tag:blogger.com,1999:blog-62054798008290721482024-03-19T12:26:09.382+03:00ИБ и БСИнформационная безопасность в банковской сфереИгорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.comBlogger48125tag:blogger.com,1999:blog-6205479800829072148.post-49527604916437465962013-04-14T17:04:00.001+04:002013-04-15T12:58:55.587+04:00Немного статистики по СТО БР ИББС от Банка России<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Банк России опубликовал на своем сайте свежий "<a href="http://cbr.ru/credit/Gubzi_docs/perechen.pdf" target="_blank"><b>Перечень организаций банковской системы РФ, направивших в Банк России уведомление о принятии решения о введении в действие Комплекса БР ИББС</b></a>" по состоянию на 1 апреля 2013 года. На текущий момент в нем присутствуют 535 организации, которые уведомили ЦБ о своем присоединении к стандарту Банка России по информационной безопасности. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Напомню, что в предыдущем перечне (по состоянию на 1 декабря 2012 года) присутствовало 531 организации, т.е. за последние 3 месяца о своем присоединении к Комплексу БР ИББС заявили еще 4 организации.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Помимо обновления этого перечня ЦБ также опубликовал еще два новых списка: </div>
<div style="text-align: justify;">
</div>
<ul>
<li><a href="http://cbr.ru/credit/Gubzi_docs/vneshnyaya.pdf" target="_blank">Список организаций БС РФ, направивших в Банк России информацию о проведении оценки соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0 силами сторонних организаций</a> (внешний аудит) - 35 организации;</li>
<li><a href="http://cbr.ru/credit/Gubzi_docs/samoocenka.pdf" target="_blank">Список организаций БС РФ, направивших в Банк России информацию о проведении оценки соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0 в форме самооценки</a> - 303 организаций.</li>
</ul>
<span style="text-align: justify;">Оба этих списка также составлены по состоянию на 1 апреля 2013 года. Причем, как оказалось, эти два перечня местами пересекаются, т.е. есть организации, которые присутствуют в обоих перечнях. Хотя, на мой взгляд, было бы логичным отнесение организаций только к одному из двух списков. </span><br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Стоит также отметить, что эти перечни составлены на основе информации, которую предоставили в ЦБ сами организации. При этом в списке по самооценке присутствует ряд кредитных организаций, которые проводили у себя внешний аудит, однако в ЦБ решили все-таки отправить результаты самооценки.</div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com3tag:blogger.com,1999:blog-6205479800829072148.post-73124777819127699582013-02-14T08:00:00.000+04:002013-03-10T13:26:01.908+04:005 вопросов для улучшения планов непрерывности бизнеса<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNormal">
</div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXFzpaVbSg1lDmsdhCoE08lnhazi2FgSlWwePLd7aG6_o_m9Nx7aFMRViofQC4mNbLPWuM-L7iYZ9NEsN2vb0CfW22M3StlxJw-9UhvX18qEEN1rSpMvEniagAHKLY_JO-4yWvoDWwp80/s1600/bc-logo.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXFzpaVbSg1lDmsdhCoE08lnhazi2FgSlWwePLd7aG6_o_m9Nx7aFMRViofQC4mNbLPWuM-L7iYZ9NEsN2vb0CfW22M3StlxJw-9UhvX18qEEN1rSpMvEniagAHKLY_JO-4yWvoDWwp80/s320/bc-logo.jpg" width="320" /></a><br />
<span style="text-align: justify;">Сегодня хотел поделиться свободным переводом показавшейся мне интересной статьи на сайте ISACA «5 вопросов для улучшения планов непрерывности бизнеса» (</span><a href="http://www.isaca.org/About-ISACA/-ISACA-Newsletter/Pages/at-ISACA-Volume-4-13-February-2013.aspx#3" style="text-align: justify;" target="_blank">5 Questions to Improve Business Resiliency Plans</a><span style="text-align: justify;">). В рамках этой статьи говорится о том, какие основные моменты необходимо рассматривать при периодическом пересмотре планов непрерывности бизнеса.</span></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Итак, предлагается 5 основных вопроса, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса: </div>
<div style="text-align: justify;">
<b><br /></b></div>
<div style="text-align: justify;">
<b>1. Охватывают ли планы непрерывности бизнеса все текущие критичные бизнес процессы и виды деятельности компании?</b></div>
<div style="text-align: justify;">
<div>
Скорость развития и изменения бизнес процессов во многих компаниях очень велика, что не может не сказываться на актуальности разработанных ранее планов непрерывности. Поэтому, при очередном пересмотре планов просто обязательно необходимо учитывать произошедшие изменения в деятельности компании и всегда иметь актуальный перечень наиболее критичных процессов, в отношении которых следует дорабатывать текущие планы непрерывности. </div>
<div>
Как мы знаем, критичные бизнес процессы мы определяем в ходе проведения анализа влияния на бизнес (BIA – Business Impact Analysis). При этом, чтобы упростить задачу в части актуализации бизнес процесс, может помочь некий журнал всех значительных изменений, произошедших в компании с момента предыдущего пересмотра планов непрерывности.</div>
<div>
<br /></div>
<div>
<b>2. Актуальна ли приложенная в планах контактная информация лиц, задействованных в их реализации (в том числе и третьих сторон)?</b></div>
<div>
Тут говорится о важности того, чтобы в плане непрерывности присутствовала актуальная контактная информация лиц, которые задействованы в ликвидации чрезвычайных ситуаций и восстановлении деятельности, что обеспечит успешную реализацию планов в случае возникновения реальных нештатных ситуаций. </div>
<div>
Кроме того, важно обеспечивать актуальность контактной информации и в различных справочниках и адресных книгах, которые присутствуют в компании, так как зачастую люди, ответственные за их актуализацию, просто отсутствуют в компании, что в конечном итоге ведет к полной или почти полной бесполезности таких справочников. </div>
<div>
Аналогично и с контактной информацией по представителям третьих стороны (особенно провайдеров, предоставляющих услуги и сервисы компании). С актуализацией этих данные порой обстоит все еще хуже, так как тут еще накладывается граница между организациями. </div>
<div>
В связи со всем этим, проверка корректности указанной в планах непрерывности контактной информации должна являться неотъемлемой частью каждого пересмотра или тестирования плана непрерывности. </div>
<div>
Кроме того, хорошей практикой является проверка доступности основных ответственных за реализацию плана непрерывности лиц в нерабочее время и выходные дни, так как в реальности чрезвычайная ситуация может произойти в любое время, как рабочее так и не рабочее. </div>
<div>
<br /></div>
<div>
<b>3. Готовы и хотят ли основные ответственные лица участвовать в реализации планов непрерывности?</b></div>
<div>
Часто недооцениваемым, но весьма важным фактором реализации любого плана непрерывности является доступности и готовность/желание участвовать в мероприятиях по восстановлению основных ответственных лиц. После разработки и внедрения плана, лица, которые ранее согласились участвовать в реализации мероприятий плана в случае возникновения непредвиденных обстоятельств, со временем, ввиду происходящих изменений, могут потерять интерес к участию в реализации мероприятий плана непрерывности. </div>
<div>
Поэтому важно при очередном пересмотре плана непрерывности подтверждать готовность и способность участников плана, участвовать в его реализации. Кроме того, необходимо напоминать им об их обязанностях и ответственности по реализации мероприятий плана, чтобы гарантироваться, что в случае необходимости они будут должным образом подготовлены (некое постоянное обучение и повышение осведомленности участников плана непрерывности). </div>
<div>
Кроме того, у участников плана всегда должна быть возможность отказаться от своего привлечения к реализации мероприятий плана непрерывности (т.е. не должно оказываться давления со стороны на участие в плане), если они считают, что такое привлечение не является необходимым. </div>
<div>
Этот пункт мне, конечно, показался не совсем соответствующим российским реалиям, так как у нас все-таки распределение обязанностей больше осуществляется в добровольно-принудительном порядке. </div>
<div>
<br /></div>
<div>
<b>4. Проводится ли обучение и инструктажи участников планов непрерывности?</b></div>
<div>
Все лица, участвующие в реализации плана непрерывности, должны проходить периодическое обучения и повышение осведомленности по тематике реализации планов непрерывности, что позволит обеспечить их способность действовать правильным образом в случае возникновения реальной нештатной ситуации. При этом необходимо применять не только базовое обучение, но и тестирование планов непрерывности, когда отрабатываются действия участников плана в условиях, приближенных к реальным нештатным ситуациям.<br />
<br /></div>
<div>
</div>
<div>
<b>5. Актуальны ли определенные ранее значения целевого времени восстановления (RTO) и целевой точки восстановления (RPO) для процессов и ресурсов, их обеспечивающих? </b></div>
<div>
RTO и RPO определяются на этапе разработке планов непрерывности в ходе реализации BIA, при этом для каждого процесса, а также ресурса, который обеспечивает реализацию бизнес-процесса, определяются свои значения RTO и RPO, исходя из потребностей бизнеса и реальных возможностей по восстановлению. </div>
<div>
Но, ввиду постоянных изменений в организации, а также ее приоритетах, со временем меняются и значения RTO и RPO, которые необходимо обеспечивать в рамках плана непрерывности. При этом, надо понимать, что чем меньше значения RTO и RPO, тем выше затраты компании на фактическое достижение этих значений. </div>
<div>
В связи с этим, при пересмотре планов непрерывности необходимо актуализировать значения определенных ранее RTO и RPO, чтобы с одной стороны не тратить излишние средства на достижение не актуальных требований, а с другой реализовывать дополнительные мероприятия в случае повышения требований к RTO и RPO. </div>
</div>
<div>
<br /></div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-43760808564877690442012-11-30T08:00:00.000+04:002012-11-30T02:20:41.639+04:00Портал НП "АБИСС" по проведению оценки соответствия по 382-П<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
На прошедшей 28 ноября конференции "<a href="http://www.ib-bank.ru/bc/" target="_blank"><b>Развитие НПС - состояние и перспективы</b></a>" Павел Гениевский поделился новостью о создании на площадке НП "АБИСС" специализированного портала по проведению оценки соответствия по требованиям Положения Банка России от 09 июня 2012 № 382-П.<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
С помощью этого <a href="http://www.portal.abiss.ru/" target="_blank"><b>портала</b></a> НП "АБИСС" планирует предоставлять для кредитных и некредитных организаций - участников НПС, доступ к средству автоматизации оценки соответствия, с использование которого организации смогут оценить степень своего соответствия требованиям по защите информации при осуществлении переводов денежных средств, предъявляемых Положением ЦБ № 382-П:<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuJcoFjj8K9pXPJoV6O9_6XmZjoGFG25FfnFrVC_f-Q88qweZMqGRPvX6-QKYlVKyVp67BcQS1d5yopTQVf0PJMgh38Bu5AJvAMWhoovoifYZvwdL1mnaM0JUFsVpIt_xxkORZngfl0bw/s1600/%D0%BF%D0%BE%D1%80%D1%82%D0%B0%D0%BB.bmp" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="168" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuJcoFjj8K9pXPJoV6O9_6XmZjoGFG25FfnFrVC_f-Q88qweZMqGRPvX6-QKYlVKyVp67BcQS1d5yopTQVf0PJMgh38Bu5AJvAMWhoovoifYZvwdL1mnaM0JUFsVpIt_xxkORZngfl0bw/s400/%D0%BF%D0%BE%D1%80%D1%82%D0%B0%D0%BB.bmp" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 1. Интерфейс средства автоматизации оценки соответствия по 382-П</td></tr>
</tbody></table>
и подготовить необходимую в соответствии с документами Банка России формы и отчеты (Положение ЦБ 382-П и Указание ЦБ 2831-У - форма 0403202), а также дополнительные аналитические выгрузки:<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAnY1SlICgYlzr8KNgmkq4erdUiZMnQEJvksydILYuKBXt8ZNp7D5_kWB5Bo0YGsCfVDVS086AQd01I3AXV4olt4q55g7aHa11UegmImdtpqX4oqXQ0C2hj8x52acyoKpKpL5sI8DRnv0/s1600/%D0%BF%D0%BE%D1%80%D1%82%D0%B0%D0%BB+2.bmp" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAnY1SlICgYlzr8KNgmkq4erdUiZMnQEJvksydILYuKBXt8ZNp7D5_kWB5Bo0YGsCfVDVS086AQd01I3AXV4olt4q55g7aHa11UegmImdtpqX4oqXQ0C2hj8x52acyoKpKpL5sI8DRnv0/s400/%D0%BF%D0%BE%D1%80%D1%82%D0%B0%D0%BB+2.bmp" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 2. Документирование результатов оценки соответствия. </td></tr>
</tbody></table>
Также, в рамках портала НП "АБИСС" планирует осуществлять методологическую поддержку кредитных и некредитных организаций - участников НПС, в том числе: размещать необходимые информационные материалы, реализовывать возможность получения консультаций экспертов по вопросам, связанным с Положениям №382-П.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Доступ к порталу НП "АБИСС" планирует предоставляться для зарегистрированных на сайте партнерства участников НПС на бесплатной основе. </div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-62809713114182486422012-11-27T12:31:00.000+04:002012-11-27T12:38:55.424+04:00Вебинар по защите персональных данных от компании ЛЕТА<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
29 ноября мои коллеги будут проводить вебинар по тематике защиты персональных данных (начало в 11-00), в рамках которого будут рассмотрены наиболее злободневные вопросы защиты ПДн и текущей нормативной базы.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitVUU9e0RPYT754aWdiFh8__vbkrqb923JAV5OmO6_gLxCLhkg2_9enQ4xeAprSJs7MrYF5GB9MwquZcAn1qOKvCGSif3neRvCZeo7hvysXRBYTyB6SUb87-1JE3y7ZyeL4uuxSR0xHQo/s1600/152logo.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitVUU9e0RPYT754aWdiFh8__vbkrqb923JAV5OmO6_gLxCLhkg2_9enQ4xeAprSJs7MrYF5GB9MwquZcAn1qOKvCGSif3neRvCZeo7hvysXRBYTyB6SUb87-1JE3y7ZyeL4uuxSR0xHQo/s1600/152logo.png" /></a>Также в рамках вебинара будет представлен новый онлайн-сервис сервис компании ЛЕТА - <a href="http://www.152pro.ru/">www.152pro.ru</a>, который призван помочь небольшим организациям в реализации требований 152-ФЗ «О персональных данных». Основной функционал 152pro: формирование пакета необходимой внутренней документации, проведение организационных мероприятий, выбор необходимых технических средств защиты. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Полная программа вебинара следующая: </div>
