Календарь мероприятий


СТО БР ИББС-1.3-2016: Информационная безопасность банка в вопросах и ответах

Ответы на 10 важнейших вопросов об изменениях в обеспечении ИБ кредитных организаций

Как нами сообщалось ранее, с 1 января 2017 г. вступил в действие стандарт Банка России СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Агентство "ВЭП" отвечает на вопросы банковских специалистов в отношении данного стандарта со ссылками на соответствующие части документа.

1. На каком основании действует стандарт информационной безопасности банковской системы?

Стандарт принят и введен в действие приказом Банка России от 30 ноября 2016 г. N ОД-4234 и опирается на стандарт ГОСТ Р 34.11-2012 "Информационные технологии. Криптографическая защита информации. Функция хэширования", а также стандарты и рекомендации Банка России СТО БР ИББС-1.0, РС БР ИББС-2.5 и РС БР ИББС-2.6.
(Предисловие; ч.2)

2. Какие организации должны руководствоваться данным стандартом при обеспечении своей информационной безопасности?

Организации банковской системы России, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.
(ч.1, абз.1)

3. Должна ли руководствоваться стандартом организация, которая оказывает услуги оператора платежной инфраструктуры или банковского платежного агента (субагента), но при этом не входит в банковскую систему России?

Нет, положения стандарта не могут применяться такими организациями.
(ч.1, абз.2)

4. Что устанавливает данный стандарт?

Стандарт устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению определенных инцидентов ИБ и реагированию на них.
(ч.1, абз.1)

5. Регламентирует ли стандарт процедуры обнаружения инцидентов ИБ и классификации последних?

Нет, стандарт не регламентирует процедуры обнаружения инцидентов ИБ и классификации отдельных событий ИБ или их групп в качестве инцидентов ИБ.
(ч.1, абз.4)

6. Какие угрозы отнесены стандартом к инцидентам информационной безопасности?

1) Несанкционированное распоряжение денежными средствами, которое привело или может привести к:

  • осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
  • несвоевременности осуществления переводов денежных средств;
  • осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей).

2) Деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.
(Введение, абз.2)

7. Какие лица признаются нарушителями ИБ в целях СТО БР ИББС-1.3-2016?

Внутренние нарушители ИБ - работники организации банковской системы России и иные лица, имеющие легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств. Внешние нарушители ИБ - лица, не имеющие такого доступа, в т.ч. не являющимися работниками организации БС РФ.
(Введение, абз.5)

8. От кого должна поступать информация о случившемся или возможном инциденте ИБ, чтобы организация БС РФ приняла меры реагирования?

Если не считать инциденты, выявленные сотрудниками самой организации, то принимается во внимание информация о случившихся или возможных инцидентах ИБ, поступающая:
1) от клиентов операторов по переводу денежных средств;
2) от FinCert Банка России, а также иных организаций, например, операторов связи, провайдеров сети Интернет.
(ч.1, абз.1)

9. Каких рекомендаций не дается в данном стандарте?

Стандарт не содержит:
1) рекомендаций, направленных на обеспечение выявления несанкционированных переводов денежных средств на основе анализа реквизитов распоряжений на осуществление переводов денежных средств;
2) рекомендаций к реализации системы менеджмента инцидентов ИБ.
(ч.1, абз.3-4)

10. Имеются ли в стандарте положения, которые имеют не рекомендательный, а обязательный характер?

Положения стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, нормативными правовыми актами, в т.ч. нормативными актами Банка России.
(ч.1, абз.6)

 

Проверенные технологии корпоративного обучения от Агентства "ВЭП"

k17.jpg

 

 



Новости для банков
15 ноября 2019 года - Уральская молодежная конференция по банковскому делу (УМКО-2019)
18.07.2019
ЦБ рекомендовал банкам не навязывать страховки к льготной ипотеке
18.07.2019
Банк России в июле может понизить ключевую ставку лишь до 7,25%
18.07.2019
Министры финансов стран G7 высказали озабоченность в связи с проектом Libra
18.07.2019
Страховка по вкладам может быть повышена до 10 млн руб в ряде случаев Все новости
Новости ББТ
17.09.2019
On-line семинар "Тематические разделы ББТ. Что? Как? Для чего?"
06.08.2019
On-line семинар "Использование ББТ при обучении персонала банка в области Информационной безопасности"
23.07.2019
On-line семинар "ББТ и обучение персонала банка по актуальным нормативным изменениям в банковской сфере"
09.07.2019
On-line семинар "Использование ББТ при обучение и оценке знаний кассовых работников банка"
16.07.2019
В Ярославле лжеинкассатор украл пять миллионов рублей и уехал на велосипеде Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости