Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч. - презентация

1 Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч. с привлечением внешней организации (внешний аудит) ГУ Банка России по Оренбургской области Бусалаев К.П. Республика Башкортостан ДЦ «Юбилейный» 16 февраля 2012 года

2 22 Внедрение Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (СТО БР ИББС) в Главном управлении Банка России по Оренбургской области осуществляется на основании годовых планов, утверждаемых начальником Главного управления, с участием всех структурных подразделений. В соответствии с указаниями ГУБ и ЗИ и Планом внедрения в Банке России Стандарта в 2006 году была сформирована рабочая группа по внедрению Стандарта в Главном управлении. Введение

3 33 В период с 2006 по 2010 гг. ежегодно проводилась самооценка информационной безопасности Главного управления Банка России по Оренбургской области на соответствие требованиям Стандарта Банка России СТО БР ИББС. Самооценка ИБ

4 44 Внешний аудит ИБ В соответствии с распоряжением Банка России на плановой основе с привлечением сторонней организации, в сентябре-ноябре 2010 года проведена оценка (внешний аудит) соответствия ИБ Главного управления требованиям Стандарта Банка России СТО БР ИББС.

5 55 Цель оценки соответствия По итогам проведенной оценки соответствия аудитором был подготовлен отчет, включающий в себя: общие результаты проведенной оценки; итоговая оценка; результаты оценки текущего уровня ИБ; результаты оценки уровня менеджмента ИБ; результаты оценки уровня осознания ИБ; рекомендации по повышению уровня ИБ. Цель – независимая оценка соответствия состояния информационной безопасности требованиям Стандарта Банка России СТО БР ИББС

6 66 Содержание работ: приказом Главного управления создана рабочая группа по организации проведения оценки соответствия ИБ; совместно с аудитором разработан План проведения оценки соответствия ИБ в Главном управлении требованиям Стандарта Банка России СТО БР ИББС; представлено аудитору для анализа более чем 340 документов, включая нормативные документы Банка России, организационно-распорядительные документы Главного управления и свидетельства выполнения требований по ИБ; представлены по согласованию с аудитором для проверки АС, в ходе которых была проверена работа администраторов АС, администраторов информационной безопасности подразделений и АС; обеспечено выполнение процедур, предусмотренных нормативными документами Банка России (процедуры мониторинга ИБ, процедуры проведения платежей и иные) путем наблюдения со стороны аудитора, а также анализа функционирования платежных и информационных процессов; организованы опросы руководителей и сотрудников структурных подразделений Главного управления.

7 77 Результаты оценки соответствия С учетом оценки направлений полученные результаты соответствует уровню модели зрелости управления ИБ, рекомендуемому Банком России. На основании результатов оценки соответствия разработан план мероприятий совершенствования ИБ, который был реализован в течение 2011 года. В соответствии с рекомендациями в 2012 году планируется проведение самооценки, с учетом изменений в законодательных и нормативных актах.

8 8 Факторы, способствующие проведению оценки соответствия планирование работ по приведению в соответствии ИБ в Главном управлении требованиям стандартов Банка России и участие в их реализации руководства; привлечение к оценке всех структурных подразделений Главного управления; участие сотрудников Главного управления в межбанковских конференциях по информационной безопасности банков конференции «Информационная безопасность банков».

9 9 Анализ внедрения стандарта Банка России в кредитных организация региона По состоянию на года в 6 из 9 региональных кредитных организациях региона основные требования стандартов Банка России в основном внедрены, в остальных вопрос внедрения находится в стадии рассмотрения. Важную роль в этом процессе, безусловно, сыграло письмо Банка России, Ассоциации российских банков и Ассоциации региональных банков России. В рамках оказания методической и практической помощи Главное управление ежегодно доводит информацию о введению в действие новых документов по стандартам Банка России, а также материалы межбанковских конференций по ИБ до всех кредитных организаций региона. Для справки, одна из кредитных организаций региона была в 2011 году была осуществлена проверка Роскомнадзором, в ходе которой были выявлены отдельные нарушения.

10 10 Благодарю за внимание!