Строго следовать правилам

Для формирования системы оценки соответствия информационной безопасности банковской организации требованиям стандарта СТО БР ИББС-1.0 (см. рис. 1) и формирования на ее основе единых формальных правил необходимы стандарты и руководства.

На сегодня разработаны проекты стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и «Методики оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0».

Проект стандарта СТО БР ИББС-4.0 устанавливает положения, принципы и требования к проведению аудита информационной безопасности организаций банковской системы Российской Федерации (БС РФ) и содержит следующие основные разделы:

  • исходная концептуальная схема (парадигма) аудита информационной безопасности банковской организации, показывающая цели собственников и аудиторов, характеристику рекомендуемого Банком России уровня ИБ, место аудита в системе мониторинга информационной безопасности организации, способ оценки ее соответствия требованиям стандарта СТО БР ИББС-1.0;
  • основные принципы проведения аудита информационной безопасности банковской организации, к которым относятся независимость и полнота аудита, оценка достоверности свидетельств аудита и обоснованности, сделанных на их основе выводов, а также оценка компетентности аудитора и этичности его поведения;
  • требования к взаимоотношениям аудиторской организации с представителями проверяемой организации при заключении договора на проведение аудита информационной безопасности, а также во время сбора и анализа свидетельств и при обсуждении отчета и заключения по результатам проведения аудита;
  • требования к этапам проведения аудита информационной безопасности банковской организации, а именно, требования к подготовке проведения аудита, к анализу документов, к проведению аудита на месте и к завершению аудита;
  • управление аудитом информационной безопасности банковской организации, которое включает процессы по планированию, внедрению, контролю, анализу и совершенствованию программы аудита ИБ.
  • 76

Проект документа «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» устанавливает критерии оценки соответствия информационной безопасности банковской организации требованиям стандарта Банка России СТО БР ИББС-1.0, которые должны использоваться при проведении аудита информационной безопасности в банковских организациях, и содержит следующие основные разделы:

  • показатели информационной безопасности и их способы. В данном разделе определены назначения частных (с их помощью оценивается уровень выполнения требований стандарта Банка России) и групповых (они формируются в виде совокупности оценок частных показателей и с их помощью оценивается соответствие установленных практик и процедур, процессов менеджмента, процессов осознания требованиям стандарта СТО БР ИББС-1.0) показателей;
  • определение текущего уровня информационной безопасности банковской организации - показан способ формирования значений частных и групповых показателей текущего уровня И Б;
  • определение зрелости процессов менеджмента информационной безопасности банковской организации - показан способ формирования значений частных и групповых показателей уровня зрелости процессов менеджмента ИБ; определение уровня осознания информационной безопасности банковской организации - показан способ формирования значений частных и групповых показателей уровня осознания ИБ организации;
  • формирование уровня соответствия информационной безопасности банковской организации требованиям стандарта СТО БР ИББС-1.0.

В 2005 г. проекты стандарта СТО БР ИББС-4.0 и методик прошли апробацию в четырнадцати подразделениях Банка России и в двух коммерческих банках, где были использованы для оценки соответствия информационной безопасности банковской организации требованиям стандарта СТО БРИББС-1.0.

В настоящее время идет активное обсуждение проекта стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и проекта документа «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» в подкомитете № 3 «Защита информации в кредитно-финансовой сфере» технического комитета № 362 «Защита информации» Ростехрегулирования.

: Структура оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО РБ ИББС-1.0

Рис. 6.1: Структура оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО РБ ИББС-1.0

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >