Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

четверг, 29 марта 2012 г.

Проверки СУИБ Нацбанком - первые впечатления

Итак, то, что так долго боялись банковские специалисты по информационной безопасности, свершилось! Национальный банк начал проверки соблюдения постановления № 474, а именно внедрения и функционирования в банке Системы управления информационной безопасностью согласно стандарта СОУ Н НБУ 65.1 СУІБ 1.0:2010.
Основные впечатления, наблюдения и выводы прошедших проверку:
  • Банковский надзор так и не обзавелся специалистами по информационной безопасности. Проверку выполняют те же инспектора с экономическим образованием , которые приходили и раньше на комплексные проверки.
  • Проверка сводится к проверке наличия бумаг и, иногда(!), их содержания
  • Для более-менее успешного прохождения проверки достаточно документов высокого и среднего уровня (согласно стандарта). Наличие документов низкого уровня является для инспекторов признаком того, что банк достиг высшего просветления и ушел в Нирвану полностью соответствует стандарту.  
Вышеописанное как-то не очень клеилось с тем, чему я учился для получения сертификата ведущего аудитора по ISO 27001 и в душу закралось сомнение - может инспектора где-то не дорабатывают? Ленятся посмотреть, действительно ли все работает так, как написано в бумаге? 
Ознакомившись с программой аудита банковского надзора, я с удивлением обнаружил, что все 47 вопросов (точнее их 100, но сгруппированы в 47 более высокоуровневых) делятся на три группы:
  • Есть ли документ Х?
  • Есть ли в документе Х раздел Y?
  • Подписан ли / утвержден ли документ Х?
По большому счету, для выполнения проверки инспектору не нужно даже приходить в банк - комплект документов можно получить по почте и оформить все не сходя с места. 

Какие выводы напрашиваются из вышесказанного?
  • Кто из банков в прошлом году сэкономил на консультантах и не внедрял СУИБ, а купил бумажного тигра - не прогадал.
  • Для поддержания работоспособного соответствующего требованиям НБУ СУИБ достаточно двух человек - безопасника и аудитора, которые будут генерировать необходимую макулатуру документацию
  • Возможно ситуация улучшится в дальнейшем, но... Достаточно вспомнить соблюдение требований  постановления № 112 (криптоключи) и № 265 (непрерывность деятельности), которые строго соблюдались только на бумаге. Добавим сюда первые годы аудитов по PCI-DSS, когда на проверку приезжали вроде бы специалисты в области ИБ, но в технической части им можно было навешать полные уши лапши и проверяющие в полной гармонии и умиротворенности писали отчет о соответствии. Исходя из вышесказанного, если улучшения и произойдут, то будет это не скоро и не в Украине
ЗЫ Не забудьте покормить бумажного тигра.

4 комментария:

  1. Зачем же ты так жесток Вов... Правда в том ,что ни НБУ, ни банкам правда не нужна. Извини за каламбур.

    ОтветитьУдалить
  2. Ну да, не нужны. Я вроде обратного не утверждал.
    Все боялись, но не хотели внедрять. Теперь все хорошо. Контора пишет, бумага - терпит.
    Счастье и радость. Не пойму, где ты видишь жесткость?

    ОтветитьУдалить
  3. Ты убил последнюю надежду на СУИБ в банках Украины, пусть она и была основана исключительно на комплаянсе. Это -- жестоко :)

    ОтветитьУдалить
  4. Решил потролить? Убил надежду не я, а банковский надзор. Я лишь донес мнение банков в массы.

    ОтветитьУдалить