Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
Другим положительным примером изменения отношения государства к соблюдению норм в защите информации является стандарт Банка России, который регламентирует обеспечение ИБ в кредитно-финансовых организациях.
Полное наименование стандарта – «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006. Стандарт распространяется на организации банковской системы Российской Федерации (далее БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ. Положения настоящего стандарта применяются на добровольной основе.
Стандарт определяет:
-
основные принципы обеспечения информационной безопасности организаций БС РФ;
-
модели угроз и нарушителей информационной безопасности организаций БС РФ;
-
политику информационной безопасности организаций БС РФ, ее состав и назначение, основные требования по обеспечению информационной безопасности, отображаемые в политиках информационной безопасности организации БС РФ;
-
систему менеджмента информационной безопасности организаций БС РФ и модели зрелости процессов менеджмента информационной безопасности организаций БС РФ;
-
цели и методы проверки и оценки информационной безопасности организаций БС РФ;
-
направления развития стандарта.
Характерной особенностью стандарта СТО БР ИББС-1.0-2006 является определение модели зрелости информационной безопасности. Эта модель заимствована из стандарта CoBIT. Она представляет собой образец проработанности процессов менеджмента ИБ кредитно-финансовой организации. На основании приведенной в стандарте модели можно определить полноту, адекватность и эффективность процессов путем оценки их уровня зрелости.
Оценка уровня зрелости формируется совокупностью различных параметров для каждого из процессов. В стандарте, исходя из степени проработанности процессов, выделены пять уровней зрелости. Рекомендуемым является четвертый уровень, который характеризуется тем, что:
-
разработана и совершенствуется нормативная и распорядительная документация по ИБ (политика ИБ, регламенты и положения ИБ, должностные инструкции персонала и т.п.);
-
создана организационная структура управления ИБ. Четко определена ответственность персонала за деятельность, связанную с обеспечением ИБ;
-
финансирование ИБ осуществляется по отдельной статье бюджета организации;
-
есть назначенный куратор службы ИБ;
-
осуществляется приобретение необходимых средств обеспечения ИБ;
-
защитные меры (технические, технологические, организационные) встроены в АБС и банковские технологические процессы, непрерывно совершенствуются и основываются на хорошей практике. В процессе внедрения защитных мер используется анализ затрат и результатов, обеспечивается их оптимизация;
-
последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, а также возможных негативных воздействий;
-
краткие занятия с работниками организации по вопросам обеспечения ИБ носят обязательный характер;
-
введена аттестация персонала по вопросам обеспечения безопасности;
-
проверки на возможность вторжения в АБС являются стандартизованным и формализованным процессом;
-
осуществляется оценка соответствия организации требованиям ИБ;
-
стандартизованы идентификация, аутентификация и авторизация пользователей. Защитные меры совершенствуются с учетом накопленного в организации практического опыта;
-
уровень стандартизации и документирования процессов управления ИБ позволяет проводить аудит ИБ в достаточном объеме;
-
процессы обеспечения ИБ координируются со службой безопасности всей организации;
-
деятельность по обеспечению ИБ увязана с целями бизнеса;
-
руководство организации понимает проблемы ИБ и участвует в их решении через назначенного куратора службы ИБ из состава высшего руководства организации.
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!