Оценка соответствия требованиям стандарта Банка России СТО БР ИББС

С принятием ГОСТ Р 57580.1 стандарт СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» остается и сохраняет свое действие. Стандарт будет развиваться, потому что нужен для осознания необходимости общего подхода к обеспечению и оценке уровня информационной безопасности, учитывающего специфику систем и процессов финансовых организаций. Стандарт ориентирован именно на банковские реалии и учитывает передовой опыт требований международных стандартов и подходов в области информационной безопасности.

Хотя требования стандарта Банка России носят рекомендательный характер, положения СТО БР ИББС де-факто используются в банковской сфере в качестве отраслевого стандарта в области обеспечения информационной безопасности. Соответствие требованиям данного стандарта – это не выполнение исключительно формальных требований с целью прохождения всех проверок, а реальное повышение уровня информационной безопасности кредитно-финансовой организации.

НТЦ «Вулкан», обладая всеми необходимыми компетенциями, готов выполнить в интересах заказчика работы по оценке соответствия требованиям стандарта Банка России СТО БР ИББС.

Состав работ

  • Документальный аудит, сбор документов и документальных свидетельств.
  • Оценка текущего уровня информационной безопасности финансовой организации.
  • Оценка имеющегося в финансовой организации менеджмента информационной безопасности.
  • Оценка уровня осознания финансовой организацией информационной безопасности.
  • Анализ свидетельств с точки зрения критериев оценки.
  • Определение степени соответствия информационной безопасности финансовой организации критериям оценки информационной безопасности требованиям стандарта СТО БР ИББС.
  • Разработка рекомендаций по устранению выявленных несоответствий и повышению уровня соответствия информационной безопасности требованиям СТО БР ИББС.

Оценка текущего уровня информационной безопасности финансовой организации проводится по следующим направлениям:

  • Назначение и распределение ролей и обеспечения доверия к персоналу.
  • Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем финансовой организации.
  • Защите от несанкционированного доступа, управления доступом и регистрацией всех действий.
  • Антивирусная защита.
  • Использование ресурсов сети Интернет.
  • Использование криптографических средств защиты.
  • Защита банковских платежных и информационных технологических процессов.
  • Защита персональных данных.

Оценка имеющегося в финансовой организации менеджмента информационной безопасности производится в рамках таких процессов, как:

  • планирование,
  • реализация,
  • проверка,
  • совершенствование.

Оценивается выполнение требований:

  • К организации и функционированию службы информационной безопасности.
  • К определению/коррекции области действия системы обеспечения безопасности информации.
  • К оценке рисков безопасности информации.
  • К разработке планов обработки рисков.
  • К внутренним документам, регламентирующих деятельность в области обеспечения безопасности информации.
  • К принятию руководством финансовой организации решений по вопросам безопасности информации.
  • К организации обучения и повышению осведомленности в области обеспечения безопасности информации.
  • К обнаружению и реагированию на инциденты безопасности.
  • К обеспечению непрерывности бизнеса.
  • К мониторингу и контролю защитных мер.
  • К проведению самооценки и аудита информационной безопасности.

Преимущества

Документальное подтверждение соответствия информационной безопасности финансовой организации требованиям стандарта СТО БР ИББС повышает рейтинг финансовой организации и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в финансовой организации налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности.