GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
ISO 27001 и BASEL II printer friendly version
next newest post | next oldest post
Author Messages
crazyman
Private

Gender: Unspecified
Location:
Registered: Apr 2007
Status: Offline
Posts: 6

Click here to see the profile for crazyman Send email to crazyman Send private message to crazyman Find more posts by crazyman Edit or delete this message Reply w/Quote
Posted Sunday, April 29, 2007 @ 23:14:06  

Здравствуйте.
Есть банк, хотим внедрить эти стандарты. Пошли трения между подразделением по ИБ и подразделением управлению рисками.
Поясните мне, что приоритетней внедрять ISO 27001 или BASEL II?


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, May 2, 2007 @ 17:07:41  

Это совершенно разные вещи. Все равно что спросить, что нам внедрять: антивирусы или новую систему бухгалтерского учета.
ISO 27001 - это международный стандарт и он по определению носит рекомендательный характер.
Требования BASEL II обязательны для выполнения всеми странами, участниками базельского соглашения.
ISO 27001 - это самая общая спецификация системы управления ИБ. BASEL II - это соглашение между центральными банками о соблюдении определенных требований по достаточности капитала в зависимости от уровней рисков, по внутреннему контролю и управлению рисками (вернее открытости информации по управлению рисками и используемой методологии внутреннего контроля).

Вы можете внедрять BASEL II, не внедряя ISO 27001, но у вас не получиться внедрить ISO 27001, не внедрив BASEL II, т.к. одно из обязательных условий для внедрения этого стандрата - соответствие всем применимым к организации законодательным и нормативным требованиям.

--------------------

crazyman
Private

Gender: Unspecified
Location:
Registered: Apr 2007
Status: Offline
Posts: 6

Click here to see the profile for crazyman Send email to crazyman Send private message to crazyman Find more posts by crazyman Edit or delete this message Reply w/Quote
Posted Thursday, May 3, 2007 @ 13:45:55  

Хмм, надо будет поподробнее почитать BASEL II.
Спасибо за пояснение
Я считал, что ISO 27001 это общий стандарт. А BASEL это некий инструмент для снижения рисков (например операционных рисков).

ifqm
Private

Gender: Male
Location:
Registered: Aug 2007
Status: Offline
Posts: 1

Click here to see the profile for ifqm Send email to ifqm Send private message to ifqm Find more posts by ifqm Edit or delete this message Reply w/Quote
Posted Monday, August 6, 2007 @ 21:47:38  

Хотелось бы немного поспорить


ISO 27001 - это международный стандарт и он действительно носит рекомендательный характер (кроме Японии). Также как и модель OSI и язык SQL. Kонечно, если организация желает получить подтверждение соответствия на внешнем аудите, а не просто использует его (ISO 27001) для удовлетворения любознательности он станет носить ОБЯЗАТЕЛЬНЫЙ характер (для организации). Т.е. если использует стандарт в виде набора требований как инструмент, который решает совершенно определенные задачи).
Требования BASEL II - рекомендательный...
В банковском сообществе, насколько мне известно, пока нет единого мнения по поводу перехода на BASEL II в части механизмов (в т.ч. и в ЦБ РФ в виде законченной программы). В отличие от того-же ISO 27001, по которому проводятся аудиты, есть аккредитованные органы по сертификации (индустрия аудитов), есть индустрия консультационных услуг, индустрия Software, индустрия Hardware... (конечно идустрия - это громко сказано. По миру, если у меня верная информация, около 3800 сертифицированных компаний из них почти 2300 в Японии, где этот стадарт Обязательный)
С BASEL II вообще может произойти такая-же ситуация как с Киотским протоколом - крупнейшие игроки (для Киотского протокола Китай и США - одни из основных загрязнителей) просто не признали его в качестве инструмента.

Почему такие параллели. Суть стандартов - риск менеджмент в отношении соответствющих активов в сответствующих проекциях (информация, финансы, экология) . Соответственно подходы к признанию или походы к смерти у них по сути одинаковые (имеется ввиду достаточно широкое применение или тупиковость тех или иных стандартов в мире).

В принципе, согласен с автором [Alexander Astahov]. Уровень достаточности капитала с учетом взвешенных рисков и безопасность информации важной для бизнеса - суть разные вещи, что для торговца на рынке, что для инвестиционного банка.

Единственный непонятный момент почему, если международный стандарт - тогда "по определению рекомендательный".

С уважением
Ifqm



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Tuesday, August 7, 2007 @ 11:05:50  

Quote:
Originally posted by ifqm

Единственный непонятный момент почему, если международный стандарт - тогда "по определению рекомендательный".

С уважением
Ifqm

По определению, потому что так определено в ФЗ "О техническом регулировании". Там правда используется термин "добровольный". Согласно этому закону стандартизация в стране осуществляется в соответствии с принципом добровольности применения стандартов (в отличие от технического регулирования и технических регламентов). Тежи принципы действуют и в европейских странах. UKAS, например, это добровольная система сертификации.

Можно подробнее про Японию. Если там сертификация по ISO 27001 носит обязательный характер, то почему там выдано только 2300 сертификатов? Или там не для всех обязательно? Малому бизнесу тоже обязательно сертифицироваться по ISO 27001?

--------------------

crazyman
Private

Gender: Unspecified
Location:
Registered: Apr 2007
Status: Offline
Posts: 6

Click here to see the profile for crazyman Send email to crazyman Send private message to crazyman Find more posts by crazyman Edit or delete this message Reply w/Quote
Posted Tuesday, August 28, 2007 @ 14:33:23  

Еще один вопросик. Необходимо завести базы.
В чем различия между базой инцидентов и базой операционных рисков? Или это одно и тоже?


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, August 29, 2007 @ 14:36:32  

Более менее устоявшейся терминологии пока не существует.
Мы в своей практике обычно используем понятия журнал инцидентов ИБ и реестр информационных рисков, которые используются соответственно в процессах управления инцидентами и в процессах управления рисками.

--------------------

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 22
There are currently 0 members and 22 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex