воскресенье, 14 апреля 2013 г.

Немного статистики по СТО БР ИББС от Банка России

Банк России опубликовал на своем сайте свежий "Перечень организаций банковской системы РФ, направивших в Банк России уведомление о принятии решения о введении в действие Комплекса БР ИББС" по состоянию на 1 апреля 2013 года. На текущий момент в нем присутствуют 535 организации, которые уведомили ЦБ о своем присоединении к стандарту Банка России по информационной безопасности. 

Напомню, что в предыдущем перечне (по состоянию на 1 декабря 2012 года) присутствовало 531 организации, т.е. за последние 3 месяца о своем присоединении к Комплексу БР ИББС заявили еще 4 организации.

Помимо обновления этого перечня ЦБ также опубликовал еще два новых списка: 
Оба этих списка также составлены по состоянию на 1 апреля 2013 года. Причем, как оказалось, эти два перечня местами пересекаются, т.е. есть организации, которые присутствуют в обоих перечнях. Хотя, на мой взгляд, было бы логичным отнесение организаций только к одному из двух списков. 

Стоит также отметить, что эти перечни составлены на основе информации, которую предоставили в ЦБ сами организации. При этом в списке по самооценке присутствует ряд кредитных организаций, которые проводили у себя внешний аудит, однако в ЦБ решили все-таки отправить результаты самооценки.

четверг, 14 февраля 2013 г.

5 вопросов для улучшения планов непрерывности бизнеса


Сегодня хотел поделиться свободным переводом показавшейся мне интересной статьи на сайте ISACA «5 вопросов для улучшения планов непрерывности бизнеса» (5 Questions to Improve Business Resiliency Plans). В рамках этой статьи говорится о том, какие основные моменты необходимо рассматривать при периодическом пересмотре планов непрерывности бизнеса.

Итак, предлагается 5 основных вопроса, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса: 

1. Охватывают ли планы непрерывности бизнеса все текущие критичные бизнес процессы и виды деятельности компании?
Скорость развития и изменения бизнес процессов во многих компаниях очень велика, что не может не сказываться на актуальности разработанных ранее планов непрерывности. Поэтому, при очередном пересмотре планов просто обязательно необходимо учитывать произошедшие изменения в деятельности компании и всегда иметь актуальный перечень наиболее критичных процессов, в отношении которых следует дорабатывать текущие планы непрерывности. 
Как мы знаем, критичные бизнес процессы мы определяем в ходе проведения анализа влияния на бизнес (BIA – Business Impact Analysis). При этом, чтобы упростить задачу в части актуализации бизнес процесс, может помочь некий журнал всех значительных изменений, произошедших в компании с момента предыдущего пересмотра планов непрерывности.

2. Актуальна ли приложенная в планах контактная информация лиц, задействованных в их реализации (в том числе и третьих сторон)?
Тут говорится о важности того, чтобы в плане непрерывности присутствовала актуальная контактная информация лиц, которые задействованы в ликвидации чрезвычайных ситуаций и восстановлении деятельности, что обеспечит успешную реализацию планов в случае возникновения реальных нештатных ситуаций. 
Кроме того, важно обеспечивать актуальность контактной информации и в различных справочниках и адресных книгах, которые присутствуют в компании, так как зачастую люди, ответственные за их актуализацию, просто отсутствуют в компании, что в конечном итоге ведет к полной или почти полной бесполезности таких справочников.  
Аналогично и с контактной информацией по представителям третьих стороны (особенно провайдеров, предоставляющих услуги и сервисы компании). С актуализацией этих данные порой обстоит все еще хуже, так как тут еще накладывается граница между организациями. 
В связи со всем этим, проверка корректности указанной в планах непрерывности контактной информации должна являться неотъемлемой частью каждого пересмотра или тестирования плана непрерывности. 
Кроме того, хорошей практикой является проверка доступности основных ответственных за реализацию плана непрерывности лиц в нерабочее время и выходные дни, так как в реальности чрезвычайная ситуация может произойти в любое время, как рабочее так и не рабочее. 

