• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Проверили – убедились

ИБ Банка России соответствует принятому стандарту .

В начале 2008 г. Банк России провел конъюнктурный анализ предложений организаций-кандидатов на проведение работ по оценке соответствия ряда Главных территориальных управлений Банка России (ГУ БР) требованиям стандарта по информационной безопасности, по результатам которого были выбраны компании «Андек», «Информзащита», «Кристалл», «Пацифика», «Энвижн Груп» и «Эрнст энд Янг». Проверке подлежали Главные управления Банка России по Калининградской, Липецкой, Орловской, Омской и Псковской областях, а также по Забайкальскому краю. Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России, сообщил, что сразу после появления первой версии стандарта в числе первых подразделений ЦБ, начавших "обкатывать" на себе его требования и рекомендации, стали как раз эти Главные управления Банка России. "Я считаю, что на подготовительный период требуется порядка двух лет, - отметил А. Курило. - И только после третьего года банк переходит к конкретным действиям, что мы сейчас и наблюдаем. Для ЦБ проведенные работы свидетельствуют о действительно высоком уровне обеспечения ИБ в данных региональных подразделениях. А компаниям, участвовавшим в этих работах, выпала хорошая возможность использовать новые методики и получить дополнительный практический опыт." Банк России собирается и в дальнейшем проводить подобные работы с привлечением независимых организаций-консультантов. Так, на 2009 г. уже запланированы проверки еще в восьми территориальных управлениях Банка России.

Каждая компания проводила оценку одного регионального управления, при этом все проверки проводились под эгидой ABISS совместно со специалистами Главного управления безопасности и защиты информации (ГУБиЗИ) ЦБ РФ.

ABISS (Association for Banking Information Security Standards) - сообщество организаций, деятельность которых направлена на развитие и продвижение Стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», его последующих версий и дополнений, а также других стандартов, положений и методических указаний Банка России, регламентирующих вопросы информационной безопасности организаций банковской системы Российской Федерации.

Цели внедрения стандарта СТО БР ИББС-1.0 – 2006:

• повышение доверия к банковской системе Российской Федерации;
• обеспечение стабильности функционирования организаций, входящих в банковскую систему РФ, и всей банковской системы РФ в целом;
• переход на процессный подход при управлении информационной безопасностью банковских организаций;
• выявления и устранение недостатков во всех основных процессах обеспечения информационной безопасности для повышения качества управления операционными рисками;
• получение объективной оценки вопросов управления информационной безопасностью банковской организации для всех заинтересованных сторон (для акционеров, клиентов и партнеров).

Результаты проверки показали, что при правильном подходе внедрение стандарта СТО БР ИББС-1.0 – 2006 не требует значительных финансовых затрат, но существенно повышает эффективность обеспечения информационной безопасности финансово-кредитной организации.

Дмитрий Огородников, директор департамента информационной безопасности «Энвижн Груп» отметил: «По результатам проведения оценки Главное управление Банка России по Орловской области получило довольно высокие оценки уровня осознания и текущего уровня ИБ. Это вполне закономерно. Во-первых, в управлении на протяжении нескольких лет проводилась серьезная работа по совершенствованию системы менеджмента ИБ и внедрению стандарта.  Во-вторых, полученный результат связан с вовлечением в процесс внедрения стандарта руководства банка.  Оценка уровня менеджмента ИБ оказалась чуть ниже, что связано, прежде всего, с отсутствием в банке формализованной методики оценки рисков. При этом необходимо отметить, что в настоящее время Банк России разрабатывает собственную методику оценки рисков, что, безусловно, повысит уровень менеджмента ИБ».

Александр Велигура, заместитель генерального директора ООО «Андэк Технолоджиз», считает: «Проведенная в ГУ Банка России по Псковской области работа по оценке соответствия показала, что в ГУ достигнут сравнительно высокий уровень соответствия ИБ требованиям стандарта, отвечающий рекомендациям Банка России. Кроме того, пример ГУ по Псковской области показывает, что проведение самооценки требованиям стандарта и соответствующая организация работ по устранению выявленных при самооценке расхождений с положениями стандарта позволяют в сравнительно короткий срок сократить эти расхождения. В то же время необходимо понимать, что это достигнуто главным образом за счет создания необходимой документации и принятия решений организационного плана. Следующий шаг – выполнение принятых решений и внедрение положений разработанных документов в повседневную практику."

Сергей Зефиров, заместитель научного директора НПФ «Кристалл», резюмировал: «ГУ Банка России по Омской области, благодаря высокому уровню осознания руководства и профессионализма специалистов ИБ, активно участвовало во всех мероприятиях по внедрению стандарта Банка России СТО БР ИББС-1.0 с момента его введения в действие. В ГУ планомерно проводились работы по реализации требований стандарта и совершенствованию системы управления ИБ. Результаты оценки соответствия ИБ показали, что цели, поставленные стандартом Банка России, в ГУ Банка России по Омской области достигнуты: текущий уровень ИБ и осознание ИБ соответствуют наивысшему уровню, управление ИБ соответствует рекомендуемому уровню. В аудиторской практике НПФ «Кристалл» подобные оценки соответствия ИБ не были получены ни в одной из организаций БС РФ».

Николай Самодаев, партнер «Эрнст энд Янг», сделал вывод: «Внедрение стандарта Банка России СТО БР ИББС-1.0-2006 позволяет организации повысить текущий уровень обеспечения ИБ. Но, что более важно, внедрение стандарта повышает не только общий уровень управления ИБ, но и уровень осознания, а также степень вовлечения высшего руководства и сотрудников банка в решение вопросов и проблем обеспечения ИБ. Нами было отмечено, что по результатам самооценки соответствия ИБ требованиям стандарта, проведенной ГУ БР по Липецкой области, руководство ГУ разработало и уже внедрило ряд мер, направленных на повышение уровня обеспечения ИБ. А рекомендации, представленные по результатам нашей оценки, могут быть использованы для планирования дальнейших работ в данном направлении в краткосрочной и долгосрочной перспективе».

Павел Гениевский, исполнительный директор ООО «ПАЦИФИКА», рассказал: «Наша компания проводила  оценку соответствия ГУ Банка России по Забайкальскому краю, в котором уже не первый год ведется постоянная работа по совершенствованию системы обеспечения информационной безопасности. В целом были продемонстрированы хорошие результаты, а сделанные нами рекомендации касались в основном общих проблем, решением которых уже занимается ГУБиЗИ. Хотелось бы отметить открытость и оперативность руководства ГУ, которое способствовало своевременному предоставлению запрашиваемой информации, что позволило нашей компании выполнить все работы качественно и в утвержденные сроки.»

Максим Эмм, директор департамента аудита ЗАО НИП «Информзащита», подытожил: «Мы уже не первый год проводим оценку Главных управлений Банка России в различных регионах РФ - и для нас совершенно очевидно, что высокий уровень исполнительской дисциплины и хорошо проработанная нормативная база в части обеспечения защиты информации дает серьезные основания для получения достаточно высоких оценок по многим показателям при проведении оценки по требованиям стандарта СТО БР ИББС-1.0 – 2006. Я искренне надеюсь, что наши рекомендации помогут территориальным управлениям в совершенствовании их системы обеспечения информационной безопасности».

Более подробно проблемы внедрения стандарта СТО БР ИББС-1.0 – 2006 будут обсуждаться на Первой межбанковской конференции по вопросам обеспечения информационной безопасности в банковской сфере «Вопросы обеспечения информационной безопасности организаций банковской системы РФ» (http://www.ib-bank.ru)

Оставить свой комментарий:

Комментарии по материалу