Департамент внешних и общественных связей сообщает, что 19 мая 2009 года вышел "Вестник Банка России" № 31 (1122), в котором опубликован Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" (СТО БР ИББС-1.2.-2009).
Данный выпуск "Вестника" выложен на сайте Банка России.
Пробежался. Ничего так, простая методика подсчета попугаев. Непонятно только исходя из чего формировались величины весовых коэффициентов, и в чем смысл введения оценки по направлениям (EV1-EV3). А с имеющимися величинами групповых показателей КМК можно придумать что-нибудь интересное.
ОтветитьУдалитьЧестно говоря ожидал большего. Навязшая в зубах оценка уровня осознания перекочевала в новую редакцию. Не нашли ничего лучше, как просто продублировать.
ОтветитьУдалитьИ совершенно не ясно, почему из оценки рисков выброшено требование по учитыванию данных об инцидентах ИБ, а ведение единой базы инцидентов превратилось из обязательной в рекомендуемую. Нонсенс честно говоря. Сценарная оценка риска без привязки к реалиям может вылиться в фарс.
Читаю и уши вянут.
ОтветитьУдалитьПровести классификацию неплатежной информации - требование рекомендуемое.
А вот разработать набор требований по защите каждого из типов информации, полученных в результате классификации - требование обязательное.
Это ведь логический нонсенс.
Если вчитываться - подобных косяков достаточно много.