Статистика по подключению к СТО

Вчера на семинаре по ПДн в презентации Харламова Валерия Павловича была показана интересная статистика по подключению к СТО на 25-е января. Итак, подключилось 313 кредитных организаций (почти треть всех банков России).

Из них по линии ЦБ (т.е. выполнение всего СТО) большинство находится на 1-м уровне; затем идет второй уровень, третий и четвертый. Но есть те, кто открыто заявил, что они на нулевом уровне соответствия. А 2 банка заявили о 5-м (!) уровне соответствия.

По линии РКН основная масса на 4-м уровне; затем идет 2-й и 3-й уровни. На пятом соответствия уровне аж целых 9 банков.

По линии ФСТЭК почти поровну лидерство делит 3-й и 2-й уровни; затем 4-й. На пятом — семь кредитных организаций. Аналогичное распределение и по линии ФСБ. Разница только в том, что по линии криптографии нет тех, кто на нулевом уровне.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. eugene

    А что означает уровень соответствия по линиям ФСБ, ФСТЭК или РКН?

    Ответить
  2. Unknown

    Присоединюсь к es — это что за уровни? В отношении нормативных документов, как и законодательства, уровня может быть два: либо соответствует, либо не соответствует. 5 уровней соответствия — что за хрень вообще?

    Ответить
  3. Алексей Лукацкий

    Это у ФСТЭК бывает либо все либо ничего 😉 А у ЦБ подхд более грамотный. Складываются частные показатели и выводится текущий уровень соответствия в диапазоне от 0 до 5.

    А уровни по линиям ФСБ, ФСТЭК и РКН — это частные показатели по методике оценки соответствия, которые запрашиваются по "письму шести".

    Ответить
  4. Unknown

    Нет, погодите. Оценивать можно все что угодно, но везде должен быть какой-то смысл. Если мы говорим об оценке показателей вроде "уровня зрелости" — тогда да, возможно. Однако если имеется четкий документ — законодательный акт — 781 ПП. Какой смысл оценивать уровень соответствия? Разве что для того, чтобы видеть, к чему стремиться… И что — если я нахожусь на 1-м отправил по запросу этот частный показатель — от меня отстанут на время, пока я не дойду до пятого?

    Ответить
  5. Сергей Борисов

    В том то и дело что пятый уровень зрелости — это не только соответствие, но и постоянная оценка, контроль, совершенствование, планирование и т.п.

    Выполнение требований регуляторов по минимуму — сравнимо с 3-4 уровнем соответствия.

    Итоговые уровни — это только результат работы.
    Зато в рамках работы по самооценки определяется — что ещё не сделано, для того чтобы выполнить требования регуляторов.
    Это первый шаг к тому чтобы выполнить требования. И регуляторы должны это понимать.
    Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?

    Ответить
  6. Алексей Лукацкий

    Ну разумеется речь идет об уровне зрелости/соответствия. К ПП-781 никакого отношения документы ЦБ не имеют. Они более грамотны. У ФСТЭК должен все сделать и забыть. У ЦБ двигаться по спирали вверх, постепенно наращивая усилия и поддерживая уровень защиты.

    ФСТЭК требует, чтобы ты к 01.07.11 реализовал весь объем приказа 58. ЦБ говорит — оцените себя, составьте план улучшений и двигайтесь по нему. К 01.07.11 ты можешь быть на первом уровне. Но твоя цель — 4-й и выше. Вот туда и стремись; постепенно…

    Ответить
  7. Unknown

    > Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?

    То же самое можно сказать и в отношении любого другого оператора, оценившего самого себя продекларировавшего, что все плохо, и составившего план приведения самого себя в соответствие. Вот только если придут регуляторы с внеплановой проверкой — оператор может этот план трубочкой свернуть и себе засунуть в портмоне. А так — просто поглядеть — регулятор и не придет.

