НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

СТО БР ИББС – теория и практика

Валерий Васильев
06.03.2012 22:35:37

Стандартизация в ИБ - процесс, как мне представляется, эффективный для обеспечения информационной безопасности. Одним из флагманов процесса разработки ИБ-стандартов, как в банковской отрасли, так и в стране в целом, является ЦБ РФ. Созданный усилиями его специалистов Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) вобрал в себя богатейший отраслевой опыт в области ИБ. Однако уже не однажды слышу из уст ИБ-экспертов о поразительном расхождении между рекомендациями этого стандарта и российской банковской ИБ-практикой.

Утверждается, что половина российских банков не имеет в штате ни единого ИБ-специалиста, хотя, как минимум, одного – ответственного за организацию обработки персданных – в штате должен содержать не только банк, но и любой другой оператор персональных данных.

Другой пример. СТО БР ИББС настоятельно рекомендует банкам пользоваться услугами операторов связи, берущих на себя обязательства организовать защиту клиентов от DDoS-атак. Однако практики говорят, что это положение стандарта породило целый рынок псевдо-провайдеров услуг защиты от DDoS, с которыми (некоторые) банки охотно вступают в клиентские отношения только для того, чтобы поставить "галочку" формального соответствия СТО БР ИББС, на деле же оставаясь без защиты от этого вида кибератак.

Еще один пример на ту же тему описан здесь .

Складывается впечатление, что даже в такой продвинутой в области ИТ отрасли, как банковская, реальные бизнес-риски слабо соответствуют требованиям регуляторов в области ИБ. Ну не нужна российскому (банковскому) бизнесу информационная безопасность в том объеме, который из него выколачивают требования законов и рекомендации стандартов. Надуманные они для него. Так, да?

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии