Transcript Практика проведения в ГУ Банка России по Оренбургской
Slide 1
Республика Башкортостан
ДЦ «Юбилейный» 16 февраля 2012 года
Практика проведения в ГУ Банка России
по Оренбургской области оценки
соответствия информационной
безопасности требованиям Стандарта
Банка России, в т.ч. с привлечением
внешней организации (внешний аудит)
ГУ Банка России по Оренбургской области
Бусалаев К.П.
Slide 2
Введение
Внедрение Стандарта Банка России «Обеспечение
информационной безопасности организаций банковской
системы Российской Федерации» (СТО БР ИББС) в
Главном управлении Банка России по Оренбургской
области осуществляется на основании годовых планов,
утверждаемых начальником Главного управления, с
участием всех структурных подразделений.
В соответствии с указаниями ГУБ и ЗИ и Планом
внедрения в Банке России Стандарта в 2006 году была
сформирована рабочая группа по внедрению Стандарта в
Главном управлении.
2
Slide 3
Самооценка ИБ
В период с 2006 по 2010 гг. ежегодно проводилась
самооценка информационной безопасности Главного
управления Банка России по Оренбургской области
на соответствие требованиям Стандарта Банка
России СТО БР ИББС.
3
Slide 4
Внешний аудит ИБ
В соответствии с распоряжением Банка
России на плановой основе с привлечением
сторонней организации, в сентябре-ноябре
2010 года проведена оценка (внешний
аудит)
соответствия
ИБ
Главного
управления требованиям Стандарта Банка
России СТО БР ИББС.
4
Slide 5
Цель оценки соответствия
Цель – независимая оценка соответствия состояния
информационной безопасности требованиям Стандарта Банка
России СТО БР ИББС
По итогам проведенной оценки соответствия аудитором был
подготовлен отчет, включающий в себя:
общие результаты проведенной оценки;
итоговая оценка;
результаты оценки текущего уровня ИБ;
результаты оценки уровня менеджмента ИБ;
результаты оценки уровня осознания ИБ;
рекомендации по повышению уровня ИБ.
5
Slide 6
Содержание работ:
приказом Главного управления создана рабочая группа по организации
проведения оценки соответствия ИБ;
совместно с аудитором разработан План проведения оценки соответствия ИБ
в Главном управлении требованиям Стандарта Банка России СТО БР ИББС;
представлено аудитору для анализа более чем 340 документов, включая
нормативные документы Банка России, организационно-распорядительные
документы Главного управления и свидетельства выполнения требований по
ИБ;
представлены по согласованию с аудитором для проверки АС, в ходе которых
была
проверена
работа
администраторов
АС,
администраторов
информационной безопасности подразделений и АС;
обеспечено
выполнение
процедур,
предусмотренных
нормативными
документами Банка России (процедуры мониторинга ИБ, процедуры
проведения платежей и иные) путем наблюдения со стороны аудитора, а также
анализа функционирования платежных и информационных процессов;
организованы
опросы
руководителей
и
сотрудников
структурных
подразделений Главного управления.
6
Slide 7
Результаты оценки соответствия
С учетом оценки направлений полученные
результаты соответствует уровню модели зрелости
управления ИБ, рекомендуемому Банком России.
На основании результатов оценки соответствия
разработан план мероприятий совершенствования
ИБ, который был реализован в течение 2011 года.
В соответствии с рекомендациями в 2012 году
планируется проведение самооценки, с учетом
изменений в законодательных и нормативных
актах.
7
Slide 8
Факторы, способствующие
проведению оценки соответствия
планирование работ по приведению в соответствии
ИБ в Главном управлении требованиям стандартов
Банка России и участие в их реализации руководства;
привлечение
к
оценке
всех
структурных
подразделений Главного управления;
участие сотрудников Главного управления в
межбанковских конференциях по информационной
безопасности банков конференции «Информационная
безопасность банков».
8
Slide 9
Анализ внедрения стандарта Банка
России в кредитных организация региона
По состоянию на 01.01.2012 года в 6 из 9 региональных кредитных
организациях региона основные требования стандартов Банка России в
основном внедрены, в остальных вопрос внедрения находится в стадии
рассмотрения. Важную роль в этом процессе, безусловно, сыграло письмо
Банка России, Ассоциации российских банков и Ассоциации региональных
банков России.
В рамках оказания методической и практической помощи Главное
управление ежегодно доводит информацию о введению в действие новых
документов по стандартам Банка России, а также материалы
межбанковских конференций по ИБ до всех кредитных организаций
региона.
Для справки, одна из кредитных организаций региона была в 2011
году была осуществлена проверка Роскомнадзором, в ходе которой были
выявлены отдельные нарушения.