    > Но твоя цель — 4-й и выше. Вот туда и стремись; постепенно…

    Я согласен, что надо всегда стремиться к пермаментному импрувменту. Но прежде всего необходимо реализовать тот набор мер, который требует законодательство. А вот потом уже — улучшай внутри себя как хочешь. В этой связи мне и не понятен СМЫСЛ оценки соответствия ФСТЭК, ФСБ и РКН — ради чего это делать, если как раз у них — сделал и забыл?

    Ответить
  8. Алексей Лукацкий

    А у "них" именно забыл и вспоминаешь только перед аттестацией. А у ЦБ постоянно в тонусе 😉 В этом и разница.

    Ответить
  9. Unknown

    Мне понятна разница. Мне не понятен СМЫСЛ, м? Любая оценка — это трудозатраты. Ради чего?

    Ответить
  10. Алексей Лукацкий

    А для чего нужна регулярная оценка соответствия? Чтобы знать, что не отклонился от курса.

    Ответить
  11. Unknown

    Как можно отклониться от курса в подходе "сделал — и забыл"? Эсплейн ми плиз 🙂

    Ответить
  12. Алексей Лукацкий

    Так об этом и речь 😉 У ФСТЭК поэтому и нет регулярной оценки уровня соответствия

    Ответить
  13. Unknown

    Этот комментарий был удален автором.

    Ответить
  14. Unknown

    Этот комментарий был удален автором.

    Ответить
  15. Unknown

    Так а ЦБ-то зачем ее требовать? По нормативам регуляторов, имеется в виду. В большинстве случаев это будет тупое перепечатывание даты первоначального отчета — вот и все. Для подстраховочки?

    Ответить
  16. Алексей Лукацкий

    Мы же говорим о ИБ не для галочки 😉

    Ответить
  17. Unknown

    Мы об ИБ вообще не говорим — мы говорим о подходе регуляторов "сделал — и забыл" и о поиске смысла регулярной оценки соответствия того, что априори уже соответствует, принимая во внимание указанный выше подход 🙂

    Ответить
  18. Александр Бондаренко

    Алексей, а о каком семинаре по ПДн идет речь ? Это был какой-то закрытый семинар ? Не встречал нигде анонсов о его проведении.

    P.S. А по поводу уровней соответствия это вообще песня, чисто наша российская придумка от разработчиков СТО, если не ошибаюсь родилась она из механизма уровней зрелости, заложенного в Cobit. Только там смысл у них другой и Cobit не является стандартом, обязательным к исполнению как например PCI DSS (там как раз никаких уровней нет, там сделал и выполняешь регулярные мероприятия). А здесь согласно тексту СТО даже нулевой уровень — это тоже уровень соответствия, рекомендуется дойти до 4-го. Только никто же не мешает банкам идти к нему еще лет 10-20.

    Ответить
  19. Unknown

    to Александр Бондаренко: Абсолютно верно — это Кобит, позволяющий оценить уровень зрелости ИТ-инфраструктуры организации в т.ч. путем измерения характеристик безопасности. Идея настолько удачная, что ее пихают практически во все корпоративные стандарты аудита, где надо и не надо (и не только для ИТ). Не стал исключением и СТОБР. Но вот смысла я так и не увидел.

    Ответить
  20. Unknown

    И если говорить о смысле Кобита — то в конечном счете процедура определения уровня зрелости позволяет оценить эффективность использования ИТ в организации в качестве инструмента для ведения бизнеса. Что позволяет определить уровень зрелости по ФСТЭКу, ФСБ и РКН — я так и не понял. Работа ради работы. Оценка — ради оценки. Ерунда какая-то.

    Ответить
  21. Алексей Лукацкий

    Это платные курсы, которые проводят многие УЦ

    Ответить
  22. Анонимный

    все таки это не уровень соответствия, а оценка соответствия по пятибальной шкале, по варианту самооценки либо внешнего аудита.

    Ответить