<div style="text-align: justify;">
<div style="text-align: justify;">
<ul>
<li>Общие сведения о законодательстве в области обработки ПДн (область действия, для чего это нужно и т.д.).</li>
<li>Последние изменения законодательства (наиболее значимые изменения, начиная с выхода действующей версии закона)</li>
<li>Краткий анализ изменений порядка построения СЗПДн (в связи с принятием нового ПП РФ №1119). Сравнение «как было» - «как стало».</li>
<li>Положения ПП РФ №1119, вызывающие вопросы и недоумение, а также ответы на эти вопросы.</li>
<li>Что делать операторам, которые только закончили работы по построению СЗПДн в соответствии с требованиями утратившего силу ПП РФ №781.</li>
<li>Что делать операторам, которые на текущий момент ведут работы по построению СЗПДн (т.е. начали эти работы до вступления в силу ПП РФ №781), до тех пор, пока не появятся разъясняющие документы ФСТЭК, ФСБ.</li>
<li>Опыт проверок.</li>
<li>Представление нового сервиса ЛЕТА для выполнения требований закона "О персональных данных" - 152pro.ru. </li>
</ul>
</div>
<div>
Зарегистрироваться на вебинар можно по следующей <b><a href="http://my.comdi.com/event/86895/" target="_blank">ссылке</a>.</b><br />
<b><br /></b>
Спешите и Вы еще можете успеть.<br />
<b><b><span style="color: black; font-family: "Calibri","sans-serif"; font-size: 12.0pt; mso-ansi-language: RU; mso-bidi-font-family: "Times New Roman"; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">Количество мест ограничено!</span></b></b></div>
</div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-52067585761451900002012-11-15T08:00:00.000+04:002012-11-15T08:00:03.357+04:00Сравнение методик оценки соответствия СТО БР ИББС и 382-П<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: justify;">
В последнее время довольно активно занимался проработкой тематики защиты информации в национальной платежной системе, в частности вопросов проведения оценки соответствия требованиям Положения Банка России от 09.06.2012 № 382-П, а также связи Комплекса БР ИББС и новых нормативных документов по защите информации в НПС. </div>
<div class="separator" style="clear: both; text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
В результате получил вот такие вот две диаграммы, отражающие соответственно логику проведения оценки соответствия по требованиям СТО БР ИББС-1.0-2010, а также требованиям Положения № 382-П. </div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmaQqzyhqUzrP86QxppbssghP3WKe5rxy_fY4Yoy3N21CcfQId7AxFgS-tz_iJ7HePXwhAKrS_AZiJEnB4NIRyuVyjUCYSn651XTjsNNbohyKoUQ3_2MueAt9bcokOzJWuFntnEkA5RUg/s1600/%D0%A1%D0%A2%D0%9E+%D0%91%D0%A0.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="368" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmaQqzyhqUzrP86QxppbssghP3WKe5rxy_fY4Yoy3N21CcfQId7AxFgS-tz_iJ7HePXwhAKrS_AZiJEnB4NIRyuVyjUCYSn651XTjsNNbohyKoUQ3_2MueAt9bcokOzJWuFntnEkA5RUg/s640/%D0%A1%D0%A2%D0%9E+%D0%91%D0%A0.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 1. Методика СТО БР ИББС-1.2-2010 оценки соответствия СТО БР ИББС-1.2-2010</td></tr>
</tbody></table>
<a name='more'></a><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5AfRHqF_a1d8YkXRIh4L6wPt0j4HIU-P6S_mD8meNbnhQrCfdldqG2a9QvO_iY6maXMRwhVM8-Z4a5cy71cyVfiAPasH6xxr2Hcl7tY3CGj6jTcX-YKdpgpDUiiZtQ_7Fq79RnYugY9o/s1600/%25D0%259D%25D0%259F%25D0%25A1.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="353" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5AfRHqF_a1d8YkXRIh4L6wPt0j4HIU-P6S_mD8meNbnhQrCfdldqG2a9QvO_iY6maXMRwhVM8-Z4a5cy71cyVfiAPasH6xxr2Hcl7tY3CGj6jTcX-YKdpgpDUiiZtQ_7Fq79RnYugY9o/s640/%25D0%259D%25D0%259F%25D0%25A1.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 2. Методика оценки соответствия требованиям Положения Банка России № 382-П</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: justify;">
Дополнить их могу следующими основными мыслями: </div>
<div class="separator" style="clear: both; text-align: justify;">
</div>
<ul>
<li style="text-align: justify;">Новая методика оценки соответствия требований по защите информации при переводе денежных средств, изложенная в 382-П, в общем похожа на методику оценки СТО БР ИББС-1.2-2010, но с математической точки зрения значительно проще, так как содержит значительно меньшее количество уровней обобщения оценок и, как следствие, меньше самих оцениваемых и рассчитываемых показателей.</li>
<li style="text-align: justify;">С другой стороны, меньшее количество уровней обобщения оценок дает меньше аналитических данных для анализа. Т.е. по СТО БР мы получали как оценки по отдельным группам требований (оценки групповых показателей ИБ), так и обобщающие показатели по направлениям деятельности, что было довольно наглядно и полезно для дальнейшего анализа. Но в 382-П помимо итогового показателя R мы получает только два обобщающих показателя EV1 и EV2, которые в рамках самой методики не наделены каким то смыслом. Если только самостоятельно, по аналогии со СТО БР, сопоставлять EV1 с "текущим уровнем ИБ", а EV2 с "уровнем менеджмента ИБ". </li>
<li style="text-align: justify;">Методика 382-П никак не оценивает "уровень осознания ИБ", который оценивался в методике СТО БР.</li>
<li style="text-align: justify;">В 382-П отсутствуют требования, связанные с обработкой и защитой персональных данных, которые порождали значительные трудности в оценке по СТО БР, в том числе при оценке показателей M1-M6 в части процессов обработки ПДн, а также обобщающих показателей EV1озпд, EV2озпд, EVоопд. </li>
<li style="text-align: justify;">В 382-П оцениваются требования применительно к процессам переводов денежных средств, т.е. по сути к банковским платежным технологическим процессам. Банковские информационные технологические процессы никак не рассматриваются. В СТО БР, <a href="http://ibsec.blogspot.ru/2011/09/1-6-12-2010.html" target="_blank">как мы помним</a>, групповые показатели М1-М6 оценивались отдельно применительно к банковским платежном и информационным технологическим процессам, что порождало дополнительные трудности для оценки.</li>
<li style="text-align: justify;">В 382-П отсутствуют коэффициенты значимости для частных показателей, как это есть в СТО БР. В этом плане все требования 382-П считаются равноправными, а обобщающие оценки рассчитываются на основе среднеарифметических, а не средневзвешенных значений. </li>
<li style="text-align: justify;">В 382-П введены специализированные показатели k1 и k2, понижающие итоговую оценку соответствия в случае полного невыполнения ряда требований. Т.е., по сравнению со СТО БР, уже не получится скомпенсироваться итоговую оценку за счет более полного выполнения одних требований при полном невыполнении других. Итоговая оценка будет занижена в 0,7 или 0,85 раза в зависимости от количества полностью не выполняемых требований.</li>
<li style="text-align: justify;">В методике 382-П отсутствуют рекомендуемые показатели, все требования считаются обязательными, при условии,конечно, что они <a href="http://ibsec.blogspot.ru/2012/08/382.html" target="_blank">применимы к оцениваемой организации</a>. не применимые требования, по аналогии со СТО БР, оцениваются ка "н/о" (нет оценки) и не участвуют в дальнейших расчетах. </li>
</ul>
<div style="text-align: justify;">
Таким образом видно, что у каждой их вышеупомянутых методик есть свои плюсы и минусы. Одна более сложная, но и результаты дает более наглядные, в другой же все упрощено, в том числе в ущерб этой самой наглядности, так как задача у нее боле узкоспециализированная - оценить защиту информацию в рамках отдельной деятельности.</div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-80282238850695874722012-11-08T00:10:00.000+04:002012-11-08T00:16:35.093+04:00Дебют в первом номере журнала "!Безопасность деловой информации"<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://dlp-expert.ru/bdi/?utm_source=dlp-expert-main&utm_medium=bannerspromo&utm_campaign=bdi" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;" target="_blank"><img border="0" height="124" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQi6QFQOEC8rXJ5gyok2_VvfDzUY9c54E1qdyPwinqyYwCRvCy16jAIlLqEN5iQBU175JNs1WD1urda1ytg3yXm6xj6Ps6XbmWR2hFrUyL1RCMcvP6o-VS-RgNxwJYnqfixGDqPeklAN4/s320/bdi3.jpg" width="320" /></a></div>
Ассоциация "DLP-Эксперт" выпустила первый выпуск журнала "!Безопасность деловой информации" - нового ежеквартального издания, посвященного актуальным вопросам информационной безопасности.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В числе авторов первого выпуска попал и я со статьей на тему "<a href="http://dlp-expert.ru/bdi_source/1/#/16-17/" target="_blank">Реализация требований законодательства в организациях банковской системы РФ: основные проблемы и решения</a>" (в соавторстве в Костей Малюшкиным).<br />
<br />
В рамках статьи мы рассматриваем следующие три проблемы, с которыми сталкиваются подразделения ИБ при реализации многочисленных требований законодательства:<br />
<ul>
<li>Обилие пересекающихся между собой требований;</li>
<li>Недостаток ресурсов;</li>
<li>Низкий уровень осознания проблема ИБ руководством.</li>
</ul>
<div>
Сам журнал "!Безопасность деловой информации" доступен к просмотру сразу в нескольких форматах: <a href="http://dlp-expert.ru/bdi_source/1" target="_blank">Онлайн чтение</a>, <a href="http://dlp-expert.ru/sites/default/files/miscellaneous/bdi/BDI_2012_1.pdf" target="_blank">PDF</a>, <a href="http://www.slideshare.net/gabrealsafm/1-15069312" target="_blank">SlideShare</a> - что очень удобно. </div>
</div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-14993308739017921002012-11-06T14:09:00.000+04:002012-11-06T14:09:15.002+04:00Вебинар по защите информации в НПС<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
Завтра (07/11/2012) мы с моим коллегой Константином Малюшкиным будем проводить <a href="http://www.leta.ru/press-center/events/id_94.html" target="_blank">вебинар</a>, посвященный тематике защиты информации в национальной платежной системе.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>В рамках вебинара буду рассмотрены следующие темы: </b></div>
<br />
<ul style="text-align: left;">
<li style="text-align: justify;">Основные нормы и структура национальной платежной системы (НПС). </li>
<li style="text-align: justify;">Требования законодательства и документов Банка России по защите информации в национальной платежной системе. </li>
<li style="text-align: justify;">Применимость требований к различным категориям субъектов НПС. </li>
<li style="text-align: justify;">Контроль за соблюдением требований к защите информации в НПС. </li>
<li style="text-align: justify;">Организация и проведение оценки выполнения требований к обеспечению защиты информации в НПС. </li>
<li style="text-align: justify;">Сравнение требований информационной безопасности Положения Банка России № 382-П и стандарта Банка России СТО БР ИББС-1.0-2010. </li>
<li style="text-align: justify;">Практические моменты реализации требований нормативных документов по защите информации в НПС в организациях – субъектах НПС. </li>
</ul>
<div style="text-align: justify;">
Участие в мероприятии бесплатное, предварительная регистрация участников обязательна. </div>
<div style="text-align: justify;">
<br /></div>
<div>
<div style="text-align: justify;">
Количество мест ограничено, предпочтение будет отдаваться действующим и потенциальным клиентам/партнерам компании LETA.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Зарегистрироваться на вебинар можно по <a href="http://my.comdi.com/event/82772/" target="_blank">этой ссылке</a>.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Вы еще можете успеть поучаствовать! </div>
<br />
<br /></div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-15813760645583367502012-11-05T00:52:00.000+04:002012-11-05T12:03:23.064+04:00CISM грядет! <div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGqqs053Pt9h-Lbir0zbzJLotSFpBkWuo8o6_7f1UPawnKyNg1dxbY5eMBcUPyN8zFHZgy87XJWYuKKUJ5PwbOpHaR8Nr12Qq4YfA5VCkZNmILNZk_KGySAJh_aQQky4n6TLPPOKRNhKI/s1600/CISM-Horizontal-174x70.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGqqs053Pt9h-Lbir0zbzJLotSFpBkWuo8o6_7f1UPawnKyNg1dxbY5eMBcUPyN8zFHZgy87XJWYuKKUJ5PwbOpHaR8Nr12Qq4YfA5VCkZNmILNZk_KGySAJh_aQQky4n6TLPPOKRNhKI/s1600/CISM-Horizontal-174x70.jpg" /></a></div>
<div style="text-align: justify;">
В последнее время довольно плотно занялся подготовкой к сдачи сертификационного экзамена CISM, в связи с чем, наряду с всеобщим осенним повышением градуса на рынке ИБ, моя активность в блоге значительно просела, так как подготовка к экзамену заняла большую часть свободного времени.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Так, в рамках подготовки к CISM на этой неделе побывал на <a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/exam_preparation.html" target="_blank">подготовительных курсах, организованных Академией Информационных Систем</a> при поддержке Российского отделения Ассоциации ISACA, информацией о которых и хотел с вами поделиться. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Напомню, что для подготовки в самому экзамену существует официальный мануал от ISACA на английском языке в котором описываются 4 домена CISM, по которым в дальнейшем и организуется тестирование в рамках экзамена:<br />
<br />
<ul>
<li style="text-align: justify;"><span style="text-align: left;">Information Security Governance </span></li>
<li style="text-align: justify;"><span style="text-align: left;">Information Risk Management and Compliance </span></li>
<li style="text-align: justify;"><span style="text-align: left;">Information Security Program Development</span></li>
<li style="text-align: justify;"><span style="text-align: left;">Management Information Security Incident Management</span></li>
