среда, 25 июля 2012 г.

Семинар Курило по НПС


Был сегодня на платном семинаре ЦБ по вопросам НПС. Пересказываю для отсутствующих:

В последних документах ЦБ акцент сдвинут от требований к деятельности. Документы сделаны на основе СТО БР и методики оценки соответствия, т.е. есть преемственность подходов.  Важным стало появление регулярной отчетности по ИБ. Банки должны отправлять отчетность через Клико, однако ЦБ не успевает сделать форму, поэтому первый раз нужно будет передавать отчетность в бумажном виде в экспедицию территориального управления ЦБ.
На вопрос о судьбе СТО БР было сказано, что этот стандарт так и останется рекомендательным, эдаким источником знаний типа Wikipedia. Более того ЦБ никогда и не был его инициатором (!), поэтому за такой поворот им не стыдно. Что делать тем банкам, которые следовали СТО БР и которых 80%? Было обещано, что их труды не пройдут даром, и они зачтутся. Для себя ЦБ сделает некий конвертер для приведения результатов самооценки и сегодняшней отчетности к одному знаменателю. Отчет по самооценке можно им высылать в течение двух лет, хоть сейчас, но спешить не следует.
ЦБ намерен активно вести деятельность по защите электронных средств платежей, в которые подпадает ДБО. Более того ЦБ для себя открыл существование стандарта PCI DSS, в котором также есть оценка соответствия требованиям. В России есть несколько переводов PCI DSS на русский язык, ЦБ начал работу по переводу тоже. Планируется, что официальный перевод будет доступен на сайте ЦБ. Также ЦБ планирует вступить в отношения с PCI DSS Консулом и тем самым начать признавать сертификаты, выдаваемые интеграторами, как доказательства реального положения дел, пусть только в области обработки пластика. Свои же документы ЦБ хочет доработать так, чтобы они полностью пересекались с требованиями PCI DSS.
Что входит в область действия НПС все итак уже знают. Это и ДБО, это и АБС, это и системы мгновенных переводов денег. Главное банкам не пытаться сужать эту область, а ориентироваться, как и раньше, на СТО БР и локальные правила.
В ЦБ уже начали поступать документы на регистрацию платежных систем. По закону эти требования носят заявительный характер. До конца года такие организации должны заявить о себе. Пока ни одной системы не зарегистрировано. Можно ожидать появление реестра к весне 2013 года.
По инцидентам. Если банк имеет филиалы, то отчет должна делать только головная организация и должна включать в него инциденты из филиалов. В отчет должна попадать информации обо всех инцидентах, включая дроперов и инциденты систем мгновенных переводов денег. Если инцидентов нет, то нужно присылать пустой отчет. ЦБ же будет собирать отчеты, анализировать их и выкладывать на своем сайте сводные данные о состоянии ИБ в отрасли.
ЦБ заинтересован в качественной работе с банками по линии ИБ, поэтому если появляются вопросы, нужно оперативно направлять их к ним через АРБ. Также в ЦБ открылась интернет-приемная, в которую можно также направлять вопросы.
На семинаре задавалось много вопросов, на большую их часть ответы получены не были по причине того, что «это наша первая попытка сбора инцидентов и мы будем думать, что делать дальше». Общее впечатление в части полезности мероприятия оцениваю на 3.

пятница, 20 июля 2012 г.

Про дипломы

Прочитал про создаваемый на базе ФМС реестр паспортов граждан РФ, и у меня появилась мысль, что неплохо было бы иметь реестр дипломов.

Ситуация с образованием в стране оставляет желать лучшего. При желании можно купить любой диплом любого ВУЗа страны. При устройстве на работу такой купленный диплом, скорее всего, проверять никто не будет или не сможет. Поэтому при желании каждый житель страны может «окончить» с отличием хоть МГУ. Рейтинги ВУЗов общедоступны. Забиваем в Google словосочетание «купить диплом» и получаем на выходе 910 тыс. ссылок. Я пролистал 10 экранов этих ссылок и понял, что за этим стоит целая мошенническая индустрия.

Я считаю, что информация об образовании должна стать общедоступной. С точки зрения работодателя интерес представляет не только факт окончания ВУЗа, но и оценки соискателя по ряду предметов. Как вам, например, хирург-троечник? Можно сделать на базе Минобразования очередную ИС, информация о дипломах в которой станет общедоступна через сеть Интернет.

Чтобы эти персональные данные стали общедоступными достаточно внести очередную поправку в 152-ФЗ, т.к. получение согласия с каждого владельца диплома более проблематично.

воскресенье, 15 июля 2012 г.

Автонавигатор

Купил себе автонавигатор, а вместе с ним и SIM-карту с тарифным планом от МТС. При покупке заполнил всё, что нужно своими данными, а вот сегодня решил зайти в личный кабинет. И понял, что SIM-карта зарегистрирована на другое ФИО.


То есть я даже не могу обратиться к оператору для решения каких-либо проблем.

Поэтому хочу тут озвучить свое мнение на счет того, что необходимо сделать, если не для личной безопасности, но для безопасности общества точно:

1) Продавать мобильники и прочие устройства только по договору с оператором;

2) Продавать тарифные планы только по договору с оператором;

3) «Привязывать» устройства и тарифы к конкретному человеку.

4) Можно даже создать для органов БД динамического геоучета абонентов.

среда, 11 июля 2012 г.

Вперед к НПС

Не прошло и месяца со дней вступления в силу документов ЦБ по защите информации в национальной платежной системе, как появились следующие активности у заинтересованных сторон.

1) Уже появилось три платных семинара по защите информации в НПС: Лукацкий, Курило, Хайров.

2) Начали поступать аналитические материалы и ТКП от интеграторов.

3) Появляются бесплатные тематические завтраки, обеды и ужины.

Хорошим мне здесь видится то, что наконец-то некоторые из основных положений до сих пор необязательного для исполнения СТО БРР ИББС становятся обязательными. С другой стороны это только начало, так как, проведя аналогию с 152-ФЗ, который был принят аж в 2006 году, многие до сих пор занимают выжидательную позицию и будут занимать её до появления (нужное подчеркнуть) изменений КоАП, судебных прецедентов, закрытия компаний.

Почему я думаю так? Потому, что времени на самооценку дали 2 года. Потому, что отчеты по инцидентам никто не запретит отправлять пустыми. Потому, что вначале нужно было создать реестр платежных систем, из которых строится НПС, а потом уже выдвигать компаниям правила игры в защиту информации на платежном рынке.