суббота, 27 ноября 2010 г.

Требования НБУ - можно ли их выполнить?

Под таким девизом прошло на этой неделе заседание клуба БИТ (Клуб Банковских IT-Менеджеров).
На повестке дня было обсуждение подходов по внедрению двух банковских стандартов по информационной безопасности.

Основным докладчиком выступил директор одной из консалтинговых фирм, которая "рискнула" продать услуги по внедрению СУИБ одному из крупных украинских банков еще до разъяснений Нацбанка "а что собственно нужно делать и по какой методологии". Примечательно, что на заседании присутствовала Ирина Сергеевна Ивченко - главный автор адаптированных стандартов. Занимательно было наблюдать, как консультант ссылался на то, что продали услуги банку, проконсультировавшись и заручившись поддержкой НБУ, а Ирина Сергеевна комментировала места в подходе (уже проданном!) с которыми она не согласна (терминология и т.д.).

Пользуясь случаем, расспросил у Ирины Сергеевны смущающие меня места в методических рекомендациях. Речь идет о документе, который  Национальный банк недавно опубликовал  - "методические рекомендации по внедрению системы управления безопасностью в соответствии со стандартами Национального банка Украины". В силу того, что документ имеет статус проекта, банки все еще имеют шанс внести свою лепту и прокомментировать либо дополнить не понравившиеся фрагменты. Времени на это есть еще две недели - до 6 декабря.
Основные моменты нашей беседы  с Ириной Сергеевной (ИС):
  • Раздел 4.1 Классификация информации (стр.4) Мое врожденное занудство Моя педантичность не позволила пройти мимо того факта, что методические рекомендации содержат разъяснения только по поводу классификации по конфиденциальности информации. Ни слова про целостность и доступность. А стандарт требует. Создается благоприятная почва для того, чтобы понять не правильно и упростить себе жизнь. По крайней мере попробовать.
    Комментарии ИС
    - стандарт все равно требует - делать нужно.
  • Раздел 4.1 Описание критичных бизнес процессов... (стр.5) Рекомендации касательно того, что для каждого бизнес-приложения должен быть определен бизнес-владелец. Рекомендовано один. Естественный вопрос - кто владелец ОДБ?
    Комментарии ИС - возможно определение группового владельца.
    Размышления по следам - коллективный владелец - коллективная безответственность ответственность. Задача по классификации информации и другим решениям будет достаточно не тривиальной задачей, если мы вдруг захотим построить эффективную СУИБ
  • Раздел 4.1  Описание организационной структуры, которую охватывает СУИБ (стр.7). Понятно, что взято из 27003. Вопрос зачем? В стандарте украинским по-белому написано - "весь банк". Вопрос риторический. Идем дальше.
  • Раздел 5.2 Оценка рисков (стр.9) Упоминается загадочная методика оценки рисков. Вопрос какая?
    Комментарии ИС - НБУ разрабатывает собственную методику оценки рисков. Выйдет в январе. Вопрос будет ли она обязательной - вопрос не решен. Методика отличная от IRAM (один из кандидатов рассматривающихся ранее) и при этом более сложная.
    Размышления по следам - Консультант в своем докладе упомянул, что будут использовать собственную методику оценки рисков в деньгах. Для меня осталось загадкой, что банк будет делать с купленной оценкой, если в январе НБУ вдруг скажет, что оценка должна выполняться  только по их методике. С другой стороны, Нацбанк вряд ли будет выкручивать руки и делать свою методику единственно допустимой. Ждем января.
  • Раздел 6.3 Документы верхнего уровня (стр. 12) Вышеупомянутое занудство Вышеупомянутая педантичность не позволила пройти мимо описки. В описании первой группы верхнеуровневых документов (второй абзац раздела) упоминается стратегия развития банка. На самом деле, имеется в виду стратегия информационной безопасности.
    Комментарии ИС - в тексте допущена описка. Необходимо исправление.
  • Раздел 6.4 Документы среднего уровня (стр. 14) В разделе А12 меня смутил документ "Описание процедур управления ключевой информацией". Долго ломал голову "что это за информация?". Оказалось все банально - речь идет о криптоключах.

Закончить хочется все-таки на мажорной ноте. Не смотря на кажущуюся при беглом взгляде на "методические рекомендации" бесполезность данного документа, впечатление обманчивое. При более детальном изучении приходит понимание, что документ раскрывает много подводных камней, с которыми непременно столкнуться те, кто внедряет СУИБ впервые. Разжевана Детально описана роль высшего руководства и важность его участия. Расписано, что необходимо сделать и в какой последовательности. Приведен перечень документов под каждые разделы и даже пример политики. В общем, как ни крути, польза от документа для большинства банков очевидная.

P.S. Да, совсем забыл. Вопрос сезона: "Что будет за несоответствие". Ирина Сергеевна сообщила, что НБУ пересматривает список санкций, применяемых банкам "за невыполнение" с учетом новых стандартов. Но что там будет - пока секрет. Не нужно быть Капитаном Очевидность, чтобы понять, что если санкции не серьезные, банкам легче платить штрафы, чем выполнять дорогостоящие рекомендации стандартов. Ждем января и официальных комментариев НБУ.

P.P.S. В 27001 есть одна лазейка, которая позволяет растягивать удовольствие от внедрения стандарта на несколько лет, при этом ежегодно обеспечивая полное соответствие. О нем, кстати, Ирина Сергеевна тоже неоднократно напоминала. Нет денег на внедрение? Выход прост:
  1. Делаем подготовительную часть (назначаем ответственных, делаем документы верхнего уровня)
  2. Проводим инвентаризацию и классификацию ресурсов СУИБ (термин из стандарта, т.к. слово "активы" не прижилось из-за конфликта с "банковскими активами")
  3. Проводим оценку рисков
  4. Финальная часть - осознаем наши риски  их и принимаем (в соответствующем документе). В стиле "Мы, руководство банка находясь в здравом уме и трезвой памяти, знаем о рисках блаблабла  и принимаем их на текущий год по причине отсутствия средств на контроли."
  5. Все, до следующего года мы соответствуем.
  6. Занавес
P.P.P.S. Отдельное спасибо хочется сказать за раздел 7. Внедрение и функционирование СУИБ. Стандарт требует на ежегодной основе проводить внутренний аудит СУИБ. Логичный вопрос - где банки возьму сразу столько специалистов? Методические рекомендации отвечают на данный вопрос лаконично: нет своих - привлекайте внешних. Консультанты  на несколько лет вперед работой обеспечены.

2 комментария:

  1. Владимир. Хотел написать что-то подобное ибо всю прошлую неделю потратили на анализ рекомендаций и 27003. (Кстати не за горами и транслирование НБУ 27004 - оценка эффективности СУИБ). Но у Вас изложено все по полочкам. Единственное, что добавил бы - отсутствие смысла в положении о применимости стандарта. Так как опять же возникает лазейка - не все заходи захисту применять.

    ОтветитьУдалить