Информационная безопасность в банковском секторе — одна из наиболее обсуждаемых тем в профессиональном сообществе. Участившиеся кибератаки, постоянно растущее число угроз и их усложняющийся характер, усиленное государственное регулирование безопасности в банковской сфере — все эти факторы порождают массу вопросов по созданию такой системы информационной безопасности, которая надежно защищает инфраструктуру предприятия и соответствует требованиям различных стандартов.

На сегодняшний день существует ряд документов, регулирующих вопросы информационной безопасности в банковской сфере, часть из них — обязательные к выполнению, другие — рекомендуемые. К последним относится стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Важно, что выполнять или нет требования этого документа кредитно-финансовые организации решают сами. Комплекс документов СТО БР ИББС описывает единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учетом требований российского законодательства. Основная задача документа — предотвращение инцидентов и минимизация рисков в области безопасности. Несмотря на «необязательность», СТО БР ИББС заслужил признание отрасли — большинство банков выполняет требования документа, так как он учитывает мировой опыт в области информационной безопасности и регулярно обновляется.

В феврале этого года представители Центробанка объявили, что очередная, пятая редакция документа выйдет в мае этого года. Основной целью пересмотра документов комплекса БР ИББС стала гармонизация с рядом документов, прежде всего, с постановлением правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также Положением Банка России от 9 июня 2012 года № 382-П.

Гармонизация, то есть приведение документов к общим понятиям и требованиям, определенным в разных руководящих документах, несет ряд плюсов для финансовых организаций. Допустим, ранее банк выполнял требования одного документа, к примеру, СТО БР ИББС. Чтобы подтвердить соответствие Положению Банка России 382-П, ему придется проделать дополнительную, в большинстве своем дублирующую, работу по анализу и адаптации информационной системы под все регулирующие документы.

Единый документ будет соответствовать современным требованиям, которые предъявляются к информационной безопасности банка, и позволит исключить дублирующие требования регулирующих документов. Все это поспособствует оптимизации при выполнении требований регуляторов, сократит временные и финансовые издержки.

Таким образом, новая редакция СТО БР ИББС будет еще эффективнее и удобнее, более того, она существенно повысит процент банков, которые будут проводить аудит на соответствие данному стандарту. Следовательно, это будет своего рода проверкой надежности системы защиты информации в том или ином банке.

Реклама