Перейти к содержанию
Сергей Ильин

Безопасность банков по стандарту Basel II

Recommended Posts

Сергей Ильин

Хотел бы обсудить банковский стандарт безопасности Basel II, о котором у нас не так много говорят, как о том же PCI DSS.

Вопросы такие:

1. Что дает банку (российскому или западному) соответствие этому стандарту?

2. Реальное влияние стандарта на информационную безопасность банка.

3. Какие банки сертифицировались или примеряли на себя этот стандарт?

Прошу всех высказываться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Хитрый вопрос. :)

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

А у нас есть стандарт ЦБ РФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
BaselII - если мне склероз не изменяет- стандартом по сути не является. Это комплекс требований, которые договорились соблюдать

автор - Базельский комитет по банковскому надзору

Главной целью соглашения Базель II является повышение качества управления рисками

Именно так, поэтому и интересно, на что соответствие этим требованиям влияет в реальной жизни. Скажем стоит ли российским/украинским банкам стремиться соответствовать этому по факту "индустриальному стандарту", тратить на это ресурсы?

Это ж, если я правильно помню, больше касается комплексной системы управления рисками? Нет? Я просто его не очень подробно помню..

Именно так. Для полноценной реализации принципов Basel II требуется реализовать комплексную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, включая решения по информационной безопасности, провести ряд организационных мероприятий и многое другое.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

http://www.anti-malware.ru/basel_ii

Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Т.е. мы по факту приходим к необходимости внедрения DLP по этому регулирующему акту. :)

Это да. Беда только в том, что банкиры совсем по-другому смотрят на 'защиту', чем мы с вами. Потом - чётко описанных технических норм, кажется, нет. Только общее бла-бла и пусть каждая компания придумает и продаёт своё решение...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.

не согласен. Неадекватные или ошибочные бизнес - процессы никак не связаны ни с какими техническими средствами контроля. Как и контроль действий сотрудников.

Кроме того - соглашусь с Паулем - кроме PCI DSS у нас на сегодня нет ни одного стандарта с четко выписанными требованиями, в том числе и к программно - техническому комплексу безопасности. Все остальное носит весьма рекомендательный характер

Теперь по сути топика - в Украине так или иначе банки системы управления рисками внедряют, очень часто используя для своих мероприятий именно положения BaselII.

Поскольку требования носят весьма общий характер - однозначно сказать о пользе выполнения требований трудно. Направление - однозначно - верное. Система управления рисками должна быть. Если бы кроме требований была создана система аудита и мониторинга по всем этим вопросам - или хотя бы требований к ней - тогда было бы намного лучше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Когда я вижу на пакете молока надпись про ГОСТ, я понимаю что это такое: где, как и чем можно проверить соответствие содержимого пакета в конкретных физических единицах измерения. А что такое стандарт в ИБ -нет не понимаю. Но как клиенту интересно.

Базельский комитет по банковскому надзору

Это че -типа никейский собор?..

А банк/платежную систему/банкомат выбирать по репутации? Из оставшихся... После того, как они конкурентов сольют в новостях про неформальные нарушения формальных стандартов, да про троянов и утечки =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

потому и перешли от общих слов и рекомендаций к стандарту PCI DSS. при этом стандарт регулярно обновляется - не реже одного раза в два года. И вариантов в каждом пункте всего 3 - да\нет\не используется

К сожалению, он касается только международных платежных систем и их продукта - платежных карт. То есть - если банк не работает с МПС - стандарт можно игнорировать

В целом все можно прочесть на

https://www.pcisecuritystandards.org/

Но там все на английском. Ежели будет интересно - поделюсь тем, что есть у меня на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon

Понятно что обязательства надежнее рекомендаций. И у русскоязычных аудиторов можно много чего найти и почитать. Как правило PR начинается с "минимизации финансовых и репутационных рисков". И списки компаний которые получили сертификаты соответствия прилагаются. А где есть списки тех, кто пытался но не получил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

увы, к сожалению... Вместе с договором на проведение проверок заключается договор о неразглашении-это обязательно

Причин этому достаточно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Кому интересно: на сайте InfoWatch можно много интересного читать про Basel II. Я организовал поиск. Вот результат: Basel II (Найдено записей: 49)

Особенный интерес, возможно, вызывает страница White Papers, где можно скачать pdf документ 'Решения InfoWatch для совместимости с соглашением Basel II'. Это исследование описывает решения InfoWatch для построения эффективной системы управления операционным риском и минимизации репутационных рисков. Также рассмотрены основные положения Basel II и соответствующие возможности комплексного решения InfoWatch Enterprise Solution.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×