Comments 4
ГОСТ Р 57580.1-2017 введен 01.01.2018, ГОСТ 57580.2 — 01.09.2018 года. Вы только сейчас на их основе запилили проект?
Далее, процесс оценки по этому ГОСТу охватывает все информационные системы на всех этапах жизненного цикла (о, отлично!), но не требует 100% соответствия: допускается отклонение в 14,99%.
В случае утечки 60 млн. записей из Сбербанка был нарушен пункт Б18 «Отсутствие гарантированного стирания информации конфиденциального характера с машинного носителя». Сотрудники безопасности Сбербанка утверждают, что база была снята с жесткого диска компьютера, выведенного из работы. Вот вам 1 допустимый инцидент с офигеть какими последствиями.
С другой стороны, при оценке всех 8 процессов и выявлении 4 действительных инцидентов итоговая оценка R принимает значение 0,85 (уровень: соответствует). А т.к. инцидентов точно больше, то в отчетном периоде единственный вариант соответствия – это сокрытие инцидентов. Таким образом, там, где показатели эффективности руководства зависят от статистики, эту статистику будут скрывать, что негативно отразится на реальной оценке ситуации.
Кроме того, критерии оценивают количество инцидентов, а не размер убытков. Из этого следует, что защищать данные следует по какой-то иной методике, например, по иностранным стандартам, основанным на многолетнем опыте.
В качестве бумажной безопасности ваш проект зайдет, в качестве действительно эффективного инструмента — нет.
Далее, процесс оценки по этому ГОСТу охватывает все информационные системы на всех этапах жизненного цикла (о, отлично!), но не требует 100% соответствия: допускается отклонение в 14,99%.
В случае утечки 60 млн. записей из Сбербанка был нарушен пункт Б18 «Отсутствие гарантированного стирания информации конфиденциального характера с машинного носителя». Сотрудники безопасности Сбербанка утверждают, что база была снята с жесткого диска компьютера, выведенного из работы. Вот вам 1 допустимый инцидент с офигеть какими последствиями.
С другой стороны, при оценке всех 8 процессов и выявлении 4 действительных инцидентов итоговая оценка R принимает значение 0,85 (уровень: соответствует). А т.к. инцидентов точно больше, то в отчетном периоде единственный вариант соответствия – это сокрытие инцидентов. Таким образом, там, где показатели эффективности руководства зависят от статистики, эту статистику будут скрывать, что негативно отразится на реальной оценке ситуации.
Кроме того, критерии оценивают количество инцидентов, а не размер убытков. Из этого следует, что защищать данные следует по какой-то иной методике, например, по иностранным стандартам, основанным на многолетнем опыте.
В качестве бумажной безопасности ваш проект зайдет, в качестве действительно эффективного инструмента — нет.
Если ИБ отделен от ИТ (как и должно по хорошему быть), то описанного вами сценария не должно происходить. т.к. Иб выявляет риски, а ИТ уже за них отвечает (если не устранены в срок).
В сценариях, когда ИБ и ИТ относятся к одному департаменту, и разделяют ответственность по рискам, сокрытие информации является закономерным следствием.
В сценариях, когда ИБ и ИТ относятся к одному департаменту, и разделяют ответственность по рискам, сокрытие информации является закономерным следствием.
Про сценарий – речь именно про автоматизацию соответствия требованиям, возможность вовремя узнать о проблемах в данном направлении и качественно оценить соответствующие compliance риски (расставить приоритеты).
А насчет подделки и сокрытия информации – могут, но с соответствующим наказанием в последующем. Предполагается (см. проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» cbr.ru/StaticHtml/File/41186/180918-41_1.pdf) многоуровневая система контроля: внутренний контроль (независимой службой внутреннего аудита), внешняя независимая оценка (внешним экспертом) и, в конце концов, контроль мегарегулятора, который осуществляет надзор.
Если говорить конкретно про инциденты – как минимум, показатель доли репортинга в ФинЦЕРТ по событиям риска ИБ явно обозначается и идет как количественный показатель (см. последний абзац п.2.1.1 приложения 4 вышеупомянутого проекта). И плохой показатель всё равно скажется на увеличении резервов.
А если расхождения будут серьезные, то это будет уже повод говорить о неэффективной системе управления операционным риском всей организации с соответствующими последствиями (присмотрятся ко всей отчетности организации с пристрастием и т.д., начнут применять меры по 86-ФЗ).
А насчет подделки и сокрытия информации – могут, но с соответствующим наказанием в последующем. Предполагается (см. проект Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» cbr.ru/StaticHtml/File/41186/180918-41_1.pdf) многоуровневая система контроля: внутренний контроль (независимой службой внутреннего аудита), внешняя независимая оценка (внешним экспертом) и, в конце концов, контроль мегарегулятора, который осуществляет надзор.
Если говорить конкретно про инциденты – как минимум, показатель доли репортинга в ФинЦЕРТ по событиям риска ИБ явно обозначается и идет как количественный показатель (см. последний абзац п.2.1.1 приложения 4 вышеупомянутого проекта). И плохой показатель всё равно скажется на увеличении резервов.
А если расхождения будут серьезные, то это будет уже повод говорить о неэффективной системе управления операционным риском всей организации с соответствующими последствиями (присмотрятся ко всей отчетности организации с пристрастием и т.д., начнут применять меры по 86-ФЗ).
Спасибо за комментарий. По срокам – в нашем решении изначально реализован конструктор аудитов и контроль соответствия. При этом глубокую настройку и определение метрик можно сделать только в тесном взаимодействии с заказчиком в рамках проекта. А интерес у заказчиков возник в этом году, когда появились обязывающие документы (регистрация в Минюсте 672-П 21.03.2019, 683-П — 16.05.2019 и т.д.) Кстати, одно из последних оживлений от заказчиков в виде запросов произошло после публикации проекта нового 382-П (под требования попадут операторы услуг информационного обмена, поставщики платежных приложений и прочие субъекты НПС).
В статье рассказал именно о тенденциях и об управлении соответствием (compliance control) ГОСТу. Насчет эффективности (конкретно в контексте реализации управления соответствием) – всё в конечном итоге выражается в деньгах, а комплаенс становится весьма актуальным (и выражается повышением заинтересованности заказчиков), т.к. несоблюдение требований ИБ будет грозить штрафными санкциями и доначислением резервов организации в соответствии с рисками (по прозрачной схеме с явной методикой расчетов), а это живые деньги.
То, о чем Вы написали (с примерами) — согласен, только комплаенсом (даже автокомпаленсом) не решается. Эффективный инструмент – это автоматизация по многим направлениям, обнаружение и работа с инцидентами, реагирование на них и т.д., такой инструментарий также предоставляем.
Применительно к примерам с последствиями и эффективностью руководства — рекомендую ознакомиться с проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ). Насчет сокрытия статистики – там же предусмотрены механизмы контроля и воздействия (см. ответ на комментарий ert112).
С Наступающим Новым Годом!)
В статье рассказал именно о тенденциях и об управлении соответствием (compliance control) ГОСТу. Насчет эффективности (конкретно в контексте реализации управления соответствием) – всё в конечном итоге выражается в деньгах, а комплаенс становится весьма актуальным (и выражается повышением заинтересованности заказчиков), т.к. несоблюдение требований ИБ будет грозить штрафными санкциями и доначислением резервов организации в соответствии с рисками (по прозрачной схеме с явной методикой расчетов), а это живые деньги.
То, о чем Вы написали (с примерами) — согласен, только комплаенсом (даже автокомпаленсом) не решается. Эффективный инструмент – это автоматизация по многим направлениям, обнаружение и работа с инцидентами, реагирование на них и т.д., такой инструментарий также предоставляем.
Применительно к примерам с последствиями и эффективностью руководства — рекомендую ознакомиться с проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где анонсированы наборы показателей системы управления риском ИБ и способы расчета капитала, необходимого на покрытие потерь от реализации операционного риска (с четким выделением риска ИБ). Насчет сокрытия статистики – там же предусмотрены механизмы контроля и воздействия (см. ответ на комментарий ert112).
С Наступающим Новым Годом!)
Sign up to leave a comment.
ГОСТ Р 57580. От тенденций к действенной автоматизации