СТО БР

Комплекс документов в области стандартизации, выпущенный Банком России, устанавливает положения по обеспечению ИБ в организациях БС РФ, а также отражает основные тенденции развития государственной политики информационной безопасности, обобщает требования законов, подзаконных актов, надзорных органов, международных стандартов, ГОСТ-ов и "лучших практик" по обеспечению ИБ.

Стандарт имеет рекомендательный характер, присоединяться к нему или нет - добровольное решение кредитной организации. Прямого влияния на отношения с ЦБ и регуляторами не оказывает, однако большинство банков добровольно приняли на себя обязательства по соблюдению требований этого стандарта, т.к. это позволяет на практике достичь высокого уровня информационной безопасности организации. Несмотря на рекомендательный характер стандарта, выполнение изложенных в нем норм обеспечивает соответствие требованиям ФСТЭК России, РКН, ФСБ России.

Поддержание уровня ИБ на высоком уровне требует серьезного и профессионального подхода специалистов служб автоматизации, информационной безопасности и руководства организации.

Наша компания готова предложить ряд консалтинговых услуг для всех этапов реализации политики ИБ и поддержания ИБ в Вашей организации на должном уровне.

Сотрудники нашей компании являются сертифицированными специалистами по аудиту и внедрению СТО БР ИББС. Сертификация сотрудников происходила в некоммерческом партнерстве "Сообщество пользователей стандартов по информационной безопасности АБИСС", фактически разработавшем стандарт СТО БР ИББС.

"РосИнтеграция" предлагает три вида услуг по внедрению стандарта в кредитной организации: аудит, планирование реализации требований СТО БР и совершенствовании ИБ, внедрение комплекса мер по совершенствованию ИБ.

АУДИТ СТО БР ИББС

Данные, полученные в результате проведения аудита, позволяют руководству кредитной организации не только определить стратегию развития в области обеспечения ИБ, но и осуществлять контроль ее выполнения на основании формализованных результатов оценки соответствия.

Аудит, проводимый нашей Компанией, обеспечивает следующие принципы:
1. Независимость аудита ИБ. Аудиторы независимы в своей деятельности и не ответственны за деятельность, которая подвергается аудиту ИБ;
2. Полнота аудита ИБ. Аудит ИБ охватывает все области аудита ИБ, соответствующие аудиторскому заданию. Кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам;
3. Оценка проводится на основе свидетельств аудита ИБ. При периодическом проведении аудита ИБ, оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению;
4. Достоверность свидетельств аудита ИБ. Доверие к документальным свидетельствам аудита ИБ повышается при подтверждении их достоверности третьей стороной или руководством кредитной организации. Доверие к фактам, полученным при опросе сотрудников проверяемой организации, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью проверяемой организации в области ИБ, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов;
5. Компетентность. Компетентность базируется на способности аудитора применять знания и навыки;
6. Этичность поведения. Этичность поведения подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.

ПЛАНИРОВАНИЕ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ СТО БР И СОВЕРШЕНСТВОВАНИЕ ИБ

При необходимости наша Компания может разработать детализированные рекомендации по повышению уровня ИБ Банка. Такие рекомендации позволяют сформировать/скорректировать стратегию совершенствования системы обеспечения информационной безопасности Банка и подготовить планы реализации тех или иных мер по защите информации.

Процесс совершенствования системы обеспечения ИБ зависит от достижения следующих целей:

  • определение комплекса мер по обеспечению приведения оценки уровня соответствия ИБ к целевой;
  • разработка плана внедрения комплекса мер по совершенствованию системы ИБ.

Мы поможем разработать поэтапный план внедрения выбранных мер по совершенствованию СОИБ. В процессе внедрения рекомендуется проводить периодическую самооценку либо аудит уровня соответствия требованиям стандарта.

ВНЕДРЕНИЕ КОМПЛЕКСА МЕР ПО СОВЕРШЕНСТВОВАНИЮ ИБ

Наша Компания может провести комплекс мероприятий по внедрению механизмов и средств защиты информации, тем самым положительно повлияв на оценку уровня соответствия, а также наладив процесс внедрения, сопровождения, восстановления, контроля и совершенствования систем обеспечения информационной безопасности.

На основании принятого плана внедрения мер (разработанного нашей Компанией или силами самой организации), направленных на улучшение СОИБ, устанавливаются программные и технические СЗИ (в том числе криптографические), разрабатывается комплект организационно-распорядительных документов, регламентирующих деятельность в сфере ИБ, даются рекомендации по настройке уже эксплуатирующихся в организации программно-технических средств.