Документ

Аудит информационной безопасности банков на соответствие комплексу стандартов СТО БР ИББС

Государство в лице регуляторов (ГТК, ФСТЭК, ФСБ, ЦБ) обеспечивает соблюдение предприятиями, организациями, индивидуальными предпринимателями законов РФ в части защиты государственной тайны, персональных данных, другой конфиденциальной информации. Регуляторы издают инструкции, регламенты, стандарты, следуя которым можно достичь высокого уровня защищенности объектов информатизации, проверяют их исполнение.

В отношении персональных данных, обрабатываемых в учреждениях банковской системы, в 2010 году определились два подхода к их защите, основанных на Федеральном Законе 152-ФЗ «О персональных данных»:

  • ГТК, ФСТЭК, ФСБ — этот подход, основанный на Постановлении Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", совместном Приказе ФСТЭК, ФСБ и ГТК РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" и «Положением о методах и способах защиты информации в информационных системах персональных данных», утвержденным Приказом ФСТЭК России от 5.02.2010 N 58;
  • Банка России — подход, основанный на комплексе стандартов СТО БР ИББС, выполнение которых обеспечивает как защиту персональных данных в соответствии с 152-ФЗ, так и выполнение требований других законов и постановлений, регламентирующих организацию информационной безопасности в учреждениях банковской системы.

Стандарты СТО БР ИББС согласованы с другими регуляторами и, в свою очередь, разработаны с использованием ГОСТ Р ИСО/МЭК 27001:2006 и его аналога - международного стандарта ISO/IEC 27001:2005. Согласование стандартов означает, что в случае официального принятия банковской организацией стандарта СТО БР ИББС, возможная проверка выполнения Закона 152-ФЗ, проводимая регуляторами, будет идти в соответствии с требованиями ИББС.


Компания «Астра Системные Технологии» имеет опыт реализации обоих подходов — как для организаций, придерживающихся традиционного подхода ГТК, ФСТЭК и ФСБ, так и для организаций, желающих пройти сертификацию на соответствие международному стандарту ISO/IEC 27001:2005. Последние, как правило, ориентированы на работу с зарубежными партнерами. Специалисты компании готовы провести аудит информационной безопасности банковской организации и оценить ее соответствие установленным стандартами ИББС требованиям.

Материалы по теме

Организация защиты персональных данных
Аттестация объектов по защите информации
Аудит информационной безопасности