Выполнение требований СТО БР ИББС-1.0-2010

Обеспечение информационной безопасности является одним из важных требований бизнеса для организаций банковской системы РФ. Для обеспечения необходимого и достаточного уровня информационной безопасности в организациях банковской системы России, ЦБ РФ совместно с банковским сообществом была разработана серия стандартов по информационной безопасности СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения». Система обеспечения информационной безопасности (СОИБ), построенная в соответствии с СТО БР ИББС, представляет собой комплекс организационных и технических защитных мер, основанный на принципах единого менеджмента, обеспечивающего адекватность реальным угрозам информационной безопасности в банковской организации в целом. 

 В актуальную версию стандарта были внесены изменения в соответствии с требованиями федерального законодательства по защите персональных данных, что позволяет реализовать данные требования в банковских организациях в рамках внедрения СТО БР ИББС. 

 Стандарт СТО БР ИББС-1.0 является рекомендательным для организаций банковской системы России, его положения применяются на добровольной основе, если необходимость соответствия ему не установлена самой кредитной организацией. 

 Комплекс мер по приведению деятельности организации в соответствие с требованиями стандарта представляет собой последовательность следующих этапов, являющихся частью общего жизненного цикла системы обеспечения информационной безопасности: 

 1.    Предварительный аудит. Целью этого этапа является оценка текущего состояния информационной безопасности банка, выявление несоответствий требованиям стандартов серии СТО БР ИББС, а также разработка рекомендаций по устранению обнаруженных несоответствий. 

 2.    Проектирование и реализация СОИБ. В рамках этого этапа, как правило, осуществляются работы: 

  • по определению информационных активов, подлежащих защите, оценке актуальных угроз и рисков;
  • разработка комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты и другие. 

Частью работ, проводимых в рамках этапа реализации СОИБ совместно со специалистами банка, является внедрение процессов управления информационной безопасностью. 

Результатом этапа является система обеспечения информационной безопасности, готовая к вводу в эксплуатацию. 

3.    Оценка соответствия. Является контрольным этапом, необходимым для оценки достигнутого уровня соответствия требованиям стандарта. В целях получения объективного и качественного результата оценка соответствия проводится после определенного периода эксплуатации, который составляет, как правило, от 3 до 6 месяцев. Работы по оценке осуществляются в соответствии с методикой Банка России СТО БР ИБСС-1.2 и могут быть выполнены собственными силами (самооценка) и/или с привлечением внешней организации (аудит). 

 В результате оценки получается числовое значение для каждого из направлений защиты информации, которые, как правило, отражают на круговой диаграмме: 

 

 

 Рисунок 1. Диаграмма оценки соответствия 

 

В результате проведения перечисленных работ повышается устойчивость бизнеса банка за счет снижения рисков по информационной безопасности и обеспечивается соответствие отраслевым рекомендациям и законодательным требованиям.