3. Готовы и хотят ли основные ответственные лица участвовать в реализации планов непрерывности?
Часто недооцениваемым, но весьма важным фактором реализации любого плана непрерывности является доступности и готовность/желание участвовать в мероприятиях по восстановлению основных ответственных лиц. После разработки и внедрения плана, лица, которые ранее согласились участвовать в реализации мероприятий плана в случае возникновения непредвиденных обстоятельств, со временем, ввиду происходящих изменений, могут потерять интерес к участию в реализации мероприятий плана непрерывности. 
Поэтому важно при очередном пересмотре плана непрерывности подтверждать готовность и способность участников плана, участвовать в его реализации. Кроме того, необходимо напоминать им об их обязанностях и ответственности по реализации мероприятий плана, чтобы гарантироваться, что в случае необходимости они будут должным образом подготовлены (некое постоянное обучение и повышение осведомленности участников плана непрерывности). 
Кроме того, у участников плана всегда должна быть возможность отказаться от своего привлечения к реализации мероприятий плана непрерывности (т.е. не должно оказываться давления со стороны на участие в плане), если они считают, что такое привлечение не является необходимым. 
Этот пункт мне, конечно, показался не совсем соответствующим российским реалиям, так как у нас все-таки распределение обязанностей больше осуществляется в добровольно-принудительном порядке. 

4. Проводится ли обучение и инструктажи участников планов непрерывности?
Все лица, участвующие в реализации плана непрерывности, должны проходить периодическое обучения и повышение осведомленности по тематике реализации планов непрерывности, что позволит обеспечить их способность действовать правильным образом в случае возникновения реальной нештатной ситуации. При этом необходимо применять не только базовое обучение, но и тестирование планов непрерывности, когда отрабатываются действия участников плана в условиях, приближенных к реальным нештатным ситуациям.

5. Актуальны ли определенные ранее значения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для процессов и ресурсов, их обеспечивающих? 
RTO и RPO определяются на этапе разработке планов непрерывности в ходе реализации BIA, при этом для каждого процесса, а также ресурса, который обеспечивает реализацию бизнес-процесса, определяются свои значения RTO и RPO, исходя из потребностей бизнеса и реальных возможностей по восстановлению. 
Но, ввиду постоянных изменений в организации, а также ее приоритетах, со временем меняются и значения RTO и RPO, которые необходимо обеспечивать в рамках плана непрерывности. При этом, надо понимать, что чем меньше значения RTO и RPO, тем выше затраты компании на фактическое достижение этих значений. 
В связи с этим, при пересмотре планов непрерывности необходимо актуализировать значения определенных ранее RTO и RPO, чтобы с одной стороны не тратить излишние средства на достижение не актуальных требований, а с другой реализовывать дополнительные мероприятия в случае повышения требований к RTO и RPO. 

пятница, 30 ноября 2012 г.

Портал НП "АБИСС" по проведению оценки соответствия по 382-П

На прошедшей 28 ноября конференции "Развитие НПС - состояние и перспективы" Павел Гениевский поделился новостью о создании на площадке НП "АБИСС" специализированного портала по проведению оценки соответствия по требованиям Положения Банка России от 09 июня 2012 № 382-П.

С помощью этого портала НП "АБИСС" планирует предоставлять для кредитных и некредитных организаций - участников НПС, доступ к средству автоматизации оценки соответствия, с использование которого организации смогут оценить степень своего соответствия требованиям по защите информации при осуществлении переводов денежных средств, предъявляемых Положением ЦБ № 382-П:
Рис. 1. Интерфейс средства автоматизации оценки соответствия по 382-П
и подготовить необходимую в соответствии с документами Банка России формы и отчеты (Положение ЦБ 382-П и Указание ЦБ 2831-У - форма 0403202), а также дополнительные аналитические выгрузки:
Рис. 2. Документирование результатов оценки соответствия. 
Также, в рамках портала НП "АБИСС" планирует осуществлять методологическую поддержку кредитных и некредитных организаций - участников НПС, в том числе: размещать необходимые информационные материалы, реализовывать возможность получения консультаций экспертов по вопросам, связанным с Положениям №382-П.

