Перейти к содержанию
Сергей Ильин

Безопасность банков по стандарту Basel II

Recommended Posts

Сергей Ильин

Хотел бы обсудить банковский стандарт безопасности Basel II, о котором у нас не так много говорят, как о том же PCI DSS.

Вопросы такие:

1. Что дает банку (российскому или западному) соответствие этому стандарту?

2. Реальное влияние стандарта на информационную безопасность банка.

3. Какие банки сертифицировались или примеряли на себя этот стандарт?

Прошу всех высказываться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Хитрый вопрос. :)

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

А у нас есть стандарт ЦБ РФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Именно так, поэтому и интересно, на что соответствие этим требованиям влияет в реальной жизни. Скажем стоит ли российским/украинским банкам стремиться соответствовать этому по факту "индустриальному стандарту", тратить на это ресурсы?

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

Именно так. Для полноценной реализации принципов Basel II требуется реализовать комплексную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, включая решения по информационной безопасности, провести ряд организационных мероприятий и многое другое.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

http://www.anti-malware.ru/basel_ii

Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Это да. Беда только в том, что банкиры совсем по-другому смотрят на 'защиту', чем мы с вами. Потом - чётко описанных технических норм, кажется, нет. Только общее бла-бла и пусть каждая компания придумает и продаёт своё решение...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

не согласен. Неадекватные или ошибочные бизнес - процессы никак не связаны ни с какими техническими средствами контроля. Как и контроль действий сотрудников.

Кроме того - соглашусь с Паулем - кроме PCI DSS у нас на сегодня нет ни одного стандарта с четко выписанными требованиями, в том числе и к программно - техническому комплексу безопасности. Все остальное носит весьма рекомендательный характер

Теперь по сути топика - в Украине так или иначе банки системы управления рисками внедряют, очень часто используя для своих мероприятий именно положения BaselII.

Поскольку требования носят весьма общий характер - однозначно сказать о пользе выполнения требований трудно. Направление - однозначно - верное. Система управления рисками должна быть. Если бы кроме требований была создана система аудита и мониторинга по всем этим вопросам - или хотя бы требований к ней - тогда было бы намного лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Когда я вижу на пакете молока надпись про ГОСТ, я понимаю что это такое: где, как и чем можно проверить соответствие содержимого пакета в конкретных физических единицах измерения. А что такое стандарт в ИБ -нет не понимаю. Но как клиенту интересно.

Базельский комитет по банковскому надзору

Это че -типа никейский собор?..

А банк/платежную систему/банкомат выбирать по репутации? Из оставшихся... После того, как они конкурентов сольют в новостях про неформальные нарушения формальных стандартов, да про троянов и утечки =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

потому и перешли от общих слов и рекомендаций к стандарту PCI DSS. при этом стандарт регулярно обновляется - не реже одного раза в два года. И вариантов в каждом пункте всего 3 - да\нет\не используется

К сожалению, он касается только международных платежных систем и их продукта - платежных карт. То есть - если банк не работает с МПС - стандарт можно игнорировать

В целом все можно прочесть на

https://www.pcisecuritystandards.org/

Но там все на английском. Ежели будет интересно - поделюсь тем, что есть у меня на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Понятно что обязательства надежнее рекомендаций. И у русскоязычных аудиторов можно много чего найти и почитать. Как правило PR начинается с "минимизации финансовых и репутационных рисков". И списки компаний которые получили сертификаты соответствия прилагаются. А где есть списки тех, кто пытался но не получил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

увы, к сожалению... Вместе с договором на проведение проверок заключается договор о неразглашении-это обязательно

Причин этому достаточно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Кому интересно: на сайте InfoWatch можно много интересного читать про Basel II. Я организовал поиск. Вот результат: Basel II (Найдено записей: 49)

Особенный интерес, возможно, вызывает страница White Papers, где можно скачать pdf документ 'Решения InfoWatch для совместимости с соглашением Basel II'. Это исследование описывает решения InfoWatch для построения эффективной системы управления операционным риском и минимизации репутационных рисков. Также рассмотрены основные положения Basel II и соответствующие возможности комплексного решения InfoWatch Enterprise Solution.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×