Календарь мероприятий


СТО БР ИББС-1.3-2016: Информационная безопасность банка в вопросах и ответах

Ответы на 10 важнейших вопросов об изменениях в обеспечении ИБ кредитных организаций

Как нами сообщалось ранее, с 1 января 2017 г. вступил в действие стандарт Банка России СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Агентство "ВЭП" отвечает на вопросы банковских специалистов в отношении данного стандарта со ссылками на соответствующие части документа.

1. На каком основании действует стандарт информационной безопасности банковской системы?

Стандарт принят и введен в действие приказом Банка России от 30 ноября 2016 г. N ОД-4234 и опирается на стандарт ГОСТ Р 34.11-2012 "Информационные технологии. Криптографическая защита информации. Функция хэширования", а также стандарты и рекомендации Банка России СТО БР ИББС-1.0, РС БР ИББС-2.5 и РС БР ИББС-2.6.
(Предисловие; ч.2)

2. Какие организации должны руководствоваться данным стандартом при обеспечении своей информационной безопасности?

Организации банковской системы России, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.
(ч.1, абз.1)

3. Должна ли руководствоваться стандартом организация, которая оказывает услуги оператора платежной инфраструктуры или банковского платежного агента (субагента), но при этом не входит в банковскую систему России?

Нет, положения стандарта не могут применяться такими организациями.
(ч.1, абз.2)

4. Что устанавливает данный стандарт?

Стандарт устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению определенных инцидентов ИБ и реагированию на них.
(ч.1, абз.1)

5. Регламентирует ли стандарт процедуры обнаружения инцидентов ИБ и классификации последних?

Нет, стандарт не регламентирует процедуры обнаружения инцидентов ИБ и классификации отдельных событий ИБ или их групп в качестве инцидентов ИБ.
(ч.1, абз.4)

6. Какие угрозы отнесены стандартом к инцидентам информационной безопасности?

1) Несанкционированное распоряжение денежными средствами, которое привело или может привести к:

  • осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
  • несвоевременности осуществления переводов денежных средств;
  • осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей).

2) Деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.
(Введение, абз.2)

7. Какие лица признаются нарушителями ИБ в целях СТО БР ИББС-1.3-2016?

Внутренние нарушители ИБ - работники организации банковской системы России и иные лица, имеющие легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств. Внешние нарушители ИБ - лица, не имеющие такого доступа, в т.ч. не являющимися работниками организации БС РФ.
(Введение, абз.5)

8. От кого должна поступать информация о случившемся или возможном инциденте ИБ, чтобы организация БС РФ приняла меры реагирования?

Если не считать инциденты, выявленные сотрудниками самой организации, то принимается во внимание информация о случившихся или возможных инцидентах ИБ, поступающая:
1) от клиентов операторов по переводу денежных средств;
2) от FinCert Банка России, а также иных организаций, например, операторов связи, провайдеров сети Интернет.
(ч.1, абз.1)

9. Каких рекомендаций не дается в данном стандарте?

Стандарт не содержит:
1) рекомендаций, направленных на обеспечение выявления несанкционированных переводов денежных средств на основе анализа реквизитов распоряжений на осуществление переводов денежных средств;
2) рекомендаций к реализации системы менеджмента инцидентов ИБ.
(ч.1, абз.3-4)

10. Имеются ли в стандарте положения, которые имеют не рекомендательный, а обязательный характер?

Положения стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, нормативными правовыми актами, в т.ч. нормативными актами Банка России.
(ч.1, абз.6)

 

Проверенные технологии корпоративного обучения от Агентства "ВЭП"

k17.jpg

 

 



Новости для банков
15 ноября 2019 года - Уральская молодежная конференция по банковскому делу (УМКО-2019)
13.11.2019
Российский рынок акций обеспечил инвесторам самый высокий доход в мире
13.11.2019
Минфин объявил о планах сокращения доли доллара в ФНБ
13.11.2019
Путин подписал закон о единой системе поиска сведений о залоге движимого имущества
13.11.2019
Тарифы на борьбу с подозрительными операциями привлекли внимание ФАС Все новости
Новости ББТ
26.10.2019
Семинар по ПОД/ФТ/ФРОМУ для банков
30.10.2019
Обновление раздела ББТ "Противодействие легализации" от 31.10.2019
30.10.2019
Обновление раздела ББТ "Кассовые операции в банке" от 31.10.2019
28.10.2019
Обновление раздела ББТ "Внутренний контроль в банке" от 31.10.2019
28.10.2019
Обновление раздела ББТ "Банковские риски" от 31.10.2019 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости