Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч. с привлечением внешней организации (внешний аудит) ГУ Банка России по Оренбургской области Бусалаев К.П. Республика Башкортостан ДЦ «Юбилейный» 16 февраля 2012 года
22 Внедрение Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (СТО БР ИББС) в Главном управлении Банка России по Оренбургской области осуществляется на основании годовых планов, утверждаемых начальником Главного управления, с участием всех структурных подразделений. В соответствии с указаниями ГУБ и ЗИ и Планом внедрения в Банке России Стандарта в 2006 году была сформирована рабочая группа по внедрению Стандарта в Главном управлении. Введение
33 В период с 2006 по 2010 гг. ежегодно проводилась самооценка информационной безопасности Главного управления Банка России по Оренбургской области на соответствие требованиям Стандарта Банка России СТО БР ИББС. Самооценка ИБ
44 Внешний аудит ИБ В соответствии с распоряжением Банка России на плановой основе с привлечением сторонней организации, в сентябре-ноябре 2010 года проведена оценка (внешний аудит) соответствия ИБ Главного управления требованиям Стандарта Банка России СТО БР ИББС.
55 Цель оценки соответствия По итогам проведенной оценки соответствия аудитором был подготовлен отчет, включающий в себя: общие результаты проведенной оценки; итоговая оценка; результаты оценки текущего уровня ИБ; результаты оценки уровня менеджмента ИБ; результаты оценки уровня осознания ИБ; рекомендации по повышению уровня ИБ. Цель – независимая оценка соответствия состояния информационной безопасности требованиям Стандарта Банка России СТО БР ИББС
66 Содержание работ: приказом Главного управления создана рабочая группа по организации проведения оценки соответствия ИБ; совместно с аудитором разработан План проведения оценки соответствия ИБ в Главном управлении требованиям Стандарта Банка России СТО БР ИББС; представлено аудитору для анализа более чем 340 документов, включая нормативные документы Банка России, организационно-распорядительные документы Главного управления и свидетельства выполнения требований по ИБ; представлены по согласованию с аудитором для проверки АС, в ходе которых была проверена работа администраторов АС, администраторов информационной безопасности подразделений и АС; обеспечено выполнение процедур, предусмотренных нормативными документами Банка России (процедуры мониторинга ИБ, процедуры проведения платежей и иные) путем наблюдения со стороны аудитора, а также анализа функционирования платежных и информационных процессов; организованы опросы руководителей и сотрудников структурных подразделений Главного управления.
77 Результаты оценки соответствия С учетом оценки направлений полученные результаты соответствует уровню модели зрелости управления ИБ, рекомендуемому Банком России. На основании результатов оценки соответствия разработан план мероприятий совершенствования ИБ, который был реализован в течение 2011 года. В соответствии с рекомендациями в 2012 году планируется проведение самооценки, с учетом изменений в законодательных и нормативных актах.
8 Факторы, способствующие проведению оценки соответствия планирование работ по приведению в соответствии ИБ в Главном управлении требованиям стандартов Банка России и участие в их реализации руководства; привлечение к оценке всех структурных подразделений Главного управления; участие сотрудников Главного управления в межбанковских конференциях по информационной безопасности банков конференции «Информационная безопасность банков».
9 Анализ внедрения стандарта Банка России в кредитных организация региона По состоянию на года в 6 из 9 региональных кредитных организациях региона основные требования стандартов Банка России в основном внедрены, в остальных вопрос внедрения находится в стадии рассмотрения. Важную роль в этом процессе, безусловно, сыграло письмо Банка России, Ассоциации российских банков и Ассоциации региональных банков России. В рамках оказания методической и практической помощи Главное управление ежегодно доводит информацию о введению в действие новых документов по стандартам Банка России, а также материалы межбанковских конференций по ИБ до всех кредитных организаций региона. Для справки, одна из кредитных организаций региона была в 2011 году была осуществлена проверка Роскомнадзором, в ходе которой были выявлены отдельные нарушения.
10 Благодарю за внимание!