Безопасность банков по стандарту Basel II

[Сергей Ильин 1538]

Хотел бы обсудить банковский стандарт безопасности Basel II, о котором у нас не так много говорят, как о том же PCI DSS.

Вопросы такие:

1. Что дает банку (российскому или западному) соответствие этому стандарту?

2. Реальное влияние стандарта на информационную безопасность банка.

3. Какие банки сертифицировались или примеряли на себя этот стандарт?

Прошу всех высказываться

[Мальцев Тимофей 74]

Хитрый вопрос.

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

А у нас есть стандарт ЦБ РФ.

[alexgr 556]

BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

[Сергей Ильин 1538]

BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Именно так, поэтому и интересно, на что соответствие этим требованиям влияет в реальной жизни. Скажем стоит ли российским/украинским банкам стремиться соответствовать этому по факту "индустриальному стандарту", тратить на это ресурсы?

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

Именно так. Для полноценной реализации принципов Basel II требуется реализовать комплексную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, включая решения по информационной безопасности, провести ряд организационных мероприятий и многое другое.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

http://www.anti-malware.ru/basel_ii

Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту.

[p2u 824]

Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту.

Это да. Беда только в том, что банкиры совсем по-другому смотрят на 'защиту', чем мы с вами. Потом - чётко описанных технических норм, кажется, нет. Только общее бла-бла и пусть каждая компания придумает и продаёт своё решение...

Paul

[alexgr 556]

в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

не согласен. Неадекватные или ошибочные бизнес - процессы никак не связаны ни с какими техническими средствами контроля. Как и контроль действий сотрудников.

Кроме того - соглашусь с Паулем - кроме PCI DSS у нас на сегодня нет ни одного стандарта с четко выписанными требованиями, в том числе и к программно - техническому комплексу безопасности. Все остальное носит весьма рекомендательный характер

Теперь по сути топика - в Украине так или иначе банки системы управления рисками внедряют, очень часто используя для своих мероприятий именно положения BaselII.

Поскольку требования носят весьма общий характер - однозначно сказать о пользе выполнения требований трудно. Направление - однозначно - верное. Система управления рисками должна быть. Если бы кроме требований была создана система аудита и мониторинга по всем этим вопросам - или хотя бы требований к ней - тогда было бы намного лучше

[seevbon 40]

Когда я вижу на пакете молока надпись про ГОСТ, я понимаю что это такое: где, как и чем можно проверить соответствие содержимого пакета в конкретных физических единицах измерения. А что такое стандарт в ИБ -нет не понимаю. Но как клиенту интересно.

Базельский комитет по банковскому надзору

Это че -типа никейский собор?..

А банк/платежную систему/банкомат выбирать по репутации? Из оставшихся... После того, как они конкурентов сольют в новостях про неформальные нарушения формальных стандартов, да про троянов и утечки =)

[alexgr 556]

потому и перешли от общих слов и рекомендаций к стандарту PCI DSS. при этом стандарт регулярно обновляется - не реже одного раза в два года. И вариантов в каждом пункте всего 3 - да\нет\не используется

К сожалению, он касается только международных платежных систем и их продукта - платежных карт. То есть - если банк не работает с МПС - стандарт можно игнорировать

В целом все можно прочесть на

https://www.pcisecuritystandards.org/

Но там все на английском. Ежели будет интересно - поделюсь тем, что есть у меня на русском

[seevbon 40]

Понятно что обязательства надежнее рекомендаций. И у русскоязычных аудиторов можно много чего найти и почитать. Как правило PR начинается с "минимизации финансовых и репутационных рисков". И списки компаний которые получили сертификаты соответствия прилагаются. А где есть списки тех, кто пытался но не получил?

[alexgr 556]

увы, к сожалению... Вместе с договором на проведение проверок заключается договор о неразглашении-это обязательно

Причин этому достаточно

[p2u 824]

Кому интересно: на сайте InfoWatch можно много интересного читать про Basel II. Я организовал поиск. Вот результат: Basel II (Найдено записей: 49)

Особенный интерес, возможно, вызывает страница White Papers, где можно скачать pdf документ 'Решения InfoWatch для совместимости с соглашением Basel II'. Это исследование описывает решения InfoWatch для построения эффективной системы управления операционным риском и минимизации репутационных рисков. Также рассмотрены основные положения Basel II и соответствующие возможности комплексного решения InfoWatch Enterprise Solution.

Paul