</ul>
<br />
<div style="text-align: justify;">
Каждому из доменов в рамках обучения в АИС было посвящено по полдня. Т.е. за день мы проходили по 2 домена. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Само обучение проходимо по официальным презентациям ISACA, однако содержимое презентаций отнюдь не дублировало содержимое мануала CISM, т.е. целью обучения является не рассказ информации, содержащейся в официальном мануале, а структурирование данных и, где возможно, привнесение дополнительных сведений. Как пояснили сами преподаватели, данное обучение по сути рассчитано на два типа слушателей: </div>
<div style="text-align: left;">
</div>
<ol style="text-align: left;">
<li style="text-align: justify;">Тех, кто только начинает подготовку к CISM и в начале хотел бы получить обзорную информацию по материалу; </li>
<li style="text-align: justify;">И тех, кто уже прочитал мануал и хочет структурировать свои знания в рамках обучения и получить ответы на возникшие вопросы. </li>
</ol>
<br />
<div style="text-align: justify;">
Если это действительно так, то в отношении первой категории слушателей, кои, к моему удивлению, были на обучении, надо им уже брать руки в ноги и уходить с головой в подготовку, если они все-таки рассчитывают сдавать экзамен в этом году. Напомню, что сам экзамен не за горами - уже 8 декабря, т.е. по факту остался всего месяц времени на подготовку, а это, могу сказать по своему опыту, очень и очень мало, так как на каждый из доменов при нормальном прочтении и прогоне вопросов из тестовой базы, уходит порядка 2 недель. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Из полезных практических моментов по сдаче экзамена, которые были озвучены на обучении: </div>
<div style="text-align: justify;">
</div>
<ul>
<li>Больше времени на тренировку и решение тестовых вопросов, только достигнув уровня в 90-95 % правильных ответов по тестовым вопросам, можно говорить о успешной подготовке к сдаче.</li>
<li>Важность понимания вопросов и выделения ключевых слов в них. Это касается не только слов "MOST", "BEST", "FIRST", но и деталей самого вопроса, что спрашивают и в применении к какой деятельность, например "strategy development" или "strategy implementation", так как от таких моментов зависит и правильность ответов. </li>
<li>Крайняя необходимость дополнительных знаний по ИБ, как знание различных стандартов и подходом в обеспечении ИБ (ISO 27k, NIST, COBIT, ITIL и др.), так и общее знание технологий обеспечения ИБ - это в общем и понятно, все-таки сертифицированный Менеджер по ИБ. </li>
</ul>
<div>
В общем само обучение мне понравилось, было интересно послушать интересных людей и получить дополнительную информацию и ЦУ по сдаче экзамена. Помимо самого обучающего курса АИС 25 ноября проводит тестовый экзамен по CISM, на котором можно будет проверить свои знания за 2 недели до экзамена. Единственное ограничение тестового экзамена это то, что будет на 200 вопросов на 4 часа, а 100 на 2 часа.</div>
<div>
<br /></div>
<div>
Для тех же, кто только задумывается или уже планирует сдавать экзамен CISM привожу следующую подборку полезной информации по этому экзамену: </div>
<div>
<ul>
<li>Официальная информация по CISM <a href="http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx" target="_blank">на сайте ISACA</a>;</li>
<li><a href="http://notesonthecuff.blogspot.ru/2011/11/faq-isaca-isa-cism-cgeit-crisc.html" target="_blank">FAQ по экзаменам ISACA</a> от Владимира Матвийчука;</li>
<li>Опыт <a href="http://habrahabr.ru/post/137865/" target="_blank">подготовки к сдаче экзамена</a> и <a href="http://habrahabr.ru/post/138807/" target="_blank">подтверждения опыта</a> на habrahabr;</li>
<li>История сдачи экзамена CISM в <a href="http://80na20.blogspot.ru/search/label/CISM" target="_blank">серии постов Андрея Прозорова</a>;</li>
<li><a href="http://shaurojen.blogspot.ru/search/label/CISM" target="_blank">Перевод вопросов CISM</a> от Евгения Шауро. </li>
</ul>
</div>
</div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-78541417321886785162012-09-05T14:57:00.001+04:002012-09-05T15:09:36.684+04:00Реестр операторов платежный систем пополнился некредитной организацией<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWdXS952KERKzt0Hwnw7PKeuiGJApZhAOL2YSijJ9FVgVm9v1dz8fQvxBwgU8iMy2uA1QEwJQ4hbHn95l5dMRFv3u2cW6ipwWDY7X-tfnt6v6Mlg9AUFeO5EWpriU0N8-SRas3G6fFVhk/s1600/NCC.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="72" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWdXS952KERKzt0Hwnw7PKeuiGJApZhAOL2YSijJ9FVgVm9v1dz8fQvxBwgU8iMy2uA1QEwJQ4hbHn95l5dMRFv3u2cW6ipwWDY7X-tfnt6v6Mlg9AUFeO5EWpriU0N8-SRas3G6fFVhk/s200/NCC.jpg" width="200" /></a>Сегодня (05.09.2012) Банк России внес в реестр операторов платежных систем еще одну организацию - Закрытое акционерное общество "Национальные кредитные карточки" (ЗАО "НКК"), Платежная система NCC (NATIONAL CREDIT CARDS). </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Примечательным в этом случае является то, что ЗАО "НКК" - первая некредитная организация, зарегистрированная в качестве оператора платежной системы. Исходя из этого, в рамках этой платежной системы реализовано разделение различных функций операторов услуг платежной инфраструктуры. Так функции операционного центра и платежного клирингового центра выполняет непосредственно ЗАО "НКК", а в качестве расчетного центра в соответствии с требованием п. 6 ст. 15 161-ФЗ ЗАО "НКК" привлекает кредитную организацию - ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК".</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Таким образом на текущий момент в рамках НПС у нас уже четыре платежные системы: </div><div style="text-align: justify;"></div><ul style="list-style-image: initial; list-style-position: initial; list-style-type: disc; margin-bottom: 0.5em; margin-left: 0px; margin-right: 0px; margin-top: 0.5em; padding-bottom: 0px; padding-left: 2.5em; padding-right: 2.5em; padding-top: 0px;"><li style="border-bottom-style: none; border-color: initial; border-left-style: none; border-right-style: none; border-top-color: initial; border-top-style: none; border-width: initial; line-height: 1.4; margin-bottom: 0.25em; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0.25em; padding-left: 0px; padding-right: 0px; padding-top: 0.25em; text-align: justify; text-indent: 0px;">Платежная система Банка России (но основании 161-ФЗ и Положения ЦБ РФ от 29.06.2012 № 384-П "О платежной системе Банка России");</li>
<li style="border-bottom-style: none; border-color: initial; border-left-style: none; border-right-style: none; border-top-color: rgb(238, 238, 238); border-top-style: none; border-width: initial; line-height: 1.4; margin-bottom: 0.25em; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0.25em; padding-left: 0px; padding-right: 0px; padding-top: 0.25em; text-indent: 0px;"><span style="text-align: justify;">Платежная система CONTACT;</span></li>
<li style="border-bottom-style: none; border-color: initial; border-left-style: none; border-right-style: none; border-top-color: rgb(238, 238, 238); border-top-style: none; border-width: initial; line-height: 1.4; margin-bottom: 0.25em; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0.25em; padding-left: 0px; padding-right: 0px; padding-top: 0.25em; text-indent: 0px;"><span style="text-align: justify;">Международная платежная система денежных переводов "ЮНИСТРИМ". </span></li>
<li style="border-bottom-style: none; border-color: initial; border-left-style: none; border-right-style: none; border-top-color: rgb(238, 238, 238); border-top-style: none; border-width: initial; margin-bottom: 0.25em; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0.25em; padding-left: 0px; padding-right: 0px; padding-top: 0.25em; text-indent: 0px;"><span style="line-height: 22px; text-align: justify;">Платежная система NCC (NATIONAL CREDIT CARDS).</span></li>
</ul><div style="text-align: justify;">Напомню, что реестр операторов платежных систем публикуется Банком России в соответствии со 161-ФЗ "О национальной платежной системе" (статья 15) и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы" (п.п. 2.3 и 2.4).</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Сам реестр размещается на сайте ЦБ <a href="http://cbr.ru/today/?Prtid=rops" style="color: #3b7ace; text-decoration: none;" target="_blank">тут</a>.</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-91159864847885374182012-08-31T10:04:00.000+04:002012-08-31T10:04:16.853+04:00Рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Банк России на своем сайте опубликовал рекомендации по оформлению документов, направляемых в Банк России в целях регистрации операторов платежных систем, подготовленные с учетом практики рассмотрения этих документов.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Документ в большей степени содержит общие рекомендации в отношении комплектности и оформления документов, а также Правил платежной системы, но есть и отдельные моменты связанные с ИБ. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Так Банк России еще раз рекомендует непосредственно в Правилах платежной системы:</div><blockquote class="tr_bq" style="text-align: justify;"><i>"2.12. Определять требования к защите информации. При формировании указанных требований следует руководствоваться Постановлением Правительства РФ от 13 июня 2012 г. № 584 «Положение о защите информации в платежной системе» и Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».</i></blockquote><div style="text-align: justify;">Есть пару моментов и в отношении бесперебойности и управления рисками в платежной системе: </div><div style="text-align: justify;"><blockquote class="tr_bq"><i>"2.7. Раскрывать порядок обеспечения бесперебойности функционирования платежной системы в соответствии со структурой, установленной пунктом 4, и с учетом требований пунктов 5-7 Положения Банка России от 31 мая 2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах».<br />
2.8. Определять систему управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками, с учетом требований статьи 28 Федерального закона № 161-ФЗ. Перечень мероприятий должен быть составлен с учетом требований части 3 статьи 28 Федерального закона № 161-ФЗ. Перечень способов управления рисками определяется с учетом требований части 4 и части 5 статьи 28 Федерального закона № 161-ФЗ.<br />
2.11. Раскрывать порядок (процедуру) взаимодействия субъектов в рамках платежной системы не только в спорных, но и чрезвычайных ситуациях."</i></blockquote></div>В остальном рекомендации в большей части затрагивают процедурные моменты.<br />
<br />
Напомню, что порядок регистрации операторов платежных систем определяется ст. 15 161-ФЗ и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы", а на текущий момент официально зарегистрировано только <a href="http://ibsec.blogspot.com/2012/08/c.html" target="_blank">два оператора платежных систем</a>.<br />
<br />
Полный текст рекомендаций - <a href="http://cbr.ru/today/payment_system/P-sys/recomendations.pdf" target="_blank">тут</a>.</div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-32838834368497892472012-08-27T23:24:00.001+04:002012-08-28T08:30:20.087+04:00Применимость требований 382-П к различным категориям субъектов НПС<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">В продолжение <a href="http://lukatsky.blogspot.com/2012/08/382.html" target="_blank">заметки Алексея Лукацкого</a> про правильность чтения требований Положения Банка России №382-П, хочу поделиться следующей статистикой, полученной в ходе как раз такой разбивки требований по субъектам НПС. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">На рисунке ниже приведено распределение требований в количественном (сверху) и процентном соотношении от общего количества требований 382-П (снизу). Напомню, что в Приложении 2 к 382-П всего приведено 129 различных требований к обеспечению защиты информации при осуществлении переводов денежных средств, выполнение которых проверяется при проведении оценки соответствия. </div><div style="text-align: justify;"><br />
</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6wvduzPwndQhBGPhW4H8Si8UCQlTZp0AYjPv6Cy9KEMPR7aGn5FZH-jwPrXoWyP9TG1fHptcgqFl2hXXxt2VUSndhHioKmGlF2HPmUDH5bzBnOLQf30ZvTt0x6aAlzwrQvWLmXdHzR0Y/s1600/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5+%D1%82%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B9+%D0%BF%D0%BE+%D0%9D%D0%9F%D0%A1.bmp" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="241" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6wvduzPwndQhBGPhW4H8Si8UCQlTZp0AYjPv6Cy9KEMPR7aGn5FZH-jwPrXoWyP9TG1fHptcgqFl2hXXxt2VUSndhHioKmGlF2HPmUDH5bzBnOLQf30ZvTt0x6aAlzwrQvWLmXdHzR0Y/s400/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5+%D1%82%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B9+%D0%BF%D0%BE+%D0%9D%D0%9F%D0%A1.bmp" width="400" /></a></div><span style="font-family: Verdana, sans-serif; font-size: x-small; text-align: justify;">На рисунке использованы сле</span><span style="font-family: Verdana, sans-serif; font-size: x-small;">дующие сокращения: </span><br />
<div style="text-align: left;"><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - ОПДС - оператор по переводу денежных средств;</span></div><div style="text-align: left;"><span style="text-align: justify;"><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - ОПС - оператор платежной системы;</span></span></div><div style="text-align: left;"><span style="text-align: justify;"><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - ОУПИ - оператор услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр);</span></span></div><div style="text-align: left;"><span style="text-align: justify;"><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - БПА (БПСА) ЮЛ - банковский платежный агент (субагент), являющийся юридическим лицом;</span></span></div><div style="text-align: left;"><span style="text-align: justify;"><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - БПА (БПСА) ИП - банковский платежный агент (субагент), являющийся индивидуальным предпринимателем.</span></span></div><div style="text-align: left;"><span style="text-align: justify;"><br />
</span></div><div style="text-align: left;"><span style="text-align: justify;">Как видно из этого распределения, меньше всего требований распространяется на операторов платежных систем. Если проанализировать 382-П, то можно увидеть, что эти требования, исходя из сущности оператора платежной системы, связаны именно с организацией и контролем обеспечения защиты информации в рамках платежной системы (установление требований и определение порядка применения мер по защите информации, взаимодействие с участниками платежной системы в части сбора сведений о защите информации в платежной системе, организация реагирования на инциденты ИБ и др.).</span></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Больше всего требований ложится соответственно (по убывающей) на операторов по переводу денежных средств, операторов услуг платежной инфраструктуры и банковских платежных агентов (субагентов). </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">При этом в отношении различных типов операторов услуг платежной инфраструктуры, а именно: <span style="text-align: left;">операционных, платежных клиринговых и расчетных центров - различий в требованиях практически нет. Исключением являются требования п. </span><span style="text-align: left;">2.16.2 Положения 382-П в части доведения оператором услуг платежной инфраструктуры </span><span style="text-align: left;">до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств, которые не распространяются на </span><span style="text-align: left;">операционные центры, находящихся за пределами РФ.</span></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><span style="text-align: left;">Если же смотреть применимость требований 382-П к различным категориям субъектов НПС в разрезе групп требований, то получается следующая картина: </span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjySMWe26cldOkJbX3jAebyt7CnWSxtTdxJUx1wBEXJGQyXOqpox8KTbZnKgQsvoF4eYoCtEelBHTB_FBTFqi7LQgrwXID018ZjMvyopthNd2t_BMXj11PWZjrkw_GoMfc0uGi0AkdId6I/s1600/%D0%9D%D0%9F%D0%A1+-+%D0%A1%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0+2.bmp" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="242" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjySMWe26cldOkJbX3jAebyt7CnWSxtTdxJUx1wBEXJGQyXOqpox8KTbZnKgQsvoF4eYoCtEelBHTB_FBTFqi7LQgrwXID018ZjMvyopthNd2t_BMXj11PWZjrkw_GoMfc0uGi0AkdId6I/s400/%D0%9D%D0%9F%D0%A1+-+%D0%A1%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0+2.bmp" width="400" /></a></div><div style="text-align: justify;"><span style="text-align: left;"><br />
</span></div><div class="separator" style="clear: both; text-align: center;"></div><div style="text-align: justify;"><span style="font-family: Verdana, sans-serif; font-size: x-small;">На рисунке использованы сле<span style="text-align: left;">дующие обозначения: </span></span></div><div><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - " - " - в группе отсутствуют требования, применимые к категории субъектов НПС;</span></div><div><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - " + " - все требования группы применимы к категории субъекта НПС;</span></div><div><span style="font-family: Verdana, sans-serif; font-size: x-small;"> - "+/-" - часть требований применима к категории субъекта НПС.</span></div><div><br />
<div style="text-align: justify;">Из этой статистика, например, видно, что в отношении банковских платежных агентов (субагентов) в большей степени применимы требования, связанные с реализацией системы защиты информации, и в меньшей с вопросами менеджмента ИБ. </div></div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-6859965960341120752012-08-20T01:36:00.000+04:002012-08-20T01:36:49.290+04:00C пополнением вас - Платежные системы<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3NU5yIe7L8XrdgyQ1_hCCnWgb6opm7TQuAa7xRHLEyaiRubFvNk0zkLyjTrsZ1v-j0Lbx4RuYBHUNd6PseWYdY3CcKG785yThA4H2kzwATEU7sWQKe82K6zSiq5KPe4KLpvDHseBIOGA/s1600/%D0%B4%D0%BE%D0%B7%D0%B2%D0%BE%D0%BB%D1%8F%D0%BC2.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3NU5yIe7L8XrdgyQ1_hCCnWgb6opm7TQuAa7xRHLEyaiRubFvNk0zkLyjTrsZ1v-j0Lbx4RuYBHUNd6PseWYdY3CcKG785yThA4H2kzwATEU7sWQKe82K6zSiq5KPe4KLpvDHseBIOGA/s200/%D0%B4%D0%BE%D0%B7%D0%B2%D0%BE%D0%BB%D1%8F%D0%BC2.jpg" width="200" /></a>Знаковое событие для регулирования НПС произошло: Банком России зарегистрированы первые операторы платежных систем, которыми стали:</div><ul style="text-align: left;"><li style="text-align: left;"><span style="text-align: justify;">АКБ "РУССЛАВБАНК" (ЗАО) - Платежная система CONTACT (дата регистрации - 03.08.2012);</span></li>
<li style="text-align: justify;">ОАО КБ "ЮНИСТРИМ" - Международная платежная система денежных переводов "ЮНИСТРИМ" (дата регистрации - 10.08.2012).</li>
</ul><span style="text-align: justify;">По обоим платежным системам оператор платежной системы является одновременно и расчетным, и платежным клиринговым, и операционным центром.</span><br />
<div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Таким образом на текущий момент в рамках НПС есть три платежные системы: </div><div style="text-align: justify;"></div><ul><li style="text-align: justify;">Платежная система Банка России (но основании 161-ФЗ и Положения ЦБ РФ от 29.06.2012 № 384-П "О платежной системе Банка России");</li>
<li><span style="text-align: justify;">Платежная система CONTACT;</span></li>
<li><span style="text-align: justify;">Международная платежная система денежных переводов "ЮНИСТРИМ". </span></li>
</ul><div style="text-align: justify;">Напомню, что реестр операторов платежных систем публикуется Банком России в соответствии со 161-ФЗ "О национальной платежной системе" (статья 15) и Положением Банка России от 02.05.2012 № 378-П "О порядке направления в Банк России заявления о регистрации оператора платежной системы" (п.п. 2.3 и 2.4).</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Сам реестр размещается на сайте ЦБ <a href="http://cbr.ru/today/?Prtid=rops" target="_blank">тут</a>.</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com1tag:blogger.com,1999:blog-6205479800829072148.post-19512681749271489852012-08-15T07:30:00.004+04:002012-08-29T23:17:14.791+04:00Mind-карта документов на тематике Национальной платежной системы<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
В ходе изучения нормативной базы по тематике национальной платежной системы подготовил вот такую подборку нормативных документов, регулирующие эту сферу. Здесь представлены не только документы, напрямую касающиеся регулирования ИБ в НПС (выделены оранжевым фоном), но и другие документы (в основном Банка России), которые показались мне интересными с точки зрения понимания тематики НПС и регулирования деятельности по переводам денежных средств. </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdNGC491yySOH3toJl1kwAxaws5lIR1xoMkjlnyQBDufUKMObaOeMUN3BphIYjCC2Vm0Etbr1gO4skfLeJ3JKzpOIpv0PLkoLXLeqh65VFhl9efUgPSQkgmMty371uSLaq2kf28ysLBak/s1600/%D0%94%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B+%D0%BF%D0%BE+%D0%9D%D0%9F%D0%A1.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdNGC491yySOH3toJl1kwAxaws5lIR1xoMkjlnyQBDufUKMObaOeMUN3BphIYjCC2Vm0Etbr1gO4skfLeJ3JKzpOIpv0PLkoLXLeqh65VFhl9efUgPSQkgmMty371uSLaq2kf28ysLBak/s640/%D0%94%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B+%D0%BF%D0%BE+%D0%9D%D0%9F%D0%A1.jpeg" width="555" /></a></div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
В mind-карте используются следующие сокращения:</div>
<ul style="text-align: left;">
<li>ОПС - оператор платежной системы;</li>
<li>ОУПИ - оператор услуг платежной инфраструктуры;</li>
<li>ОПДС - оператор по переводу денежных средств;</li>
<li>ОЭДС - оператор электронных денежных средств.</li>
</ul>
<b></b><br />
<div>
Mind-карта в pdf - <a href="https://www.dropbox.com/s/sccwapjsslk4iso/%D0%A1%D1%85%D0%B5%D0%BC%D0%B0%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%B2%20%D0%BF%D0%BE%20%D0%9D%D0%9F%D0%A1.pdf" target="_blank">тут</a>.<br />
<b><b><br />
</b></b></div>
<b>P.S. </b>Напомню, что на вкладке <a href="http://ibsec.blogspot.com/p/blog-page.html" target="_blank">"Нормативная база"</a>, также содержится непосредственно подборка самих документов по вопросам ИБ в банковской сфере. В том числе, начал наполнять документами по тематике НПС.<br />
<ul style="text-align: left;"></ul>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-12406142942785921702012-08-10T14:41:00.000+04:002012-08-14T23:17:41.436+04:00Семинары по НПС на август<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: left;">
<div style="text-align: justify;">
В продолжения темы, <a href="http://ibsec.blogspot.com/2012/07/blog-post.html" target="_blank">куда можно пойти поучиться по НПС</a>, нашел еще два учебных мероприятия, которые пройдут в августе по это тематике, это:</div>
</div>
<ul style="text-align: left;">
<li style="text-align: justify;">Семинар "Защита информации в Национальной платежной системе в соответствии с Постановлением Правительства № 584 "О защите информации в платежной системе" и Положением Банка России 382-П", который пройдет <b>29 августа</b> в Институте банковского дела АРБ. Принять участие в семинаре можно как <a href="http://ibdarb.ru/element.php?IBLOCK_ID=2&SECTION_ID=42&ELEMENT_ID=4758" target="_blank">очно</a>, так и <a href="http://ibdarb.ru/element.php?IBLOCK_ID=2&SECTION_ID=42&ELEMENT_ID=4759" target="_blank">онлайн</a>.<br />
<u>Программа вкратце: </u></li>
<ul>
<li style="text-align: justify;">Что такое Национальная платежная система;</li>
<li style="text-align: justify;">ФЗ-161 и его влияние на информационную безопасность;</li>
<li style="text-align: justify;">Иерархия требований по информационной безопасности;</li>
<li style="text-align: justify;">Оценка соответствия по вопросам ИБ в рамках НПС;</li>
<li style="text-align: justify;">Персональные данные при переводе денежных средств; </li>
<li style="text-align: justify;">Наказание за неисполнение ФЗ-161 и подзаконных актов; </li>
<li style="text-align: justify;">Контроль и надзор в области защиты информации в НПС.</li>
</ul>
</ul>
<ul style="text-align: left;">
<li style="text-align: justify;">и Семинар "Закон о национальной платежной системе. Основные требования по организации платежных систем. Контроль со стороны гос. регуляторов", который пройдет <b>20 августа</b> в Банковском учебном центре "Финансовый дом" также в формате <a href="http://www.ucfd.ru/program/zakon_o_natcionalnoj_platezhnoj_sisteme_161-fz__osnovnye/" target="_blank">очного семинара</a> и <a href="http://www.ucfd.ru/program/vebinar_zakon_o_natcionalnoj_platezhnoj_sisteme_161-fz/" target="_blank">вебинара</a>.<br />
<u>Программа вкратце: </u></li>
<ul>
<li>Основы Национальной платежной системы;</li>
<li>Влияние закона о национальной платежной системы на законодательство РФ;</li>
<li>Взаимосвязь закона об НПС и закона о деятельности по приему платежей (103-ФЗ), сходства и различия.</li>
</ul>
</ul>
<div style="text-align: left;">
<div style="text-align: justify;">
Первый семинар рассчитан именно на специалистов по информационной безопасности, а вот у второго целевая аудитория несколько иная: финмониторинг, внутренний контроль, юристы. Но не смотря на это, мне кажется что он будет вполне полезен и ИБ-спецам для лучшего понимания сторон взаимодействия в НПС и потребностей бизнеса. </div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>Кстати</b>, решил завести на блоге новую страничку "<a href="http://ibsec.blogspot.com/p/blog-page_9.html" target="_blank">Обучение</a>", где вести подборку учебных материалов по вопросам обеспечения ИБ в банковской сфере, в последнее время частенько возникала потребность иметь эту информацию аккумулированную в одном месте. Сейчас там уже выложены ближайшие мероприятия по тематикам НПС и СТО БР ИББС. Надеюсь и Вам эта подборка будет полезна. </div>
</div>
</div>
Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-32577560464624439612012-08-09T18:17:00.000+04:002012-08-09T18:17:45.443+04:00Письмо МГТУ Банка России о сдаче отчетности 0403203 в бумажном виде<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Вчера Банк России направил в кредитные организации информационное письмо, суть которого в том, что первая отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" предоставляется кредитными организациями в бумажном виде. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Напомню, что необходимость сдачи отчетности по форме 0403203 установлена Указание Банка России от 09.06.2012 № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".<br />
<br />
Срок сдачи отчетности за июль - 14 августа 2012г.<br />
<br />
<div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNmHlM1Z0i2E5eMTulVi-dbFJTgy76fcAxbcQQNh9QjmnRLmTOise4loE4ZJpWZE5UKnEMAW_UzCvmOSdiqagbitPSw_EFK6YRb6qNS6SVPDSgdrkfeOKLuxG9tt6Ut3FRrNR6napg1z8/s1600/%D0%9F%D0%B8%D1%81%D1%8C%D0%BC%D0%BE+%D0%9C%D0%93%D0%A2%D0%A3+%D0%BE+%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B8+%D0%BE%D1%82%D1%87%D0%B5%D1%82%D0%BD%D0%BE%D1%81%D1%82%D0%B8+0403203.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNmHlM1Z0i2E5eMTulVi-dbFJTgy76fcAxbcQQNh9QjmnRLmTOise4loE4ZJpWZE5UKnEMAW_UzCvmOSdiqagbitPSw_EFK6YRb6qNS6SVPDSgdrkfeOKLuxG9tt6Ut3FRrNR6napg1z8/s1600/%D0%9F%D0%B8%D1%81%D1%8C%D0%BC%D0%BE+%D0%9C%D0%93%D0%A2%D0%A3+%D0%BE+%D0%BF%D1%80%D0%B5%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B8+%D0%BE%D1%82%D1%87%D0%B5%D1%82%D0%BD%D0%BE%D1%81%D1%82%D0%B8+0403203.jpg" /></a></div><br />
</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-16623667414969824722012-07-26T08:30:00.004+04:002012-07-26T08:30:00.721+04:00Разъяснения ЦБ по применению норм 161-ФЗ "О национальной платежной системе"<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Изучая материалы, выложенные Банком России на своем сайте, наткнулся на <a href="http://cbr.ru/today/?Prtid=regulation_p" target="_blank">раздел, посвященный регулированию в платежной системе Российской Федерации</a>, в котором ЦБ в том числе опубликованы ответы на вопросы, поступающие от кредитных организаций <span style="text-align: left;">по применению норм Федерального закона № 161-ФЗ "О национальной платежной системе" и Федерального закона № 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами". </span><br />
<span style="text-align: left;"><br />
</span><br />
<span style="text-align: left;">На текущий момент опубликовано два документа: <a href="http://cbr.ru/today/Print.aspx?File=payment_system/P-sys/faq_1.pdf&pid=regulation_p&sid=itm_1639" target="_blank">часть 1</a> и <a href="http://cbr.ru/today/Print.aspx?File=payment_system/P-sys/faq_2.pdf&pid=regulation_p&sid=ITM_9418" target="_blank">часть 2</a>, которые по большей части касаются отдельных вопросов деятельности платежных агентов (по 103-ФЗ) и банковских платежных агентов (по 161-ФЗ) и их взаимодействия с кредитными организациями. </span><br />
<span style="text-align: left;"><br />
</span><br />
<span style="text-align: left;">Из темы 161-ФЗ интересно пояснение по вопросу того, в </span>каком случае кредитная организация подлежит регистрации <span style="text-align: left;">Банком России в качестве оператора платежной системы. Пояснение следующее: </span><br />
<span style="text-align: left;"></span><br />
<blockquote class="tr_bq" style="text-align: justify;"><i>Согласно пункту 20 статьи 3 Федерального закона № 161-ФЗ платежная система – совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы , операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств. Таким образом, банк - резидент, осуществляющий переводы денежных средств по поручению банков - резидентов и (или ) банков -нерезидентов , подлежит регистрации Банком России в качестве оператора платежной системы, если участниками этой системы являются не менее трех банков - резидентов. Если в системе отсутствуют участники, являющиеся банками - резидентами, либо их менее трех, то оператор такой системы не подлежит регистрации Банком России в качестве оператора платежной системы. </i></blockquote><br />
<span style="text-align: left;">К сожалению, в этих документах ЦБ не указал даты их публикации (как, в общем, он не указывает и по некоторым другим документам, выложенным на сайте ЦБ). - </span><span style="text-align: left;">Судя по комментариям в конце <a href="http://cbr.ru/today/Print.aspx?File=payment_system/P-sys/faq_2.pdf&pid=regulation_p&sid=ITM_9418" target="_blank">второй части</a> о разработке Банком России проекта нормативного </span><span style="text-align: left;">акта о правилах осуществления перевода денежных средств, эти документы датированы не позже середины июня 2012, т.к. тот самый проект уже утвержден в виде Положения Банка России от </span><span style="text-align: center;">19 июня 2012 г. № 383-П "О правилах осуществления перевода денежных средств".</span><br />
<span style="text-align: center;"><br />
</span><br />
<span style="text-align: center;">Хорошо бы, чтобы ЦБ не забросило эту практику и продолжило публично разъяснять вопросы, поступающие от кредитных организаций в части выполнения требований 161-ФЗ.</span></div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-37498241212459492862012-07-24T12:11:00.002+04:002012-07-26T14:43:24.686+04:00Вебинар по продукту ISM Revision: Risk Manager<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Принял сегодня участие в вебинаре от компании ISM Systems по их новому продукту <a href="http://www.ismsys.ru/?page_id=73" target="_blank">ISM Revision: Risk Manager</a>, о чем и хотел с вами поделиться. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">В рамках вебинара разрабочики представили свой новый продукт, показали его интерфейс и прошлись по основным шагам, необходимым для оценки рисков ИБ. Запись вебинара обещали выложить в свободный доступ.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Итак, основные моменты по представленному продукту Risk Manager:</div><br />
<div>Основы разработки методологии для этого продукта:</div><ul style="text-align: left;"><li>РС БР ИББС-2.2-2009</li>
<li>ISO 27005,</li>
<li>ОCTAVE,</li>
<li>NIST.</li>
</ul><div style="text-align: justify;">В системе уже есть заранее проработанная со стороны разработчиков и внесенная в систему аналитика, которая может использоваться при проведении оценки рисков, что сокращает временные затраты на проведение оценки рисков. Среди такой аналитики:</div><ul style="text-align: left;"></ul><ul style="text-align: left;"><li>критерии оценки ущерба,</li>
<li>перечень типовых информационных активов,</li>
<li>перечень нарушителей,</li>
<li>перечень угроз и способов реализации угроз,</li>
<li>перечень предпосылок реализации угроз,</li>
<li>перечень защитных мер.</li>
</ul><div style="text-align: justify;">При этом остается возможность самостоятельной настройки системы и добавления дополнительный сведений, присущих конкретной организации.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;"><u>Основные шаги оценки рисков с помощью продукта: </u></div><div style="text-align: justify;"><br />
<ul><li>определение параметров оценки рисков (критерии оценки, уровень допустимого рисков);</li>
<li>определение области оценки рисков (перечень информационных активов, объекты среды, оценка ценности информационных активов);</li>
<li>определение угроз ИБ (предпосылки реализации угроз, источники угроз);</li>
<li>оценка вероятности реализации угроз и степени тяжести последствий реализации угроз; </li>
<li>определение уровня рисков ИБ (качественные и количественные оценки);</li>
<li>составление плана обработки рисков ИБ;</li>
<li>формирование отчетной документации по результатам оценки рисков ИБ.</li>
</ul><br />
<u>Из заложенных в систему отчетов:</u><br />
<br />
<ul><li>Перечень информационных активов;</li>
<li>Перечень объектов среды;</li>
<li>Протокол утверждения критериев оценки рисков;</li>
<li>Сводный и детализированный реестры рисков;</li>
<li>План обработки рисков.</li>
</ul><br />
<u>Из прочего интересного: </u></div><div style="text-align: justify;"></div><ul><li style="text-align: justify;">Способы реализации угроз разделены исходя из затрагиваемых свойств ИБ: конфиденциальности, целостности, доступности. Т.е. когда мы оцениваем угрозы, то фокусируемся на конкретных последствиях с точки зрения К, Ц и Д. </li>
<li style="text-align: justify;">Процесс оценки рисков организуется применительно к группам объектов среды, в качестве которых может выступать информационные системы, АБС, территориальные подразделения или другие сущности, которыми удобно оперировать пользователю при оценки рисков. Исходя из выбранной детализации групп объектов среды можно получить необходимую детализацию оценки рисков ИБ.</li>
<li style="text-align: justify;">Заложена автоматизация расчетов СТП реализации угроз исходя из ценности информационных активов, обрабатываемых в рамках оцениваемой группы объектов среды. </li>
<li style="text-align: justify;">Заложена автоматизация расчетов СВР угроз исходя из актуальных предпосылок, источников угроз и применяемых защитных мерах. В системе предусмотрены и уже проставлены коэффициенты по защитным мерам и по источникам угроз, влияющие на расчет СВР, при этом их можно изменять самому + менять итоговую оценку применительно к каждому конкретному риску ИБ.</li>
<li style="text-align: justify;">Наличие двух режимов работы с системой: мастера и экспертного режима.</li>
<li style="text-align: justify;">Импорт/экспорт результатов оценок.</li>
</ul><div style="text-align: justify;">Таковы основные моменты, полученные из прошедшего вебинара. Более подробно возможности продукта можно будет оценить после тестирования демо версии этого продукта, которую разработчики обещали предоставить после вебинара по запросу на адрес - <a href="mailto:sales@ismsys.ru">sales@ismsys.ru</a>.</div><div style="text-align: justify;"><br />
Относительно цены решения - была озвучена только стоимость максимального пакета, включающего ПО, обучение двух специалистов и пакет шаблонов ОРД по оценке рисков ИБ - порядка 270 тыс. руб. За более подробной информацией завернули опять таки на <a href="mailto:sales@ismsys.ru">sales@ismsys.ru</a>.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Еще один момент, который хотел бы отметить - разработчики ISM Systems анонсировали в рамках вебинара разработку с их стороны продукта по автоматизации оценки соответствия выполнения требований по защите информации при осуществлении переводов денежных средств в соответствии с Положеним Банка России 382-П.<br />
<br />
<b><span style="color: red;">upd:</span></b><br />
Появилась запись прошедшего вебинара: <br />
<div class="separator" style="clear: both; text-align: center;"><iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.youtube.com/embed/wvQEfgk-32Y?feature=player_embedded' frameborder='0'></iframe></div><div class="separator" style="clear: both; text-align: left;">Источник - <a href="http://ismsys.blogspot.com/2012/07/ism-revision_26.html" target="_blank">Блог компании ISM SYSTEMS</a>. </div></div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-59374653046029269542012-07-18T09:00:00.001+04:002012-07-19T09:08:20.240+04:00Семинар в АИС по тематике НПС<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Побывал вчера в Академии Информационных Систем на семинаре "<span style="background-color: white;"><a href="http://infosystems.ru/news/seminar_issues_related_to_information_security.html" target="_blank">Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением</a>". Н</span><span style="background-color: white;">е смотря на то, что само мероприятие было платным, у</span><span style="background-color: white;">частников оно собрало достаточно много (по подсчетом АИС порядка </span><a href="http://infosystems.ru/news/4856.html" target="_blank">60 человек</a><span style="background-color: white;">), среди которых были представители кредитных и не кредитных организаций, участников НПС, а также интеграторы - куда же без них =). </span><span style="background-color: white;">Из докладчиков - представители АИС, Банка России и НП "АБИСС". </span></div><div style="text-align: justify;"><span style="background-color: white;"><br />
</span></div><div style="text-align: justify;">Вступительную часть семинара провел эксперт АИС - Левиев Д.О., осветивший основные аспекты законодательного регулирования в национальной платежной системе, терминологию и отдельные моменты. <span style="background-color: white;">В заключении семинара выступал представитель НП "АБИСС" - Дроздов А.В., но его тема не относилась напрямую к тематике НПС, а в большей части затрагивала само партнерство и его развитие. </span></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Наибольший же интерес (по крайней мере для меня) представляло выступление представителя Банка России Харламова В.П. (Начальник отдела Департамента регулирования расчетов (ДРР) Банка России) - всегда интересно послушать регуляторов.<br />
<br />
Валерий Павлович прошелся по основным требованиям 161-ФЗ и документов Банка России к обеспечению защиты информации при осуществлении переводов денежных средств, затронул вопросы оценки выполнения установленных требований, а также контроля и надзора со стороны ЦБ.<br />
<br />
<span style="background-color: white;">Ниже хочу привести основные интересные мысли, прозвучавшие в выступлениях докладчиков:</span><br />
<ul><li>Может ли кредитная организация не входить ни в одну платежную систему и ни являться оператором по переводу денежных средств? Нужно ли в этом случае сдавать отчетность в ЦБ? - вопрос не понятный, сам представитель ЦБ не знает на него ответ - запрошено разъяснение в Юридический департамент ЦБ.</li>
<li>На текущий момент в России нет ни одного зарегистрированного оператора платежной системы в соответствии с требования законодательства о НПС, пока только одна организация подала в ЦБ заявление о ее регистрации в качестве оператора платежной системы. </li>
<li>Р<span style="background-color: white;">егистрации подлежат именно операторы платежной системы, а не сами платежные системы.</span></li>
<li><span style="background-color: white;">Банк России по закону является оператором платежной системы Банка России, но сказать что он зарегистрирован нельзя, т.к. не выполнены обязательные требования. </span></li>
<li>Требования 161-ФЗ и ПП 584 в целом хорошо коррелируют с требованиями 382-П. <span style="background-color: white;">В законе и ПП написано много всего, но контролироваться в итоге будут требования 382-П, поэтому на них и надо ориентироваться в первую очередь.</span><span style="background-color: white;"> </span></li>
<li>Банковские платежные агенты (субагенты) не входят в платежную систему (не являются участниками платежной системы) - граница платежной системы (зона ответственности оператора платежной системы) проходит по оператору по переводу денежных средств), проверять и контролировать платежных агентов должны операторы по переводу денежных средств, которые их привлекли. </li>
<li><span style="background-color: white;">Требования по обеспечению ИБ в НПС базируются на требованиях СТО БР ИББС, но ряд моментов был сознательно упрощен, а также отдельные разделы (менеджмент) был существенно перефразированы. </span></li>
<li><span style="background-color: white;">По сравнению со СТО БР ИББС появились элементы нормативного регулирования, а также ответственность за нарушение требований (</span><span style="background-color: white;">Статья 15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе - </span><a href="http://www.zakonrf.info/koap/15.36/" style="background-color: white;" target="_blank">до 500 тыс. руб.</a><span style="background-color: white;">).</span></li>
<li><span style="background-color: white;">В НПС заложены элементы борьбы с полным не выполнением отдельных требований (корректирующие коэффициенты к1 и к2) , при этом ЦБ признало свой просчет </span>с методикой оценки соответствия по СТО БР ИББС, в части оценки группового показателя по выполнению требований по обработки ПДн (М9), когда невыполнение одного требований приводит к понижению итогового уровня. Такая позиция оказалось слишком жесткой, так как тот же Роскомнадзор смотрит на невыполнение отдельных требований по обработке ПДн довольно лояльно. </li>
<li>У участников рынка нет четкого понимания кто есть кто в НПС: являются ли они операторами платежной системы, операторами по переводу денежных средств и др., а также какие конкретно действия необходимо предпринимать в настоящий момент, и надо ли вообще что-то делать. </li>
</ul><div><span style="background-color: white;">Конечно, это далеко не все, что обсуждалось на семинаре - все не объять. </span></div><div><span style="background-color: white;"><br />
</span></div><div><span style="background-color: white;">Были среди вопросов, обсуждавшихся на семинаре и те, которые не нашли своего ответа, например, </span><span style="background-color: white;">как быть с информированием клиентов о проведенных платежах, когда в смс сообщаются остатки денежных средств на счетах клиентов, которые в соответствии с текущими требования должны соответствующим образом защищаться. </span></div><div><span style="background-color: white;"><br />
</span></div><div><span style="background-color: white;">В целом, не смотря на скептические отношения отдельных моих коллег к этому мероприятию, мол коллективное чтение и т.п., мне прошедший семинар понравился: немного систематизировал текущую информацию, получил новую, послушал мнения регулятора, а также других участников рынка. </span></div><div><br />
</div><div><span style="background-color: white;">В заключение, хочу отметить как всегда хорошую организацию мероприятия со стороны АИС! </span></div><div><span style="background-color: white;">По окончании же мероприятия еще и свидетельства АИС выдали. </span></div><div><span style="background-color: white;"><br />
</span></div><div><span style="background-color: white;">Материалы семинара организаторы обещали позже (после определенных авторских правок) выложить в публичный доступ или передать участникам семинара, так что возможно скоро появятся в сети. </span></div></div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com9tag:blogger.com,1999:blog-6205479800829072148.post-20065003674391701802012-07-16T08:00:00.003+04:002012-07-24T18:09:08.984+04:00Членство в НП "АБИСС" - а нужно ли?<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Анализ последнего исследования НП "АБИСС" о практике применения СТО БР ИББС в кредитных организациях, а также изучение их обновленного <a href="http://www.abiss.ru/" target="_blank">сайта</a> сподвигли меня задуматься о целесообразности и ценности членства в этом самом Партнерстве для различных типов организаций, в большей степени для организаций-консультантов и организаций-аудиторов, поскольку на текущий момент я работаю именно в интеграторе.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Для начала немного статистики по участникам НП "АБИСС": </div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEKh9r5VNZjTNq92dvO3ZdmDz36RsOzXo97TpFjm2J-WkJTl6Ui7V6noDDyODH9EN8nU5kCHzPsDviGsinCKaGqeEGE0gOJj1Va1MUz5aZ2PYB-heKQvPt2DSZpUpB8Z6x0JBqL-NwcBg/s1600/%D0%A1%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0-%D0%BF%D0%BE-%D1%87%D0%BB%D0%B5%D0%BD%D0%B0%D0%BC.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEKh9r5VNZjTNq92dvO3ZdmDz36RsOzXo97TpFjm2J-WkJTl6Ui7V6noDDyODH9EN8nU5kCHzPsDviGsinCKaGqeEGE0gOJj1Va1MUz5aZ2PYB-heKQvPt2DSZpUpB8Z6x0JBqL-NwcBg/s400/%D0%A1%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0-%D0%BF%D0%BE-%D1%87%D0%BB%D0%B5%D0%BD%D0%B0%D0%BC.jpg" width="400" /></a></div><div style="text-align: justify;"></div><div style="text-align: justify;"><ul><li style="text-align: justify;">организации-консультанты практически совпадают с организациями-аудиторами, лишь один интегратор из всех (ЗАО «Бэлл Интегратор») получил только один статус организации-аудитора - все остальные имеют сразу по два: и аудитора, и консультанта;</li>
<li style="text-align: justify;">учитывая количество присоединившихся к стандарту кредитных организаций, их доля в НП "АБИСС" катастрофически мала: хоть и не на много, но даже меньше доли консультантов и аудиторов. Отсутсвие жестких правил для кредитных организаций, а также каких-либо взносов за членство в Партнерстве - не исправляет ситуацию. Многие предпочитают держаться пока в стороне;</li>
<li style="text-align: justify;">из учебных центров пока только один <a href="http://infosystems.ru/" target="_blank">АИС</a> вошел в Партнерство - но это и не удивительно, так как именно тут проходят согласованные с НП "АБИСС" курсы по тематике СТО БР ИББС. </li>
</ul></div><div style="text-align: justify;"><div style="text-align: justify;">Итак, на одной чаше весов оценки нужности вступления в НП "АБСИ" - затраты для организаций-консультантов и организаций-аудиторов на участие в НП "АБИСС":</div></div><div style="text-align: justify;"><ul><li style="text-align: justify;"><span style="text-align: left;">Вступительный взнос (уплачивается организациями единовременно при подаче заявления на вступление в </span><span style="text-align: left;">члены НП «АБИСС»:</span></li>
<ul><li style="text-align: justify;"><span style="text-align: left;">для претендующих на вступление в группу организаций-аудиторов – 500 тыс.руб.;</span></li>
<li style="text-align: justify;"><span style="text-align: left;">для претендующих на вступление в группу организаций-консультантов – 250 тыс. руб. </span></li>
</ul><li style="text-align: justify;"><span style="text-align: left;">Ежегодный членский взнос (уплачивается членами НП «АБИСС» по истечению одного года после оплаты </span><span style="text-align: left;">вступительного взноса»:</span></li>
<ul><li style="text-align: justify;"><span style="text-align: left;">для организаций-аудиторов – 500 тыс. руб.; </span></li>
<li style="text-align: justify;"><span style="text-align: left;">для организаций-консультантов – </span> <span style="text-align: left;"> 250 тыс. руб. </span></li>
</ul><li style="text-align: justify;"><span style="text-align: left;">Затраты на прохождения профильного обучения (повышения квалификации) по программам согласованным с Партнерством: </span></li>
<ul><li style="text-align: justify;"><span style="text-align: left;">для организаций-аудиторов – не менее 3-х сотрудников обученных по </span><span style="text-align: left;">аудиту ИБ – по сути курсы в АИС <a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/2033.html" target="_blank">СБР040</a> "Аудит ИБ организаций БС РФ". Стоимость обучения: 47,5 тыс. руб + 3 чел. = 142,5 тыс. руб.;</span></li>
<li style="text-align: justify;"><span style="text-align: left;">для организаций-консультантов – не менее 3-х сотрудников обученных по программам, согласованным с Партнерством – по сути курсы в АИС <a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/sbr01.html" target="_blank">СБР010</a>, <a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/sbr02.html" target="_blank">СБР020</a>, <a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/sbr03.html" target="_blank">СБР030</a> "Введение, Внедрение, Самооценка". Стоимость обучения: 67,5 тыс. руб + 3 чел. = 202,5 тыс. руб.</span></li>
</ul><li style="text-align: justify;"><span style="text-align: left;">Затраты на поддержание квалификации персонала в части обучения по программам согласованным с Партнерством - с учетом текучки кадров ежегодно в среднем придется обучать по одному сотрудники по аудиту и по внедрению СТО БР ИББС, это соответственно еще плюс ежегодные затраты:</span></li>
<ul><li style="text-align: justify;"><span style="text-align: left;"> </span><span style="text-align: left;">для организаций-аудиторов – </span><span style="text-align: left;">47,5 тыс. руб.;</span></li>
<li style="text-align: justify;"><span style="text-align: left;">для организаций-консультантов – </span><span style="text-align: left;">67,5 тыс. руб.</span></li>
</ul></ul>Таким образом совокупные затраты на участи в НП "АБИСС" составляют:</div><div style="text-align: justify;"><ul><li>для организации-аудиторов: порядка 650 тыс. руб. первоначальные и порядка 550 тыс. руб. дальнейшие ежегодные. </li>
<li>для организаций-консультантов: порядка 450 тыс. руб. первоначальные и порядка 300 тыс. руб. дальнейшие ежегодные.</li>
</ul><div>На другой чаше весов оценки нужности вступления в НП "АБСИ" - преимущества для организаций от членства в Партнерстве, для оценки которых предлагаю обратиться <a href="http://ibsec.blogspot.com/2012/07/blog-post_11.html" target="_blank">к исследованию НП "АБИСС"</a>, в котором представлены следующие интересные диаграммы по привлечению кредитными организациями консультантов и аудиторов к работам по СТО БР ИББС:</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh956sRYkdRqZupPT2Zv_Zdqt_yGjoLBmJTO_M7BqEjEm7SX0wLLVWaJ0c2XpCFsX9n_Mxc7JbUEVTMOqtp-WABCaOlMJ1RLT4biIhA0iRZzPXcqpoFteQdGn7wgtRgoTRGHPSqROd3yzA/s1600/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh956sRYkdRqZupPT2Zv_Zdqt_yGjoLBmJTO_M7BqEjEm7SX0wLLVWaJ0c2XpCFsX9n_Mxc7JbUEVTMOqtp-WABCaOlMJ1RLT4biIhA0iRZzPXcqpoFteQdGn7wgtRgoTRGHPSqROd3yzA/s640/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82.jpg" width="611" /></a></div><div>Из этих диаграмм в частности видно, что на текущий момент по уже проведенным работам членство в НП "АБИСС" не являлось главным преимуществом при выборе исполнителя для работ. Однако в настоящий момент, в том числе столкнувшись с определенным отрицательным опытом привлечения неквалифицированных интеграторов, ряд организаций в большей степени ориентируется на дальнейшее привлечения к работам по СТО БР ИББС именно участников партнерства "АБИСС", как более надежных исполнителей. </div><div><br />
</div><div>При этом, необходимо учитывать, что исследование НП "АБИСС" проводилось на основе опроса именно ИБ-представителей кредитных организаций, которые, по большей части, осознают необходимость привлечения квалифицированных консультантов, однако какой фактор будет решающим при финальном выборе исполнителя - большой вопрос. Практика показывает, что порой, не смотря на мнения своих ИБ-ков, руководство в итоге принимает решение в пользу меньшей цены.</div></div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com16tag:blogger.com,1999:blog-6205479800829072148.post-57286302746841482202012-07-12T08:00:00.002+04:002012-07-24T18:08:21.311+04:00Вебинары по продуктам ISM Revision для автоматизации процессов СТО БР ИББС<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Не так давно компания ISM Systems анонсировала свой новый продукт по тематике СТО БР ИББС - <a href="http://www.ismsys.ru/?page_id=73" target="_blank">ISM Revision: Risk Manager</a>. Это решение было представлено в июне месяце на прошедшей в Москве межбанковской конференции <a href="http://ib-bank.ru/m/42" target="_blank">«Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания»</a>.</div><div style="text-align: justify;"><br />
Пожалуй, это первое специализированное решение по оценке рисков информационной безопасности, учитывающее требования стандарта СТО БР ИББС-1.0 и методику оценки рисков РС БР ИББС-2.2, хотя и с некой ее оптимизацией. Если кто знает другие - то пишите в комментариях.<br />
<br />
При этом разработчики не стали все-таки замыкаться только на нуждах СТО БР ИББС и постарались сделать более универсальный продукт, применимый для более широкого круга задач (ISO, PCI DSS и пр.) - такова предварительная оценка этого продукта.<br />
<br />
Ждем демо-версию - а пока разработчики предлагают 24 июля поучаствовать в вебинаре, в рамках которого они представят сам продукт, а также покажут каким образом его использовать для оценки рисков ИБ с учетом требований различных стандартов (СТО БР ИББС, ISO, PCI DSS). - Зарегистрироваться на вебинар можно <a href="http://www.ismsys.ru/?page_id=630&ee=1." target="_blank">тут</a>.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Также на 16 августа компанией ISM Systems запланирован еще один вебинар, уже по другому своему продукту - ISM Revision:Audit Manager, о котором я подробнее уже писал <a href="http://ibsec.blogspot.com/2011/08/10.html" target="_blank">тут</a> и <a href="http://ibsec.blogspot.com/2011/08/10-2.html" target="_blank">тут</a>. Регистрация на вебинар соответственно <a href="http://www.ismsys.ru/?page_id=630&ee=2" target="_blank">тут</a>.</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-59327256040701674392012-07-11T08:00:00.001+04:002012-07-24T18:09:41.896+04:00НП "АБИСС" - Практика применения Комплекса документов Банка России по обеспечению информационной безопасности<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">На днях наткнулся на исследование <a href="http://www.abiss.ru/" target="_blank">НП "АБИСС"</a> по практике применения документов Комплекса БР ИББС в кредитных организациях. </div><div style="text-align: justify;">Исследование проведено в первом квартале 2012 года и основано на опросе 50 кредитных организаций различного масштаба и территориальной распределенности, что на мой взгляд не совсем репрезентативная выборка, учитывая общее количество кредитных организаций в РФ - могли бы и пошире копнуть =) </div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBzqSDvzUWEvN1o0KTsuhXJ11jpW-qiv4feFR-bM-J0pFATcRYMgEbsUmvY8DPa8DZ4gPeb77yPWcIX1WaqgsYkyCwrisNNbDiYByR4_9ZuhJFom5ZJEAgR8pOUEDkxV6vCcOH2E7rmbw/s1600/%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%BA%D0%B0.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="265" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBzqSDvzUWEvN1o0KTsuhXJ11jpW-qiv4feFR-bM-J0pFATcRYMgEbsUmvY8DPa8DZ4gPeb77yPWcIX1WaqgsYkyCwrisNNbDiYByR4_9ZuhJFom5ZJEAgR8pOUEDkxV6vCcOH2E7rmbw/s640/%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%BA%D0%B0.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 1. Выборка респондентов для исследования</td></tr>
</tbody></table><div style="text-align: justify;">Итак, в исследовании представлены результаты в разбивке по следующим направлениям: </div><div style="text-align: justify;"><ul><li>Бюджет и присоединение к Стандарту</li>
<li>Кадровый вопрос</li>
<li>Выполнение работы и планы по внедрению Стандарта</li>
</ul></div><div style="text-align: justify;">По первым двум разделам для меня наиболее интересными показались следующие результаты: </div><div style="text-align: justify;"><ul><li>52% опрошенных высказались за обязательный статус Стандарта;</li>
<li>по сравнению с результатами предыдущих исследований количество кредитных организаций без выделенного подразделения ИБ сократилось с 30% до 2%;</li>
<li>45 % банков имеют в штате как минимум одного сотрудника, прошедшего курсы по СТО БР ИББС;</li>
<li>основная проблема кредитных организаций при поиске специалистов по ИБ (38 % опрошенных) связана с низким уровнем предлагаемой заработной платы.</li>
</ul></div><div style="text-align: justify;">Интересные цифры получены по заработной плате сотрудников ИБ: </div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVEvjjNqau4t1Dt9LHen8RGSv8lqYYwGMf40fD1Z7O8wIycrJZ7QpAXVAq8Cbbyu_YpyTp8ln8KZ5WcNRFKEJgASslP59RpEFFFx5O8G5aiQAOseEfgNXl6F2k2E-khFBFZCIfdGajCa8/s1600/%D0%97%D0%9F.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="233" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVEvjjNqau4t1Dt9LHen8RGSv8lqYYwGMf40fD1Z7O8wIycrJZ7QpAXVAq8Cbbyu_YpyTp8ln8KZ5WcNRFKEJgASslP59RpEFFFx5O8G5aiQAOseEfgNXl6F2k2E-khFBFZCIfdGajCa8/s320/%D0%97%D0%9F.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 2. Заработная плана сотрудников ИБ кредитных организаций</td></tr>
</tbody></table><div style="text-align: justify;">По своему опыту могу сказать, что с одной стороны маленькие ЗП зачастую свойственны маленьким и средним кредитным организациям, а вот работа в крупном банке далеко не всегда гарантирует высокую ЗП. Кроме того, поскольку опрос проводился как по Москве, так и по регионам, то тут наверное надо учитывать значительно меньшие ЗП в регионах, где специалисты по ИБ по большей части получают ЗП менее 1000 $. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">В части выполнения работ по внедрению Стандарта (3-ая часть) в исследовании приведены следующие интересные и наверное закономерные результаты: </div><div style="text-align: justify;"><ul><li>только 6 % опрошенных ни разу не проводили оценку соответствия Стандарту;</li>
<li>в 70 % оценка соответствия проведена собственными силами (самооценка), столько же организаций планируют продолжать эту работу своими силами;</li>
<li>52 % не планируют привлекать консультантов к дальнейшим работам по внедрению стандарта;</li>
<li>42 % организаций на текущий момент ни разу не проводили анализ рисков ИБ. </li>
</ul><div>В части планов по продолжению работ по внедрению Стандарта в исследовании получены следующие результаты: </div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNIRO7iDvzT7sdkW3RiFD-1rEFKcL2bGaG0biCLMZwnPr5Irbm2b5yTvgYrQokSD6csDFlPZFrrWbbDDKk8qVfoQ0oTdFLJk-5HKVvlx1AK9peNn11AoIwPXQ-OwgYxLbs8nBDZs8DCZI/s1600/%D0%9F%D0%BB%D0%B0%D0%BD%D1%8B.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNIRO7iDvzT7sdkW3RiFD-1rEFKcL2bGaG0biCLMZwnPr5Irbm2b5yTvgYrQokSD6csDFlPZFrrWbbDDKk8qVfoQ0oTdFLJk-5HKVvlx1AK9peNn11AoIwPXQ-OwgYxLbs8nBDZs8DCZI/s640/%D0%9F%D0%BB%D0%B0%D0%BD%D1%8B.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Рис. 3. Планы по проведению работ</td></tr>
</tbody></table><div>С самим исследованием можно ознакомиться <a href="http://www.abiss.ru/upload/iblock/751/qyalthekydrm%20mpfcynvgkqxgdmjwhkwyjwjd%202012.pdf" target="_blank">тут</a>.</div></div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-68014610478476154402012-07-10T14:12:00.001+04:002012-07-24T18:10:01.070+04:00НПС - где и чему учат?<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Тематика НПС в последнее время активно муссируется на различных мероприятиях по ИБ, а также в блогосфере, вытесняя на второй план тематики СТО БР и даже ПДн. Много вопросов, много непонятных мест. В связи с этим на днях проанализировал, какие в ближайшее время планируются учебные мероприятия по тематике Национальной платежной системы. Результаты анализа свел ниже.<br />
<br />
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-bottom-style: none; border-collapse: collapse; border-color: initial; border-left-style: none; border-right-style: none; border-top-style: none; border-width: initial;"><thead>
<tr style="height: 20.75pt; mso-yfti-firstrow: yes; mso-yfti-irow: -1;"> <td style="background: #D9D9D9; border: solid windowtext 1.0pt; height: 20.75pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 65.45pt;" width="87"><div align="center" class="l" style="line-height: normal; mso-yfti-cnfc: 1; text-align: center; text-indent: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">Место</span></b></div></td><td style="background: #D9D9D9; border-left: none; border: solid windowtext 1.0pt; height: 20.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 432.35pt;" width="576"><div align="center" class="l" style="line-height: normal; mso-yfti-cnfc: 1; text-align: center; text-indent: 0cm;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">Тематика<o:p></o:p></span></b></div></td> <td style="background: #D9D9D9; border-left: none; border: solid windowtext 1.0pt; height: 20.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 95.9pt;" width="128"><div align="center" class="l" style="line-height: normal; mso-yfti-cnfc: 1; text-align: center; text-indent: 0cm;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">Ближайшая дата<o:p></o:p></span></b></div></td> <td style="background: #D9D9D9; border-left: none; border: solid windowtext 1.0pt; height: 20.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; mso-yfti-cnfc: 1; text-align: center; text-indent: 0cm;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">Длительность<o:p></o:p></span></b></div></td> <td style="background: #D9D9D9; border-left: none; border: solid windowtext 1.0pt; height: 20.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; mso-yfti-cnfc: 1; text-align: center; text-indent: 0cm;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">Стоимость<o:p></o:p></span></b></div></td> </tr>
</thead> <tbody>
<tr style="mso-yfti-irow: 0;"> <td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 65.45pt;" width="87"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">АИС<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 432.35pt;" width="576"><div class="MsoNormal" style="line-height: normal; margin-top: 6.0pt; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">Семинар «Вопросы обеспечения защиты информации при осуществлении переводов денежных средств и контроля за их соблюдением» - </span><a href="http://infosystems.ru/news/seminar_issues_related_to_information_security.html" target="_blank"><span style="color: blue; font-family: 'Times New Roman', serif; font-size: 10pt;">подробно</span></a><span style="font-family: 'Times New Roman', serif; font-size: 10pt;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 95.9pt;" width="128"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">17.07.2012<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">1 день</span><span style="font-family: 'Times New Roman', serif; font-size: 10pt;"><o:p></o:p></span></div><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">(6 часов)<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">5664 руб</span><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">.<o:p></o:p></span></div></td> </tr>
<tr style="mso-yfti-irow: 1;"> <td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 65.45pt;" width="87"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">Финансовый консалтинг<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 432.35pt;" width="576"><div class="MsoNormal" style="line-height: 115%; mso-margin-bottom-alt: auto; mso-margin-top-alt: auto; mso-outline-level: 1; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">Алексей Лукацкий – Курс по НПС - </span><a href="http://lukatsky.blogspot.com/2012/06/blog-post_29.html" target="_blank"><span style="color: blue; font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">подробно</span></a><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 95.9pt;" width="128"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">19.07.2012<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">1 день<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">6 000 руб.<o:p></o:p></span></div></td> </tr>
<tr style="mso-yfti-irow: 2;"> <td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 65.45pt;" width="87"><div align="center" class="l" style="text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 150%;">АИС<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 432.35pt;" width="576"><div class="l" style="line-height: 115%; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">Курс "Введение в основные нормы НПС и защиту информации при осуществлении переводов денежных средств организаций участников НПС РФ" - </span><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/national_payment_system/introduction_to_basic_rules_nps.html" target="_blank"><span style="color: blue; font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">подробно</span></a><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 95.9pt;" width="128"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">15.10.12–16.10.12 <o:p></o:p></span></div><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">19.11.12–20.11.12<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">2 дня <br />
(16 часов)<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">15</span><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;"> </span><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">000 руб.<o:p></o:p></span></div></td> </tr>
<tr style="mso-yfti-irow: 3;"> <td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 65.45pt;" width="87"><div align="center" class="l" style="text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 150%;">АИС<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 432.35pt;" width="576"><div class="l" style="line-height: 115%; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">Курс "Реализация национального законодательства и требований Банка России по защите информации при осуществлении переводов денежных средств в рамках НПС" - </span><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/national_payment_system/implementation_national_legislation_nps.html" target="_blank"><span style="color: blue; font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">подробно</span></a><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 95.9pt;" width="128"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">17.10.12–19.10.12<o:p></o:p></span></div><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">21.11.12–23.11.12<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">3 дня <br />
(24 часов)</span><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">25 000</span><span style="font-family: 'Times New Roman', serif; font-size: 10pt;"> руб.</span><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;"><o:p></o:p></span></div></td> </tr>
<tr style="mso-yfti-irow: 4; mso-yfti-lastrow: yes;"> <td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 65.45pt;" width="87"><div align="center" class="l" style="text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 150%;">АИС<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 432.35pt;" width="576"><div class="l" style="line-height: 115%; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">Курс "Контроль, оценка соответствия и самооценка соблюдения требований к защите информации при осуществлении переводов денежных средств" - </span><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/national_payment_system/information_protection_exercise_money_transfers.html" target="_blank"><span style="color: blue; font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;">подробно</span></a><span style="font-family: 'Times New Roman', serif; font-size: 10pt; line-height: 115%;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 95.9pt;" width="128"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">22.10.12–24.10.12 <o:p></o:p></span></div><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">26.11.12–28.11.12<o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span style="font-family: 'Times New Roman', serif; font-size: 10pt;">3 дня <br />
(24 часов)</span><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;"><o:p></o:p></span></div></td> <td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 77.9pt;" width="104"><div align="center" class="l" style="line-height: normal; text-align: center; text-indent: 0cm;"><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;">25 000</span><span style="font-family: 'Times New Roman', serif; font-size: 10pt;"> руб.</span><span lang="EN-US" style="font-family: 'Times New Roman', serif; font-size: 10pt;"><o:p></o:p></span></div></td> </tr>
</tbody></table></div><span style="background-color: silver; border-bottom-color: rgb(0, 0, 0); border-left-color: rgb(0, 0, 0); border-right-color: rgb(0, 0, 0); border-top-color: rgb(0, 0, 0);"></span> <br />
<br />
Если у кого есть дополнительная информация - велкам!</div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-32725591252777731222012-03-13T00:00:00.001+04:002012-03-13T00:07:28.453+04:00Экспресс-оценка на соответствие СТО БР ИББС-1.0 от ISM Systems<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">На днях компания <a href="http://www.ismsys.ru/" target="_blank">ISM Systems</a> в развитие своей системы автоматизации оценки соответствия анонсировала <a href="http://ismsys.blogspot.com/2012/03/blog-post.html" target="_blank">новый онлайн-сервис "Экспресс-оценка"</a>, который по заявлению авторов позволяет быстро получить общее представление о степени соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0-2010. </div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Проведя небольшое тестирование данного сервиса, готов поделиться основными результатами и своими ощущениями о сервисе.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Как я уже сказал это онлайн-сервис, для доступа к нему необходимо пройти по ссылке: <a href="http://express.ismsys.ru/" target="_blank">http://express.ismsys.ru/</a><span style="background-color: #fdfefa; color: #454545; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px; text-align: justify;"> </span> и указать свой почтовый адрес. На этом собственно процесс регистрации и заканчивается, после чего можно уже использовать сам сервис. </div><div style="text-align: justify;"><br />
</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfG-ygsuGzc188BNjKeBO1rAoGL5MniaMU_T5P-DUYYeeXC23VAZ9UvZeFF0k9-Ljaahn_Ndj6WNWX6lKalzM3m33oF4gEyriPLgdzQuzO4_zRFTFPFj3mM6QGE2j3Ck81UjpsjBQa30w/s1600/express.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="459" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfG-ygsuGzc188BNjKeBO1rAoGL5MniaMU_T5P-DUYYeeXC23VAZ9UvZeFF0k9-Ljaahn_Ndj6WNWX6lKalzM3m33oF4gEyriPLgdzQuzO4_zRFTFPFj3mM6QGE2j3Ck81UjpsjBQa30w/s640/express.jpg" width="640" /></a></div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Порадовало то, что вбиваемые в систему результаты сохраняются в ней. После очередного входа под тем же почтовым адресом у вас отображаются результаты, внесенные вами в прошлый раз.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">В плане эргономики все довольно приятно, ничего лишнего, все работает довольно четко и быстро. Лично я тестировал этот сервис с планшета - все работает на ура. Не всегда правда попадал пальцами по чек-боксам, ну на то зум пригодился =).</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Вообще тема с работой с подобными системами с планшета меня очень привлекает, так как это порой очень удобно при проведении непосредственно аудитов или самооценок ИБ, так как прибавляет аудитору мобильности и позволяет ему оперативно получать необходимую информацию и вводить в систему новую. Насколько я понимаю основной модуль <strong style="background-color: white; font-family: Verdana; font-size: 12px; line-height: 16px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">ISM </strong><strong style="background-color: white; font-family: Verdana; font-size: 12px; line-height: 16px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Revision: </strong><strong style="background-color: white; font-family: Verdana; font-size: 12px; line-height: 16px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Audit </strong><strong style="background-color: white; font-family: Verdana; font-size: 12px; line-height: 16px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Manager </strong>как раз предоставляет аудитору такую возможность, причем как в варианте исполнения с виртуальным сервером, так и в SaaS решении. А если бы и протоколы сразу туда вбивать по ходу опросов и наблюдений ... =)</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">В части процесса оценки разработчики сервиса провели определенную перегруппировку и переработку частных показателей СТО БР ИББС-1.2 (коих там более 3-х сотен), получив порядка 100 мероприятий, сгруппированных в следующие 16 доменов: </div><div style="text-align: justify;"></div><blockquote class="tr_bq"><i>1. Управление доступом и регистрацией<br />
2. Антивирусная защита<br />
3. Безопасность при использовании сети Интернет<br />
4. Информационная безопасность при использовании СКЗИ <br />
5. Безопасность банковских технологических процессов<br />
6. Безопасность при осуществлении ДБО<br />
7. Безопасность персональных данных<br />
8. Обеспечение информационной безопасности АБС на стадиях жизненного цикла<br />
9. Служба информационной безопасности<br />
10. Организация системы менеджмента информационной безопасности<br />
11. Управление информационными активами<br />
12. Управление рисками информационной безопасности<br />
13. Безопасность при управлении персоналом<br />
14. Мониторинг, контроль и управление инцидентами информационной безопасности<br />
15. Непрерывность бизнеса и ее восстановление после прерывания<br />
16. Аудит и самооценка информационной безопасности</i></blockquote><div style="text-align: justify;">Сами мероприятия получились довольно понятными, так как отражают реальные шаги, необходимые для приведения кредитных организаций к соответствию требованиям СТО БР ИББС-1.0. В итоге необходимо просмотреть каждый домен и отметить те мероприятия, которые уже реализованы в организации (документированы и выполнены - промежуточных оценок в сервисе не предусмотрено). Далее кликаем на "Рассчитать" и слева получаем основные оценки по направлениям ИБ и круговую диаграмму в разбивке по групповым показателям. У меня на планшете при вдумчивом прочтении и выборе реализованных мероприятий весь процесс занял чуть более часа чистого времени.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">При этом в сервисе есть ряд ограничений, так в нем нет учета уточняющих вопросов по персональным данным приложения В СТО БР ИББС-1.2, а также нет раздельной оценки частных показателей ИБ из М1-М6 по направлениям банковского платежного, информационного процессов и в рамках которого обрабатываются ПДн. Но это в принципе и понятно, уместить это в рамках экспресс-оценки задача не простая. Для оценки в таких деталях надо проводить все-таки полноценную оценку соответствия по всем канонам СТО БР ИББС-1.2.</div><div style="text-align: justify;"><br />
</div><div style="text-align: justify;">Подводя итог могу сказать, что представленная компанией ISM Systems идея довольно интересна - получить за 1-2 часа общее представление о состоянии ИБ кредитной организации в шкале СТО БР ИББС-1.2 довольно заманчиво. Понятно, что это не полноценная оценка соответствия и ее результаты не направишь в ЦБ как результаты самооценки (хотя может кто-то и может), но для тех кредитных организаций, кто еще не начинал работы по приведению к соответствию СТО БР ИББС, теперь это наиболее быстрый способ понять свой текущий уровень ИБ и наметить дальнейшие шаги.</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com2tag:blogger.com,1999:blog-6205479800829072148.post-46522780563656443152012-03-07T23:34:00.002+04:002012-03-13T00:03:54.062+04:00Новый учебный курс по тематике СТО БР ИББС от Академии информационных систем<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">Академия информационных систем анонсировала проведение нового курса по тематике стандарта Банка России по информационной безопасности: <a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/3270.html" target="_blank">СБР060 "Оценка рисков нарушения информационной безопасности в соответствии с рекомендации в области стандартизации Банка России</a>".<br />
<br />
</div><div style="text-align: justify;">Как видно из названия этот курс посвящен вопросам оценки рисков информационной безопасности в соответствии с РС БР ИББС-2.2-2009 "Методика оценки рисков нарушения информационной безопасности".<br />
<br />
</div><div style="text-align: justify;">Программа курса состоит из следующих разделов:</div><ul style="text-align: left;"><li style="text-align: justify;">Термины и определения;</li>
<li style="text-align: justify;">Общий подход к оценке рисков нарушения ИБ;</li>
<li style="text-align: justify;">Процедуры оценки рисков нарушения ИБ;</li>
<li style="text-align: justify;">Классы источников угроз;</li>
<li style="text-align: justify;">Практическое задание: Оценка рисков нарушения ИБ.</li>
</ul><div style="text-align: justify;">Начало курса - 22 марта 2012 г., длительность - 2 дня. По окончании курса выдается сертификат АИС.</div><div style="text-align: justify;">По информации с АИС читает курс представитель BSI.<br />
<br />
</div><div style="text-align: justify;">Таким образом полный перечень курсов по тематике СТО БР ИББС, проводимых в Академии информационных систем в настоящее время, включает в себя 5 курсов:</div><ul><li style="text-align: justify;"><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/sbr01.html" target="_blank">СБР010</a> - Введение в Стандарт Банка России СТО БР ИББС-1.0-2010;</li>
<li style="text-align: justify;"><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/sbr02.html" target="_blank">СБР020</a> - Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010;</li>
<li style="text-align: justify;"><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/sbr03.html" target="_blank">СБР030</a> - Проведение самооценки информационной безопасности по требованиям Стандарта Банка России СТО БР ИББС -1.0-2010;</li>
<li style="text-align: justify;"><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/2033.html" target="_blank">СБР040</a> - Аудит информационной безопасности организаций банковской системы Российской Федерации;</li>
<li style="text-align: justify;"><a href="http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/3270.html" target="_blank">СБР060</a> - Оценка рисков нарушения информационной безопасности в соответствии с рекомендациями в области стандартизации Банка России.</li>
</ul><div style="text-align: justify;">При этом курсы СБР010-СБР030 (ближайшие - 11 марта) и СБР040 (ближайшие - 26 марта) <a href="http://abiss.ru/education/course_descriptions/" target="_blank">согласованны с НП АБИСС</a> и при прохождении обучения по ним выдаются сертификаты ПН АБИСС соответственно специалиста по внедрению стандарта СТО БР ИББС-1.0 и аудитора по СТО БР ИББС-1.0.<br />
<br />
</div><div style="text-align: justify;">Напомню, что в соответствии с <a href="http://abiss.ru/upload/ABISS_member_statements.pdf" target="_blank">Положением "О членах НП "АБИСС"</a> организации-члены партнерства, а также кандидаты на вступление в партнерство в качестве Аудиторов или Консультантов должны иметь в своем штате по 3 специалиста, прошедших обучение по программам, согласованным с НП АБИСС (см. п.п. 3.2.2 и 3.3.2 <a href="http://abiss.ru/upload/ABISS_member_statements.pdf" target="_blank">Положения</a>).</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com0tag:blogger.com,1999:blog-6205479800829072148.post-15565867110723448602012-02-09T02:04:00.004+04:002012-02-09T11:11:50.267+04:00Новое Положение о лицензировании деятельности по ТЗКИ<div dir="ltr" style="text-align: left;" trbidi="on"><div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;">3 февраля сего года подписано Постановление Правительства РФ № 79 "О лицензировании деятельности по технической защите конфиденциальной информации", которым утверждено новое "<a href="http://www.garant.ru/hotlaw/federal/379604/">Положение о лицензировании деятельности по технической защите конфиденциальной информации</a>". Довольно подробно по нему уже прошлись <a href="http://secinsight.blogspot.com/2012/02/blog-post_08.html">Александр Бондаренко</a>, <a href="http://lukatsky.blogspot.com/2012/02/blog-post_5540.html">Алексей Лукацкий</a> и <a href="http://emeliyannikov.blogspot.com/2012/02/blog-post.html">Михаил Емельянников</a>.</div><br />
<div style="text-align: justify;">Я бы хотел остановиться на следующем моменте: согласно п.4 Положения вся деятельность по ТЗКИ теперь подразделяет на следующие виды работ и услуг:</div><blockquote class="tr_bq"><div style="text-align: justify;"><i>а) контроль защищенности конфиденциальной информации от утечки по техническим каналам ...</i><br />
<i>б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;</i><br />
<i>в) сертификационные испытания ...;</i><br />
<i>г) аттестационные испытания и аттестация на соответствие требованиям по защите информации;</i><br />
<i>д) проектирование в защищенном исполнении...;</i><br />
<i>е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).</i></div></blockquote></div><div style="text-align: justify;">Таким образом получается, что всем компаниям, обрабатывающим конфиденциальную информацию (а согласно Положению ею является информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством РФ, т.е. и те же персональные данные, и сведения, составляющие банковскую тайну и другие многочисленные виды тайн) необходимо как минимум получать лицензию на ТЗКИ для выполнения работ, предусмотренных подпунктом "е" пункта 4 Положения, т.е. чтобы установить себе лично любое средство защиты.</div><br />
<div style="text-align: justify;">Так вот, я бы хотел остановиться на том, на что же ФСТЭК обрекает миллионы невинных российских организаций, обязанных получить эту лицензию ради <strike>кормушки регуляторов</strike> повышения уровня защиты конфиденциальной информации.</div><br />
<div style="text-align: justify;">Итак, согласно Положению к соискателю лицензии на осуществление деятельности по ТЗКИ предъявляются следующие лицензионные требования:</div><blockquote class="tr_bq"><div style="text-align: justify;"><i>а) для юр. лиц наличие специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; для индивидуальных предпринимателей требование по наличию образования или переподготовке предъявляется к ним самим, так что придется бедным предпринимателям малость поучиться;</i><br />
<i>б) наличие помещений для осуществления лицензируемого вида деятельности, соответствующих установленным законодательством РФ техническим нормам и требованиям по технической защите информации (по сути получается аттестованным) и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;</i><br />
<i>в) наличие на праве собственности или на ином законном основании контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК;</i><br />
<i>д) наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ;<br />
<i>е) наличие предназначенных для осуществления лицензируемого вида деятельности программ для ЭВМ и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;</i><br />
ж) наличие технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии <b>с утверждаемым ФСТЭК перечнем</b> и принадлежащих соискателю лицензии на праве собственности или на ином законном основании.<br />
</i></div></blockquote><div style="text-align: justify;">И во что же это все это выльется для конечных организаций?</div><br />
<b>UPD</b> <br />
<div style="text-align: justify;">Нашел еще анализ нового Положения о лицензировании деятельности по ТЗКИ у <a href="http://sborisov.blogspot.com/2012/02/blog-post_07.html">Сергея Борисова</a>. У него в дополнение к сказанному другими экспертами дан более подробный анализ того, какие задачи, связанные с установкой и эксплуатацией СЗИ для собственных нужд, попадают под лицензирование, а какие нет.</div></div>Игорь Бурцевhttp://www.blogger.com/profile/14435757532353881541noreply@blogger.com11