Оценка соответствия требованиям СТО БР ИББС

О комплексе стандартов Банка России

Документы Банка России по стандартизации Комплекса БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» включают 6 стандартов и 8 рекомендаций по стандартизации.

В действующих редакциях документы по стандартизации Комплекса БР ИББС включают следующие стандарты:

  • СТО БР ИББС-1.0–2014 «Общие положения»;

  • СТО БР ИББС-1.1–2007 «Аудит информационной безопасности»;

  • СТО БР ИББС-1.2–2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0–2014»;

  • СТО БР ИББС-1.3–2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств»;

  • СТО БР ИББС-1.4–2018 «Управление риском информационной безопасности при аутсорсинге»;

  • СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации».

В действующих редакциях рекомендации по стандартизации Комплекса БР ИББС включают следующие и рекомендации по стандартизации:

  • РС БР ИББС-2.0–2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;

  • РС БР ИББС-2.1–2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0»;

  • РC БР ИББС-2.2–2009 «Методика оценки рисков нарушения информационной безопасности»;

  • РС БР ИББС-2.5–2014 «Менеджмент инцидентов информационной безопасности»;

  • РС БР ИББС-2.6–2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем»;

  • РС БР ИББС-2.7–2015 «Ресурсное обеспечение информационной безопасности»;

  • РС БР ИББС-2.8–2015 «Обеспечение информационной безопасности при использовании технологии виртуализации»;

  • РС БР ИББС-2.9–2016«Предотвращение утечек информации».

Документы Банка России по стандартизации Комплекса БР ИББС охватывают широкий круг областей, но основополагающим является стандарт СТО БР ИББС-1.0, подлежащий реализации.

Полнота реализации определяется в рамках работ по оценке соответствия, проводимых на основе требований СТО БР ИББС-1.1 и СТО БР ИББС-1.2.

Состав работ по оценке соответствия требованиям СТО БР ИББС-1.0

Банком России рекомендуется присоединение организаций банковской системы Российской Федерации к требованиям стандарта Банка России СТО БР ИББС-1.0 через введение в действие в этих организациях положений данного стандарта.

После присоединения Банка к Комплексу БР ИББС ему рекомендуется раз в два года проходить внешнюю оценку соответствия требованиям СТО БР ИББС-1.0.

Работы по оценке соответствия требованиям основополагающего стандарта Банка России СТО БР ИББС-1.0 выполняются в соответствии с методикой оценки соответствия приведённой в стандарте СТО БР ИББС-1.2. Объем оцениваемых требований основополагающего стандарта Банка России насчитывает около 500 частных показателей

Состав работ по оценке соответствия включает в себя:

–      подготовка к проведению оценки соответствия;

–      анализ документов;

–      проведение оценки соответствия на месте;

–      подготовка, утверждение и рассылка отчёта по оценке соответствия;

–      завершение оценки соответствия.

По результатам проведения оценки соответствия требованиям ИБ аудиторская группа подготавливает отчёт. Отчёт предоставляет полные, точные, чёткие и достаточные записи по оценке соответствия.

Отчёт по результатам проведения оценки соответствия требованиям ИБ является собственностью заказчика.