+7 (495) 980-67-76

Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0


СТО БР ИББС

Центральный банк Российской Федерации (Банк России) при участии Ассоциации российских банков (АРБ) и Ассоциации региональных банков России (Ассоциация «Россия») разработал комплекс стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации (далее – Комплекс БР ИББС). Документы Комплекса БР ИББС согласованы Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Банк России, АРБ и Ассоциации «Россия» рекомендуют руководствоваться документами Комплекса БР ИББС при проведении работ по защите информации, отнесенной к персональным данным, банковской или коммерческой тайне.

Реализация рекомендаций документов Комплекса БР ИББС и, в частности, стандарта СТО БР ИББС-1.0, позволит Банку оптимизировать финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечит соответствие информационной безопасности Банка существующим требованиям.

Документальное подтверждение соответствия информационной безопасности Банка существующим требованиям и стандарту СТО БР ИББС-1.0 повышает рейтинг Банка и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в Банке налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает Банку конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности, соответствующую требованиям стандарта СТО БР ИББС-1.0 и Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».

Приведение СОИБ Банка в соответствие с требованиями стандарта СТО БР ИББС

Целью Проекта является приведение системы обеспечения информационной безопасности Банка существующим требованиям, стандарту СТО БР ИББС-1.0 и Федеральному закону от 27.07.2006 года № 152-ФЗ «О персональных данных» с последующим документальным подтверждением указанного соответствия.

Проект реализуется в несколько этапах:

Аудит. Целью данного этапа является оценка текущего состояния информационной безопасности Банка, выявление несоответствий полученных результатов требованиям стандарта СТО БР ИББС-1.0, разработка и согласование с Банком рекомендаций по устранению обнаруженных несоответствий.

Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению подлежащих защите информационных активов, оценке актуальных угроз и рис-ков, разработке комплекта нормативной и регламентирующей документации Банка, внедрению необходимых технических средств защиты и другие, согласованные с Банком работы и мероприятия, необходимые для приведения состояния информационной безопасности Банка в соответствие с существующими требованиями, стандартом СТО БР ИББС-1.0 и Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных».

Подтверждение. Выполняются работы, результатом которых является выпуск документа «Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0». Документ посылается в адреса Банка России.

В таблице ниже представлен перечень выходных документов:

№ п/п Этапы работ Отчетные документы
1 Построение системы информационной безопасности
1.1 Проведение предварительной оценки соответствия информационной безопасности требованиям СТО БР ИББС-1.0
  • Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0
    		•
    1.2 Формирование перечня разрабатываемых/дорабатываемых документов
  • Перечень разрабатываемых/дорабатываемых документов.

    • Перечень формируется сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком
    1.3 Разработка/ доработка внутренних документов системы информационной безопасности Банка
  • Проекты документов системы информационной безопасности, разработанные на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей:
    • обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;
    • обеспечение ИБ на стадиях жизненного цикла АБС;
    • обеспечение ИБ при управлении доступом и регистрацией;
    • обеспечение ИБ средствами антивирусной защиты;
    • обеспечение ИБ при использовании ресурсов сети Интернет;
    • обеспечение ИБ при использовании средств криптографической защиты информации;
    • обеспечение ИБ банковских платежных технологических процессов;
    • обеспечение ИБ банковских информационных технологических процессов.
    1.4 Разработка/ доработка документов, регламентирующих порядок обработки и защиты персональных данных
  • Проекты документов, регламентирующих порядок обработки и защиты персональных данных на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций БС РФ», Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, в том числе для следующих областей:
    • обработка персональных данных;
    • обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.
    1.5 Оказание консультационных услуг по формированию перечня ролей в автоматизированных системах Банка
  • Рекомендации по выбору подхода к ролевой модели доступа в автоматизированных банковских системах Банка.
  • Рекомендации по внесению изменений в существующие роли.
    		•
    1.6 Формирование перечня персональных данных, обрабатываемых в Банке
  • Проект перечня персональных данных, обрабатываемых Банком
    		•
    1.7 Формирование перечня информационных систем персональных данных Банка
  • Проект перечня информационных систем, обрабатывающих персональные данные.
  • Проекты актов классификации информационных систем персональных данных
    		•
    1.8 Проведение классификации информационных активов Банка
  • Проект методики инвентаризации и классификации информационных активов Банка.
  • Проект перечня классифицированных информационных активов Банка
    		•
    1.9 Поставка и внедрение средств защиты информации
  • Акты приема-передачи.
  • Акты передачи прав.
  • Акты установки и настройки СЗИ
    		•
    2 Проведение оценки соответствия
    2.1 Проведение оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0
  • Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0 и краткие рекомендации по устранению выявленных несоответствий.
  • Проект подтверждения соответствия стандарту СТО БР ИББС-1.0
    		•
    3 Построение системы менеджмента информационной безопасности Банка
    3.1 Разработка методики анализа рисков информационной безопасности
  • Проект методики анализа рисков информационной безопасности
    		•
    3.2 Проведение анализа рисков информационной безопасности
  • Проект перечня актуальных угроз безопасности информации.
  • Проект плана обработки рисков информационной безопасности.
  • Проект плана реализации требований по обеспечению информационной безопасности
    		•
    3.3 Поставка и внедрение средств защиты информации
  • Акты приема-передачи.
  • Акты передачи прав.
  • Акты установки и настройки СЗИ
    		•
    3.4 Разработка/ доработка документов, регламентирующих вопросы менеджмента информационной безопасности
  • Проекты документов, регламентирующие вопросы менеджмента информационной безопасности, разработанные и доработанные на основе положений раздела 8 СТО БР ИББС-1.0-2010 и РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей:
    • организация и функционирование службы ИБ;
    • определение/ коррекция области действия СОИБ;
    • выбор/ коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;
    • разработка планов обработки рисков нарушения ИБ;
    • разработка/ коррекция внутренних документов, регламентирующих деятельность Банка в области обеспечения ИБ;
    • принятие руководством решений о реализации и эксплуатации СОИБ;
    • организация реализации планов обработки рисков нарушения ИБ;
    • разработка и организация реализации программ по обучению и повышению осведомленности персонала в области ИБ;
    • организация обнаружения и реагирования на инциденты безопасности;
    • организация обеспечения непрерывности бизнеса и его восстановления после прерываний;
    • мониторинг и контроль защитных мер;
    • проведение самооценки ИБ;
    • проведение аудита ИБ;
    • анализ функционирования СОИБ;
    • анализ СОИБ со стороны руководства;
    • принятие решений по тактическим улучшениям СОИБ;
    • принятие решений по стратегическим улучшениям СОИБ.

    Перечень разрабатываемых/ дорабатываемых документов формируется по результатам предыдущих этапов, ответственными сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком
    3.5 Разработка плана непрерывности бизнеса и его восстановления после прерывания
  • Проект плана обеспечения непрерывности бизнеса и его восстановления после прерывания.
  • Проект процедуры периодического тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания.
  • Проект программы обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерывания.
    		•
    4 Проведение оценки соответствия
    4.1 Оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0
  • Результаты оценки соответствия.
  • Проект подтверждения соответствия Банка стандарту СТО БР ИББС-1.0
  • Рекомендации по устранению выявленных несоответствий
    		•

    В случае появления вопросов или интереса к описанной услуге по построению СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

    Другие услуги раздела

    Создание системы защиты персональных данных, приведение процессов обработки и обеспечения безопасности персональных данных в соответствие требованиям законодательства
    Построение комплексной системы защиты информации ограниченного доступа, коммерческой тайны
    Разработка системы документации по вопросам обеспечения информационной безопасности
    Внедрение процессов обеспечения информационной безопасности данных индустрии платежных карт - PCI DSS
    Разработка и внедрение отдельных процессов обеспечения информационной безопасности
    Построение СУИБ в соответствии с требованиями стандарта ISO/IEC 27001
    Построение системы обеспечения информационной безопасности в соответствии с требованиями Положения Банка России №382-П
    Услуги
    Новости
    Мероприятия
    Оценка соответствия требованиям Положения Банка России №382-П
    Разработка технических заданий и требований к системам защиты информации
    Все услуги

    Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

    ;