Обеспечение соответствия требованиям СТО БР ИББС

 

Стандарт Банка России (СТО БР ИББС) обеспечивает информационную безопасность (далее - ИБ) организаций банковской системы Российской Федерации (далее - БС РФ), их активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.

СТО БР ИББС рекомендован для организаций банковской системы Банком России, с учетом международных требований и российского законодательства (включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных») и отраслевыми стандартами в области информационной безопасности.

Важнейшим условием эффективного и бесперебойного функционирования банковской системы РФ является обеспечение необходимого и достаточного уровня ИБ организации БС РФ.

Это обусловлено тем, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб собственникам и клиентам БС РФ. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим, Банком России разработан комплекс Стандартов обеспечения информационной безопасности БС РФ.

Основными ключевыми положениями комплекса Стандартов Банка России являются:

• инвентаризация информационных активов и ресурсов;
• определение злоумышленника (внешнего и внутреннего);
• обоснованный и точный прогноз возможных рисков нарушения ИБ (модель угроз);
• минимизация рисков нарушения ИБ – разработка политик ИБ;
• управление рисками (риски нарушения ИБ должны быть согласованы и иерархически связаны с рисками основной деятельности организации БС РФ);
• постоянный анализ и изучение инфраструктуры организации БС РФ, с целью выявления и установления уязвимостей;
• совокупность защитных мер и процессов эксплуатации (меры должны обеспечивать требуемый уровень ИБ, в условиях штатного функционирования, также в условиях реализации угроз, учтенных в разработанных моделях угроз организации БС, и приводящих к их возникновению).

Стандарт Банка России в случаи, если организация банковской системы приняла решение по его внедрению, становится обязательным. СТО БР ИББС – 1.0 требует достижения уровней соответствия.

Имеющийся опыт нашей компании по обеспечению информационной безопасности организаций банковской системы РФ поможет достичь необходимый и требуемый уровень информационой безопасности, свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

В процессе оказания консалтинговых услуг по приведения к приемлемому уровню соответствия состояния ИБ Заказчика наша компания обеспечит поставку решений по развитию системы обеспечения информационной безопасности, соблюдая требования Стандарта Банка России и используя продукты опробированные в зарубежных и российских Банках.

Оценка соответствия (аудит) информационной безопасности организаций банковской системы Российской Федерации

Для своевременного обнаружения проблем, прямо или косвенно относящиеся к ИБ, необходимо осуществлять мониторинг и контроль используемых защитных мер, периодически выполнять деятельность по самооценке соответствия ИБ организации БС РФ требованиям СТО БР ИББС (далее — самооценка ИБ) и проводить оценку соответствия (аудит) ИБ.

Самооценку ИБ эксперты нашей компании проводят в соответствии со стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. В процессе самооценки ИБ мы проводим оценку степени выполнения требований настоящего стандарта и на ее основе — вычисление итогового уровня ИБ организации БС РФ. Уровень соответствия ИБ организации БС РФ, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России.

Оценку соответствия ИБ (аудит ИБ) мы проводим в соответствии с международными стандартами, требованиями стандартов Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности". Оценка соответствия ИБ является одной из форм проверки и оценки (контроля) выполнения организацией БС РФ требований настоящего стандарта.

В результате проведенных нами работ по оценке соответствия информационной безопасности, Заказчику предоставляется Заключение по результатам аудита (оценки соответствия) информационной безопасности (аудиторское заключение).

Приведение в соответствие требованиям комплекса СТО БР ИББС организаций банковской системы РФ обеспечивает: развитие и укрепление информационной безопасности организации; повышение доверия со стороны Банка России; поддержание стабильности организации — стабильности организации банковской системы в целом; достижение адекватности мер защиты реальным угрозам информационной безопасности; предотвращение и (или) снижение ущерба от инцидентов информационной безопасности; повышение доверия со стороны клиентов и партнеров.

Стандарты Банка России охватывают весь набор требований как по выполнению требований Федерального Закона «О персональных данных», так и по выполнению требований и рекомендаций Регуляторов по данному вопросу.