Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

понедельник, 6 июня 2011 г.

СУИБ в банках - внедрить нельзя платить штраф

Проповедование Национальным банком риск-ориентированного подхода в области управления информационной безопасности начало приносить плоды. Хотя и не совсем совсем не те, которые ожидались. Замечательная идея внедрять контроли информационной безопасности только там, где уровень риска выше приемлемого приглянулся банкам. И первый риск, который банки решили оценить, стал риск ... не внедрения стандарта.
Анализируя источники трафика в статистике посещения моего блога, я обратил внимание на то, что около 50 (если точно, то 47) посещений за последний месяц было выполнено с гугловского поисковика с параметрами поиска "Что грозит банку если не внедряют СУИБ?".
Не могу сказать, что это стало для меня чем-то неожиданным. Посмотрим на ситуацию глазами банков. С одной стороны, методику внедрения опубликовали только в этом году, а сроки надзоровской проверки (1 октября 2011) оставили без изменений. 6 месяцев для внедрения стандарта в полном объеме в рамках всего банка (именно такая формулировка вопреки здравому смыслу рекомендациям международного оригинального стандарта присутствует в СОУ Н НБУ 65.1) не реален - в него сможет уложится только мелкий банк, при условии, что есть необходимые ресурсы и... работающий СУИБ. А ресурсов то нет. Бюджеты составлялись в прошлом году, и внедрение стандарта никто не закладывал. Да и кризис для многих банков закончился только теоретически.  А был бы бюджет - где взять людей? Грамотных специалистов по информационной безопасности - раз, два и обчелся. Да и загружены они и без того текучкой. А привлекать консультантов... см. пункт про ресурсы.
Вот и стоят банки перед дилемой - дождаться 1-го октября, заплатить штраф (а то, глядишь, и просто рекомендациями отделаются) и спать спокойно до следующего года или судорожно строить бумажный симулятор СУИБ для надзора. Ведь у надзора тоже нет специалистов. Так что, посидев пару недель на нормативной базой и "доказательствами" работы процессов и проведя репетицию распределения ролей среди персонала (чтобы складно врали рассказывали проверке как все здорово работает) проверку соответствия пройти будет не так уже и сложно.
Защита информации прочнее не станет, но получить отсрочку на год и сфокусироваться на более насущих вещах - вполне реально.

5 комментариев:

  1. Именно так и происходит. Руководство занято не тем, как сделать, а как сымитировать. После таких танцев с бубном еще пять раз переделывать придется, но главное потом бизнесу не докажешь, что старались для галочки, а по-настоящему следует делать за деньги и по-другому.

    ОтветитьУдалить
  2. К сожалению, но обычная ситуация, когда внедрение комплайенса приводит к трансформации его сущности: превращая его из «средства достижения цели» в «цель».

    ОтветитьУдалить
  3. Мы, например, преследуем другую философию. Начинаем делать по науке и показываем хотя бы "свет в конце тоннеля", т.е. на время надзоровской проверки должно быть понимание куда банк движется в деле внедрения СУИБ. В определенных случаях удается зотя бы пройти 25-30% пути до анализа рисков. Дальше как правило "зависание", т.к. есть рекомендации НБУ (которые на Украине почему то считают таким же нормативным документом как стандарт) и есть требования материнских компаний (IRAM, MESARI). Вот тут начинается дискотека. И иллюзия что время еще есть тоже.. (все по отпускам менеджеры и вот он октябрь)

    ОтветитьУдалить
  4. Анонимный16 июня 2011 г., 20:37

    Все, что написано, верно, но скажите, где указаны штрафные санкции?

    ОтветитьУдалить
  5. Это вопрос номер один для всех украинских банков. Ну и, разумеется, для консультантов :)
    На текущий момент, ответ на данный вопрос не имеет даже Национальный банк.

    ОтветитьУдалить