В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Дмитрий Золотухин, директор коммерческого департамента компании АНДЭК
Стандарт Банка России СТО БР ИББС 1.0-2006
Как участник рынка информационной безопасности, наша компания с интересом наблюдает за процессом становления отечественных стандартов в области И Б, в том числе в банковской сфере. Единственным отечественным стандартом по ИБ для банков на данный момент является Стандарт информационной безопасности Банка России СТО БР ИББС 1.0-2006.
Проведенное компанией АНДЭК собственное исследование заинтересованности банков во внедрении этого стандарта подтвердило большой интерес с их стороны к данному вопросу. Тем не менее специалисты отдела ИБ и руководство банков не всегда четко представляют, в чем заключается проведение таких работ. Квалифицированные специалисты отдела ИБ банков могут построить модели угроз и нарушителя, а также сформулировать положения политики безопасности. Однако опыт показывает, что уже на этапе учета активов банка и оценки рисков возникают трудности. Также значительные сложности возникают при подготовке документальной части обеспечения системы ИБ. Дело в том, что для полного выполнения этих работ требуется знание специальных методик, наличие наработок и опыта в этой области.
Требования к внедрению стандарта
Внедрение Стандарта Банка России многие банки пробуют провести на опыте внедрения других стандартов, например ISO 27001, но Стандарт Центробанка гораздо полнее любого из них отражает потребности банковской отрасли и имеет ряд специфических особенностей. Поэтому наличие такого опыта не всегда адекватно поставленной задаче. В своем выступлении на конференции Info-security Russia'2007 заместитель начальника Главного управления безопасности и защиты информации ЦБ РФ г-н А.П. Курило подчеркнул, что к компаниям, способным на проведение таких работ, предъявляются специальные требования по наличию соответствующих компетенций. Мы также разделяем это мнение и уверены, что для качественного внедрения Стандарта банкам гораздо эффективнее привлекать квалифицированные консалтинговые компании для выполнения следующих работ:
Аудит ИБ: повышение уровня доверия со стороны Центробанка
Может показаться, что аудит и внедрение Стандарта Банка России - задача не самая срочная. Однако отзывы банков, прошедших эту процедуру, говорят о том, что после проведения данных работ не только повышается уровень доверия и лояльности со стороны Центробанка, клиентов и партнеров, но и формируются ответы на самые важные для обеспечения безопасности деятельности банка вопросы:
Затрагивая финансовые вопросы проведения работ по внедрению Стандарта Банка России, необходимо понимать, что затраты в данном процессе связаны скорее с совершенствованием организационной структуры, чем с какими-то техническими решениями. Важным итогом проведенного аудита и приведения системы информационной безопасности в соответствие Стандарту Банка России является и создание полного комплекта нормативных документов, определяющих структуру и регламентирующих работу службы ИБ, ее взаимодействие с другими подразделениями банка. Излишним будет напоминать, что именно эта документальная база и является основным объектом проверки и контроля надзорными органами.
В заключение отмечу, что компания АНДЭК входит в Ассоциацию российских банков (АРБ) и Сообщество пользователей стандарта Центробанка по ИБ (ABISS), а также в сфере аудита и консалтинга по Стандарту ЦБ обладает наибольшим опытом как по количеству выполненных проектов, так и по объему работ (в том числе участие в оценке и утверждении Стандарта).
Поэтому для банков, которые рассматривают возможность проведения таких работ, АНДЭК предлагает высоко-квалифицированную поддержку.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2007