В портфеле компании "Информзащита" появилась новая услуга по приведению информационных систем и бизнес–процессов банка в соответствие требованиям стандарта Банка России, включая обеспечение безопасности обрабатываемых персональных данных. Услуга разработана на базе принятого Банком России комплекса документов в области стандартизации "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". Документы предназначены для выполнения в банках Российской Федерации требований Федерального закона "О персональных данных" и требований (рекомендаций) регуляторов (Роскомнадзор, ФСБ России, ФСТЭК России).
При разработке методологии оказания услуги был учтен более чем 10 летний опыт работы специалистов компании "Информзащита" по защите информации в банковской сфере, включающий в себя более 50 проектов по приведению в соответствие требованиям международного стандарта PCI DSS, более 30 проектов по защите персональных данных, а также проекты по реализации требований стандарта Банка России и режима защиты коммерческой тайны.
Новая услуга позволит банкам, принявшим или планирующим принять стандарт СТО БР ИББС, оптимизировать сроки реализации требований как самого стандарта Банка России, так и требования федерального закона ФЗ 152, а также оптимизировать затраты на эти работы.
Оптимизация сроков и затрат достигается за счет уникальной структуры услуги, учитывающей совокупность ключевых факторов: уровень зрелости клиента, уровень его оснащенности средствами защиты, реализуемая корпоративная техническая политика и некоторые другие, что позволяет строить план выполнения работ с учетом специфики бизнеса конкретной компании.
При оказании услуги защитные меры выбираются таким образом, чтобы избежать дублирования различных защитных мер и достичь соответствия требованиям и рекомендациям как отрасли, так и национальных регуляторов. В результате оказания услуги банк получает систему, соответствующую требованиям стандарта СТО БР ИСС и требованиям ФЗ 152 для ФСБ и ФСТЭК - с документальным подтверждением, признаваемым Банком России.
Дополнительным преимуществом для банка является реализация комплекса технических и организационных защитных мер, что позволит снизить затраты на приведение в соответствие и к стандарту PCI DSS.
Как отметил Владимир Гайкович, генеральный директор компании "Информзащита": "Эта услуга построена по новой технологии, позволяющей максимально адаптироваться под нужды конкретного заказчика. Она решает актуальную для банка задачу, но сама не является типовой, потому как каждый клиент уникален. При создании этой услуги мы в полной мере учли существующий опыт по проведению оценки по стандарту СТО БР ИББС и приведению в соответствие требованиям ФЗ 152, что позволит нашим клиентам оптимизировать затраты на выполнение требований регуляторов за счет нашего опыта и максимального учета специфики клиента".
О стандарте СТО БР ИББС
Банком России введены в действие с 21 июня 2010 года документы Комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации":
четвёртая редакция стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2010);
третья редакция стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010" (СТО БР ИББС-1.2-2010)
рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.3-2010);
рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010).