20.05.2009

Банк России выпустил методику оценки соответствия СТО БР ИББС-1.0-2008

Департамент внешних и общественных связей сообщает, что 19 мая 2009 года вышел "Вестник Банка России" № 31 (1122), в котором опубликован Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" (СТО БР ИББС-1.2.-2009).

Данный выпуск "Вестника" выложен на сайте Банка России.

3 коммент.:

Quiet Zone комментирует...

Пробежался. Ничего так, простая методика подсчета попугаев. Непонятно только исходя из чего формировались величины весовых коэффициентов, и в чем смысл введения оценки по направлениям (EV1-EV3). А с имеющимися величинами групповых показателей КМК можно придумать что-нибудь интересное.

AndrewZ комментирует...

Честно говоря ожидал большего. Навязшая в зубах оценка уровня осознания перекочевала в новую редакцию. Не нашли ничего лучше, как просто продублировать.
И совершенно не ясно, почему из оценки рисков выброшено требование по учитыванию данных об инцидентах ИБ, а ведение единой базы инцидентов превратилось из обязательной в рекомендуемую. Нонсенс честно говоря. Сценарная оценка риска без привязки к реалиям может вылиться в фарс.

AndrewZ комментирует...

Читаю и уши вянут.
Провести классификацию неплатежной информации - требование рекомендуемое.
А вот разработать набор требований по защите каждого из типов информации, полученных в результате классификации - требование обязательное.
Это ведь логический нонсенс.
Если вчитываться - подобных косяков достаточно много.