Календарь мероприятий


СТО БР ИББС-1.3-2016: Информационная безопасность банка в вопросах и ответах

Ответы на 10 важнейших вопросов об изменениях в обеспечении ИБ кредитных организаций

Как нами сообщалось ранее, с 1 января 2017 г. вступил в действие стандарт Банка России СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Агентство "ВЭП" отвечает на вопросы банковских специалистов в отношении данного стандарта со ссылками на соответствующие части документа.

1. На каком основании действует стандарт информационной безопасности банковской системы?

Стандарт принят и введен в действие приказом Банка России от 30 ноября 2016 г. N ОД-4234 и опирается на стандарт ГОСТ Р 34.11-2012 "Информационные технологии. Криптографическая защита информации. Функция хэширования", а также стандарты и рекомендации Банка России СТО БР ИББС-1.0, РС БР ИББС-2.5 и РС БР ИББС-2.6.
(Предисловие; ч.2)

2. Какие организации должны руководствоваться данным стандартом при обеспечении своей информационной безопасности?

Организации банковской системы России, реализующие функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры.
(ч.1, абз.1)

3. Должна ли руководствоваться стандартом организация, которая оказывает услуги оператора платежной инфраструктуры или банковского платежного агента (субагента), но при этом не входит в банковскую систему России?

Нет, положения стандарта не могут применяться такими организациями.
(ч.1, абз.2)

4. Что устанавливает данный стандарт?

Стандарт устанавливает рекомендации к организационным, технологическим и техническим подходам, связанным со сбором, обработкой, анализом и распространением (обменом) технических данных, в рамках деятельности по выявлению определенных инцидентов ИБ и реагированию на них.
(ч.1, абз.1)

5. Регламентирует ли стандарт процедуры обнаружения инцидентов ИБ и классификации последних?

Нет, стандарт не регламентирует процедуры обнаружения инцидентов ИБ и классификации отдельных событий ИБ или их групп в качестве инцидентов ИБ.
(ч.1, абз.4)

6. Какие угрозы отнесены стандартом к инцидентам информационной безопасности?

1) Несанкционированное распоряжение денежными средствами, которое привело или может привести к:

  • осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
  • несвоевременности осуществления переводов денежных средств;
  • осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей).

2) Деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.
(Введение, абз.2)

7. Какие лица признаются нарушителями ИБ в целях СТО БР ИББС-1.3-2016?

Внутренние нарушители ИБ - работники организации банковской системы России и иные лица, имеющие легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств. Внешние нарушители ИБ - лица, не имеющие такого доступа, в т.ч. не являющимися работниками организации БС РФ.
(Введение, абз.5)

8. От кого должна поступать информация о случившемся или возможном инциденте ИБ, чтобы организация БС РФ приняла меры реагирования?

Если не считать инциденты, выявленные сотрудниками самой организации, то принимается во внимание информация о случившихся или возможных инцидентах ИБ, поступающая:
1) от клиентов операторов по переводу денежных средств;
2) от FinCert Банка России, а также иных организаций, например, операторов связи, провайдеров сети Интернет.
(ч.1, абз.1)

9. Каких рекомендаций не дается в данном стандарте?

Стандарт не содержит:
1) рекомендаций, направленных на обеспечение выявления несанкционированных переводов денежных средств на основе анализа реквизитов распоряжений на осуществление переводов денежных средств;
2) рекомендаций к реализации системы менеджмента инцидентов ИБ.
(ч.1, абз.3-4)

10. Имеются ли в стандарте положения, которые имеют не рекомендательный, а обязательный характер?

Положения стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, нормативными правовыми актами, в т.ч. нормативными актами Банка России.
(ч.1, абз.6)

 

Проверенные технологии корпоративного обучения от Агентства "ВЭП"

k17.jpg

 

 



Новости для банков
02.09.2018
Открытая сертификация банковских специалистов с 01 по 30 ноября 2018 г.
01.09.2018
Образовательный тур в Европу
19.11.2018
Крупнейшие банки включают долларовый пылесос Все новости
Новости ББТ
06.11.2018
О введении в действие СТО БР БФБО-1.5-2018
14.10.2018
Обновление раздела ББТ "Кассовые операции в банке" от 31.10.2018
14.10.2018
Обновление раздела ББТ "Бухгалтерский учет", "Отчетность банка" от 31.10.2018
14.10.2018
Обновление раздела ББТ "Кредитные операции" от 31.10.2018
14.10.2018
Обновление раздела ББТ "Внутренний контроль" от 31.10.2018 Все новости
Новости библиотеки
28.10.2018
Очередное обновление Электронной Библиотеки Банка от 27.10.2018
04.09.2018
Очередное обновление Электронной Библиотеки Банка от 04.09.2018 Все новости