Вчера на семинаре по ПДн в презентации Харламова Валерия Павловича была показана интересная статистика по подключению к СТО на 25-е января. Итак, подключилось 313 кредитных организаций (почти треть всех банков России).
Из них по линии ЦБ (т.е. выполнение всего СТО) большинство находится на 1-м уровне; затем идет второй уровень, третий и четвертый. Но есть те, кто открыто заявил, что они на нулевом уровне соответствия. А 2 банка заявили о 5-м (!) уровне соответствия.
По линии РКН основная масса на 4-м уровне; затем идет 2-й и 3-й уровни. На пятом соответствия уровне аж целых 9 банков.
По линии ФСТЭК почти поровну лидерство делит 3-й и 2-й уровни; затем 4-й. На пятом — семь кредитных организаций. Аналогичное распределение и по линии ФСБ. Разница только в том, что по линии криптографии нет тех, кто на нулевом уровне.
А что означает уровень соответствия по линиям ФСБ, ФСТЭК или РКН?
Присоединюсь к es — это что за уровни? В отношении нормативных документов, как и законодательства, уровня может быть два: либо соответствует, либо не соответствует. 5 уровней соответствия — что за хрень вообще?
Это у ФСТЭК бывает либо все либо ничего 😉 А у ЦБ подхд более грамотный. Складываются частные показатели и выводится текущий уровень соответствия в диапазоне от 0 до 5.
А уровни по линиям ФСБ, ФСТЭК и РКН — это частные показатели по методике оценки соответствия, которые запрашиваются по "письму шести".
Нет, погодите. Оценивать можно все что угодно, но везде должен быть какой-то смысл. Если мы говорим об оценке показателей вроде "уровня зрелости" — тогда да, возможно. Однако если имеется четкий документ — законодательный акт — 781 ПП. Какой смысл оценивать уровень соответствия? Разве что для того, чтобы видеть, к чему стремиться… И что — если я нахожусь на 1-м отправил по запросу этот частный показатель — от меня отстанут на время, пока я не дойду до пятого?
В том то и дело что пятый уровень зрелости — это не только соответствие, но и постоянная оценка, контроль, совершенствование, планирование и т.п.
Выполнение требований регуляторов по минимуму — сравнимо с 3-4 уровнем соответствия.
Итоговые уровни — это только результат работы.
Зато в рамках работы по самооценки определяется — что ещё не сделано, для того чтобы выполнить требования регуляторов.
Это первый шаг к тому чтобы выполнить требования. И регуляторы должны это понимать.
Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?
Ну разумеется речь идет об уровне зрелости/соответствия. К ПП-781 никакого отношения документы ЦБ не имеют. Они более грамотны. У ФСТЭК должен все сделать и забыть. У ЦБ двигаться по спирали вверх, постепенно наращивая усилия и поддерживая уровень защиты.
ФСТЭК требует, чтобы ты к 01.07.11 реализовал весь объем приказа 58. ЦБ говорит — оцените себя, составьте план улучшений и двигайтесь по нему. К 01.07.11 ты можешь быть на первом уровне. Но твоя цель — 4-й и выше. Вот туда и стремись; постепенно…
> Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?
То же самое можно сказать и в отношении любого другого оператора, оценившего самого себя продекларировавшего, что все плохо, и составившего план приведения самого себя в соответствие. Вот только если придут регуляторы с внеплановой проверкой — оператор может этот план трубочкой свернуть и себе засунуть в портмоне. А так — просто поглядеть — регулятор и не придет.
> Но твоя цель — 4-й и выше. Вот туда и стремись; постепенно…
Я согласен, что надо всегда стремиться к пермаментному импрувменту. Но прежде всего необходимо реализовать тот набор мер, который требует законодательство. А вот потом уже — улучшай внутри себя как хочешь. В этой связи мне и не понятен СМЫСЛ оценки соответствия ФСТЭК, ФСБ и РКН — ради чего это делать, если как раз у них — сделал и забыл?
А у "них" именно забыл и вспоминаешь только перед аттестацией. А у ЦБ постоянно в тонусе 😉 В этом и разница.
Мне понятна разница. Мне не понятен СМЫСЛ, м? Любая оценка — это трудозатраты. Ради чего?
А для чего нужна регулярная оценка соответствия? Чтобы знать, что не отклонился от курса.
Как можно отклониться от курса в подходе "сделал — и забыл"? Эсплейн ми плиз 🙂
Так об этом и речь 😉 У ФСТЭК поэтому и нет регулярной оценки уровня соответствия
Этот комментарий был удален автором.
Этот комментарий был удален автором.
Так а ЦБ-то зачем ее требовать? По нормативам регуляторов, имеется в виду. В большинстве случаев это будет тупое перепечатывание даты первоначального отчета — вот и все. Для подстраховочки?
Мы же говорим о ИБ не для галочки 😉
Мы об ИБ вообще не говорим — мы говорим о подходе регуляторов "сделал — и забыл" и о поиске смысла регулярной оценки соответствия того, что априори уже соответствует, принимая во внимание указанный выше подход 🙂
Алексей, а о каком семинаре по ПДн идет речь ? Это был какой-то закрытый семинар ? Не встречал нигде анонсов о его проведении.
P.S. А по поводу уровней соответствия это вообще песня, чисто наша российская придумка от разработчиков СТО, если не ошибаюсь родилась она из механизма уровней зрелости, заложенного в Cobit. Только там смысл у них другой и Cobit не является стандартом, обязательным к исполнению как например PCI DSS (там как раз никаких уровней нет, там сделал и выполняешь регулярные мероприятия). А здесь согласно тексту СТО даже нулевой уровень — это тоже уровень соответствия, рекомендуется дойти до 4-го. Только никто же не мешает банкам идти к нему еще лет 10-20.
to Александр Бондаренко: Абсолютно верно — это Кобит, позволяющий оценить уровень зрелости ИТ-инфраструктуры организации в т.ч. путем измерения характеристик безопасности. Идея настолько удачная, что ее пихают практически во все корпоративные стандарты аудита, где надо и не надо (и не только для ИТ). Не стал исключением и СТОБР. Но вот смысла я так и не увидел.
И если говорить о смысле Кобита — то в конечном счете процедура определения уровня зрелости позволяет оценить эффективность использования ИТ в организации в качестве инструмента для ведения бизнеса. Что позволяет определить уровень зрелости по ФСТЭКу, ФСБ и РКН — я так и не понял. Работа ради работы. Оценка — ради оценки. Ерунда какая-то.
Это платные курсы, которые проводят многие УЦ
все таки это не уровень соответствия, а оценка соответствия по пятибальной шкале, по варианту самооценки либо внешнего аудита.