четверг, 20 января 2011 г.

Cоу н нбу 65.1 суіб 1.0:2010 - время косить бабло

Не успел Национальный банк выпустить все регулирующие документы по внедрению СУИБ (методика по оценке рисков находится в состоянии проекта , равно как и рекомендации по внедрению своих стандартов), как консультанты всех мастей и размеров кинулись в банки, наперебой предлагая свои услуги.
При этом предложения звучат просто фантастические - "внедрим все за 2-3 недели, включая сертификацию соответствия". И у всех "богатый опыт по комплексному внедрению стандарта в других украинских банках". Который на проверку оказывается внедрением антивирусного продукта "в соответствии с требованиями стандарта" либо просто богатой фантазией. На текущий момент, в точности повторяется ситуация с законом о персональных данных в России. Три года консультанты "стригли капусту" с доверчивых компаний, внедряя им свои фантазии на тему закона. Сейчас для России это время позади - закон в течении нескольких лет переписывался, а ответственность по нему все еще переносится на более поздние сроки. Интерес угас. Тоже ожидает и украинские банки, особенно те, кто плохо слушал разъяснения НБУ на многочисленных семинарах.
Что же предлагают консультанты и на сколько это необходимо банкам?

Внедрение стандарта в полном объеме к 1-у октября 2011.
Внедрение стандарта в полном объеме нереально по огромному ряду факторов:
  • Не завершены рекомендации и методики НБУ по внедрению использованию стандартов (а время идет).
  • Внедрение некоторых требований стандарта займет значительное время и будет достаточно дорогостоящим. Например А.14 Управление непрерывностью бизнеса. Мало кто из банков на текущий момент имеет полноценный план обеспечения непрерывности бизнеса. И стоит это удовольствие не 10 долларов.
  • Есть не разъясненные моменты по защите персональных данных (А.15.1.4). Не самая большая проблема, но есть.
  • Самое главное - ресурсы. Для внедрения стандарта в полном объеме, банкам необходимо сейчас бросить все и заниматься исключительно стандартом. А это, естественно, ни один банк не сможет себе позволить - есть другие, более важные задачи. К тому же на рынке нет достаточного количества квалифицированных специалистов по информационной безопасности, которые бы могли это все дело обслуживать. Наличие на рынке квалифицированных аудиторов, которые требуется стандартом, до смешного мало. При использовании же внешних специалистов стоимость внедрения начинает исчисляться сотнями тысяч долларов. 
Внедрение стандарта в течение 2-3х недель
Даже не буду комментировать.

Получение сертификата
Национальный банк не требует наличие сертификата, хорошо понимая, что сертификация - это дополнительные затраты. Которые банкам сейчас совсем ни к чему. Наличие сертификата - это затраты на собственно сертификацию, плюс затраты на  ежегодный внешний аудит, проводимый только акредитованными компаниями, для поддержания сертификата.  При этом ни наличие сертификата, ни внешние аудиты никак не влияют на необходимость проверок, проводимых Национальным банком.

Что делать? (С) Чернышевский.
В первую очередь определиться, может ли себе банк позволить такие затраты, и, главное, нужно ли это банку в этом году? Ведь последствия для банков в случае не соблюдения - "пожурят" и напишут рекомендации.
Наиболее целесообразно спланировать и выполнить минимально необходимый объем работ, который по словам Национального банка будет достаточным для демонстрации того, что банк движется в нужном направлении.

1 комментарий:

  1. С изложенным выше согласен, собственно все это разъяснял НБУ на своих встречах. Кто не ленился спрашивать и уточнять - получал исчерпывающий ответ.

    Хотел бы дополнить, что есть еще вариант, когда штраф за не "комплаинс" будет смешон и для большинства банков будет проще заплатить пару тысяч грн, чтобы не нанимать специалистов и не разводить бурную деятельность с привлечением инвестиций...
    Данное замечание было изложено НБУ и они пообещали сделать штраф максимально не выгодным.

    В любом случае нужно ждать от НБУ корректировку дальнейших действий.

    ОтветитьУдалить