В 2014 году Банк России обновил стандарт по обеспечению информационной безопасности организаций банковской системы Российской Федерации (далее – СТО БР ИББС). Среди основных целей данного стандарта повышение доверия к БС РФ и поддержание стабильности организаций, а на этой основе – стабильности БС РФ в целом. СТО БР ИББС определяет, что Система менеджмента информационной безопасности организаций банковской системы РФ (далее – СМИБ) является важным элементом реализации и выполнения указанных целей.
СМИБ, корректно спроектированная, искусно внедренная и надлежащим образом сертифицированная в соответствии с требованиями стандарта ISO/IEC 27001:2013 призвана обеспечить адекватный уровень защиты информационных активов организаций банковской системы и представить доказательства достигнутого уровня ИБ всем заинтересованным сторонам. Несомненно, что для любой финансово-кредитной организации наличие сертифицированных СМИБ является де-факто статусным, необходимым для ведения бизнеса на высочайшем уровне.
Международный стандарт ISO/IEC 27001:2013 устанавливает требования к СМИБ для любой организации банковской системы, вне зависимости от ее размеров и географического расположения. Стандарт предназначен для обеспечения адекватного выбора эффективных средств ИБ, в строгом соответствии с принятой в организации политикой информационной безопасности, практикой менеджмента рисков и другими необходимыми процедурами.
Многолетняя практика Ассоциации по сертификации «Русский Регистр» – аккредитованного органа по сертификации с международным признанием и лидера на российском рынке – свидетельствует, что внедрение и сертификация СМИБ в соответствии с требованиями ISO/IEC 27001:2013 предоставляет организации комплекс ключевых преимуществ. К ним относятся независимое подтверждение факта, что в организации должным образом выявлены, оценены и системным образом управляются риски (т.е. соответствующие процедуры ИБ разработаны, внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом), доказательство соблюдения действующего законодательства в области ИБ, доказательство стремления высшего руководства организации к обеспечению ИБ в требуемом объеме для всей организации в соответствии с установленными требованиями. Также ключевыми преимуществами являются доказательства создания адекватной и актуальной модели рисков в организации, демонстрация определенного уровня ИБ для обеспечения конфиденциальности информации клиентов и партнеров организации, демонстрация проведения регулярных аудитов ИБ, оценки результативности и постоянных улучшений СМИБ.
Разработка, построение и сертификация СМИБ полностью оправдывает вложенные ресурсы организации за счет таких факторов, как увеличение стоимости нематериальных активов (goodwill), уровня инвестиционной привлекательности бизнеса (IR) и уменьшение страховых взносов, что в конечном итоге увеличивает капитализацию банка в целом, существенно укрепляет имидж кредитно-финансовой организации, повышает к ней интерес со стороны потенциальных клиентов и интересов, расширяет возможности участия организации в крупных государственных контрактах (тендерах). Кроме того, выполнение обязательных и рекомендательных требований к осуществлению деятельности организации в наиболее критичных к обеспечению ИБ отраслях, снижение рисков, уровня последствий и реального ущерба от инцидентов ИБ, а также сокращение расходов на инфраструктуру, снижение операционных издержек и исключение «перекрестного» финансирования в рамках единой СМИБ полностью оправдывают затраты компании.
Подводя итог, можно сказать, что сертифицированная система менеджмента это конфиденциальность, целостность и доступность информации в соответствии с принятой в организации стратегией, практикой менеджмента рисков и процессами информационной безопасности, управление программными ресурсами, удовлетворение законодательным и нормативным требованиям, эффективная глобальная поддержка в управлении активами и информацией, основанная на лучших мировых практиках и имеющая международное признание. Несомненно, независимая добровольная сертификация вводимой или существующей системы менеджмента информационной безопасности обеспечит повышение доверия к организациям банковской системы Российской Федерации в целом и укрепит стабильность их работы как на внутреннем, так и на внешнем рынке.
Начать дискуссию