Стандарт СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» был разработан Банком России с целью повышения доверия к банковской системе РФ, достижения адекватности мер по защите от реальных угроз информационной безопасности и т.д.
Насколько реально для банков привести свою деятельность в соответствие с требованием этого стандарта? Какую помощь в этом могут оказать финансово-кредитным организациям компании-интеграторы? На эти и другие вопросы НБЖ ответил генеральный директор ЗАО «ДиалогНаука», кандидат технических наук, обладатель диплома CISSP Виктор СЕРДЮК.
НБЖ: Как вы считаете, насколько стандарт СТО БР ИББС отвечает поставленным целям и задачам?
В. СЕРДЮК: С нашей точки зрения, СТО БР ИББС является одним из наиболее эффективных инструментов для повышения реальной информационной безопасности кредитно-финансовых организаций. Основанный на международных подходах, стандарт определил требования к структуре и основным элементам системы обеспечения информационной безопасности банков. И, несмотря на рекомендательный характер, стал основой для формирования нормативно-методической базы по построению систем обеспечения информационной безопасности, в том числе и систем защиты персональных данных.
НБЖ: Какие выгоды получает банк в случае соответствия его информационной безопасности требованиям СТО БР ИББС-1.0-2010?
В. СЕРДЮК: Прежде всего, внедрение стандарта СТО БР ИББС позволяет существенно повысить общий уровень информационной безопасности банка. Кроме того, принятие СТО БР ИББС позволяет в полном объеме выполнить требования законодательства по защите персональных данных, которые являются обязательными для всех российских банков. При этом необходимо отметить, что признание стандарта СТО БР ИББС обязательным к исполнению позволяет значительно сократить финансовые и ресурсные затраты на создание системы защиты персональных данных по сравнению с подходом, основанным на защите персональной информации согласно нормативным документам ФСТЭК и ФСБ.
НБЖ: По данным ЦБ, на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля банков, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% участников рынка. Заняли выжидательную позицию 10-15% (в основном мелкие банки). Как вы оцениваете такую статистику? Каковы ваши прогнозы на этот счет?
В. СЕРДЮК: Наш опыт работы с российскими банками подтверждает данную статистику. Подавляющее большинство банков уже приняло у себя данный стандарт либо планирует это сделать в ближайшее время. При этом внедрение стандарта Банка России характерно не только для крупных, но и для средних и небольших банков.
НБЖ: Предлагают ли специалисты компании «ДиалогНаука» какие-либо работы и услуги в рамках оценки соответствия информационной безопасности банков стандарту Банка России СТО БР ИББС-1.0-2010? Если да, то какие?
В. СЕРДЮК: ЗАО «ДиалогНаука» имеет статус организации - консультанта сообщества ABISS и предоставляет полный комплекс услуг по внедрению стандарта СТО БР ИББС. Необходимо отметить, что наша компания имеет опыт внедрения стандарта как для крупных банков, входящих в первую десятку, так и для небольших кредитно-финансовых организаций. Как правило, процесс внедрения данного стандарта включает в себя следующие этапы работ.
• Предварительная оценка соответствия. Целью данного этапа является оценка текущего состояния информационной безопасности, выявление несоответствий требованиям стандарта СТО БР ИББС, а также разработка рекомендаций по устранению обнаруженных несоответствий.
• Внедрение. В рамках данного этапа, как правило, осуществляются работы по определению информационных активов, подлежащих защите, по оценке актуальных угроз и рисков, разработке комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты и т.д. с целью приведения в соответствие с требованиями стандарта Банка России.
• Оценка соответствия. Является необходимым этапом для оценки достигнутого уровня соответствия требованиям стандарта. Результаты, полученные в ходе оценки соответствия, являются среди прочего основой для совершенствования системы обеспечения информационной безопасности. По результатам этапа выпускается «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010», которое направляется Банку России, Роскомнадзо-ру, ФСТЭК России и ФСБ России.
Опыт ЗАО «ДиалогНаука» показывает, что процесс приведения информационных систем банка в соответствие с требованиями СТО БР ИББС является в достаточной степени трудоемким и может занимать длительный период времени. Именно поэтому для того чтобы успеть реализовать требования в срок, необходимо уже сейчас начинать планирование работ по внедрению СТО БР ИББС.
Начать дискуссию