9
Slide 10
Благодарю за внимание!
10
Республика Башкортостан
ДЦ «Юбилейный» 16 февраля 2012 года
Практика проведения в ГУ Банка России
по Оренбургской области оценки
соответствия информационной
безопасности требованиям Стандарта
Банка России, в т.ч. с привлечением
внешней организации (внешний аудит)
ГУ Банка России по Оренбургской области
Бусалаев К.П.
Slide 2
Введение
Внедрение Стандарта Банка России «Обеспечение
информационной безопасности организаций банковской
системы Российской Федерации» (СТО БР ИББС) в
Главном управлении Банка России по Оренбургской
области осуществляется на основании годовых планов,
утверждаемых начальником Главного управления, с
участием всех структурных подразделений.
В соответствии с указаниями ГУБ и ЗИ и Планом
внедрения в Банке России Стандарта в 2006 году была
сформирована рабочая группа по внедрению Стандарта в
Главном управлении.
2
Slide 3
Самооценка ИБ
В период с 2006 по 2010 гг. ежегодно проводилась
самооценка информационной безопасности Главного
управления Банка России по Оренбургской области
на соответствие требованиям Стандарта Банка
России СТО БР ИББС.
3
Slide 4
Внешний аудит ИБ
В соответствии с распоряжением Банка
России на плановой основе с привлечением
сторонней организации, в сентябре-ноябре
2010 года проведена оценка (внешний
аудит)
соответствия
ИБ
Главного
управления требованиям Стандарта Банка
России СТО БР ИББС.
4
Slide 5
Цель оценки соответствия
Цель – независимая оценка соответствия состояния
информационной безопасности требованиям Стандарта Банка
России СТО БР ИББС
По итогам проведенной оценки соответствия аудитором был
подготовлен отчет, включающий в себя:
общие результаты проведенной оценки;
итоговая оценка;
результаты оценки текущего уровня ИБ;
результаты оценки уровня менеджмента ИБ;
результаты оценки уровня осознания ИБ;
рекомендации по повышению уровня ИБ.
5
Slide 6
Содержание работ:
приказом Главного управления создана рабочая группа по организации
проведения оценки соответствия ИБ;
совместно с аудитором разработан План проведения оценки соответствия ИБ
в Главном управлении требованиям Стандарта Банка России СТО БР ИББС;
представлено аудитору для анализа более чем 340 документов, включая
нормативные документы Банка России, организационно-распорядительные
документы Главного управления и свидетельства выполнения требований по
ИБ;
представлены по согласованию с аудитором для проверки АС, в ходе которых
была
проверена
работа
администраторов
АС,
администраторов
информационной безопасности подразделений и АС;
обеспечено
выполнение
процедур,
предусмотренных
нормативными
документами Банка России (процедуры мониторинга ИБ, процедуры
проведения платежей и иные) путем наблюдения со стороны аудитора, а также
анализа функционирования платежных и информационных процессов;
организованы
опросы
руководителей
и
сотрудников
структурных
подразделений Главного управления.
6
Slide 7
Результаты оценки соответствия
С учетом оценки направлений полученные
результаты соответствует уровню модели зрелости
управления ИБ, рекомендуемому Банком России.
На основании результатов оценки соответствия
разработан план мероприятий совершенствования
ИБ, который был реализован в течение 2011 года.
В соответствии с рекомендациями в 2012 году
планируется проведение самооценки, с учетом
изменений в законодательных и нормативных
актах.
7
Slide 8
Факторы, способствующие
проведению оценки соответствия
планирование работ по приведению в соответствии
ИБ в Главном управлении требованиям стандартов
Банка России и участие в их реализации руководства;
привлечение
к
оценке
всех
структурных
подразделений Главного управления;
участие сотрудников Главного управления в
межбанковских конференциях по информационной
безопасности банков конференции «Информационная
безопасность банков».
8
Slide 9
Анализ внедрения стандарта Банка
России в кредитных организация региона
По состоянию на 01.01.2012 года в 6 из 9 региональных кредитных
организациях региона основные требования стандартов Банка России в
основном внедрены, в остальных вопрос внедрения находится в стадии
рассмотрения. Важную роль в этом процессе, безусловно, сыграло письмо
Банка России, Ассоциации российских банков и Ассоциации региональных
банков России.
В рамках оказания методической и практической помощи Главное
управление ежегодно доводит информацию о введению в действие новых
документов по стандартам Банка России, а также материалы
межбанковских конференций по ИБ до всех кредитных организаций
региона.
Для справки, одна из кредитных организаций региона была в 2011
году была осуществлена проверка Роскомнадзором, в ходе которой были
выявлены отдельные нарушения.
9
Slide 10
Благодарю за внимание!
10