Также там говорится "Новая, третья редакция Стандарта не изменяет общей концепции второй редакции Стандарта и при этом развивает, уточняет и детализирует ее отдельные требования. Основными отличительными особенностями новой редакции Стандарта являются:
- уточнение и введение новых терминов и понятий;
- уточнение и конкретизация требований по обеспечению информационной безопасности, проведенная с учетом замечаний и предложений организаций БС РФ - членов ПКЗ, а также на основе опыта внедрения Стандарта как в Банке России, так и в других организациях БС РФ;
- детализация требований по обеспечению информационной безопасности в части системы менеджмента информационной безопасности;
- исключение раздела 4 "Основные принципы обеспечения информационной безопасности организаций БС РФ" и раздела 11 "Модель зрелости процессов менеджмента информационной безопасности организаций БС РФ" второй редакции Стандарта".
ЗЫ. В сентябре я уже отписывался по данному стандарту.
ЗЗЫ. Обсуждение этого варианта на банкир.ру.
Формального требования обязательности, конечно, нет, что и сами Абисы подтверждали: участие в данной стандартизации исключительно добровольное. Но принцип "гладко было на бумаге", похоже, работает и тут - на том-же Банкире проскакивали сообщения о прецедентах, когда ЦБшные аудиторы в замечаниях писали о несоответствии требованиям Стандарта, ага. Лицензий вроде пока не лишали и не штрафовали (да это вам и не PCI DSS), но некий дополнительный объем работ банки, получившие такое предписание, уже ОБЯЗАНЫ выполнить. В общем лучше бы всем банкам держать нос по ветру и потихоньку присоединяться к ЦБшной стандартизации, просто для того чтобы не быть объектом злоупотреблений (не говоря уже о том, что это в самом деле может продвинуть безопасность банка).
ОтветитьУдалитьНу это само собой. Де-юре необязателен, де факто - как всегда ;-)
ОтветитьУдалитьДа уж..очень умиляют такие "настоятельные" рекомендции..
ОтветитьУдалитьДля Quiet Zone:
ОтветитьУдалитьЮр, вот уж это-то совершенно не к ЦБ претензия. Прочитай закон о техрегулировании и сделаешь открытие, что стандарт тождествен рекомендации, ага, даже если он на производство взрывных работ вблизи атомных электростанций, а тот смысл, который люди по привычке в это слово вкладывают давно отошел спецтехрегламентам. Если проверяемый своих прав не знает, так и поделом ему.
Два Ригель.
ОтветитьУдалитьДык это открытие уже давно сделано, как ни странно, однако дисскуссия снова упрется в вечную борьбу двух истин: как же все-таки надо - по закону или по понятиям? По закону Стандарт рекомендует, по понятиям (из уст проверяющих) - обязывает. В банках тоже не дураки сидят, и насчет своих прав осведомлены туго (не хуже нас с тобой), только у них риски не эфемерных характер носят, а вполне себе вещественный - либо пойти-таки на поводу у аудиторов и утвердить еще одну бумажку, либо с уверенностью в противозаконности действий аудиторов наперевес переть в единсственно верном направлении и, в конце концов, лишиться лицензии. Я бы не стал играть в "чет-нечет" с ЦБ, честно.