Сергей Ильин

Безопасность банков по стандарту Basel II

В этой теме 11 сообщений

Хотел бы обсудить банковский стандарт безопасности Basel II, о котором у нас не так много говорят, как о том же PCI DSS.

Вопросы такие:

1. Что дает банку (российскому или западному) соответствие этому стандарту?

2. Реальное влияние стандарта на информационную безопасность банка.

3. Какие банки сертифицировались или примеряли на себя этот стандарт?

Прошу всех высказываться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хитрый вопрос. :)

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

А у нас есть стандарт ЦБ РФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Именно так, поэтому и интересно, на что соответствие этим требованиям влияет в реальной жизни. Скажем стоит ли российским/украинским банкам стремиться соответствовать этому по факту "индустриальному стандарту", тратить на это ресурсы?

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

Именно так. Для полноценной реализации принципов Basel II требуется реализовать комплексную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, включая решения по информационной безопасности, провести ряд организационных мероприятий и многое другое.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

http://www.anti-malware.ru/basel_ii

Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Это да. Беда только в том, что банкиры совсем по-другому смотрят на 'защиту', чем мы с вами. Потом - чётко описанных технических норм, кажется, нет. Только общее бла-бла и пусть каждая компания придумает и продаёт своё решение...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

не согласен. Неадекватные или ошибочные бизнес - процессы никак не связаны ни с какими техническими средствами контроля. Как и контроль действий сотрудников.

Кроме того - соглашусь с Паулем - кроме PCI DSS у нас на сегодня нет ни одного стандарта с четко выписанными требованиями, в том числе и к программно - техническому комплексу безопасности. Все остальное носит весьма рекомендательный характер

Теперь по сути топика - в Украине так или иначе банки системы управления рисками внедряют, очень часто используя для своих мероприятий именно положения BaselII.

Поскольку требования носят весьма общий характер - однозначно сказать о пользе выполнения требований трудно. Направление - однозначно - верное. Система управления рисками должна быть. Если бы кроме требований была создана система аудита и мониторинга по всем этим вопросам - или хотя бы требований к ней - тогда было бы намного лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Когда я вижу на пакете молока надпись про ГОСТ, я понимаю что это такое: где, как и чем можно проверить соответствие содержимого пакета в конкретных физических единицах измерения. А что такое стандарт в ИБ -нет не понимаю. Но как клиенту интересно.

Базельский комитет по банковскому надзору

Это че -типа никейский собор?..

А банк/платежную систему/банкомат выбирать по репутации? Из оставшихся... После того, как они конкурентов сольют в новостях про неформальные нарушения формальных стандартов, да про троянов и утечки =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

потому и перешли от общих слов и рекомендаций к стандарту PCI DSS. при этом стандарт регулярно обновляется - не реже одного раза в два года. И вариантов в каждом пункте всего 3 - да\нет\не используется

К сожалению, он касается только международных платежных систем и их продукта - платежных карт. То есть - если банк не работает с МПС - стандарт можно игнорировать

В целом все можно прочесть на

https://www.pcisecuritystandards.org/

Но там все на английском. Ежели будет интересно - поделюсь тем, что есть у меня на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понятно что обязательства надежнее рекомендаций. И у русскоязычных аудиторов можно много чего найти и почитать. Как правило PR начинается с "минимизации финансовых и репутационных рисков". И списки компаний которые получили сертификаты соответствия прилагаются. А где есть списки тех, кто пытался но не получил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

увы, к сожалению... Вместе с договором на проведение проверок заключается договор о неразглашении-это обязательно

Причин этому достаточно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кому интересно: на сайте InfoWatch можно много интересного читать про Basel II. Я организовал поиск. Вот результат: Basel II (Найдено записей: 49)

Особенный интерес, возможно, вызывает страница White Papers, где можно скачать pdf документ 'Решения InfoWatch для совместимости с соглашением Basel II'. Это исследование описывает решения InfoWatch для построения эффективной системы управления операционным риском и минимизации репутационных рисков. Также рассмотрены основные положения Basel II и соответствующие возможности комплексного решения InfoWatch Enterprise Solution.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      Факт. 1) Когда вышла крайняя версия утилиты: Tdsskiller ? Ответ: Апрель 2017 т.е.  новых rootkit - тов не было... скоро, как год уже не было новых... 2) За год резко снизилось число ADWARE агентов. 3) Снизилось число заражений шифраторами. 4) Число заражений файловыми вирусами. 5) Блокировщики экрана превратились в анахронизм - в живых динозавров. Почему это происходит ? а) Были приняты меры, как разработчиками программ так и пользователями. Появились более защищённые браузеры, эффективные Free Antivirus - ы, повысился уровеньосведомлённости пользователей PC ( сейчас даже бабушки знают, что нужно проверять файл hosts ) Как результат - модификация ( злонамеренная ) файла hosts практически прекратилась. ADWARE - файлы часто подписывают Электронно цифровой подписью ( ЭЦП  ) - и платили ( платят )  за это деньги... Как результат: Овчинка перестала стоить выделки. ( дебет не сходиться с кредитом ) Число левых ЭЦП резко сократилось... б) Крупные компании практически перестали досаждать пользователям такими продуктами как:  Guard mail.ru;  Яндекс praetorian и т.д. так, как рынок уже поделили... с) Сменилась прицельна точка с Windows на Android  системы. д) Также по всей видимости произошла переориентация у плохих дядей. На данный момент  появились возможности заработать относительно легальным путём - те же .js майнеры на сайтах... Резко возросло число преступлений - со стороны мошенников соответственно это привело к снижению активности на иных направлениях. Кроме того технический прогресс не стоит на месте. Раньше мы постоянно использовали CD\DVD - USB диски. сейчас же благодаря появлению облачных хранилищ, доступности интернета, скорости передачи данных... Обмен дисками снизился на несколько порядков. Как результат практически исчезли Autorun вирусы и резко снизилось число файловых заражений. Изменилось отношение пользователей к безопасности - отношение стало более ответственным. так, как нормальная работа PC и сохранение информации напрямую стала связана с доходами - работа в интернете, передача данных, отчётов, банковские переводы, регистрации и т.д. Чаще стали покупать лицензии, к антивирусам, а не использовать взломанные версии. Были внедрены многоуровневые системы  проверки данных. К примеру: данные проверяет почтовый сервер и только потом данные передаются пользователю, где они повторно проверяются. Появились онлайн сканеры типа: herdProtect; threatinfo.net; reasoncoresecurity.com У вируса\adware остаётся мало шансов уйти от обнаружения ведь файл анализирует: 60 + антивирусов. Была налажена схема\линия обмена данными между антивирусными компаниями - угрозы быстро обнаруживают и нейтрализуют - что резко снижает время активности вируса\угрозы и снижает доходность. В связи с многочисленными атаками на баки были предприняты доп. меры, как со стороны банков, так и со стороны правоохранительных органов - о чём свидетельствую аресты. Разработка искусственного интеллекта ( его элементов ) - совершенствование механизмов эвристики. Создание общих баз данных по угрозам - определение закономерностей в коде, принципах распространения. Внедрение оплаты компаниями за найденные в их продуктах уязвимости - что также привело к росту стоимости информации на чёрном рынке. Сменились направления атак. Чаще стали атаковать: Китай и Корею. ------------ Но не стоит расслабляться. Произошло переключение на майнинг   вирусы   и по прежнему  свирепствуют шифраторы да и рекламные агенты продолжают нас радовать.
    • amid525
      Зашел на форум после некоторого перерыва. М-да, сайт потух вовсе.. Помню были времена, когда в день несколько сотен-тысяч его посещали, когда обсуждали "бабушкин антивирус")). (Вот это был не превзойденный и уже ни когда не повторимый пиар для форума! Ех....) Да и не только, в каждой практически теме, каждый день были сообщения.. Неужели компьютеров, или угроз стало меньше, заражений?? Раньше(пару лет назад) тоже загонялся выборами антивирусов, напуганный страшилками о опасных вирусах и поголовных заражений..  Время показало - Ни чего этого нет!  Брожу где хочу.  Имея только бесплатный фаервол комодо 5, и Кериш Доктор. И браузер с блокировщиком рекламы. Вот тут-то неоценимая от него помощь, нежели от антивирусов.. С крещением всех, и наступившим 2018!
    • amid525
    • stroitel80
      Надо попробовать на старом компе и все станет ясно
    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301