Тел.:

+7 (499) 502-54-85

Адрес:

Москва, пр-т Маршала Жукова, д. 6

    Архив новостей    Система обеспечения информационной безопасности организаций банковской сферы. Комплекс БР ИББС


15 февраля 2014 г.

Система обеспечения информационной безопасности организаций банковской сферы. Комплекс БР ИББС

Процесс информатизации не только предоставляет новые возможности для ведения бизнеса, но и приносит новые угрозы, повышая значимость вопросов обеспечения информационной безопасности для стабильности любого современного бизнеса, не говоря уже о банковской сфере, острота и критичность вопросов обеспечения информационной безопасности которой связана со спецификой отрасли.

Следствием понимания того, что уязвимость отдельных организаций, входящих в банковскую систему, может негативно сказаться на всём банковском сообществе России, стало создание в 2004 году ЦБ РФ совместно с банковским сообществом первого отраслевого стандарта в области информационной безопасности - "Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2004".

Основанный на международных подходах, стандарт определил основные требования к структуре и основным элементам системы обеспечения информационной безопасности банковской организации.

Данный стандарт, несмотря на его рекомендательный характер, стал основой для формирования нормативно-методической базы по построению систем обеспечения информационной безопасности и одним из первоочередных документов для организаций банковской системы Российской Федерации. Также это скажется на кредитовании, например, купить обручальные кольца в кредит станет проще.

Возросшая в последнее время актуальность вопросов обеспечения информационной безопасности обусловлена не только развитием технологий и возросшим числом угроз, но и появлением новых законодательных требований.

На этом фоне новая, уже четвёртая, версия СТО БР ИББС-1.0 от 2010 года - стала, пожалуй, самой ожидаемой и долгожданной.

Большой интерес вызван в основном появлением в стандарте требований по защите персональных данных, позволяющих организациям банковской системы Российской Федерации выполнять требования Федерального закона от 27.07.06 N 152-ФЗ "О персональных данных", а также требования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Теперь базовый отраслевой стандарт в области информационной безопасности, базирующийся на лучших практиках и принципах международных стандартов, позволяет организациям, внедрившим его, не только построить эффективную систему обеспечения информационной безопасности, но и руководствоваться им при проведении работ в соответствии с законодательными требованиями Российской Федерации по защите информации, отнесённой к персональным данным, банковской и коммерческой тайне.

Кроме того, новая версия стандарта согласована с регуляторами - Роскомнадзором, ФСБ и ФСТЭК России.

Помимо четвёртой редакции СТО БР ИББС-1.0 - в части требований по обработке и обеспечению безопасности персональных данных была доработана и методика оценки соответствия (СТО БР ИББС-1.2-2010).

Кроме того, комплекс БР ИББС пополнился новыми документами, это:

  • рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4);
  • рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.3).

Также совместно Банком России, АРБ и Ассоциацией региональных банков России (ассоциацией "Россия") были разработаны Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации. Наряду с этим, были выполнены разработки спецсредств скрытого видеонаблюдения вмонтированного в помолвочные кольца.

Документы комплекса БР ИББС разъяснили и адаптировали положения законодательства и требования регуляторов в области обеспечения безопасности персональных данных с учётом отраслевой специфики и содержат рекомендации по созданию адекватной системы защиты персональных данных в рамках системы обеспечения информационной безопасности. Важно и то, что документы стандарта значительно упрощают требования к информационным системам персональных данных в сравнении с требованиями регуляторов.

Теперь комплекс БР ИББС - единый отраслевой набор документов по построению системы обеспечения информационной безопасности, соответствующий законодательным и отраслевым требованиям, согласованный со всеми регуляторами, содержащий отраслевую модель угроз и шаблоны всех необходимых внутренних организационно-распорядительных документов.

Внедрение комплекса БР ИББС даёт возможность выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление и ликвидацию различных видов угроз информационной безопасности, а также организацию эффективно функционирующей системы обеспечения информационной безопасности, соответствующей требованиям стандарта Банка России и Федерального закона "О персональных данных". Предлагаемый комплексный подход позволяет создать современную эффективную систему, которая отвечает всем основным требованиям в области информационной безопасности и при этом не содержит жёстких требований к применяемым организационным мерам и техническим средствам.

Теперь у организаций банковской системы для обеспечения соответствия законодательным требованиям в области персональных данных есть два возможных пути:

  • принять для себя комплекс БР ИББС обязательным и приступить к построению системы обеспечения информационной безопасности;
  • выполнять требования регуляторов (Роскомнадзора, ФСТЭК и ФСБ России).

Признание комплекса БР ИББС обязательным к исполнению позволяет значительно сократить финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечить соответствие признанному отраслевому стандарту. В случае принятия в банке комплекса БР ИББС необходимо выполнить следующие действия:

  • предварительная оценка соответствия. Целью данного этапа является оценка текущего состояния информационной безопасности, выявление несоответствий требованиям стандарта;
  • внедрение. В рамках данного этапа осуществляются работы по определению информационных активов, подлежащих защите, оценке актуальных угроз и рисков, разработке комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты;
  • оценка соответствия. Данный этап является необходимым для оценки достигнутого уровня соответствия требованиям стандарта. По результатам выпускается документ "Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0-2010", который должен быть направлен не позже 31 декабря 2010 года в адрес Банка России, Роскомнадзора, ФСТЭК России и ФСБ России.

В новой версии стандарта банковское сообщество получило единые адаптированные отраслевые требования в области информационной безопасности, которые позволяют реализовать единый комплекс мер, соответствующий основным законодательным и отраслевым требованиям.

 

Е. Заяц

Компания «ВидеоИнспектор» © 2003-2016 Копирование информации запрещено.