Блог Сергея Борисова про ИБ

На сайте ЦБ РФ выложен проект Положения Банка России "О порядке создания, ведения и хранения баз данных на электронных носителях" на экспертизу до 18 февраля. http://cbr.ru/analytics/standart_acts/projects/130211_2.pdf В область действия документа попадает информация о сделках, банковских операциях, лицевых счетах и т.п. Привожу ниже основные требования документа: Требования к ИС, базе данных или системе резервного копирования: ·         информацию хранить не менее 5 лет ·         создавать резервные копии (РК) ·         хранить РК на резервном (отличном от основного) оборудовании или носителях ·         хранить РК на резервных площадках (местах отличных от основных мест обработки) ·         резервные площадки должны быть на территории РФ ·         обесп...

В продолжение  предыдущих заметок  на тему непрерывности деятельности Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании. Наиболее интересные выводы: ·         План обеспечения непрерывности разработан в 61% опрошенных компаний         ·         Наиболее вероятные угрозы в общем: o    Тяжелые погодные условия o    Нарушение ИТ компонентов o    Потеря (болезнь) ключевых сотрудников o    Нарушение связи o    Митинги и забастовки o    Закрытие и садиков школ o    Нарушение работы транспорта o    Невозможность доступа на объект ·         Наиболее опасные угрозы в общем: o    Нарушение ИТ компонентов o    Нарушение с...

В продолжение предыдущих заметок на тему непрерывности деятельности. 19 июня учебный центр Микротест провел вебинар “ Знакомство со стандартом АРБ по непрерывности деятельности кредитных организаций”. Мой анонс этого и других вебинаров был тут . Докладчиком выступил Алексей Бореалис, который также является руководителем группы разработчиков стандарта АРБ по непрерывности деятельности, который рассказал об основных этапах внедрения стандарта. Ниже основные тезисы с его доклада: ·         Анализ влияния на бизнес o    Определяем системы, которые защищаем o    Необходимо оценить ущерб при прерываниях на 1 минуту, 1 час, 1  день, 1 неделя, 1 месяц. В результате должен быть определен максимально допустимое время прерывания бизнеса (максимально допустимый ущерб) o    Исходя из максимального времени прерывания устанавливаются целевые времена восстановления работы систем ·    ...

В предыдущих заметках ( 1 и 2 ) я рассмотрел, почему с точки зрения ИБ необходимо заниматься обеспечением непрерывности бизнеса и восстановлением деятельности и выполнения каких требований надо достичь. Теперь рассмотрим с чего можно начать, если вы решили заняться обеспечение непрерывности бизнеса и восстановления деятельности в организации и что надо включить в план реализации этого проекта. Обратимся к стандартам ИБ в порядке уменьшения их популярности в целом: ·         ISO/IEC 27002. Информационные технологии. Свод правил по управлению защитой информации ·         СТО БР ИББС. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. ·         COBIT. Control Objectives for Information and Related Technology ·         Стандарт АРБ. Система управления непрерывностью деятельности кредитных орга...

В продолжение предыдущей заметки об обеспечении непрерывности бизнеса и учебном курсе “Стандарт АРБ. Обеспечение непрерывности бизнеса и восстановлениядеятельности для Банков в соответствии с требованиями ЦБ РФ” , проведенном в учебном центре Микротест,  привожу интервью с автором курса - Алексеем Бореалисом, руководителем группы разработчиков стандарта АРБ. Почему нужна непрерывность бизнеса ? В условиях больших мегаполисов существует большое число чрезвычайных ситуаций, происходящих в любом районе города - от элементарного пожара до блокировки здания правоохранительными органами. Риски могут быть как технологического характера (просадка здания, обрыв кабеля из-за строительных работ, сбой в серверной из-за прорвавшейся водопроводной трубы или отключившегося в непредвиденно жаркую погоду кондиционера и т.д.), природного характера (подмыв грунтовыми водами, сильнейшие морозы и т.д.), юридического характера (неправильно оформленный договор аренды с последующим вынужденн...

Одна из актуальных тем, озвученных на недавней IV Межбанковской конференции - обеспечение непрерывности бизнеса и восстановления деятельности. 1.                   Необходимость обеспечения непрерывности бизнеса понятна любому руководителю организации. Но обязательно обратите внимание на внешние требования по обеспечению непрерывности: ·          161-ФЗ О национальной платежной системе : “Статья 12. Оператор электронных денежных средств и требования к его деятельности 6. Оператор электронных денежных средств обязан обеспечить бесперебойность осуществления перевода электронных денежных средств в соответствии с требованиями, установленными нормативными актами Банка России. 4. Оператор электронных денежных средств обязан уведомить Банк России в установленном им порядке о начале деятельности по осуществлению перевода электронных денежных средств не ...