Календарь мероприятий


СТО БР ИББС-1.3-2016: Информационная безопасность банка в вопросах и ответах

Ответы на 10 важнейших вопросов об изменениях в обеспечении ИБ кредитных организаций

Как нами сообщалось ранее, с 1 января 2017 г. вступил в действие стандарт Банка России СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Агентство "ВЭП" отвечает на вопросы банковских специалистов в отношении данного стандарта со ссылками на соответствующие части документа.

1. На каком основании действует стандарт информационной безопасности банковской системы?

Стандарт принят и введен в действие приказом Банка России от 30 ноября 2016 г. N ОД-4234 и опирается на стандарт ГОСТ Р 34.11-2012 "Информационные технологии. Криптографическая защита информации. Функция хэширования", а также стандарты и рекомендации Банка России СТО БР ИББС-1.0, РС БР ИББС-2.5 и РС БР ИББС-2.6.
(Предисловие; ч.2)

2. Какие организации должны руководствоваться данным стандартом при обеспечении своей информационной безопасности?

Организации банковской системы России, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.
(ч.1, абз.1)

3. Должна ли руководствоваться стандартом организация, которая оказывает услуги оператора платежной инфраструктуры или банковского платежного агента (субагента), но при этом не входит в банковскую систему России?

Нет, положения стандарта не могут применяться такими организациями.
(ч.1, абз.2)

4. Что устанавливает данный стандарт?

Стандарт устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению определенных инцидентов ИБ и реагированию на них.
(ч.1, абз.1)

5. Регламентирует ли стандарт процедуры обнаружения инцидентов ИБ и классификации последних?

Нет, стандарт не регламентирует процедуры обнаружения инцидентов ИБ и классификации отдельных событий ИБ или их групп в качестве инцидентов ИБ.
(ч.1, абз.4)

6. Какие угрозы отнесены стандартом к инцидентам информационной безопасности?

1) Несанкционированное распоряжение денежными средствами, которое привело или может привести к:

  • осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
  • несвоевременности осуществления переводов денежных средств;
  • осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей).

2) Деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.
(Введение, абз.2)

7. Какие лица признаются нарушителями ИБ в целях СТО БР ИББС-1.3-2016?

Внутренние нарушители ИБ - работники организации банковской системы России и иные лица, имеющие легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств. Внешние нарушители ИБ - лица, не имеющие такого доступа, в т.ч. не являющимися работниками организации БС РФ.
(Введение, абз.5)

8. От кого должна поступать информация о случившемся или возможном инциденте ИБ, чтобы организация БС РФ приняла меры реагирования?

Если не считать инциденты, выявленные сотрудниками самой организации, то принимается во внимание информация о случившихся или возможных инцидентах ИБ, поступающая:
1) от клиентов операторов по переводу денежных средств;
2) от FinCert Банка России, а также иных организаций, например, операторов связи, провайдеров сети Интернет.
(ч.1, абз.1)

9. Каких рекомендаций не дается в данном стандарте?

Стандарт не содержит:
1) рекомендаций, направленных на обеспечение выявления несанкционированных переводов денежных средств на основе анализа реквизитов распоряжений на осуществление переводов денежных средств;
2) рекомендаций к реализации системы менеджмента инцидентов ИБ.
(ч.1, абз.3-4)

10. Имеются ли в стандарте положения, которые имеют не рекомендательный, а обязательный характер?

Положения стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, нормативными правовыми актами, в т.ч. нормативными актами Банка России.
(ч.1, абз.6)

 

Проверенные технологии корпоративного обучения от Агентства "ВЭП"

k17.jpg

 

 



Новости для банков
22.05.2019
On-line семинар "Россия банковская: web-обзор" (22.05.2019)
01.05.2019
01 - 31 мая 2019 - Открытая сертификация банковских специалистов
24.05.2019
Четыре российских банка вошли в топ крупнейших эквайеров Европы
24.05.2019
Mastercard предложила банкам сервис снятия наличных через QR-код
23.05.2019
Не обижайте аудитора Все новости
Новости ББТ
22.05.2019
Банк России в июле может начать тестировать платежи по QR-коду
17.05.2019
Банк России начал применять метод "тайного покупателя"
17.05.2019
Банк России может начать сдерживать рост потребкредитования
16.05.2019
Госдума приняла закон, уточняющий основания отзыва лицензии у банков
14.05.2019
WhatsApp создаст центр развития мобильных платежей Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости