13 Февраля 2006 12:02 13 Фев 2006 12:02 |

Поделиться

ЦБ наводит порядок в защите информации банков

Стандарт устанавливает основные принципы построения структуры управления/менеджмента информационной безопасностью в кредитно-финансовых организациях России. СТО БР ИББС-1.0–2006 не противоречит действующей в стране нормативной базе, не затрагивает и не регулирует вопросы непосредственно защиты информации. Однако, как стандарт управления, он направлен на построение в кредитных организациях единой системы контроля за исполнением существующих требований в данной области в том числе.

Стандарт не распространяется на вопросы защиты государственной тайны, а также сведений ограниченного доступа.

Стандарт введен в действие с 1 января этого года и является рекомендательным, то есть его положения применяются на добровольной основе. Тем не менее, учитывая существующие тенденции рынка (в том числе международного) по усилению контроля как со стороны государственных, так и отраслевых регуляторов и бизнес-сообществ, можно предположить, что данный стандарт из разряда «рекомендательный» вскоре будет рассматриваться рынком как «обязательный для исполнения».

Эти тенденции подтверждаются и последними примерами и директивами ЕС (включая требование по внедрению положений Basel-II), а также результатами 8-го международного исследования по информационной безопасности, проведенного в 2005 году компанией «Эрнст энд Янг», согласно которым соблюдение законодательных требований (с учетом серьезности последствий их несоблюдения) вышло на первое место в обеспечении информационной безопасности.

Стандарт предполагается рассматривать как один из компонентов стандартов обеспечения качества деятельности кредитных организаций (которые в настоящее время разрабатываются при участии Банка России и Ассоциации российских банков, АРБ).

Напомним, что первая версия стандарта была принята в 2004 году. С тех пор была проведена большая работа по практическому использованию стандарта в банковских организациях. Так, в течение 2005 года проведены работы по опытному внедрению стандарта в ряде территориальных учреждений Банка России и коммерческих банков. Несколько кредитных организаций по собственной инициативе ввели в действие стандарт в качестве корпоративного стандарта ИБ, а также провели внутренний аудит на соответствие требованиям стандарта.

Первый опыт внедрения и использования стандарта показал, что банковское сообщество, включая АРБ, поддерживает принятие стандарта и в целом положительно оценивает его. Кроме того, в ходе практических работ были собраны и обобщены замечания и предложения территориальных учреждений Банка России, входящих в опытную зону по внедрению стандарта, а также кредитных организаций. Также были проанализированы последние изменения в области международной стандартизации вопросов информационной безопасности, в частности, опыт трансформации стандарта ИБ ISO/IEC 17799 в семейство стандартов ISO/IEC 27000.

С учетом полученной информации был выявлен ряд направлений дальнейшего развития как самого стандарта, так и методик проведения оценки соответствия стандарту, проведена его доработка и опубликована новая версия. Держателем контрольного экземпляра стандарта определено Главное управление безопасности и защиты информации Банка России.

Отметим, что для продвижения нового стандарта, а также для повышения уровня информационной безопасности организаций финансового сектора было создано сообщество ABISS (Association for Banking Information Security Standards), основателями которого выступили такие организации, как «Андэк», ГНИИИ ПТЗИ ФСТЭК России, «КПМГ», «Линс-М», НПФ «Кристалл», «Эрнст энд Янг», которые участвовали в разработке и обсуждении как первой, так и второй версий стандарта, а также других стандартов в области информационной безопасности, утверждение которых готовится Банком России.

Надежда Генина

Поделиться

Подписаться на новости Короткая ссылка