему соответствия требованиям.

В очередной раз в нормативных документах БР требования к аудиторам сводятся лишь к наличию лицензии ФСТЭК у организации, осуществляющей проверку. А ведь при требованиях внешней проверки должны быть определены специальные профессиональные требования к аудиторам по принципам типа аудиторов PCIDSS, с обязательным периодическим подтверждением соответствия этим требованиям. Определена юридическая и финансовая ответственность компаний-аудиторов, порядок аккредитации таких компаний, разработаны и утверждены (кем?) программы обучения и аттестации аудиторов. Если не будут решены эти проблемы, говорить о каком-то существенном прорыве в обеспечении информационной безопасности просто несерьёзно.

И в заключение ещё раз подчёркиваю: статья нужная и направление её правильное.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных