Итак, в информационном сообщении Банка России говорится, что «Распоряжением Банка России от 25.12.2008 N Р-1674 с 01.05.2009 введена в действие третья редакция Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008«.
Также там говорится «Новая, третья редакция Стандарта не изменяет общей концепции второй редакции Стандарта и при этом развивает, уточняет и детализирует ее отдельные требования. Основными отличительными особенностями новой редакции Стандарта являются:
- уточнение и введение новых терминов и понятий;
- уточнение и конкретизация требований по обеспечению информационной безопасности, проведенная с учетом замечаний и предложений организаций БС РФ — членов ПКЗ, а также на основе опыта внедрения Стандарта как в Банке России, так и в других организациях БС РФ;
- детализация требований по обеспечению информационной безопасности в части системы менеджмента информационной безопасности;
- исключение раздела 4 «Основные принципы обеспечения информационной безопасности организаций БС РФ» и раздела 11 «Модель зрелости процессов менеджмента информационной безопасности организаций БС РФ» второй редакции Стандарта«.
Об обязательности пока ни слова. На ряде последних конференций также звучало, что пока данный стандарт остается со статусом «рекомендуется», а не «обязателен к внедрению».
ЗЫ. В сентябре я уже отписывался по данному стандарту.
ЗЗЫ. Обсуждение этого варианта на банкир.ру.
Формального требования обязательности, конечно, нет, что и сами Абисы подтверждали: участие в данной стандартизации исключительно добровольное. Но принцип «гладко было на бумаге», похоже, работает и тут — на том-же Банкире проскакивали сообщения о прецедентах, когда ЦБшные аудиторы в замечаниях писали о несоответствии требованиям Стандарта, ага. Лицензий вроде пока не лишали и не штрафовали (да это вам и не PCI DSS), но некий дополнительный объем работ банки, получившие такое предписание, уже ОБЯЗАНЫ выполнить. В общем лучше бы всем банкам держать нос по ветру и потихоньку присоединяться к ЦБшной стандартизации, просто для того чтобы не быть объектом злоупотреблений (не говоря уже о том, что это в самом деле может продвинуть безопасность банка).
Ну это само собой. Де-юре необязателен, де факто — как всегда 😉
Да уж..очень умиляют такие «настоятельные» рекомендции..
Для Quiet Zone:
Юр, вот уж это-то совершенно не к ЦБ претензия. Прочитай закон о техрегулировании и сделаешь открытие, что стандарт тождествен рекомендации, ага, даже если он на производство взрывных работ вблизи атомных электростанций, а тот смысл, который люди по привычке в это слово вкладывают давно отошел спецтехрегламентам. Если проверяемый своих прав не знает, так и поделом ему.
Два Ригель.
Дык это открытие уже давно сделано, как ни странно, однако дисскуссия снова упрется в вечную борьбу двух истин: как же все-таки надо — по закону или по понятиям? По закону Стандарт рекомендует, по понятиям (из уст проверяющих) — обязывает. В банках тоже не дураки сидят, и насчет своих прав осведомлены туго (не хуже нас с тобой), только у них риски не эфемерных характер носят, а вполне себе вещественный — либо пойти-таки на поводу у аудиторов и утвердить еще одну бумажку, либо с уверенностью в противозаконности действий аудиторов наперевес переть в единсственно верном направлении и, в конце концов, лишиться лицензии. Я бы не стал играть в «чет-нечет» с ЦБ, честно.