«Все стандарты ИБ. Банки»: СТО БР ИББС, 152-ФЗ, PCI DSS – одним проектом
Зачем выполнять требования СТО БР ИББС, PCI DSS, 152-ФЗ в рамках одного проекта
<<скачать описание услуги (PDF)>>
В течение последних нескольких лет значительно возросла актуальность задачи обеспечения информационной безопасности (ИБ) в организациях Банковской Системы Российской Федерации (БС РФ). Это обусловлено и появлением ряда новых требований в области ИБ, и возросшим числом угроз ИБ.
Ранее приведение информационных систем в соответствие с требованиями различных стандартов и законов для организации БС РФ означало необходимость реализации отдельного комплекса мер для выполнения каждого из них. Это приводило к существенному увеличению нагрузки на специалистов организации, а поддержка в актуальном состоянии нескольких не связанных друг с другом систем защиты информации становилась очень трудоемкой задачей.
С учетом последних изменений требований в области защиты персональных данных, а также особенностей нового проекта СТО БР ИББС, проходящего в настоящее время финальное согласование, стало возможным совмещать в одном проекте выполнение требований:
Следствием этого стала разработка компанией LETA специального Комплексного подхода к информационной безопасности для организаций БС РФ - "Все стандарты ИБ. Банки".
Преимущества выполнения требований СТО БР ИББС, PCI DSS, 152-ФЗ в рамках одного проекта
-
Единовременное соблюдение 2 важных дедлайнов (PCI DSS, 152-ФЗ)
-
На 30% дешевле, чем 3 проекта - «самостоятельно»
-
Реализация положений всех 3 нормативов в 1,5–2 раза быстрее, чем по отдельности, - за 12 месяцев вместо 24*
"Все стандарты ИБ. Банки": комплексное решение LETA по выполнению требований СТО БР ИББС, PCI DSS, 152-ФЗ
Разработанная специалистами LETA методика обеспечивает для организаций БС РФ одновременное выполнение требований по защите персональных данных и требований СТО БР ИББС. В случае наличия у банковской организации собственного процессинга пластиковых карт методика предусматривает также выполнение требований PCI DSS.
СТО БР ИББС охватывает всю деятельность Банка в области информационной безопасности, объединяет «лучшие практики» и не содержит жестких требований к применяемым организационным мерам и программно-техническим средствам. Поэтому с учетом последних изменений в области персональных данных стало возможным объединить проекты по СТО БР ИББС и проекты по защите персональных данных. В данном случае СТО БР ИББС используется в качестве базового документа для построения эффективной системы информационной безопасности.
Если в организации БС РФ есть собственный процессинг пластиковых карт, то исполнение работ в соответствие с требованиями Стандарта PCI DSS предполагает наличие двух независимых ролей – консультанта и аудитора. Следуя этому принципу, компания LETA привлекает в качестве аудитора ООО «Диджитал Секьюрити», с которым образован Консорциум с целью совместного ведения проектов по приведению информационной системы и бизнес-процессов Заказчика в соответствие с требованиями Стандарта PCI DSS.
Состав комплексной услуги "Все стандарты ИБ. Банки" по выполнению требований СТО БР ИББС, PCI DSS, 152-ФЗ
В рамках Комплексного проекта по обеспечению информационной безопасности "Все стандарты ИБ. Банки" работы делятся на 3 стадии:
-
Обследование
-
Приведение в соответствие
-
Оценка соответствия
.png)
В рамках первой стадии «Обследование» специалисты компани LETA совместно с Digital Security выполняют следующие работы:
- анализ организационно-распорядительной документации в области ИБ и смежных областях;
- проведение интервью с руководителями подразделений и техническими специалистами;
- проведение интервью с представителями функциональных подразделений;
- осмотр офисных и технологических помещений;
- проверка конфигураций ПО, СВТ, СЗИ и коммуникационного оборудования;
- структурирование и анализ полученной информации;
- разработка рекомендаций по приведению информационной системы заказчика в соответствие с требованиями по защите персональных данных, СТО БР ИББС и PCI DSS.
В рамках второй стадии «Приведение в соответствие» выполняются следующие работы:
- планирование мероприятий по достижению соответствия, в том числе и техническое проектирование;
- разработка необходимого комплекта документов, определяющих и формализующих политику Организации в области обеспечения информационной безопасности;
- закупка и поставка оборудования и ПО;
- внедрение, конфигурирование технического и программного обеспечения, его опытная эксплуатация и тестирование;
- тестирование защищенности ИТ-инфраструктуры Организации;
- запуск и отладка процессов обеспечения ИБ.
На третьей стадии «Оценка соответствия»
проводится оценка соответствия созданной системы обеспечения информационной безопасности в соответствии с утвержденными методиками и производится оперативная корректировка возникших недочетов.
Подход компании LETA
Предлагаемый компанией LETA комплексный подход обладает рядом преимуществ перед выполнением отдельных проектов:
- выстраивание рабочих процессов обеспечения ИБ у Заказчика;
- сокращение сроков выполнения проектов за счет параллельного ведения работ сразу по нескольким направлениям;
- сокращение трудоемкости проектов для банковской организации, ее финансовых затрат;
- обеспечение единого управления по всем трем направлениям;
- согласованность между собой рекомендаций и мероприятий по выполнению требований разных стандартов, обеспечивающая простоту в управлении и эксплуатации системы защиты.
Таким образом, предлагаемый компанией LETA комплексный подход к информационной безопасности для организаций БС РФ "Все стандарты ИБ. Банки" позволяет создать современную систему, которая отвечает всем основным требованиям в области ИБ для этих организаций.
Аудит соответствия требованиям PCI DSS реализуется в консорциуме с компанией Digital Security (QSA).
* усредненная оценка для типового проекта
Другие и решения по информационной безопасности для предприятий банковского и финансового сектора
