CISM. Начало

Сейчас стало ясно, что пандемия Covid-19 захватила мир надолго и ситуация быстро не разрешится. Поэтому я решил не терять времени даром и начать подготовку к экзамену CISM. Я буду писать кратко, тезисно, зато по делу.

1. Зарегистрировался на сайте https://www.isaca.org/. Обратил внимание, что если при регистрации указать ID действующего члена организации, то не будет требоваться вступительный взнос $10. Стоимость годового членства составляет $135. Не оплачивал еще. 

 2. Стоимость официального учебника составляет $135/105, а стоимость доступа в базу с вопросами $399/299. Ничего официального пока не покупал.

3. Купил на Амазоне альтернативный учебник CISM Certified Information Security Manager Bundle 1st Edition. Стоимость с доставкой до Москвы составила $88. Жду доставку.

 4.       Купил неофициальную подборку вопросов около ~1600 штук за $40. Ссылку не даю, так как их много, где продают. Начал смотреть. Проблема с ними в том, что для половины вопросов отсутствуют объяснения, что наводит на мысли о правильности в них ответов вообще.

Очевидно, что позже потребуется покупать доступ к официальным и дорогим вопросам.

По мере изучения вопросов обратил внимание на следующие трудности:

• Главное правильно перевести и понять вопрос и предлагаемые варианты ответов. Понять общий смысл недостаточно, т.к. часто решающими для выбора правильного варианта ответа являются детали вопроса.
• Обычного ИТ английского недостаточно. Нужно неплохо владеть терминологией, используемой во всех разделах курса. Часто используются синонимы, которые не так хорошо всем известны.
• При выборе ответов лучше сразу вычеркивать те, которые совершенно не подходят. Да, бывают вопросы, в которых все ответы кажутся подходящими, но там требуется выбрать лучший из них.
• При выборе ответов нужно представлять себя на месте CISO в крупной организации, причем которая работает по международным практикам, а не "по понятиям", как это часто принято у нас в России.

На этом пока всё. Жду учебник и вникаю в вопросы. Продолжение следует.

Методические рекомендации 16-МР от 06.09.2021 "О повышении внимания кредитных организаций к отдельным операциям клиентов – физических лиц"

06.09.2021 вышли новые методические рекомендации Банка России №16-МР, в которых меня заинтересовал пункт о дополнительном внимательном контроле операций между физическими лицами. Ключевой здесь момент в том, что должны контролироваться операции между физическими лицами. Конечно по гражданскому кодексу бюджет семьи общий, поэтому здесь идет речь о переводах между иными физическими лицами. При желании могут быть и перегибы, но я уверен, что в банковской отрасли чаще работают адекватные сотрудники, поэтому следующие операции вряд ли попадут под дополнительное внимание:

Кейс с Навальным нам поможет?

 

Наверняка все смотрели последние расследования «берлинского пассажира». Лично я смотрю на эту историю с другой стороны, со стороны безопасности. Хочется верить, что приведенные кейсы, помогут нам обезопасть личные данные граждан, которые он (или не он) легко покупал при проведении своих якобы расследований.

Работающие в банках знают, что мы часто мониторим теневой рынок, так называемый даркнет, на предмет продаж банковской тайны. Это не так трудно, как кажется изначально. Достаточно настроить логирование в банковских системах и по логам понимать, кто именно получал доступ к конкретной информации. Далее после контрольных закупок, передавать сведения в правоохранительные органы.

Также и с государственными базами. Давно пора навести порядок с доступом к ним. В сети проходила информация, что «госпробив» стоит не так дорого. Например, за одну запись из системы «Розыск-Магистраль», аналитиками указана цена в 1700 руб. за запись. И вот сейчас подоспела новость, что расследование утечек из этой базы имеет продолжение сотрудниками ФСБ.

Будем надеяться, что случай с «берлинским пассажиром» повлияет на конечную защищенность конфиденциальной информации. Ведь если государство захочет, оно тоже может эффективно бороться с утечками. Достаточно проводить мониторинг интернета и делать контрольные закупки.

А вы что думаете по этому поводу?

Проверка клиентов перед открытием счета

 

Всех с наступившим Новым Годом!

Пришла некоторое время назад идея, как можно банкам снизить процент фрода по программам лояльности. Идея заключается в дополнительной проверке потенциальных клиентов, перед открытием для них новых банковских продуктов, в основном карт.

В конце прошлого года в личном кабинете ФНС (https://www.nalog.ru/) появилась возможность просматривать в каких банках и какие именно счета уже открыты. 

Следовательно, можно при рассмотрении заявлений на выдачу карт, получать согласия на обработку такой информации. В выгрузке останется только исключить умершие банки и посмотреть, сколько действующих счетов и во скольких банках имеются в настоящее время. Но здесь нужно сделать одну ремарку. Иногда встречаются банки, которые после закрытия счета, не передают об этом информацию в ФНС. У меня из таких это Россельхозбанк, Зенит, Ренессанс Кредит.

Далее в зависимости от определенного их количества, пусть будет 10 банков для примера, принимать решение. Если банков больше, скорее всего, перед нами «рецидивист» и такой клиент вряд ли нужен. В крайнем случае можно ему предложить безусловно платный персональный тарифный план, например, на год, и сразу поставить такого клиента в антифрод контроль.

Как вам эта идея? А может где-то это уже реализовано?