Комплекс стандартов Банка России: новости 2008 года
Комплекс стандартов Банка России: новости 2008 года
Комплекс стандартов Банка России: новости 2008 года
26.05.2008
В рамках конференции "FinSec: информационная безопасность финансовых организаций" прозвучит доклад Александра Николаевича Велигуры (председателя комитета по информационной безопасности Ассоциации российских банков, заместителя генерального директора ООО "Андэк технолоджиз", канд. физ.-мат. наук, CISA) на тему "Комплекс стандартов Банка России: новости 2008 года":
"Прошло более четырех лет с момента выхода первой версии Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0.
С самого начала было понятно, что необходим целый комплекс документов, способствующих внедрению рекомендаций стандарта. Наряду с совершенствованием основного базового стандарта, проводилась работа по определению облика этого комплекса и созданию входящих в него документов.
При использовании этих документов необходимо иметь возможность оценивать степень соответствия состояния информационной безопасности своей организации требованиям "Общих положений". При этом желательно добиться единого понимания того, что считать выполнением тех или иных положений данного стандарта.
Результатом этих и других соображений стала разработка стандарта аудита и подробной методики аудита.
Стандарт аудита (СТО БР ИББС-1.1) содержит рекомендации по организации процесса аудита, не детализируя вопросы, на которые требуется получить ответ в ходе аудита, и вид результата.
Методика оценки соответствия (СТО БР ИББС-1.2) основывается на использовании так называемых частных показателей ИБ, представляющих собой вопросы, относящиеся к тем или иным аспектам обеспечения ИБ согласно "Общим положениям".
Существующая система документов включает в себя еще два документа, имеющих статус "рекомендаций в области стандартизации Банка России" (далее – "РС"):
- РС БР ИББС-2.0 (Рекомендации по документации);
- РС БР ИББС-2.1 (Руководство по самооценке).
В настоящее время готовятся еще два новых документа статуса "РС":
- РС БР ИББС-2.2 (Методика оценки рисков нарушения ИБ) и
- РС БР ИББС-2.3 (Методика классификации информационных активов).
Предполагается, что при применении комплекса стандартов использовать именно эти методики необязательно, то есть, например, требование "Общих положений" о проведении оценки рисков может быть реализовано и с помощью другой методики.
Кроме того, готовится новая редакция основного стандарта СТО БР ИББС-1.0. В нем будет опущен ряд декларативных положений, а также положений, которые на практике по разным причинам не используются.
С учетом практики уточняется и конкретизируется ряд требований стандарта.
В связи с этим соответствующие изменения планируется внести и в "Методику оценки", что сделает ее более точно соответствующей "Общим положениям" и более гибкой в применении.
В то же время основа подхода к обеспечению ИБ в стандартах не меняется, то есть если достигнут достаточно высокий уровень соответствие требованиям действующих версий стандартов, то он сохранится и в отношении новых редакций", - Александр Велигура, председатель комитета по информационной безопасности АРБ.
Конференция состоится 3 июня в Президент-отеле Арбат (Москва, Плотников пер., д. 12).
С программой мероприятия можно ознакомиться на сайте конференции www.finsec.ru.
Copyright © 2018-2022, ООО "ГРОТЕК"