Календарь мероприятий




СТО БР ИББС-1.3-2016: Информационная безопасность банка в вопросах и ответах

Ответы на 10 важнейших вопросов об изменениях в обеспечении ИБ кредитных организаций

Как нами сообщалось ранее, с 1 января 2017 г. вступил в действие стандарт Банка России СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Агентство "ВЭП" отвечает на вопросы банковских специалистов в отношении данного стандарта со ссылками на соответствующие части документа.

1. На каком основании действует стандарт информационной безопасности банковской системы?

Стандарт принят и введен в действие приказом Банка России от 30 ноября 2016 г. N ОД-4234 и опирается на стандарт ГОСТ Р 34.11-2012 "Информационные технологии. Криптографическая защита информации. Функция хэширования", а также стандарты и рекомендации Банка России СТО БР ИББС-1.0, РС БР ИББС-2.5 и РС БР ИББС-2.6.
(Предисловие; ч.2)

2. Какие организации должны руководствоваться данным стандартом при обеспечении своей информационной безопасности?

Организации банковской системы России, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.
(ч.1, абз.1)

3. Должна ли руководствоваться стандартом организация, которая оказывает услуги оператора платежной инфраструктуры или банковского платежного агента (субагента), но при этом не входит в банковскую систему России?

Нет, положения стандарта не могут применяться такими организациями.
(ч.1, абз.2)

4. Что устанавливает данный стандарт?

Стандарт устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению определенных инцидентов ИБ и реагированию на них.
(ч.1, абз.1)

5. Регламентирует ли стандарт процедуры обнаружения инцидентов ИБ и классификации последних?

Нет, стандарт не регламентирует процедуры обнаружения инцидентов ИБ и классификации отдельных событий ИБ или их групп в качестве инцидентов ИБ.
(ч.1, абз.4)

6. Какие угрозы отнесены стандартом к инцидентам информационной безопасности?

1) Несанкционированное распоряжение денежными средствами, которое привело или может привести к:

  • осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
  • несвоевременности осуществления переводов денежных средств;
  • осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей).

2) Деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.
(Введение, абз.2)

7. Какие лица признаются нарушителями ИБ в целях СТО БР ИББС-1.3-2016?

Внутренние нарушители ИБ - работники организации банковской системы России и иные лица, имеющие легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств. Внешние нарушители ИБ - лица, не имеющие такого доступа, в т.ч. не являющимися работниками организации БС РФ.
(Введение, абз.5)

8. От кого должна поступать информация о случившемся или возможном инциденте ИБ, чтобы организация БС РФ приняла меры реагирования?

Если не считать инциденты, выявленные сотрудниками самой организации, то принимается во внимание информация о случившихся или возможных инцидентах ИБ, поступающая:
1) от клиентов операторов по переводу денежных средств;
2) от FinCert Банка России, а также иных организаций, например, операторов связи, провайдеров сети Интернет.
(ч.1, абз.1)

9. Каких рекомендаций не дается в данном стандарте?

Стандарт не содержит:
1) рекомендаций, направленных на обеспечение выявления несанкционированных переводов денежных средств на основе анализа реквизитов распоряжений на осуществление переводов денежных средств;
2) рекомендаций к реализации системы менеджмента инцидентов ИБ.
(ч.1, абз.3-4)

10. Имеются ли в стандарте положения, которые имеют не рекомендательный, а обязательный характер?

Положения стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, нормативными правовыми актами, в т.ч. нормативными актами Банка России.
(ч.1, абз.6)

 

Проверенные технологии корпоративного обучения от Агентства "ВЭП"

k17.jpg

 

 



Новости для банков
17.08.2017
ЦБ обяжет банки раскрыть объем потерь от хакерских атак
17.08.2017
ЦБ наблюдает тенденцию снижения стоимости потребительского кредитования
17.08.2017
Консьерж-сервисом Бинбанка воспользовались более 1 тысячи пенсионеров Все новости
Новости ББТ
01.08.2017
Обновлены критерии системной и социальной значимости платежной системы
18.07.2017
Банк России утвердил новые требования к формированию резервов на возможные потери по ссудам
17.07.2017
Регуляторы коллекторов оказались невзыскательными
29.06.2017
Обновление раздела ББТ "Информационная безопасность банка" от 29.06.2017
29.06.2017
Обновление раздела ББТ "Разные тесты" от 29.06.2017 Все новости
Новости библиотеки
17.07.2017
Обновление Электронной Библиотеки Банка от 17.07.2017
29.05.2017
Очередное обновление Электронной Библиотеки Банка от 30.05.2017 Все новости