Внутренний контроль иинформационная безопасность
Размещено на сайте 10.01.2012
Безопасность информации реализуется системой обеспечения информационной безопасности, включающей как общие методы защиты информации (управление доступом, антивирусы, правила работы с Интернетом), так и организационные мероприятия. Роль службы внутреннего контроля — быть составной частью этого контура управления, отвечать за мониторинг работы служб, связанных с обеспечением информационной безопасности, наличие документационного обеспечения, комплаенс-контроль реализации СОИБ в соответствии с законодательными, нормативными и внутренними требованиями и таким образом участвовать в процессе минимизации рисков, возникающих в сфере обработки ценной для банка информации.
М.Б. Винников, ООО «Финансовые и бухгалтерские консультанты»
Приводятся извлечения из статьи.
Полную версию материала читайте в журнале.
Подписаться
Безопасность информации реализуется системой обеспечения информационной безопасности, включающей как общие методы защиты информации (управление доступом, антивирусы, правила работы с Интернетом и т.п.), так и организационные мероприятия.
|
На настоящий момент существуют три «стимулирующих» документа: Закон о персональных данных, приложение 5 к Положению ЦБ РФ № 242-П и Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации. Примечательно то, что данные документы не разрознены, а тесно взаимосвязаны, но у них разный правовой статус.
|
Внедрение СТО БР ИББС является непростой задачей, так как подразумевает не разовую кампанию по написанию политик безопасности и инструкций пользователя, а непрерывную работу.
|
Существенным недостатком «пути ФСТЭК» является то, что под определение ИСПДн подпадают все технологические процессы и информационные системы банка, в которых в том или ином виде присутствуют персональные данные.
|
Методика оценки соответствия требованиям СТО БР ИББС содержит как практически исчерпывающий набор правил (рекомендаций к действиям) по обеспечению информационной безопасности, так и набор весовых коэффициентов (мер обязательности, ценности) для каждого из правил.
|
Поддержка процедур самооценки — одна из важнейших функций внутреннего контроля, так как она обеспечивает реальную картину организации системы менеджмента информационной безопасности и материал для составления планов по ее коррекции.
|
Группа стандартов ISO/IEC 27000 является общепризнанным мировым эталоном по организации управления информационной безопасностью.
|
Необходимо выбрать аудитора ИБ, который будет выставлять объективные оценки, честно вскрывать недостатки и давать четкие рекомендации, не сильно привязанные к поставкам в банк конкретного продукта обеспечения информационной безопасности от конкретного вендора.
|