Эпиграф
– Классная рубаха!
– Спасибо, это мне санитары подарили
Этот материал был опубликован в Методическом журнале “Внутренний контроль в кредитной организации” № 4 (48) / 2020 (печатается без изменений).
Департамент информационной безопасности Банка России рассмотрел результаты опроса банков на тему сложностей, возникающих при составлении отчетности по форме 0403203 “Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» и использовании подсистемы “Фид-Антифрод“ АСОИ ФинЦЕРТ. Регулятор ответил на вопросы и предоставил комментарии по проблемным аспектам информационного обмена[1].
При написании итогов года я решил взять за основу свои записи в Facebook за 2020 в том же хронологическом порядке, как они появлялись у меня в ленте, не особо заморачиваясь насчёт связности текста. Вот что у меня получилось.
При подготовке статьи частично использовались материалы, представленные на вебинаре “Положение ЦБ РФ № 716-П. Роль ИТ и ИБ в управлении операционным риском“ от компании “Инфосистемы Джет”.
Впервые этот материал был опубликован в Методическом журнале “Внутренний контроль в кредитной организации” № 4 (48) / 2020.
До недавнего времени в кредитных организациях при расчете операционного риска не уделялось должного внимания рискам информационной безопасности (далее - риски ИБ) и рискам информационных систем (далее - риски ИС). Поскольку серьёзных санкций со стороны регулятора за реализацию рисков ИБ и рисков ИС не было, их игнорирование в некоторых кредитных организациях стало обычной практикой. Положение Банка России от 08.04.2020 № 716-П[1] (далее - Положение БР № 716-П), которое вступило в силу с 1 октября 2020 года, призвано исправить ситуацию.
Журнальная версия статьи была опубликована в "Information Security/Информационная безопасность" №4, 2020.
В качестве бодрого начала перефразируем на ИБ-шный лад известное выражение Льва Толстого, с которого начинается роман “Анна Каренина”: “Все модели угроз похожи друг на друга, каждая отдельно взятая взломанная компания уникальна по-своему”.
С ужесточением кризиса всех накрыл океан маркетинговых предложений в Интернете. Вот как это выглядит в соцсетях.
-Друзья! А какого вы мнения о компании ФуфлоСофт?
-А давайте мы к вам приедем и все расскажем!
-Да, я просто спросил…
-Вот наш чек-лист, заполните, пожалуйста, прежде чем покупать наше решение
-Когда я спросил, я не это имел ввиду…
-А, впрочем, наше решение работает прямо из коробки
-А что за решение?
-Коробка у вас под дверью, счет пришлем с курьером
P.S. Маркетинг - вид человеческой деятельности, направленной на удовлетворение нужд и потребностей клиента, о которых он даже не подозревал.
“Лучше ничего не делать, чем делать вредное” (Л.Толстой)
“Прогресс цивилизации
заключается в увеличении количества важных действий, которые мы выполняем не
думая” (Альфред Норт Уайтхед)
“Шеф поставил задачу - подобрать DLP-систему
и просчитать её стоимость” (с одного из банковских форумов)
Личный опыт использования какой-либо технологии всегда сильнее любого маркетинга. Опыт работы с DLP-решениями влияет на знание деталей применения, а осмысление этого опыта подталкивает иногда к довольно радикальным формулировкам.
Все в этой жизни построено на оценке рисков
Банковская сфера в
настоящий момент всё ещё под капельницей, в качестве которой можно
рассматривать, например, систему управления операционным риском кредитной
организации.
В июне 2020, наконец-то, было опубликовано новое Положение Банка России от 08.04.2020 № 716‑П “О требованиях к системе управления операционным риском в кредитной организации и банковской группе”.
*DLP - стандартное DLP-решение (Data Leak Prevention)
позиционируется как решение по защите от утечек данных и противодействию
инсайдерам
От темы пандемии сейчас трудно абстрагироваться, поэтому проведу параллели с DLP.