Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб

Другим положительным примером изменения отношения государства к соблюдению норм в защите информации является стандарт Банка России, который регламентирует обеспечение ИБ в кредитно-финансовых организациях.

Полное наименование стандарта – «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006. Стандарт распространяется на организации банковской системы Российской Федерации (далее БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ. Положения настоящего стандарта применяются на добровольной основе.

Стандарт определяет:

• основные принципы обеспечения информационной безопасности организаций БС РФ;

• модели угроз и нарушителей информационной безопасности организаций БС РФ;

• политику информационной безопасности организаций БС РФ, ее состав и назначение, основные требования по обеспечению информационной безопасности, отображаемые в политиках информационной безопасности организации БС РФ;

• систему менеджмента информационной безопасности организаций БС РФ и модели зрелости процессов менеджмента информационной безопасности организаций БС РФ;

• цели и методы проверки и оценки информационной безопасности организаций БС РФ;

• направления развития стандарта.

Характерной особенностью стандарта СТО БР ИББС-1.0-2006 является определение модели зрелости информационной безопасности. Эта модель заимствована из стандарта CoBIT. Она представляет собой образец проработанности процессов менеджмента ИБ кредитно-финансовой организации. На основании приведенной в стандарте модели можно определить полноту, адекватность и эффективность процессов путем оценки их уровня зрелости.

Оценка уровня зрелости формируется совокупностью различных параметров для каждого из процессов. В стандарте, исходя из степени проработанности процессов, выделены пять уровней зрелости. Рекомендуемым является четвертый уровень, который характеризуется тем, что:

• разработана и совершенствуется нормативная и распорядительная документация по ИБ (политика ИБ, регламенты и положения ИБ, должностные инструкции персонала и т.п.);

• создана организационная структура управления ИБ. Четко определена ответственность персонала за деятельность, связанную с обеспечением ИБ;

• финансирование ИБ осуществляется по отдельной статье бюджета организации;

• есть назначенный куратор службы ИБ;

• осуществляется приобретение необходимых средств обеспечения ИБ;

• защитные меры (технические, технологические, организационные) встроены в АБС и банковские технологические процессы, непрерывно совершенствуются и основываются на хорошей практике. В процессе внедрения защитных мер используется анализ затрат и результатов, обеспечивается их оптимизация;

• последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, а также возможных негативных воздействий;

• краткие занятия с работниками организации по вопросам обеспечения ИБ носят обязательный характер;

• введена аттестация персонала по вопросам обеспечения безопасности;

• проверки на возможность вторжения в АБС являются стандартизованным и формализованным процессом;

• осуществляется оценка соответствия организации требованиям ИБ;

• стандартизованы идентификация, аутентификация и авторизация пользователей. Защитные меры совершенствуются с учетом накопленного в организации практического опыта;

• уровень стандартизации и документирования процессов управления ИБ позволяет проводить аудит ИБ в достаточном объеме;

• процессы обеспечения ИБ координируются со службой безопасности всей организации;

• деятельность по обеспечению ИБ увязана с целями бизнеса;

• руководство организации понимает проблемы ИБ и участвует в их решении через назначенного куратора службы ИБ из состава высшего руководства организации.