Услуги

Соответствие СТО БР ИББС

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — это группа документов ЦБ РФ, в которых выработан  единый метод к разработке системы обеспечения информационной безопасности (СОИБ) организаций банковской сферы с учётом требований законодательства Российской Федерации:
•    Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018).
•    Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-1.3-2016).
•    Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014).
•    Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014).
•    Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007).
Также Банком России разработаны  рекомендации в области стандартизации, с которыми можно ознакомиться на сайте cbr.ru.
Для начала, разберемся в таком понятии, как  система обеспечения информационной безопасности – это комплексное решение, которое выявляет  актуальные угрозы и уязвимости (ИБ) и может правильным образом построить защиту.  
СОИБ включает в себя:
1.    Систему менеджмента информационной безопасности (СМИБ) – комплекс организационных мер и постоянно выполняемых в банке процессов менеджмента;
2.    Систему информационной безопасности (СИБ) – это целый ряд реализуемых мер по защите и защитных средств ИБ, согласно требованиям СТО БР ИББС-1.0-2014 и результатам оценки рисков ИБ
Основные этапы развития СОИБ:
1.    Планирование СОИБ;
2.    Реализация СОИБ;
3.    Проверка СОИБ;
4.    Совершенствование СОИБ.
Финансовые организации находятся в зоне повышенного риска и являются мишенями для киберпреступников, поэтому требования регулятора к банкам в области информационной безопасности достаточно жесткие, в том числе присутствует требование о необходимости  проведения регулярного аудита СОИБ.  Основные цели проведения аудита на соответствие требованиям стандарта Банка России следуюшие:
- Повышение уровня ИБ в банке и совершенствование СОИБ банка.
-  Согласование СОИБ с регулирующими органами.
-  Снижение рисков (финансовых, юридических и др.).
-  Получение наиболее полной и честной оценки состояния информационной безопасности в банке.
- Рост доверия клиентов банка и улучшение имиджа финансовой организации.
-  Грамотное планирование расходов  на ИБ.
Кратко обрисуем методику проведения проверки. Хочется отметить, что она сложнее и объемнее, чем методика оценки  соответствия требованиям Положения ЦБ РФ № 382-П. Итак, аудитор выполняет оценку по методике, изложенной в Стандарте СТО БР ИББС-1.2-2014, которая включает в себя 423 частных показателя ИБ (они собраны в 34 общих показателя). Также в методике есть 34 уточняющих вопроса Приложения В, связанных с защитой персональных данных. В результате проверки рассчитываются 8 оценок степени выполнения требований Стандарта по направлениям ИБ, а также выводится итоговая оценка. По результатам этих оценок будет построена итоговая диаграмма соответствия, всего есть 6 уровней соответствия стандарту (начиная с нуля), Банк России рекомендует уровни 4 и 5.
Для расчета оценок, согласно вышеприведенной методике, как правило, используются следующие программные комплексы: MaxPatrol, Bank Security Assessment Tool (BSAT), ExactFlow — Оценка соответствия, СТО БР Аудитор, Еstimatе Tооl  и др.
Специалисты компании ITCS могут провести оценку СОИБ вашего банка на соответствие Стандарту Банка России. В ходе работ будет осуществлена  классификация информационных активов и актуализация нормативной документации банка согласно требованиям СТО БР ИББС, выполнена оценка рисков ИБ и построена модель угроз, разработана система организационных мер, а также  план внедрения технических средств защиты.




Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами