26.01.2006 распоряжением Банка России № Р-27 была принята вторая редакция Стандарта “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1

26.01.2006   \  Новости финансового сектора

Данный Стандарт разработан на основе международных стандартов ISO/IEC 17799, ISO/IEC 27001 и CobiT с учетом специфики и потребностей кредитно-финансового сектора Российской Федерации. Стандарт устанавливает единые минимальные и достаточные требования по обеспечению ИБ кредитных организациях РФ путём создания и построения системы управления информационной безопасностью.

Стандарт устанавливает основные принципы построения структуры управления/менеджмента информационной безопасностью в кредитно-финансовых организациях БС РФ. СТО БР ИББС-1.0-2006 не противоречит действующей в стране нормативной базе, не затрагивает и не регулирует вопросы непосредственно защиты информации. Однако, как Стандарт управления, направлен на построение в кредитных организациях единой системы контроля за исполнением существующих требований в данной области в том числе.

Как известно, первая версия Стандарта была принята в 2004 году. С тех пор была проведена большая работа по практическому использованию Стандарта в банковских организациях. Так в течение 2005 года проведены работы по опытному внедрению Стандарта в ряде территориальных учреждениях Банка России и в двух коммерческих банках. Несколько кредитных организаций по собственной инициативе ввели в действие Стандарт в качестве корпоративного стандарта ИБ, а также провели внутренний аудит на соответствие требованиям Стандарта.

Первый опыт внедрения и использования Стандарта показал, что банковское сообщество, включая Ассоциацию российских банков, поддерживает принятие Стандарта и в целом положительно оценивает его. Дополнительно, в ходе практических работ были собраны и обобщены замечания и предложения территориальных учреждений Банка России, входящих в опытную зону по внедрению Стандарта, а также кредитных организаций — членов Подкомитета по стандартизации “Защита информации в кредитно-финансовой сфере“ (ПК3) Технического комитета по стандартизации “Защита информации” (ТК362) Федерального агентства по техническому регулированию и метрологии. Кроме того, были проанализированы последние изменения в области международной стандартизации вопросов информационной безопасности, в частности опыт трансформации стандарта ИБ ISO/IEC 17799 в семейство стандартов ISO/IEC 27000.

С учетом полученной информации был выявлен ряд направлений дальнейшего развития как самого Стандарта, так и методик проведения оценки соответствия Стандарту, и, соответственно, проведена его доработка и опубликована новая версия. Держателем контрольного экземпляра Стандарта определено Главное управление безопасности и защиты информации Банка России.

Как было заявлено 19-20 января 2006 года на Уфимской III научно-практической конференции «Повышение функциональной роли банковской системы через улучшение качества деятельности. Управление бизнес-процессами в Банке России и кредитных организациях», Стандарт Банка России СТО БР ИББС-1.0-2006 предполагается рассматривать как один из компонентов стандартов обеспечения качества деятельности кредитных организаций (которые в настоящее время разрабатываются при участии Банка России и АРБ).

Стандарт введен в действие с 1 января 2006 г. и является рекомендательным, его положения применяются на добровольной основе, если только его обязательность к исполнению не установлена кредитной организацией. Тем не менее, учитывая существующие тенденции рынка (в том числе международного) по усилению контроля как со стороны государственных, так и отраслевых регуляторов и бизнес - сообществ, можно предположить, что данный стандарт из разряда «рекомендательный» вскоре будет рассматриваться рынком как «обязательный для исполнения». Эти тенденции подтверждаются и последними примерами и директивами ЕС (включая требование по внедрению положений Basel-II), а также результатами 8-го международного исследования по информационной безопасности, проведенного в 2005 году компанией "Эрнст энд Янг", согласно которым соблюдение законодательных требований (с учетом серьезности последствий их несоблюдения) вышло на первое место в обеспечении информационной безопасности.

Авторизуйтесь, чтобы оставить комментарий.