Распоряжением Банка России № Р-27 26.01.2006 была принята вторая редакция Стандарта “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1.0-2006, которая опубликована в «Вестнике Банка России» № 6 (876) от 3 февраля 2006 года.

Особенности кредитно-финансового рынка таковы, что сбои в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ в целом, нанести ущерб интересам собственников, клиентов, государства. С учетом реалий современного мира и степени зависимости кредитно-финансовых организаций от используемых информационных технологий, угрозы ИБ представляют собой реальную опасность для организаций банковского сектора (далее по тексту «БС») РФ.

Соответственно основными целями Стандарта являются повышение уровня информационной безопасности (далее по тексту «ИБ») как самого Банка России, так и организаций банковской системы Российской Федерации,обеспечение эффективного и бесперебойного функционирования платежной системы РФ, а также установление единых минимальных и достаточных требований по обеспечению ИБ в организациях БС РФ.

Стандарт устанавливает основные принципы построения структуры управления/менеджмента информационной безопасностью в кредитно-финансовых организациях БС РФ. Стандарт СТО БР ИББС-1.0-2006 не противоречит действующей в стране нормативной базе, не затрагивает и не регулирует вопросы непосредственно защиты информации. Однако, как Стандарт управления, направлен на построение в кредитных организациях единой системы контроля за исполнением существующих требований в данной области в том числе.

Стандарт не распространяется на вопросы защиты государственной тайны.

Как известно, первая версия Стандарта была принята в 2004 году. С тех пор была проведена большая работа по практическому использованию Стандарта в банковских организациях. Так в течение 2005 года проведены работы по опытному внедрению Стандарта в ряде территориальных учреждениях Банка России и в двух коммерческих банках. Несколько кредитных организаций по собственной инициативе ввели в действие Стандарт в качестве корпоративного стандарта ИБ, а также провели внутренний аудит на соответствие требованиям Стандарта.

Первый опыт внедрения и использования Стандарта показал, что банковское сообщество, включая Ассоциацию российских банков (далее по тексту «АРБ»), поддерживает принятие Стандарта и в целом положительно оценивает его.

Дополнительно, в ходе практических работ были собраны и обобщены замечания и предложения территориальных учреждений Банка России, входящих в опытную зону по внедрению Стандарта, а также кредитных организаций — членов Подкомитета по стандартизации “Защита информации в кредитно-финансовой сфере“ (ПК3) Технического комитета по стандартизации “Защита информации” (ТК362) Федерального агентства по техническому регулированию и метрологии. Кроме того, были проанализированы последние изменения в области международной стандартизации вопросов информационной безопасности (далее по тексту «ИБ»), в частности опыт трансформации стандарта ИБ ISO/IEC 17799 в семейство стандартов ISO/IEC 27000.

С учетом полученной информации был выявлен ряд направлений дальнейшего развития как самого Стандарта, так и методик проведения оценки соответствия Стандарту, и, соответственно, проведена его доработка и опубликована новая версия. Держателем контрольного экземпляра Стандарта определено Главное управление безопасности и защиты информации Банка России.

Данный Стандарт разработан на основе международных стандартов ISO/IEC 17799, ISO/IEC 27001 и CobiT с учетом специфики и потребностей кредитно-финансового сектора Российской Федерации. Стандарт устанавливает единые минимальные и достаточные требования по обеспечению ИБ кредитных организациях РФ путём создания и построения системы управления информационной безопасностью.

Как было заявлено 19-20 января 2006 года на Уфимской III научно-практической конференции «Повышение функциональной роли банковской системы через улучшение качества деятельности. Управление бизнес-процессами в Банке России и кредитных организациях», Стандарт Банка России СТО БР ИББС-1.0-2006 предполагается рассматривать как один из компонентов стандартов обеспечения качества деятельности кредитных организаций (которые в настоящее время разрабатываются при участии Банка России и АРБ).

Стандарт введен в действие с 1 января 2006 г. и является рекомендательным, его положения применяются на добровольной основе, если только его обязательность к исполнению не установлена кредитной организацией. Тем не менее, учитывая существующие тенденции рынка (в том числе международного) по усилению контроля как со стороны государственных, так и отраслевых регуляторов и бизнес-сообществ, можно предположить, что данный стандарт из разряда «рекомендательный» вскоре будет рассматриваться рынком как «обязательный для исполнения». Эти тенденции подтверждаются и последними примерами и директивами ЕС (включая требование по внедрению положений Basel-II), а также результатами 8-го международного исследования по информационной безопасности, проведенного в 2005 году компанией "Эрнст энд Янг", согласно которым соблюдение законодательных требований (с учетом серьезности последствий их несоблюдения) вышло на первое место в обеспечении информационной безопасности.