Сообщество ABISS объявляет об успешном завершении работ по оценке соответствия информационной безопасности ряда Главных управлений Банка России требованиям Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0 – 2006.
Целями внедрения стандарта СТО БР ИББС-1.0 – 2006 являются:
• повышение доверия к банковской системе Российской Федерации;
• обеспечение стабильности функционирования организаций, входящих в банковскую систему РФ, и всей банковской системы РФ в целом;
• переход на процессный подход при управлении информационной безопасностью банковских организаций;
• выявления и устранение недостатков во всех основных процессах обеспечения информационной безопасности для повышения качества управления операционными рисками;
• получение объективной оценки вопросов управления информационной безопасностью банковской организации для всех заинтересованных сторон (для акционеров, клиентов и партнеров).
В начале 2008 года Банк России провел конъюнктурный анализ предложений организаций-кандидатов на проведение работ по оценке соответствия ряда Главных территориальных управлений Банка России
(ГУ БР) требованиям стандарта по информационной безопасности, по результатам которого был выбран ряд компаний. В частности были выбраны компании «Андек», «Информзащита», «Кристалл», «Пацифика»,
«Энвижн Груп» и «Эрнст энд Янг».
Проверке подлежали Главные управления Банка России по Калининградской, Липецкой, Орловской, Омской и Псковской областях, а также по Забайкальскому краю. Каждая компания проводила оценку одного регионального управления. При этом все проверки проводились совместно со специалистами Главного управления безопасности и защиты информации (ГУБиЗИ) ЦБ РФ.
Результаты проверки показали, что при правильном подходе внедрение стандарта СТО БР ИББС-1.0 – 2006 не требует значительных финансовых затрат, но существенно повышает эффективность обеспечения информационной безопасности финансово-кредитной организации.
Андрей Петрович Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России: «Сразу после появления первой версии стандарта ЦБ определил несколько региональных подразделений, которые начали обкатывать на себе его требования и рекомендации. В числе первых подразделений ЦБ, начавших внедрять стандарт, были вышеуказанные Главные управления Банка России. Я считаю, что на подготовительный период требуется порядка двух лет. И только после третьего года банк переходит к конкретным действиям, что мы сейчас как раз и наблюдаем. Для ЦБ проведенные работы свидетельствуют о действительно высоком уровне обеспечения ИБ в данных региональных подразделениях. Для компаний, участвовавших в этих работах, выпала хорошая возможность использовать новые методики и получить дополнительный практический опыт. Также хотел отметить, что Банк России собирается и в дальнейшем проводить подобные работы с привлечением независимых организаций-консультантов. Так на 2009 год уже запланированы проверки еще в восьми территориальных управлениях Банка России».
Дмитрий Владимирович Огородников, директор департамента информационной безопасности «Энвижн Груп» отметил: «По результатам проведения оценки Главное управление Банка России по Орловской области получило довольно высокие оценки уровня осознания и текущего уровня ИБ. Это вполне закономерно. Во-первых, в управлении на протяжении нескольких лет проводилась серьезная работа по совершенствованию системы менеджмента ИБ и внедрению стандарта. Во-вторых, полученный результат связан с вовлечением в процесс внедрения стандарта руководства банка. Оценка уровня менеджмента ИБ оказалась чуть ниже, что связано, прежде всего, с отсутствием в банке формализованной методики оценки рисков. При этом необходимо отметить, что в настоящее время Банк России разрабатывает собственную методику оценки рисков, что, безусловно, повысит уровень менеджмента ИБ».
Александр Николаевич Велигура, заместитель генерального директора ООО «Андэк Технолоджиз»: «Проведенная в ГУ Банка России по Псковской области работа по оценке соответствия показала, что в ГУ достигнут сравнительно высокий уровень соответствия ИБ требованиям стандарта, отвечающий рекомендациям Банка России. Кроме того, пример ГУ по Псковской области показывает, что проведение самооценки требованиям стандарта и соответствующая организация работ по устранению выявленных при самооценке расхождений с положениями стандарта позволяют в сравнительно короткий срок сократить эти расхождения. В то же время необходимо понимать, что это достигнуто главным образом за счет создания необходимой документации и принятия решений организационного плана. Следующий шаг – выполнение принятых решений и внедрение положений разработанных документов в повседневную практику.
Сергей Львович Зефиров, заместитель научного директора НПФ «Кристалл»: «ГУ Банка России по Омской области, благодаря высокому уровню осознания руководства и профессионализма специалистов ИБ, активно участвовало во всех мероприятиях по внедрению стандарта Банка России СТО БР ИББС-1.0 с момента его введения в действие. В ГУ планомерно проводились работы по реализации требований стандарта и совершенствованию системы управления ИБ. Результаты оценки соответствия ИБ показали, что цели, поставленные стандартом Банка России, в ГУ Банка России по Омской области достигнуты: текущий уровень ИБ и осознание ИБ соответствуют наивысшему уровню, управление ИБ соответствует рекомендуемому уровню. В аудиторской практике НПФ «Кристалл» подобные оценки соответствия ИБ не были получены ни в одной из организаций БС РФ».
Николай Александрович Самодаев, партнер «Эрнст энд Янг», отмечает: «Внедрение стандарта Банка России СТО БР ИББС-1.0-2006 позволяет организации повысить текущий уровень обеспечения ИБ. Но, что более важно, внедрение стандарта повышает не только общий уровень управления ИБ, но и уровень осознания, а также степень вовлечения высшего руководства и сотрудников банка в решение вопросов и проблем обеспечения ИБ. Нами было отмечено, что по результатам самооценки соответствия ИБ требованиям стандарта, проведенной ГУ БР по Липецкой области, руководство ГУ разработало и уже внедрило ряд мер, направленных на повышение уровня обеспечения ИБ. А рекомендации, представленные по результатам нашей оценки, могут быть использованы для планирования дальнейших работ в данном направлении в краткосрочной и долгосрочной перспективе».
Павел Владимирович Гениевский, исполнительный директор ООО «ПАЦИФИКА» рассказал: «Наша компания проводила оценку соответствия ГУ Банка России по Забайкальскому краю, в котором уже не первый год ведется постоянная работа по совершенствованию системы обеспечения информационной безопасности. В целом были продемонстрированы хорошие результаты, а сделанные нами рекомендации касались в основном общих проблем, решением которых уже занимается ГУБиЗИ. Хотелось бы отметить открытость и оперативность руководства ГУ, которое способствовало своевременному предоставлению запрашиваемой информации, что позволило нашей компании выполнить все работы качественно и в утвержденные сроки»
Максим Сергеевич Эмм, директор департамента аудита ЗАО НИП «Информзащита» рассказал: «Мы уже не первый год проводим оценку Главных управлений Банка России в различных регионах РФ и для нас совершенно очевидно, что высокий уровень исполнительской дисциплины и хорошо проработанная нормативная база в части обеспечения защиты информации дает серьезные основания для получения достаточно высоких оценок по многим показателям при проведении оценки по требованиям стандарта СТО БР ИББС-1.0 – 2006. Я искренне надеюсь, что наши рекомендации помогут территориальным управлениям в совершенствовании их системы обеспечения информационной безопасности».
