С принятием ГОСТ Р 57580.1 стандарт СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» остается и сохраняет свое действие. Стандарт будет развиваться, потому что нужен для осознания необходимости общего подхода к обеспечению и оценке уровня информационной безопасности, учитывающего специфику систем и процессов финансовых организаций. Стандарт ориентирован именно на банковские реалии и учитывает передовой опыт требований международных стандартов и подходов в области информационной безопасности.
Хотя требования стандарта Банка России носят рекомендательный характер, положения СТО БР ИББС де-факто используются в банковской сфере в качестве отраслевого стандарта в области обеспечения информационной безопасности. Соответствие требованиям данного стандарта – это не выполнение исключительно формальных требований с целью прохождения всех проверок, а реальное повышение уровня информационной безопасности кредитно-финансовой организации.
НТЦ «Вулкан», обладая всеми необходимыми компетенциями, готов выполнить в интересах заказчика работы по оценке соответствия требованиям стандарта Банка России СТО БР ИББС.
Состав работ
- Документальный аудит, сбор документов и документальных свидетельств.
- Оценка текущего уровня информационной безопасности финансовой организации.
- Оценка имеющегося в финансовой организации менеджмента информационной безопасности.
- Оценка уровня осознания финансовой организацией информационной безопасности.
- Анализ свидетельств с точки зрения критериев оценки.
- Определение степени соответствия информационной безопасности финансовой организации критериям оценки информационной безопасности требованиям стандарта СТО БР ИББС.
- Разработка рекомендаций по устранению выявленных несоответствий и повышению уровня соответствия информационной безопасности требованиям СТО БР ИББС.
Оценка текущего уровня информационной безопасности финансовой организации проводится по следующим направлениям:
- Назначение и распределение ролей и обеспечения доверия к персоналу.
- Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем финансовой организации.
- Защите от несанкционированного доступа, управления доступом и регистрацией всех действий.
- Антивирусная защита.
- Использование ресурсов сети Интернет.
- Использование криптографических средств защиты.
- Защита банковских платежных и информационных технологических процессов.
- Защита персональных данных.
Оценка имеющегося в финансовой организации менеджмента информационной безопасности производится в рамках таких процессов, как:
- планирование,
- реализация,
- проверка,
- совершенствование.
Оценивается выполнение требований:
- К организации и функционированию службы информационной безопасности.
- К определению/коррекции области действия системы обеспечения безопасности информации.
- К оценке рисков безопасности информации.
- К разработке планов обработки рисков.
- К внутренним документам, регламентирующих деятельность в области обеспечения безопасности информации.
- К принятию руководством финансовой организации решений по вопросам безопасности информации.
- К организации обучения и повышению осведомленности в области обеспечения безопасности информации.
- К обнаружению и реагированию на инциденты безопасности.
- К обеспечению непрерывности бизнеса.
- К мониторингу и контролю защитных мер.
- К проведению самооценки и аудита информационной безопасности.
Преимущества
Документальное подтверждение соответствия информационной безопасности финансовой организации требованиям стандарта СТО БР ИББС повышает рейтинг финансовой организации и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в финансовой организации налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности.