Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0

СТО БР ИББС

Центральный банк Российской Федерации (Банк России) при участии Ассоциации российских банков (АРБ) и Ассоциации региональных банков России (Ассоциация «Россия») разработал комплекс стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации (далее – Комплекс БР ИББС). Документы Комплекса БР ИББС согласованы Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Банк России, АРБ и Ассоциации «Россия» рекомендуют руководствоваться документами Комплекса БР ИББС при проведении работ по защите информации, отнесенной к персональным данным, банковской или коммерческой тайне.

Реализация рекомендаций документов Комплекса БР ИББС и, в частности, стандарта СТО БР ИББС-1.0, позволит Банку оптимизировать финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечит соответствие информационной безопасности Банка существующим требованиям.

Документальное подтверждение соответствия информационной безопасности Банка существующим требованиям и стандарту СТО БР ИББС-1.0 повышает рейтинг Банка и позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в Банке налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает Банку конкурентное преимущество, демонстрируя эффективно функционирующую систему обеспечения информационной безопасности, соответствующую требованиям стандарта СТО БР ИББС-1.0 и Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».

Приведение СОИБ Банка в соответствие с требованиями стандарта СТО БР ИББС

Целью Проекта является приведение системы обеспечения информационной безопасности Банка существующим требованиям, стандарту СТО БР ИББС-1.0 и Федеральному закону от 27.07.2006 года № 152-ФЗ «О персональных данных» с последующим документальным подтверждением указанного соответствия.

Проект реализуется в несколько этапах:

Аудит. Целью данного этапа является оценка текущего состояния информационной безопасности Банка, выявление несоответствий полученных результатов требованиям стандарта СТО БР ИББС-1.0, разработка и согласование с Банком рекомендаций по устранению обнаруженных несоответствий.

Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению подлежащих защите информационных активов, оценке актуальных угроз и рис-ков, разработке комплекта нормативной и регламентирующей документации Банка, внедрению необходимых технических средств защиты и другие, согласованные с Банком работы и мероприятия, необходимые для приведения состояния информационной безопасности Банка в соответствие с существующими требованиями, стандартом СТО БР ИББС-1.0 и Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных».

Подтверждение. Выполняются работы, результатом которых является выпуск документа «Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0». Документ посылается в адреса Банка России.

В таблице ниже представлен перечень выходных документов:

№ п/п	Этапы работ	Отчетные документы
1	Построение системы информационной безопасности
1.1	Проведение предварительной оценки соответствия информационной безопасности требованиям СТО БР ИББС-1.0	Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0
1.2	Формирование перечня разрабатываемых/дорабатываемых документов	Перечень разрабатываемых/дорабатываемых документов. Перечень формируется сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком
1.3	Разработка/ доработка внутренних документов системы информационной безопасности Банка	Проекты документов системы информационной безопасности, разработанные на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей: обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу; обеспечение ИБ на стадиях жизненного цикла АБС; обеспечение ИБ при управлении доступом и регистрацией; обеспечение ИБ средствами антивирусной защиты; обеспечение ИБ при использовании ресурсов сети Интернет; обеспечение ИБ при использовании средств криптографической защиты информации; обеспечение ИБ банковских платежных технологических процессов; обеспечение ИБ банковских информационных технологических процессов.
1.4	Разработка/ доработка документов, регламентирующих порядок обработки и защиты персональных данных	Проекты документов, регламентирующих порядок обработки и защиты персональных данных на основе положений раздела 7 СТО БР ИББС-1.0-2010, РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций БС РФ», Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, в том числе для следующих областей: обработка персональных данных; обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.
1.5	Оказание консультационных услуг по формированию перечня ролей в автоматизированных системах Банка	Рекомендации по выбору подхода к ролевой модели доступа в автоматизированных банковских системах Банка. Рекомендации по внесению изменений в существующие роли.
1.6	Формирование перечня персональных данных, обрабатываемых в Банке	Проект перечня персональных данных, обрабатываемых Банком
1.7	Формирование перечня информационных систем персональных данных Банка	Проект перечня информационных систем, обрабатывающих персональные данные. Проекты актов классификации информационных систем персональных данных
1.8	Проведение классификации информационных активов Банка	Проект методики инвентаризации и классификации информационных активов Банка. Проект перечня классифицированных информационных активов Банка
1.9	Поставка и внедрение средств защиты информации	Акты приема-передачи. Акты передачи прав. Акты установки и настройки СЗИ
2	Проведение оценки соответствия
2.1	Проведение оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0	Краткий отчет, содержащий результаты оценки соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0 и краткие рекомендации по устранению выявленных несоответствий. Проект подтверждения соответствия стандарту СТО БР ИББС-1.0
3	Построение системы менеджмента информационной безопасности Банка
3.1	Разработка методики анализа рисков информационной безопасности	Проект методики анализа рисков информационной безопасности
3.2	Проведение анализа рисков информационной безопасности	Проект перечня актуальных угроз безопасности информации. Проект плана обработки рисков информационной безопасности. Проект плана реализации требований по обеспечению информационной безопасности
3.3	Поставка и внедрение средств защиты информации	Акты приема-передачи. Акты передачи прав. Акты установки и настройки СЗИ
3.4	Разработка/ доработка документов, регламентирующих вопросы менеджмента информационной безопасности	Проекты документов, регламентирующие вопросы менеджмента информационной безопасности, разработанные и доработанные на основе положений раздела 8 СТО БР ИББС-1.0-2010 и РС БР ИББС-2.0 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», в том числе для следующих областей: организация и функционирование службы ИБ; определение/ коррекция области действия СОИБ; выбор/ коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ; разработка планов обработки рисков нарушения ИБ; разработка/ коррекция внутренних документов, регламентирующих деятельность Банка в области обеспечения ИБ; принятие руководством решений о реализации и эксплуатации СОИБ; организация реализации планов обработки рисков нарушения ИБ; разработка и организация реализации программ по обучению и повышению осведомленности персонала в области ИБ; организация обнаружения и реагирования на инциденты безопасности; организация обеспечения непрерывности бизнеса и его восстановления после прерываний; мониторинг и контроль защитных мер; проведение самооценки ИБ; проведение аудита ИБ; анализ функционирования СОИБ; анализ СОИБ со стороны руководства; принятие решений по тактическим улучшениям СОИБ; принятие решений по стратегическим улучшениям СОИБ. Перечень разрабатываемых/ дорабатываемых документов формируется по результатам предыдущих этапов, ответственными сотрудниками ЗАО «ДиалогНаука» и согласовывается с Банком
3.5	Разработка плана непрерывности бизнеса и его восстановления после прерывания	Проект плана обеспечения непрерывности бизнеса и его восстановления после прерывания. Проект процедуры периодического тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания. Проект программы обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерывания.
4	Проведение оценки соответствия
4.1	Оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0	Результаты оценки соответствия. Проект подтверждения соответствия Банка стандарту СТО БР ИББС-1.0 Рекомендации по устранению выявленных несоответствий

В случае появления вопросов или интереса к описанной услуге по построению СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».