Доступ к порталу НП "АБИСС" планирует предоставляться для зарегистрированных на сайте партнерства участников НПС на бесплатной основе. 

вторник, 27 ноября 2012 г.

Вебинар по защите персональных данных от компании ЛЕТА

29 ноября мои коллеги будут проводить вебинар по тематике защиты персональных данных (начало в 11-00), в рамках которого будут рассмотрены наиболее злободневные вопросы защиты ПДн и текущей нормативной базы.

Также в рамках вебинара будет представлен новый онлайн-сервис сервис компании ЛЕТА - www.152pro.ru, который призван помочь небольшим организациям в реализации требований 152-ФЗ «О персональных данных». Основной функционал 152pro: формирование пакета необходимой внутренней документации, проведение организационных мероприятий, выбор необходимых технических средств защиты. 

Полная программа вебинара следующая: 
  • Общие сведения о законодательстве в области обработки ПДн (область действия, для чего это нужно и т.д.).
  • Последние изменения законодательства (наиболее значимые изменения, начиная с выхода действующей версии закона)
  • Краткий анализ изменений порядка построения СЗПДн (в связи с принятием нового ПП РФ №1119). Сравнение «как было» - «как стало».
  • Положения ПП РФ №1119, вызывающие вопросы и недоумение, а также ответы на эти вопросы.
  • Что делать операторам, которые только закончили работы по построению СЗПДн в соответствии с требованиями утратившего силу ПП РФ №781.
  • Что делать операторам, которые на текущий момент ведут работы по построению СЗПДн (т.е. начали эти работы до вступления в силу ПП РФ №781), до тех пор, пока не появятся разъясняющие документы ФСТЭК, ФСБ.
  • Опыт проверок.
  • Представление нового сервиса ЛЕТА для выполнения требований закона "О персональных данных" - 152pro.ru. 
Зарегистрироваться на вебинар можно по следующей ссылке.

Спешите и Вы еще можете успеть.
Количество мест ограничено!

четверг, 15 ноября 2012 г.

Сравнение методик оценки соответствия СТО БР ИББС и 382-П

В последнее время довольно активно занимался проработкой тематики защиты информации в национальной платежной системе, в частности вопросов проведения оценки соответствия требованиям Положения Банка России от 09.06.2012 № 382-П, а также связи Комплекса БР ИББС и новых нормативных документов по защите информации в НПС. 

В результате получил вот такие вот две диаграммы, отражающие соответственно логику проведения оценки соответствия по требованиям СТО БР ИББС-1.0-2010, а также требованиям Положения № 382-П. 

Рис. 1. Методика СТО БР ИББС-1.2-2010 оценки соответствия СТО БР ИББС-1.2-2010

четверг, 8 ноября 2012 г.

Дебют в первом номере журнала "!Безопасность деловой информации"

Ассоциация "DLP-Эксперт" выпустила первый выпуск журнала "!Безопасность деловой информации" - нового ежеквартального издания, посвященного актуальным вопросам информационной безопасности.

В числе авторов первого выпуска попал и я со статьей на тему "Реализация требований законодательства в организациях банковской системы РФ: основные проблемы и решения" (в соавторстве в Костей Малюшкиным).

В рамках статьи мы рассматриваем следующие три проблемы, с которыми сталкиваются подразделения ИБ при реализации многочисленных требований законодательства:
  • Обилие пересекающихся между собой требований;
  • Недостаток ресурсов;
  • Низкий уровень осознания проблема ИБ руководством.
Сам журнал "!Безопасность деловой информации" доступен к просмотру сразу в нескольких форматах: Онлайн чтение, PDF, SlideShare - что очень удобно. 

вторник, 6 ноября 2012 г.

Вебинар по защите информации в НПС

Завтра (07/11/2012) мы с моим коллегой Константином Малюшкиным будем проводить вебинар, посвященный тематике защиты информации в национальной платежной системе.

В рамках вебинара буду рассмотрены следующие темы: 

  • Основные нормы и структура национальной платежной системы (НПС). 
  • Требования законодательства и документов Банка России по защите информации в национальной платежной системе. 
  • Применимость требований к различным категориям субъектов НПС. 
  • Контроль за соблюдением требований к защите информации в НПС. 
  • Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС. 
  • Сравнение требований информационной безопасности Положения Банка России № 382-П и стандарта Банка России СТО БР ИББС-1.0-2010. 
  • Практические моменты реализации требований нормативных документов по защите информации в НПС в организациях – субъектах НПС. 
Участие в мероприятии бесплатное, предварительная регистрация участников обязательна. 

Количество мест ограничено, предпочтение будет отдаваться действующим и потенциальным клиентам/партнерам компании LETA.

Зарегистрироваться на вебинар можно по этой ссылке.

Вы еще можете успеть поучаствовать! 


понедельник, 5 ноября 2012 г.

CISM грядет!

В последнее время довольно плотно занялся подготовкой к сдачи сертификационного экзамена CISM, в связи с чем, наряду с всеобщим осенним повышением градуса на рынке ИБ, моя активность в блоге значительно просела, так как подготовка к экзамену заняла большую часть свободного времени.

Так, в рамках подготовки к CISM на этой неделе побывал на подготовительных курсах, организованных Академией Информационных Систем при поддержке Российского отделения Ассоциации ISACA, информацией о которых и хотел с вами поделиться. 

Напомню, что для подготовки в самому экзамену существует официальный мануал от ISACA на английском языке в котором описываются 4 домена CISM, по которым в дальнейшем и организуется тестирование в рамках экзамена:

  • Information Security Governance 
  • Information Risk Management and Compliance 
  • Information Security Program Development
  • Management Information Security Incident Management

Каждому из доменов в рамках обучения в АИС было посвящено по полдня. Т.е. за день мы проходили по 2 домена. 

Само обучение проходимо по официальным презентациям ISACA, однако содержимое презентаций отнюдь не дублировало содержимое мануала CISM, т.е. целью обучения является не рассказ информации, содержащейся в официальном мануале, а структурирование данных и, где возможно, привнесение дополнительных сведений. Как пояснили сами преподаватели, данное обучение по сути рассчитано на два типа слушателей: 
  1. Тех, кто только начинает подготовку к CISM и в начале хотел бы получить обзорную информацию по  материалу; 
  2. И тех, кто уже прочитал мануал и хочет структурировать свои знания в рамках обучения и получить ответы на возникшие вопросы. 

Если это действительно так, то в отношении первой категории слушателей, кои, к моему удивлению, были на обучении, надо им уже брать руки в ноги и уходить с головой в подготовку, если они все-таки рассчитывают сдавать экзамен в этом году. Напомню, что сам экзамен не за горами - уже 8 декабря, т.е. по факту остался всего месяц времени на подготовку, а это, могу сказать по своему опыту, очень и очень мало, так как на каждый из доменов при нормальном прочтении и прогоне вопросов из тестовой базы, уходит порядка 2 недель. 

Из полезных практических моментов по сдаче экзамена, которые были озвучены на обучении: 
  • Больше времени на тренировку и решение тестовых вопросов, только достигнув уровня в 90-95 % правильных ответов по тестовым вопросам, можно говорить о успешной подготовке к сдаче.
  • Важность понимания вопросов и выделения ключевых слов в них. Это касается не только слов "MOST", "BEST", "FIRST", но и деталей самого вопроса, что спрашивают и в применении к какой деятельность, например "strategy development" или "strategy  implementation", так как от таких моментов зависит и правильность ответов. 
  • Крайняя необходимость дополнительных знаний по ИБ, как знание различных стандартов и подходом в обеспечении ИБ (ISO 27k, NIST, COBIT, ITIL и др.), так и общее знание технологий обеспечения ИБ - это в общем и понятно, все-таки сертифицированный Менеджер по ИБ. 
В общем само обучение мне понравилось, было интересно послушать интересных людей и получить дополнительную информацию и ЦУ по сдаче экзамена. Помимо самого обучающего курса АИС 25 ноября проводит тестовый экзамен по CISM, на котором можно будет проверить свои знания за 2 недели до экзамена. Единственное ограничение тестового экзамена это то, что будет на 200 вопросов на 4 часа, а 100 на 2 часа.

