Журнал фильтра правок

'{{изолированная статья|кольцо2}} {{значимость|2011-03-11}} '''Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации''' ('''СТО БР ИББС''') — комплекс документов [[Банк России|Банка России]], описывающий единый подход к построению системы обеспечения [[информационная безопасность|информационной безопасности]] организаций банковской сферы с учётом требований российского законодательства. <br />Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении. == Темпы присоединения == По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном мелкие банки)<ref>{{cite web|url=http://www.ib-bank.ru/arhiv/05/01/kurilo.rar|title=Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации.|lang=ru}}</ref> == Состав == В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть '''Комплексом БР ИББС'''): * СТО БР ИББС-1.0-2010. Общие положения (4 редакция); * СТО БР ИББС-1.1-2007. Аудит информационной безопасности; * [[Методика оценки соответствия Стандарту Банка России СТО БР ИББС-1.0|СТО БР ИББС-1.2-2010]]. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (3 редакция). Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации: * РС БР ИББС-2.0-2007. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0; * РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0; * РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности; * РС БР ИББС-2.3-2010. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации; * РС БР ИББС-2.4-2010. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации. == Безопасность персональных данных == Организации банковской системы получили возможность выбора между исполнением требований ФСТЭК и ФСБ в области технической защиты персональных данных и принятием Комплекса БР ИББС. В срок до 30 июня 2011 года организациям банковской сферы, в случае выбора Стандарта Банка России, необходимо выполнить комплекс мероприятий по защите персональных данных и [[Методика оценки соответствия Стандарту Банка России СТО БР ИББС-1.0|оценке эффективности (аудиту)]] защиты информации.<br /> Принятие отраслевого стандарта безопасности персональных данных, которым стал Комплекс БР ИББС, позволяет упростить процедуру защиты персональных данных, в связи с: * неактуальностью [[TEMPEST|технических каналов утечки]] персональных данных (п 7.11.4 СТО БР ИББС-1.0-2010); * возможностью использования несертифицированных (но одобренных руководством организации) средств защиты (п.7.4.2 СТО БР ИББС-1.0-2010); * исключением автоматизированных банковских систем, реализующих банковские платёжные технологические процессы, из разряда [[Информационная система персональных данных|информационных систем персональных данных (ИСПДн)]] (п. 7.10.9 СТО БР ИББС-1.0-2010). == Система обеспечения информационной безопасности == [[Файл:Цикл Деминга для СОИБ.JPG|thumb|300px|Цикл Деминга для СОИБ, ''СТО БР ИББС-1.0-2010'']] В основу СОИБ заложен [[Цикл Деминга]], используемый в управлении качеством. <br /> Основными этапами обеспечения ИБ считаются: * Планирование СОИБ; * Реализация СОИБ; * Проверка СОИБ; * Совершенствование СОИБ. == Ссылки == * {{cite web|url=http://www.leetsoft.ru/sto|title= Документы в области стандартизации Банка России на сайте leetsoft.ru}} * {{cite web|url=http://cbr.ru/credit/Gubzi_docs/info3.pdf|title= Информационное сообщение о реализации в организациях БС РФ Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»}} * {{cite web|url=http://www.abiss.ru|title= Сайт сообщества пользователей стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards)}} [[Категория:Информационная безопасность]] [[Категория:Банковское дело в России]]'