Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.
Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.
По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки)[1].
Продвижением стандарта, а также его регулярным обновлением и улучшением занимается некоммерческое партнерство ABISS[2].
В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):
Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:
Предложения по улучшению и информацию об ошибках в документах Комплекса БР ИББС можно направить в Банк России с использованием интернет-приемной Банка России.
Следующие рекомендации в области стандартизации выведены из действия по состоянию на 01.06.2014:
Июльская поправка (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).
Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:
Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идее создания отраслевого стандарта.
В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.
В основу СОИБ заложен Цикл Деминга, используемый в управлении качеством.
Основными этапами обеспечения ИБ считаются:
Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с защитой персональных данных.
Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R. Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).
Выделяют 6, начиная с нулевого, уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.
Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .