Реализация требований СТО БР ИББС

Для организаций банковской отрасли задача обеспечения информационной безопасности является одним из важных требований бизнеса. Являясь объектом пристального внимания злоумышленников, банки ежедневно сталкиваются с инцидентами и потенциальными угрозами информационной безопасности.

Для обеспечения необходимого и достаточного уровня информационной безопасности в организациях банковской системы России, Центробанком совместно с банковским сообществом была разработана серия стандартов по информационной безопасности СТО БР ИББС. Система обеспечения информационной безопасностью (СОИБ), построенная в соответствии с СТО БР ИББС, представляет собой комплекс организационных и технических защитных мер, основанный на принципах единого менеджмента, обеспечивающего адекватность реальным угрозам информационной безопасности в рамках всей банковской организации.

Немаловажным является, что последняя версия стандарта гармонизирована с требованиями Федерального законодательства по персональным данным, в том числе их защите, что повышает эффективность и упрощает задачу по реализации данных требований в банковских организациях.

По данным ABISS, несмотря на рекомендательный характер СТО БР ИББС, абсолютное большинство (более 80%) опрошенных банков изучили положения стандартов и планируют внедрять их на практике.

Банковский стандарт по информационной безопасности базируется на лучших практиках и основных принципах стандартов менеджмента, поэтому комплекс услуг по реализации его требований, представляет собой последовательность следующих этапов, являющихся частью общего жизненного цикла системы обеспечения информационной безопасности:

1. Предварительный аудит. Целью данного этапа является оценка текущего состояния информационной безопасности банка, выявление несоответствий требованиям стандартов серии СТО БР ИББС, а также разработка рекомендаций по устранению обнаруженных несоответствий.
2. Проектирование и реализация СОИБ. В рамках данного этапа, как правило, осуществляются работы по определению информационных активов, подлежащих защите, оценке актуальных угроз и рисков, разработке комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты и другие. Частью работ, проводимых в рамках этапа реализации СОИБ совместно со специалистами банка, является внедрение процессов управления информационной безопасностью. Результатом этапа является система обеспечения информационной безопасности, готовая к вводу в эксплуатацию.
3. Оценка соответствия. Является контрольным этапом, необходимым для оценки достигнутого уровня соответствия требованиям стандарта. В целях получения объективного и качественного результата проводится после определенного периода эксплуатации, который составляет, как правило, от 3 до 6 месяцев. Работы по оценке осуществляются в соответствие с методикой Банка России СТО БР ИБСС-1.2.-20хх и могут быть выполнены собственными силами (самооценка) и/или с привлечением внешней организации (аудит).

В результате проведения перечисленных работ повышается устойчивость бизнеса банка за счет снижения рисков по информационной безопасности и обеспечивается соответствие отраслевым рекомендациям и законодательным требованиям.