Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0
СТО БР ИББС
Центральный банк Российской Федерации (Банк России) при участии Ассоциации российских банков (АРБ) и Ассоциации региональных банков России (Ассоциация «Россия») разработал комплекс стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации (далее – Комплекс БР ИББС). Документы Комплекса БР ИББС согласованы Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России).
Банк России, АРБ и Ассоциации «Россия» рекомендуют руководствоваться документами Комплекса БР ИББС при проведении работ по защите информации, отнесенной к персональным данным, банковской или коммерческой тайне.
Реализация рекомендаций документов Комплекса БР ИББС и, в частности, стандарта СТО БР ИББС-1.0, позволит Банку оптимизировать финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечит соответствие информационной безопасности Банка существующим требованиям.
Документальное подтверждение соответствия информационной безопасности Банка существующим требованиям и стандарту СТО БР ИББС-1.0 повышает рейтинг Банка и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в Банке налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает Банку конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности, соответствующую требованиям стандарта СТО БР ИББС-1.0 и Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».
Приведение СОИБ Банка в соответствие с требованиями стандарта СТО БР ИББС
Целью Проекта является приведение системы обеспечения информационной безопасности Банка существующим требованиям, стандарту СТО БР ИББС-1.0 и Федеральному закону от 27.07.2006 года № 152-ФЗ «О персональных данных» с последующим документальным подтверждением указанного соответствия.
Проект реализуется в несколько этапах:
Аудит. Целью данного этапа является оценка текущего состояния информационной безопасности Банка, выявление несоответствий полученных результатов требованиям стандарта СТО БР ИББС-1.0, разработка и согласование с Банком рекомендаций по устранению обнаруженных несоответствий.
Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению подлежащих защите информационных активов, оценке актуальных угроз и рис-ков, разработке комплекта нормативной и регламентирующей документации Банка, внедрению необходимых технических средств защиты и другие, согласованные с Банком работы и мероприятия, необходимые для приведения состояния информационной безопасности Банка в соответствие с существующими требованиями, стандартом СТО БР ИББС-1.0 и Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных».
Подтверждение. Выполняются работы, результатом которых является выпуск документа «Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0». Документ посылается в адреса Банка России.
В таблице ниже представлен перечень выходных документов:
№ п/п |
Этапы работ |
Отчетные документы |
1 |
Построение системы информационной безопасности |
1.1 |
Проведение предварительной оценки соответствия информационной безопасности требованиям СТО БР ИББС-1.0 |
Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0 |
1.2 |
Формирование перечня разрабатываемых/дорабатываемых документов |
Перечень разрабатываемых/дорабатываемых документов. Перечень формируется сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком |
1.3 |
Разработка/ доработка внутренних документов системы информационной безопасности Банка |
Проекты документов системы информационной безопасности, разработанные на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей:
- обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;
- обеспечение ИБ на стадиях жизненного цикла АБС;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической защиты информации;
- обеспечение ИБ банковских платежных технологических процессов;
- обеспечение ИБ банковских информационных технологических процессов.
|
1.4 |
Разработка/ доработка документов, регламентирующих порядок обработки и защиты персональных данных |
Проекты документов, регламентирующих порядок обработки и защиты персональных данных на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций БС РФ», Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, в том числе для следующих областей:
- обработка персональных данных;
- обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.
|
1.5 |
Оказание консультационных услуг по формированию перечня ролей в автоматизированных системах Банка |
Рекомендации по выбору подхода к ролевой модели доступа в автоматизированных банковских системах Банка.
Рекомендации по внесению изменений в существующие роли.
|
1.6 |
Формирование перечня персональных данных, обрабатываемых в Банке |
Проект перечня персональных данных, обрабатываемых Банком
|
1.7 |
Формирование перечня информационных систем персональных данных Банка |
Проект перечня информационных систем, обрабатывающих персональные данные.
Проекты актов классификации информационных систем персональных данных
|
1.8 |
Проведение классификации информационных активов Банка |
Проект методики инвентаризации и классификации информационных активов Банка.
Проект перечня классифицированных информационных активов Банка
|
1.9 |
Поставка и внедрение средств защиты информации |
Акты приема-передачи.
Акты передачи прав.
Акты установки и настройки СЗИ
|
2 |
Проведение оценки соответствия |
2.1 |
Проведение оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0 |
Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0 и краткие рекомендации по устранению выявленных несоответствий.
Проект подтверждения соответствия стандарту СТО БР ИББС-1.0
|
3 |
Построение системы менеджмента информационной безопасности Банка |
3.1 |
Разработка методики анализа рисков информационной безопасности |
Проект методики анализа рисков информационной безопасности
|
3.2 |
Проведение анализа рисков информационной безопасности |
Проект перечня актуальных угроз безопасности информации.
Проект плана обработки рисков информационной безопасности.
Проект плана реализации требований по обеспечению информационной безопасности
|
3.3 |
Поставка и внедрение средств защиты информации |
Акты приема-передачи.
Акты передачи прав.
Акты установки и настройки СЗИ
|
3.4 |
Разработка/ доработка документов, регламентирующих вопросы менеджмента информационной безопасности |
Проекты документов, регламентирующие вопросы менеджмента информационной безопасности, разработанные и доработанные на основе положений раздела 8 СТО БР ИББС-1.0-2010 и РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей:
- организация и функционирование службы ИБ;
- определение/ коррекция области действия СОИБ;
- выбор/ коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;
- разработка планов обработки рисков нарушения ИБ;
- разработка/ коррекция внутренних документов, регламентирующих деятельность Банка в области обеспечения ИБ;
- принятие руководством решений о реализации и эксплуатации СОИБ;
- организация реализации планов обработки рисков нарушения ИБ;
- разработка и организация реализации программ по обучению и повышению осведомленности персонала в области ИБ;
- организация обнаружения и реагирования на инциденты безопасности;
- организация обеспечения непрерывности бизнеса и его восстановления после прерываний;
- мониторинг и контроль защитных мер;
- проведение самооценки ИБ;
- проведение аудита ИБ;
- анализ функционирования СОИБ;
- анализ СОИБ со стороны руководства;
- принятие решений по тактическим улучшениям СОИБ;
- принятие решений по стратегическим улучшениям СОИБ.
Перечень разрабатываемых/ дорабатываемых документов формируется по результатам предыдущих этапов, ответственными сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком
|
3.5 |
Разработка плана непрерывности бизнеса и его восстановления после прерывания |
Проект плана обеспечения непрерывности бизнеса и его восстановления после прерывания.
Проект процедуры периодического тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания.
Проект программы обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерывания.
|
4 |
Проведение оценки соответствия |
4.1 |
Оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0 |
Результаты оценки соответствия.
Проект подтверждения соответствия Банка стандарту СТО БР ИББС-1.0
Рекомендации по устранению выявленных несоответствий
|
В случае появления вопросов или интереса к описанной услуге
по построению СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».