LETA выпустила брошюру, посвященную стандарту Банка России СТО БР ИББС по информационной безопасности

В издание вошли тщательно подобранные материалы и рекомендации, подготовленные ведущими экспертами компании LETA, по приведению информационной безопасности организаций банковской системы РФ в соответствие требованиям стандарта ЦБ РФ СТО БР ИББС-1.0 «Обеспечение ИБ организаций банковской системы РФ. Общие положения» и поддержанию достигнутого уровня соответствия.

В частности, в брошюре предложен подход компании LETA к выполнению проектов по внедрению требований стандарта СТО БР ИББС-1.0 в разрезе цикла Деминга с подробным описанием всех стадий работ, а также изложена стратегия внедрения стандарта СТО БР ИББС-1.0, основанная на разделении всех его требований на 14 комплексов мероприятий и постепенном повышении уровня ИБ путем реализации наборов мероприятий из выделенных комплексов. Читатели смогут ознакомиться с подробным описанием каждого комплекса мероприятий с четким перечнем входящих в него работ и их приоритетностью в рамках этих комплексов, а также с примером составов мероприятий, необходимых для достижения организацией каждого из уровней ИБ. Кроме того, в финальной части брошюры приведен перечень периодических мероприятий, направленных на контроль состояния системы обеспечения информационной безопасности и поддержание ее работоспособности, выполнение которых позволит организации банковской системы РФ поддерживать достигнутый уровень соответствия ИБ требованиям СТО БР ИББС-1.0 и развивать его.

Все представленные в брошюре рекомендации разработаны на основе лучших российских и международных практик с учетом текущего законодательства РФ и тенденций развития ИБ в России.

Напомним, что компания LETA предоставляет услуги по внедрению СТО БР ИББС уже более четырех лет. Весной 2010 года произошло этапное событие для этого направления бизнеса, связанное с выводом на рынок инновационной услуги «Все стандарты ИБ. Банки». Она впервые позволила российским финансовым институтам привести свои системы ИБ в соответствие требованиям сразу трех нормативных документов: Федерального закона № 152-ФЗ «О персональных данных», рекомендованного Банком России стандарта (СТО БР ИББС), а также стандарта международных платежных систем PCI DSS, обязательного при наличии у организации собственного процессинга пластиковых карт. По сравнению с отдельными проектами интегрированная услуга «Все стандарты ИБ. Банки» позволила заказчикам вдвое ускорить внедрение, на треть снизить начальные затраты и на 20 % – расходы на сопровождение. Следующим важнейшим шагом стало приведение этой услуги в соответствие требованиям новой версии стандарта СТО БР ИББС, принятие которого положило начало массовому внедрению этого стандарта.

В начале 2011 года был сделан еще один важный шаг – в структуре департамента консалтинга компании LETA было создано новое подразделение, специализирующееся на услугах по аудиту и приведению систем ИБ российских банков в соответствие стандарту Банка России СТО БР ИББС.

LETA является полноправным членом Сообщества ABISS (Association for Banking Information Security Standards), объединяющего между собой пользователей стандартов Центрального банка Российской Федерации.

Среди клиентов компании банки «ТРАСТ», «Тинькофф. Кредитные системы», «АКИБАНК», «МАК-банк», «Банк ВТБ», «Московский Кредитный Банк» и многие другие.

«Современный уровень развития информационной безопасности, к счастью, уже привел к осознанию того, что это большой комплекс работ, а не отдельных технических решений. Банковская отрасль – пионеры в сфере ИБ. Банковский бизнес основан на доверии клиентов и опирается на работу с большими массивами конфиденциальных данных. Всего одна ошибка в защите может привести банк к банкротству или отзыву лицензии. Именно поэтому в финансовом секторе информационная безопасность традиционно имеет самый высокий приоритет, – говорит Андрей Конусов, Генеральный директор компании LETA. – Российская банковская система имеет собственный отраслевой стандарт по информационной безопасности. Это один из лучших документов в данной области ИБ. Стандарт по информационной безопасности СТО БР ИББС и пакет сопутствующих документов, таких как методика самооценки, методика оценки рисков нарушения информационной безопасности и т. д., на сегодняшний день не являются обязательными к применению. Однако после того, как Стандарт был согласован с регуляторами в части руководства при построении системы защиты персональных данных (Федеральный закон № 152), многие банки приняли для себя решение присоединиться к Стандарту и выполнить его требования. Стоит подчеркнуть, что полноценное внедрение требований данного стандарта – непростая комплексная задача. Именно поэтому мы подготовили данный документ, который хоть описывает лишь один из подходов, но, надеемся, будет полезен и поможет в решении нашей общей задачи по защите информации в такой важной и стратегической отрасли, как банковская».