ДиалогНаука

Для эффективного обеспечения информационной безопасности необходимо применять комплексный подход, предусматривающий применение как организационных, так и технических мер защиты.

Компания «ДиалогНаука» предлагает широкий спектр консалтинговых услуг по разработке, внедрению и сопровождению комплексных систем обеспечения информационной безопасности. Все услуги сгруппированы в единый цикл и включают в себя основные категории, приведенные ниже.

Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0


СТО БР ИББС

Центральный банк Российской Федерации (Банк России) при участии Ассоциации российских банков (АРБ) и Ассоциации региональных банков России (Ассоциация «Россия») разработал комплекс стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации (далее – Комплекс БР ИББС). Документы Комплекса БР ИББС согласованы Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Банк России, АРБ и Ассоциации «Россия» рекомендуют руководствоваться документами Комплекса БР ИББС при проведении работ по защите информации, отнесенной к персональным данным, банковской или коммерческой тайне.

Реализация рекомендаций документов Комплекса БР ИББС и, в частности, стандарта СТО БР ИББС-1.0, позволит Банку оптимизировать финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечит соответствие информационной безопасности Банка существующим требованиям.

Документальное подтверждение соответствия информационной безопасности Банка существующим требованиям и стандарту СТО БР ИББС-1.0 повышает рейтинг Банка и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в Банке налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает Банку конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности, соответствующую требованиям стандарта СТО БР ИББС-1.0 и Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».

Приведение СОИБ Банка в соответствие с требованиями стандарта СТО БР ИББС

Целью Проекта является приведение системы обеспечения информационной безопасности Банка существующим требованиям, стандарту СТО БР ИББС-1.0 и Федеральному закону от 27.07.2006 года № 152-ФЗ «О персональных данных» с последующим документальным подтверждением указанного соответствия.

Проект реализуется в несколько этапах:

Аудит. Целью данного этапа является оценка текущего состояния информационной безопасности Банка, выявление несоответствий полученных результатов требованиям стандарта СТО БР ИББС-1.0, разработка и согласование с Банком рекомендаций по устранению обнаруженных несоответствий.

Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению подлежащих защите информационных активов, оценке актуальных угроз и рис-ков, разработке комплекта нормативной и регламентирующей документации Банка, внедрению необходимых технических средств защиты и другие, согласованные с Банком работы и мероприятия, необходимые для приведения состояния информационной безопасности Банка в соответствие с существующими требованиями, стандартом СТО БР ИББС-1.0 и Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных».

Подтверждение. Выполняются работы, результатом которых является выпуск документа «Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0». Документ посылается в адреса Банка России.

В таблице ниже представлен перечень выходных документов:

№ п/п Этапы работ Отчетные документы
1 Построение системы информационной безопасности
1.1 Проведение предварительной оценки соответствия информационной безопасности требованиям СТО БР ИББС-1.0
  • Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0
  • 1.2 Формирование перечня разрабатываемых/дорабатываемых документов
  • Перечень разрабатываемых/дорабатываемых документов.
  • Перечень формируется сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком

    1.3 Разработка/ доработка внутренних документов системы информационной безопасности Банка
  • Проекты документов системы информационной безопасности, разработанные на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей:
    • обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;
    • обеспечение ИБ на стадиях жизненного цикла АБС;
    • обеспечение ИБ при управлении доступом и регистрацией;
    • обеспечение ИБ средствами антивирусной защиты;
    • обеспечение ИБ при использовании ресурсов сети Интернет;
    • обеспечение ИБ при использовании средств криптографической защиты информации;
    • обеспечение ИБ банковских платежных технологических процессов;
    • обеспечение ИБ банковских информационных технологических процессов.
    1.4 Разработка/ доработка документов, регламентирующих порядок обработки и защиты персональных данных
  • Проекты документов, регламентирующих порядок обработки и защиты персональных данных на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций БС РФ», Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, в том числе для следующих областей:
    • обработка персональных данных;
    • обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.
    1.5 Оказание консультационных услуг по формированию перечня ролей в автоматизированных системах Банка
  • Рекомендации по выбору подхода к ролевой модели доступа в автоматизированных банковских системах Банка.
  • Рекомендации по внесению изменений в существующие роли.
  • 1.6 Формирование перечня персональных данных, обрабатываемых в Банке
  • Проект перечня персональных данных, обрабатываемых Банком
  • 1.7 Формирование перечня информационных систем персональных данных Банка
  • Проект перечня информационных систем, обрабатывающих персональные данные.
  • Проекты актов классификации информационных систем персональных данных
  • 1.8 Проведение классификации информационных активов Банка
  • Проект методики инвентаризации и классификации информационных активов Банка.
  • Проект перечня классифицированных информационных активов Банка
  • 1.9 Поставка и внедрение средств защиты информации
  • Акты приема-передачи.
  • Акты передачи прав.
  • Акты установки и настройки СЗИ
  • 2 Проведение оценки соответствия
    2.1 Проведение оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0
  • Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0 и краткие рекомендации по устранению выявленных несоответствий.
  • Проект подтверждения соответствия стандарту СТО БР ИББС-1.0
  • 3 Построение системы менеджмента информационной безопасности Банка
    3.1 Разработка методики анализа рисков информационной безопасности
  • Проект методики анализа рисков информационной безопасности
  • 3.2 Проведение анализа рисков информационной безопасности
  • Проект перечня актуальных угроз безопасности информации.
  • Проект плана обработки рисков информационной безопасности.
  • Проект плана реализации требований по обеспечению информационной безопасности
  • 3.3 Поставка и внедрение средств защиты информации
  • Акты приема-передачи.
  • Акты передачи прав.
  • Акты установки и настройки СЗИ
  • 3.4 Разработка/ доработка документов, регламентирующих вопросы менеджмента информационной безопасности
  • Проекты документов, регламентирующие вопросы менеджмента информационной безопасности, разработанные и доработанные на основе положений раздела 8 СТО БР ИББС-1.0-2010 и РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей:
    • организация и функционирование службы ИБ;
    • определение/ коррекция области действия СОИБ;
    • выбор/ коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;
    • разработка планов обработки рисков нарушения ИБ;
    • разработка/ коррекция внутренних документов, регламентирующих деятельность Банка в области обеспечения ИБ;
    • принятие руководством решений о реализации и эксплуатации СОИБ;
    • организация реализации планов обработки рисков нарушения ИБ;
    • разработка и организация реализации программ по обучению и повышению осведомленности персонала в области ИБ;
    • организация обнаружения и реагирования на инциденты безопасности;
    • организация обеспечения непрерывности бизнеса и его восстановления после прерываний;
    • мониторинг и контроль защитных мер;
    • проведение самооценки ИБ;
    • проведение аудита ИБ;
    • анализ функционирования СОИБ;
    • анализ СОИБ со стороны руководства;
    • принятие решений по тактическим улучшениям СОИБ;
    • принятие решений по стратегическим улучшениям СОИБ.

    Перечень разрабатываемых/ дорабатываемых документов формируется по результатам предыдущих этапов, ответственными сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком

    3.5 Разработка плана непрерывности бизнеса и его восстановления после прерывания
  • Проект плана обеспечения непрерывности бизнеса и его восстановления после прерывания.
  • Проект процедуры периодического тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания.
  • Проект программы обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерывания.
  • 4 Проведение оценки соответствия
    4.1 Оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0
  • Результаты оценки соответствия.
  • Проект подтверждения соответствия Банка стандарту СТО БР ИББС-1.0
  • Рекомендации по устранению выявленных несоответствий
  • В случае появления вопросов или интереса к описанной услуге по построению СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».