Банк России выпустил методику оценки соответствия СТО БР ИББС-1.0-2008

Департамент внешних и общественных связей сообщает, что 19 мая 2009 года вышел «Вестник Банка России» № 31 (1122), в котором опубликован Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008» (СТО БР ИББС-1.2.-2009).

Данный выпуск «Вестника» выложен на сайте Банка России.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Quiet Zone

    Пробежался. Ничего так, простая методика подсчета попугаев. Непонятно только исходя из чего формировались величины весовых коэффициентов, и в чем смысл введения оценки по направлениям (EV1-EV3). А с имеющимися величинами групповых показателей КМК можно придумать что-нибудь интересное.

    Ответить
  2. AndrewZ

    Честно говоря ожидал большего. Навязшая в зубах оценка уровня осознания перекочевала в новую редакцию. Не нашли ничего лучше, как просто продублировать.
    И совершенно не ясно, почему из оценки рисков выброшено требование по учитыванию данных об инцидентах ИБ, а ведение единой базы инцидентов превратилось из обязательной в рекомендуемую. Нонсенс честно говоря. Сценарная оценка риска без привязки к реалиям может вылиться в фарс.

    Ответить
  3. AndrewZ

    Читаю и уши вянут.
    Провести классификацию неплатежной информации — требование рекомендуемое.
    А вот разработать набор требований по защите каждого из типов информации, полученных в результате классификации — требование обязательное.
    Это ведь логический нонсенс.
    Если вчитываться — подобных косяков достаточно много.

    Ответить