FBK Cybersecurity
 
Close
Напишите нам – мы всегда на связи!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности

Стандарты аудита информационной безопасности в России

Аудит информационной безопасности

Аудит системы безопасности - это комплекс мероприятий по выявлению, анализу и оценке угроз информационной безопасности инфраструктуры предприятия.

Основные цели аудита информационной безопасности заключаются в:
● оценка состава ключевых внутренних нормативных документов (ВНД) на предмет соответствия требованиям регулятора;
● выявлении слабых мест в системе обеспечения информационной безопасности;
● оценка уровня защищенности информационных систем.

Стандарты аудита информационной безопасности для банков

1. Комплекс стандартов Банка России СТО БР ИББС-1

Финансовые организации и банки в частности реализуют один из наивысших уровней обеспечения информационной безопасности, поэтому Банк России, как основной банковский регулятор, разработал для этих организаций Стандарт Банка России СТО БР ИББС-1. Данный стандарт в комплексе всех документов, входящих в него, регламентирует ряд наиболее значимых вопросов в сфере информационной безопасности банковских организаций:

СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)».
СТО БР ИББС-1.1-2007. «Аудит информационной безопасности».
СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)».
СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств».
СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге».
СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации».

С точки зрения СТО БР ИББС-1.1-2007. «Аудит информационной безопасности» основными целями аудита ИБ организаций являются:
● Повышение доверия к банку.
● Оценка соответствия ИБ банковской организации критериям аудита ИБ, установленным согласно требованиям Банка России.

2. Национальный стандарт информационной безопасности для финансовых организаций ГОСТ Р 57580.1

Наиболее значимым для всех финансовых организаций являются национальные стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 также разработанные Банком России.

Именно на этот документ ссылаются основные Положения Банка России, которые и устанавливают к отдельным видам финансовых организаций требования, соответствующие специфике деятельности той или иной организации:

Положении Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
Положение Банка России от 04.06.2020 N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Положение Банка России от 20.04.2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Положение Банка России от 23.12.2020 г. N 747-П «О требованиях к защите информации в платежной системе Банка России».

ГОСТ Р 57580.1 определяет три уровня ЗИ: минимальный, стандартный и усиленный. Они отличаются друг от друга набором защитных мер, которые финансовая организация должна применять.


Международные стандарты аудита информационной безопасности

Наиболее распространенным в России международным стандартом аудита информационной безопасности является ISO/IEC 27001:

В стандарте собраны описания лучших мировых практик в области управления информационной безопасностью.

Также ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

Стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности.

Данный стандарт применяется организациями в добровольном порядке. Если для финансовых организаций существует национальный стандарт ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, оценка соответствия которым является обязательной для кредитных и некредитных финансовых организаций (как минимум необходимо определять необходимость применения к организации того или иного уровня защиты информации от минимального до максимального), то для других организаций подобных единых стандартов не существует. Стандарт ISO/IEC 27001 применим с точки зрения базовых потребностей обеспечения информационной безопасности и оценки качества реализации мер обеспечения информационной безопасности любыми организациями.
Другие материалы
Подпишитесь чтобы получать уведомления о выходе новых материалов и новостей