Перейти к содержанию
Сергей Ильин

Безопасность банков по стандарту Basel II

Recommended Posts

Сергей Ильин

Хотел бы обсудить банковский стандарт безопасности Basel II, о котором у нас не так много говорят, как о том же PCI DSS.

Вопросы такие:

1. Что дает банку (российскому или западному) соответствие этому стандарту?

2. Реальное влияние стандарта на информационную безопасность банка.

3. Какие банки сертифицировались или примеряли на себя этот стандарт?

Прошу всех высказываться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Хитрый вопрос. :)

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

А у нас есть стандарт ЦБ РФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Именно так, поэтому и интересно, на что соответствие этим требованиям влияет в реальной жизни. Скажем стоит ли российским/украинским банкам стремиться соответствовать этому по факту "индустриальному стандарту", тратить на это ресурсы?

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

Именно так. Для полноценной реализации принципов Basel II требуется реализовать комплексную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, включая решения по информационной безопасности, провести ряд организационных мероприятий и многое другое.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

http://www.anti-malware.ru/basel_ii

Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Это да. Беда только в том, что банкиры совсем по-другому смотрят на 'защиту', чем мы с вами. Потом - чётко описанных технических норм, кажется, нет. Только общее бла-бла и пусть каждая компания придумает и продаёт своё решение...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

не согласен. Неадекватные или ошибочные бизнес - процессы никак не связаны ни с какими техническими средствами контроля. Как и контроль действий сотрудников.

Кроме того - соглашусь с Паулем - кроме PCI DSS у нас на сегодня нет ни одного стандарта с четко выписанными требованиями, в том числе и к программно - техническому комплексу безопасности. Все остальное носит весьма рекомендательный характер

Теперь по сути топика - в Украине так или иначе банки системы управления рисками внедряют, очень часто используя для своих мероприятий именно положения BaselII.

Поскольку требования носят весьма общий характер - однозначно сказать о пользе выполнения требований трудно. Направление - однозначно - верное. Система управления рисками должна быть. Если бы кроме требований была создана система аудита и мониторинга по всем этим вопросам - или хотя бы требований к ней - тогда было бы намного лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Когда я вижу на пакете молока надпись про ГОСТ, я понимаю что это такое: где, как и чем можно проверить соответствие содержимого пакета в конкретных физических единицах измерения. А что такое стандарт в ИБ -нет не понимаю. Но как клиенту интересно.

Базельский комитет по банковскому надзору

Это че -типа никейский собор?..

А банк/платежную систему/банкомат выбирать по репутации? Из оставшихся... После того, как они конкурентов сольют в новостях про неформальные нарушения формальных стандартов, да про троянов и утечки =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

потому и перешли от общих слов и рекомендаций к стандарту PCI DSS. при этом стандарт регулярно обновляется - не реже одного раза в два года. И вариантов в каждом пункте всего 3 - да\нет\не используется

К сожалению, он касается только международных платежных систем и их продукта - платежных карт. То есть - если банк не работает с МПС - стандарт можно игнорировать

В целом все можно прочесть на

https://www.pcisecuritystandards.org/

Но там все на английском. Ежели будет интересно - поделюсь тем, что есть у меня на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Понятно что обязательства надежнее рекомендаций. И у русскоязычных аудиторов можно много чего найти и почитать. Как правило PR начинается с "минимизации финансовых и репутационных рисков". И списки компаний которые получили сертификаты соответствия прилагаются. А где есть списки тех, кто пытался но не получил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

увы, к сожалению... Вместе с договором на проведение проверок заключается договор о неразглашении-это обязательно

Причин этому достаточно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Кому интересно: на сайте InfoWatch можно много интересного читать про Basel II. Я организовал поиск. Вот результат: Basel II (Найдено записей: 49)

Особенный интерес, возможно, вызывает страница White Papers, где можно скачать pdf документ 'Решения InfoWatch для совместимости с соглашением Basel II'. Это исследование описывает решения InfoWatch для построения эффективной системы управления операционным риском и минимизации репутационных рисков. Также рассмотрены основные положения Basel II и соответствующие возможности комплексного решения InfoWatch Enterprise Solution.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ?
      Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах. Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п.
      Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная. То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д.
    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
×