Вчера на семинаре по ПДн в презентации Харламова Валерия Павловича была показана интересная статистика по подключению к СТО на 25-е января. Итак, подключилось 313 кредитных организаций (почти треть всех банков России).
Из них по линии ЦБ (т.е. выполнение всего СТО) большинство находится на 1-м уровне; затем идет второй уровень, третий и четвертый. Но есть те, кто открыто заявил, что они на нулевом уровне соответствия. А 2 банка заявили о 5-м (!) уровне соответствия.
По линии РКН основная масса на 4-м уровне; затем идет 2-й и 3-й уровни. На пятом соответствия уровне аж целых 9 банков.
По линии ФСТЭК почти поровну лидерство делит 3-й и 2-й уровни; затем 4-й. На пятом - семь кредитных организаций. Аналогичное распределение и по линии ФСБ. Разница только в том, что по линии криптографии нет тех, кто на нулевом уровне.
А что означает уровень соответствия по линиям ФСБ, ФСТЭК или РКН?
ОтветитьУдалитьПрисоединюсь к es - это что за уровни? В отношении нормативных документов, как и законодательства, уровня может быть два: либо соответствует, либо не соответствует. 5 уровней соответствия - что за хрень вообще?
ОтветитьУдалитьЭто у ФСТЭК бывает либо все либо ничего ;-) А у ЦБ подхд более грамотный. Складываются частные показатели и выводится текущий уровень соответствия в диапазоне от 0 до 5.
ОтветитьУдалитьА уровни по линиям ФСБ, ФСТЭК и РКН - это частные показатели по методике оценки соответствия, которые запрашиваются по "письму шести".
Нет, погодите. Оценивать можно все что угодно, но везде должен быть какой-то смысл. Если мы говорим об оценке показателей вроде "уровня зрелости" - тогда да, возможно. Однако если имеется четкий документ - законодательный акт - 781 ПП. Какой смысл оценивать уровень соответствия? Разве что для того, чтобы видеть, к чему стремиться... И что - если я нахожусь на 1-м отправил по запросу этот частный показатель - от меня отстанут на время, пока я не дойду до пятого?
ОтветитьУдалитьВ том то и дело что пятый уровень зрелости - это не только соответствие, но и постоянная оценка, контроль, совершенствование, планирование и т.п.
ОтветитьУдалитьВыполнение требований регуляторов по минимуму - сравнимо с 3-4 уровнем соответствия.
Итоговые уровни - это только результат работы.
Зато в рамках работы по самооценки определяется - что ещё не сделано, для того чтобы выполнить требования регуляторов.
Это первый шаг к тому чтобы выполнить требования. И регуляторы должны это понимать.
Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?
Ну разумеется речь идет об уровне зрелости/соответствия. К ПП-781 никакого отношения документы ЦБ не имеют. Они более грамотны. У ФСТЭК должен все сделать и забыть. У ЦБ двигаться по спирали вверх, постепенно наращивая усилия и поддерживая уровень защиты.
ОтветитьУдалитьФСТЭК требует, чтобы ты к 01.07.11 реализовал весь объем приказа 58. ЦБ говорит - оцените себя, составьте план улучшений и двигайтесь по нему. К 01.07.11 ты можешь быть на первом уровне. Но твоя цель - 4-й и выше. Вот туда и стремись; постепенно...
> Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?
ОтветитьУдалитьТо же самое можно сказать и в отношении любого другого оператора, оценившего самого себя продекларировавшего, что все плохо, и составившего план приведения самого себя в соответствие. Вот только если придут регуляторы с внеплановой проверкой - оператор может этот план трубочкой свернуть и себе засунуть в портмоне. А так - просто поглядеть - регулятор и не придет.
> Но твоя цель - 4-й и выше. Вот туда и стремись; постепенно...
Я согласен, что надо всегда стремиться к пермаментному импрувменту. Но прежде всего необходимо реализовать тот набор мер, который требует законодательство. А вот потом уже - улучшай внутри себя как хочешь. В этой связи мне и не понятен СМЫСЛ оценки соответствия ФСТЭК, ФСБ и РКН - ради чего это делать, если как раз у них - сделал и забыл?
А у "них" именно забыл и вспоминаешь только перед аттестацией. А у ЦБ постоянно в тонусе ;-) В этом и разница.
ОтветитьУдалитьМне понятна разница. Мне не понятен СМЫСЛ, м? Любая оценка - это трудозатраты. Ради чего?
ОтветитьУдалитьА для чего нужна регулярная оценка соответствия? Чтобы знать, что не отклонился от курса.
ОтветитьУдалитьКак можно отклониться от курса в подходе "сделал - и забыл"? Эсплейн ми плиз :)
ОтветитьУдалитьТак об этом и речь ;-) У ФСТЭК поэтому и нет регулярной оценки уровня соответствия
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьТак а ЦБ-то зачем ее требовать? По нормативам регуляторов, имеется в виду. В большинстве случаев это будет тупое перепечатывание даты первоначального отчета - вот и все. Для подстраховочки?
ОтветитьУдалитьМы же говорим о ИБ не для галочки ;-)
ОтветитьУдалитьМы об ИБ вообще не говорим - мы говорим о подходе регуляторов "сделал - и забыл" и о поиске смысла регулярной оценки соответствия того, что априори уже соответствует, принимая во внимание указанный выше подход :)
ОтветитьУдалитьАлексей, а о каком семинаре по ПДн идет речь ? Это был какой-то закрытый семинар ? Не встречал нигде анонсов о его проведении.
ОтветитьУдалитьP.S. А по поводу уровней соответствия это вообще песня, чисто наша российская придумка от разработчиков СТО, если не ошибаюсь родилась она из механизма уровней зрелости, заложенного в Cobit. Только там смысл у них другой и Cobit не является стандартом, обязательным к исполнению как например PCI DSS (там как раз никаких уровней нет, там сделал и выполняешь регулярные мероприятия). А здесь согласно тексту СТО даже нулевой уровень - это тоже уровень соответствия, рекомендуется дойти до 4-го. Только никто же не мешает банкам идти к нему еще лет 10-20.
to Александр Бондаренко: Абсолютно верно - это Кобит, позволяющий оценить уровень зрелости ИТ-инфраструктуры организации в т.ч. путем измерения характеристик безопасности. Идея настолько удачная, что ее пихают практически во все корпоративные стандарты аудита, где надо и не надо (и не только для ИТ). Не стал исключением и СТОБР. Но вот смысла я так и не увидел.
ОтветитьУдалитьИ если говорить о смысле Кобита - то в конечном счете процедура определения уровня зрелости позволяет оценить эффективность использования ИТ в организации в качестве инструмента для ведения бизнеса. Что позволяет определить уровень зрелости по ФСТЭКу, ФСБ и РКН - я так и не понял. Работа ради работы. Оценка - ради оценки. Ерунда какая-то.
ОтветитьУдалитьЭто платные курсы, которые проводят многие УЦ
ОтветитьУдалитьвсе таки это не уровень соответствия, а оценка соответствия по пятибальной шкале, по варианту самооценки либо внешнего аудита.
ОтветитьУдалить