Департамент внешних и общественных связей сообщает, что 19 мая 2009 года вышел «Вестник Банка России» № 31 (1122), в котором опубликован Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008» (СТО БР ИББС-1.2.-2009).
Данный выпуск «Вестника» выложен на сайте Банка России.
Пробежался. Ничего так, простая методика подсчета попугаев. Непонятно только исходя из чего формировались величины весовых коэффициентов, и в чем смысл введения оценки по направлениям (EV1-EV3). А с имеющимися величинами групповых показателей КМК можно придумать что-нибудь интересное.
Честно говоря ожидал большего. Навязшая в зубах оценка уровня осознания перекочевала в новую редакцию. Не нашли ничего лучше, как просто продублировать.
И совершенно не ясно, почему из оценки рисков выброшено требование по учитыванию данных об инцидентах ИБ, а ведение единой базы инцидентов превратилось из обязательной в рекомендуемую. Нонсенс честно говоря. Сценарная оценка риска без привязки к реалиям может вылиться в фарс.
Читаю и уши вянут.
Провести классификацию неплатежной информации — требование рекомендуемое.
А вот разработать набор требований по защите каждого из типов информации, полученных в результате классификации — требование обязательное.
Это ведь логический нонсенс.
Если вчитываться — подобных косяков достаточно много.