Для тех же, кто только задумывается или уже планирует сдавать экзамен CISM привожу следующую подборку полезной информации по этому экзамену: 

среда, 5 сентября 2012 г.

Реестр операторов платежный систем пополнился некредитной организацией

Сегодня (05.09.2012) Банк России внес в реестр операторов платежных систем еще одну организацию - Закрытое акционерное общество "Национальные кредитные карточки" (ЗАО "НКК"), Платежная система NCC (NATIONAL CREDIT CARDS). 

Примечательным в этом случае является то, что ЗАО "НКК" - первая некредитная организация, зарегистрированная в качестве оператора платежной системы. Исходя из этого, в рамках этой платежной системы реализовано разделение различных функций операторов услуг платежной инфраструктуры. Так функции операционного центра и платежного клирингового центра выполняет непосредственно ЗАО "НКК", а в качестве расчетного центра в соответствии с требованием п. 6 ст. 15 161-ФЗ ЗАО "НКК" привлекает кредитную организацию - ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК".

Таким образом на текущий момент в рамках НПС у нас уже четыре платежные системы: 
  • Платежная система Банка России (но основании 161-ФЗ и Положения ЦБ РФ от 29.06.2012 № 384-П "О платежной системе Банка России");
  • Платежная система CONTACT;
  • Международная платежная система денежных переводов "ЮНИСТРИМ". 
  • Платежная система NCC (NATIONAL CREDIT CARDS).
Напомню, что реестр операторов платежных систем публикуется Банком России в соответствии со 161-ФЗ "О национальной платежной системе" (статья 15) и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы" (п.п. 2.3 и 2.4).

Сам реестр размещается на сайте ЦБ тут.

пятница, 31 августа 2012 г.

Рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем

Банк России на своем сайте опубликовал рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем, подготовленные с учетом практики рассмотрения этих документов.

Документ в большей степени содержит общие рекомендации в отношении комплектности и оформления документов, а также Правил платежной системы, но есть и отдельные моменты связанные с ИБ. 

Так Банк России еще раз рекомендует непосредственно в Правилах платежной системы:
"2.12. Определять требования к защите информации. При формировании указанных требований следует руководствоваться Постановлением Правительства РФ от 13  июня 2012 г. № 584 «Положение о защите информации в платежной системе» и Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Есть пару моментов и в отношении бесперебойности и управления рисками в платежной системе: 
"2.7. Раскрывать порядок обеспечения бесперебойности функционирования платежной системы в соответствии со структурой, установленной пунктом 4, и с учетом требований пунктов 5-7 Положения Банка России от 31 мая 2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах».
2.8. Определять систему управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками, с учетом требований статьи 28 Федерального закона № 161-ФЗ. Перечень мероприятий должен быть составлен с учетом требований части 3 статьи 28 Федерального закона № 161-ФЗ. Перечень способов управления рисками определяется с учетом требований части 4 и части 5 статьи 28 Федерального закона № 161-ФЗ.
2.11. Раскрывать порядок (процедуру) взаимодействия субъектов в рамках платежной системы не только в спорных, но и чрезвычайных ситуациях."
В остальном рекомендации в большей части затрагивают процедурные моменты.

Напомню, что порядок регистрации операторов платежных систем определяется ст. 15 161-ФЗ  и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы", а на текущий момент официально зарегистрировано только два оператора платежных систем.

Полный текст рекомендаций - тут.