WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 | 3 | 4 | 5 |   ...   | 15 |

{HL NAME = 2 LINK = NO}информационные сообщения

{/HL}

{HL NAME = 2 LINK = YES}О первичном блоке документов Банка России по

стандартизации в области обеспечения информационной безопасности организаций

банковской системы Российской Федерации

{/HL}

C целью повышения уровня информационной безопасности организаций банковской

системы Российской Федерации и в соответствии с Федеральным законом от 27

декабря 2002 г. № 184ФЗ “О техническом регулировании” Банком России с участием

специально созданного Подкомитета по стандартизации “Защита информации в

кредитнофинансовой сфере” (ПК3) Технического комитета по стандартизации

“Защита информации” (ТК362) Федерального агентства по техническому

регулированию и метрологии разработан стандарт “Обеспечение информационной

безопасности организаций банковской системы Российской Федерации. Общие

положения” (далее — стандарт СТО БР ИББС1.0).

В связи с высокой заинтересованностью банковского сообщества Российской Федерации в использовании стандарта СТО БР ИББС1.0 следующие развивающие этот стандарт документы разработаны и введены в действие распоряжениями Банка России:

от 28.04.2007 № Р345 Стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности”, предназначенный для кредитных организаций;

от 28.04.2007 № Р346 Стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС1.0”;

от 28.04.2007 № Р347 Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС1.0”;

от 28.04.2007 № Р348 Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС1.0”.

Проекты этих документов были разработаны и обсуждены на заседании ПК3, который рекомендовал рассмотреть возможность принятия и ввода их в действие.

Ввод в действие этих документов позволит:

обеспечить необходимыми методическими материалами по внедрению стандарта СТО БР ИББС1.0 структурные подразделения Банка России и организации банковской системы Российской Федерации;

обеспечить единый подход к оценке информационной безопасности организаций банковской системы Российской Федерации;

расширить возможности применения стандарта СТО БР ИББС1.0 для целей надзора и инспектирования кредитных организаций;

завершить формирование первичного блока документов по стандартизации в области обеспечения информационной безопасности организаций банковской системы Российской Федерации.

Держателем контрольных экземпляров документов определено Главное управление безопасности и защиты информации Банка России.

Ответственный представитель держателя контрольных экземпляров документов, а также контактное лицо по вопросам тиражирования и распространения официальных копий — заместитель начальника Главного управления безопасности и защиты информации Банка России Курило Андрей Петрович.

Почтовый адрес: 107016, г. Москва, ул. Неглинная, Телефон (495) Email: kap1@cbr.ru {HL NAME = 2 LINK = NO}официальные документы {/HL} {HL NAME = 2 LINK = YES}СТАНДАРТ БАНКА РОССИИ СТО БР ИББС1. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ {/HL} Дата введения: {HL NAME = 4 LINK = NO}Предисловие {/HL} 1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 28 апреля 2007 года № Р345.

2. ВВЕДЕН ВПЕРВЫЕ.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

{HL NAME = 4 LINK = NO}Введение {/HL} Одним из условий реализации целей деятельности организаций банковской системы Российской Федерации (БС РФ) является обеспечение необходимого и достаточного уровня их информационной безопасности (ИБ).



Основным из видов проверки уровня ИБ в организациях БС РФ является аудит ИБ.

Мировой опыт в области обеспечения ИБ определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации.

Банк России является сторонником регулярного проведения аудита ИБ в организациях БС РФ.

Основными целями аудита ИБ организаций БС РФ являются:

— повышение доверия к организациям БС РФ;

— оценка соответствия ИБ организаций БС РФ критериям аудита ИБ, установленным согласно требованиям стандарта Банка России СТО БР ИББС1.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (далее — СТО БР ИББС1.0).

{HL NAME = 4 LINK = NO}1. Область применения {/HL} Настоящий стандарт распространяется на организации БС РФ, а также на организации, проводящие аудит ИБ организаций БС РФ, и устанавливает требования к проведению внешнего аудита ИБ организаций БС РФ.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и использования устанавливаемых в нем положений и требований при разработке программ аудита ИБ, а также при разработке других нормативных документов организаций БС РФ по обеспечению ИБ.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством, нормативным правовым актом Банка России или условиями договора.

{HL NAME = 4 LINK = NO}2. Нормативные ссылки {/HL} В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 1.42004 Стандартизация в Российской Федерации. Стандарты организаций.

Общие положения СТО БР ИББС1. {HL NAME = 4 LINK = NO}3. Термины и определения {/HL} В настоящем стандарте применены термины по СТО БР ИББС1.0, а также следующие термины (в алфавитном порядке) с соответствующими определениями.

3.1. Внешний аудит информационной безопасности организации банковской системы Российской Федерации; аудит информационной безопасности: Систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации БС РФ по обеспечению ИБ и установления степени выполнения в организации БС РФ установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией.

3.2. Аудитор (эксперт): Лицо, обладающее компетентностью для проведения аудита информационной безопасности.

3.3. Аудиторская группа: Один или несколько аудиторов, проводящих аудит информационной безопасности, при необходимости поддерживаемые техническими экспертами.

3.4. Выводы аудита информационной безопасности; выводы аудита ИБ: Результат оценки собранных свидетельств аудита информационной безопасности на соответствие критериям аудита информационной безопасности.

Примечание. Выводы аудита информационной безопасности указывают на степень соответствия ИБ организации БС РФ критериям аудита ИБ.

3.5. Заказчик аудита информационной безопасности; заказчик аудита ИБ:

Организация или лицо, заказавшие аудит информационной безопасности.

Примечание. Заказчик может быть проверяемой организацией или любой другой организацией, которая имеет законное право потребовать аудит информационной безопасности.

3.6. Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная и/или количественная оценки степени соответствия установленным критериям аудита информационной безопасности, представленные аудиторской группой после рассмотрения всех выводов аудита информационной безопасности в соответствии с целями аудита информационной безопасности.

3.7. Критерии аудита (самооценки) информационной безопасности; критерии аудита (самооценки) ИБ: Совокупность требований в области информационной безопасности, определенных в соответствии с положениями СТО БР ИББС1.0 или его частью, и характеризующая некоторый уровень информационной безопасности.





Примечание. Критерии аудита (самооценки) информационной безопасности используются для сопоставления с ними свидетельств аудита (самооценки) информационной безопасности.

3.8. Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита информационной безопасности.

Примечание. Область аудита информационной безопасности обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту информационной безопасности, а также охватываемый период времени.

3.9. Проверяемая организация: Организация банковской системы Российской Федерации, в которой проводится аудит информационной безопасности.

3.10. Проверяющая организация (аудиторская организация): Организация, проводящая аудит информационной безопасности.

3.11. Программа аудита информационной безопасности; программа аудита ИБ: План деятельности по проведению одного или нескольких аудитов информационной безопасности (и других проверок информационной безопасности), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание. Программа аудита информационной безопасности включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов информационной безопасности (и других проверок информационной безопасности).

3.12. Свидетельства (доказательства) аудита (самооценки) информационной безопасности; свидетельства (доказательства) аудита (самооценки) ИБ: Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита (самооценки) информационной безопасности и могут быть проверены.

Примечание. Свидетельства аудита (самооценки) информационной безопасности могут быть качественными или количественными.

3.13. Самооценка информационной безопасности организации банковской системы Российской Федерации; самооценка ИБ: Систематический и документируемый процесс получения свидетельств самооценки в деятельности организации БС РФ по обеспечению ИБ и установления степени выполнения в организации БС РФ установленных критериев самооценки ИБ. Самооценка ИБ выполняется самостоятельно сотрудниками организации БС РФ.

3.14. Технический эксперт: Лицо, предоставляющее аудиторской группе свои знания и/или опыт по специальным вопросам.

{HL NAME = 4 LINK = NO}4. Исходная концептуальная схема (парадигма) аудита информационной безопасности организаций БС РФ {/HL} 4.1. В основе исходной концептуальной схемы аудита ИБ организаций БС РФ лежит, с одной стороны, желание собственника доказать достижение организацией БС РФ высокого уровня ИБ и таким образом повысить доверие к ней, с другой стороны — стремление аудиторов с помощью проведения независимой и компетентной оценки определить истинный (в пределах возможностей аудита ИБ) уровень организации работ в области ИБ и степень соответствия ИБ организации БС РФ установленным требованиям (критериям аудита).

4.2. Уровень ИБ организации БС РФ соответствует высокому уровню ИБ, если процессы системы обеспечения ИБ проводятся осознанно на основе прогноза, мониторинга и анализа внутренней и внешней среды, развития и изменения целей бизнеса (деятельности) организации БС РФ.

4.3. Возможное изменение внешней среды ведения бизнеса (деятельности) организации БС РФ, изменение и возрастание рисков ИБ вследствие естественных и/или преднамеренных изменений во внешней и внутренней среде организации БС РФ является причиной для регулярного проведения аудита ИБ в организации БС РФ, что позволяет своевременно принимать меры по поддержанию ИБ на необходимом уровне.

4.4. Оценка соответствия ИБ организации БС РФ критериям аудита ИБ проводится на основе документов по обеспечению ИБ и фактов, свидетельствующих о выполнении, частичном выполнении или невыполнении установленных требований ИБ.

{HL NAME = 4 LINK = NO}5. Основные принципы проведения аудита информационной безопасности организаций БС РФ {/HL} 5.1. Независимость аудита ИБ. Аудиторы независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту ИБ. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ.

Pages:     || 2 | 3 | 4 | 5 |   ...   | 15 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.