Оценка соответствия требованиям стандарта Банка России СТО БР ИББС

С принятием ГОСТ Р 57580.1 стандарт СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» остается и сохраняет свое действие. Стандарт будет развиваться, потому что нужен для осознания необходимости общего подхода к обеспечению и оценке уровня информационной безопасности, учитывающего специфику систем и процессов финансовых организаций. Стандарт ориентирован именно на банковские реалии и учитывает передовой опыт требований международных стандартов и подходов в области информационной безопасности.

Хотя требования стандарта Банка России носят рекомендательный характер, положения СТО БР ИББС де-факто используются в банковской сфере в качестве отраслевого стандарта в области обеспечения информационной безопасности. Соответствие требованиям данного стандарта – это не выполнение исключительно формальных требований с целью прохождения всех проверок, а реальное повышение уровня информационной безопасности кредитно-финансовой организации.

НТЦ «Вулкан», обладая всеми необходимыми компетенциями, готов выполнить в интересах заказчика работы по оценке соответствия требованиям стандарта Банка России СТО БР ИББС.

Состав работ

• Документальный аудит, сбор документов и документальных свидетельств.
• Оценка текущего уровня информационной безопасности финансовой организации.
• Оценка имеющегося в финансовой организации менеджмента информационной безопасности.
• Оценка уровня осознания финансовой организацией информационной безопасности.
• Анализ свидетельств с точки зрения критериев оценки.
• Определение степени соответствия информационной безопасности финансовой организации критериям оценки информационной безопасности требованиям стандарта СТО БР ИББС.
• Разработка рекомендаций по устранению выявленных несоответствий и повышению уровня соответствия информационной безопасности требованиям СТО БР ИББС.

Оценка текущего уровня информационной безопасности финансовой организации проводится по следующим направлениям:

• Назначение и распределение ролей и обеспечения доверия к персоналу.
• Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем финансовой организации.
• Защите от несанкционированного доступа, управления доступом и регистрацией всех действий.
• Антивирусная защита.
• Использование ресурсов сети Интернет.
• Использование криптографических средств защиты.
• Защита банковских платежных и информационных технологических процессов.
• Защита персональных данных.

Оценка имеющегося в финансовой организации менеджмента информационной безопасности производится в рамках таких процессов, как:

• планирование,
• реализация,
• проверка,
• совершенствование.

Оценивается выполнение требований:

• К организации и функционированию службы информационной безопасности.
• К определению/коррекции области действия системы обеспечения безопасности информации.
• К оценке рисков безопасности информации.
• К разработке планов обработки рисков.
• К внутренним документам, регламентирующих деятельность в области обеспечения безопасности информации.
• К принятию руководством финансовой организации решений по вопросам безопасности информации.
• К организации обучения и повышению осведомленности в области обеспечения безопасности информации.
• К обнаружению и реагированию на инциденты безопасности.
• К обеспечению непрерывности бизнеса.
• К мониторингу и контролю защитных мер.
• К проведению самооценки и аудита информационной безопасности.

Преимущества

Документальное подтверждение соответствия информационной безопасности финансовой организации требованиям стандарта СТО БР ИББС повышает рейтинг финансовой организации и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в финансовой организации налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности.