Безопасность банка (Полный список нормативных документов)
Документ |
Название документа |
Комментарий к содержанию |
Комментарий к документу |
| Сообщение Банка России от 16.01.2009 № б/н | О новой редакции Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2008 | Сообщается о подготовке новой (третьей) редакции Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". Названная редакция вводит новые термины и понятия; уточняет требования по обеспечению информационной безопасности; детализирует требования к системе менеджмента информационной безопасности. В то же время исключены два раздела, содержащихся во второй редакции Стандарта: об основных принципах обеспечения информационной безопасности и о модели зрелости процессов менеджмента информационной безопасности. В целом новая редакция Стандарта не изменяет общей концепции второй редакции и при этом развивает, уточняет и детализирует ее отдельные требования. В связи с этим внедрение новой редакции Стандарта в организациях банковской системы РФ должно основываться на результатах работ по внедрению предыдущих редакций Стандарта. Ввод в действие третьей редакции Стандарта не отменяет результатов оценок соответствия и самооценок информационной безопасности организаций банковской системы РФ требованиям предыдущих редакций Стандарта. | Текст сообщения опубликован в "Вестнике Банка России" (ВБР, 16.01.2009, № 2). |
| Стандарт Банка России от 25.12.2008 № СТО БР ИББС-1.0-2008 | Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения | С 1 мая 2009 года вводится в действие третья редакция Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". Стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования его положений во внутренних нормативных и методических документах организаций банковской системы Российской Федерации (далее БС РФ), а также в договорах. Стандарт применяется на добровольной основе. Обязательность применения отдельных положений Стандарта может быть установлена нормативными правовыми актами, а также договорами, заключенными организациями БС РФ, или решением организации БС РФ. Приведены модели угроз и нарушителей информационной безопасности организаций БС РФ. Установлены требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу. Определены общие требования по обеспечению информационной безопасности автоматизированных банковских систем, банковских платежных и информационных технологических процессов; общие требования по обеспечению информационной безопасности средствами антивирусной защиты, а также при использовании ресурсов сети Интернет и средств криптографической защиты информации. По сравнению с предыдущей редакцией Стандарта, детализированы требования к менеджменту информационной безопасности. При этом отсутствуют основные принципы обеспечения информационной безопасности, а также модель зрелости процессов менеджмента информационной безопасности, которая являлась мерой оценки эффективности такого менеджмента. Проверка и оценка информационной безопасности организаций БС РФ может проводиться путем мониторинга и контроля защитных мер; самооценки или аудита информационной безопасности; анализа функционирования системы обеспечения информационной безопасности (в том числе со стороны руководства). Ранее проверка и оценка проводились с помощью аудита, самооценки и мониторинга. | Текст стандарта опубликован в "Вестнике Банка России" (ВБР, 16.01.2009, № 2). |
| Письмо АРБ от 05.09.2008 № А-01/5-504 | О применении статьи 26 Федерального закона "О банках и банковской деятельности" и части 8 статьи 69 Федерального закона "Об исполнительном производстве" | Текст письма размещен на сайте Ассоциации Российских Банков в Internet (http://www.arb.ru). | |
| Письмо Банка России от 07.12.2007 № 197-Т | О рисках при дистанционном банковском обслуживании | Текст письма опубликован в "Вестнике Банка России" (ВБР, 12.12.2007, № 68). | |
| Сообщение Банка России от 18.05.2007 № б/н | О первичном блоке документов Банка России по стандартизации в области обеспечения информационной безопасности организаций банковской системы Российской Федерации | C целью повышения уровня информационной безопасности организаций банковской системы РФ разработан стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (стандарт СТО БР ИББС-1.0). Приведен перечень развивающих этот стандарт документов, разработанных и введенных в действие Банком России. Ввод в действие указанных документов направлен на обеспечение необходимыми методическими материалами по внедрению стандарта в структурные подразделения Банка России и организации банковской системы РФ; обеспечение единого подхода к оценке информационной безопасности организаций банковской системы РФ; расширение возможностей применения стандарта для целей надзора и инспектирования кредитных организаций; завершение формирования первичного блока документов по стандартизации в области обеспечения информационной безопасности организаций банковской системы РФ. Держателем контрольных экземпляров документов определено Главное управление безопасности и защиты информации Банка России. | Текст сообщения опубликован в "Вестнике Банка России" (ВБР, 18.05.2007, № 29). |
| Стандарт Банка России от 28.04.2007 № СТО БР ИББС-1.1-2007 | Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности | Банком России разработан стандарт обеспечения информационной безопасности организаций банковской системы, устанавливающий требования к проведению внешнего аудита информационной безопасности банковских организаций. Стандарт определяет основные принципы проведения аудита информационной безопасности банковских организаций, менеджмент программы аудита информационной безопасности, требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации, этапы и порядок проведения аудита информационной безопасности. | Текст стандарта опубликован в "Вестнике Банка России" (ВБР, 18.05.2007, № 29). |
| Рекомендации в области стандартизации Банка России от 28.04.2007 № РС БР ИББС-2.0-2007 | Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 | Центральным банком РФ разработаны Методические рекомендации по документации в области обеспечения информационной безопасности. В них определена структура, состав, назначение и содержание внутренних документов по обеспечению информационной безопасности организаций банковской системы РФ, приведены правила осуществления менеджмента документов по обеспечению информационной безопасности. | Текст рекомендаций опубликован в "Вестнике Банка России" (ВБР, 18.05.2007, № 29). Методические рекомендации введены в действие с 1 мая 2007 года и применяются банковскими организациями на добровольной основе. |
| Рекомендации в области стандартизации Банка России от 28.04.2007 № РС БР ИББС-2.1-2007 | Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 | Руководство устанавливает подходы к проведению самооценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0. Приведены критерии для выявления степени выполнения требований ИБ при проведении оценки частных показателей. | Текст рекомендаций опубликован в "Вестнике Банка России" (ВБР, 18.05.2007, № 29). |
| Стандарт Банка России от 28.04.2007 № СТО БР ИББС-1.2-2007 | Обеспечение информационной безопасности организаций банковской системы Российской Федерации.Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006 | Стандарт устанавливает способы определения степени выполнения требований СТО БР ИББС-1.0, а также итогового уровня соответствия ИБ требованиям СТО БР ИББС-1.0 при проведении внутренней и (или) внешней оценки и самооценки ИБ. Cтандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ. | Текст стандарта опубликован в "Вестнике Банка России" (ВБР, 18.05.2007, № 29). |
| Федеральный закон от 27.07.2006 № 149-ФЗ | Об информации, информационных технологиях и о защите информации | Федеральный закон регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, а также при применении информационных технологий и обеспечении защиты информации. Действие Закона не распространяется на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации. Установлены требования к распространению, предоставлению информации, а также к ее защите. Определена ответственность за правонарушения в сфере информации, информационных технологий и защиты информации. | |
| Информационное сообщение Банка России от 03.02.2006 № б/н | О новой редакции стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2006 | Банком России с целью повышения уровня информационной безопасности как самого Банка, так и организаций банковской системы РФ Распоряжением от 18.11.2004 № Р-609 введен в действие Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". В течение 2005 года проведены работы по опытному внедрению Стандарта в ряде территориальных учреждений Банка России и кредитных организаций. С учетом полученной информации проведена доработка Стандарта. Распоряжением Банка России от 26.01.2006 № Р-27 принята вторая редакция Стандарта. | Текст сообщения опубликован в "Вестнике Банка России" (ВБР, 03.02.2006, № 6). |
| Стандарт Банка России от 26.01.2006 № Р-27 | Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения | В течение 2005 года были проведены работы по опытному внедрению в ряде территориальных учреждений Банка России и кредитных организаций Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (введен в действие Распоряжением от 18.11.2004 № Р-609). По итогам внедрения Стандарта получены положительные результаты. В ходе работ по внедрению Стандарта были собраны и обобщены замечания и предложения территориальных учреждений Банка России, входящих в опытную зону по внедрению Стандарта, и кредитных организаций - членов Подкомитета по стандартизации "Защита информации в кредитно-финансовой сфере" (ПК3) Технического комитета по стандартизации "Защита информации" (ТК362) Федерального агентства по техническому регулированию и метрологии. Были проанализированы последние изменения в области международной стандартизации вопросов информационной безопасности. С учетом полученной информации проведена доработка Стандарта. Распоряжением Банка России от 26.01.2006 № Р-27 принята вторая редакция Стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2006. | Стандарт Банка России СТО БР ИББС-1.0-2006 принят и введен в действие Распоряжением Банка России от 26 января 2006 года № Р-27 взамен СТО БР ИББС-1.0-2004. Текст Стандарта опубликован в "Вестнике Банка России" (ВБР, 03.02.2006, № 6). |
| Государственный стандарт ГОСТ Р 1.0-2004 от 30.12.2004 № 152-ст | Стандартизация в Российской Федерации. Основные положения | Настоящий стандарт устанавливает общие правила формирования, ведения и применения положений системы стандартизации в Российской Федерации. Положения основополагающих стандартов системы стандартизации в Российской Федерации разработаны для применения федеральными органами исполнительной власти, субъектами хозяйственной деятельности, техническими комитетами по стандартизации, общественными объединениями и заинтересованными лицами. | Утв. Приказом Ростехрегулирования от 30.12.2004 № 152-ст. Введен в действие с 1 июля 2005 года. |
| Государственный стандарт ГОСТ Р 1.4-2004 от 30.12.2004 № 154-ст | Стандартизация в Российской Федерации. Стандарты организаций. Общие положения | Настоящий стандарт устанавливает объекты стандартизации и общие положения при разработке и применении стандартов организаций. Положения настоящего стандарта предназначены для применения организациями, расположенными на территории РФ, в т.ч. коммерческими, общественными, научными организациями, саморегулируемыми организациями, объединениями юридических лиц, а также техническими комитетами по стандартизации, организующими проведение экспертизы стандартов организаций согласно ст.17 Федерального закона "О техническом регулировании". | Утв. Приказом Ростехрегулирования от 30.12.2004 № 154-ст. Введен в действие с 1 июля 2005 года. |
| Сообщение Банка России от 24.11.2004 № б/н | О Стандарте Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" | О вводе в действие с 01.12.2004 Стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", в котором сформулированы основные цели и задачи повышение доверия к банковской системе РФ, повышение стабильности ее функционирования. Стандарт содержит рекомендации по разработке основополагающих документов по проблеме информационной безопасности, необходимые требования по безопасности информационных и телекоммуникационных технологий. | |
| Федеральный закон от 10.07.2002 № 86-ФЗ | О Центральном банке Российской Федерации (Банке России) | 13.07.2002 вступил в силу Федеральный закон от 10.07.2002 № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", который заменил ранее действовавший Федеральный закон от 02.12.1990 № 394-1. В новом законе сохраняется независимость Банка России, уточняются его статус, функции, полномочия, а также структура управления. Основные изменения касаются режима собственности имущества и уставного капитала Банка России. Уставной капитал и иное имущество Банка России является федеральной собственностью, владение, пользование и распоряжение которой Банк России осуществляет от имени Российской Федерации. Сформулирована основная функция Банка России - защита и обеспечение устойчивости рубля, выполнение которой возложено на него в соответствии со ст.75 Конституции РФ. Более четко сформулированы исключительные полномочия и функции Банка России, уточнено понятие подотчетности Банка России Государственной Думе. Уточнено, что Банк России участвует в капиталах Сбербанка, Внешторгбанка и российских заграничных банков. Уточняются функции Совета директоров Банка России и Национального банковского совета. | Признает утратившими силу федеральные законы: от 19.06.2001 № 81-ФЗ; от 04.03.1998 № 34-ФЗ; от 28.04.1997 № 70-ФЗ; от 27.02.1997 № 45-ФЗ; от 20.06.1996 № 80-ФЗ; от 04.01.1996 № 1-ФЗ; от 27.12.1995 № 210-ФЗ; от 27.12.1995 № 214-ФЗ; от 31.07.1995 № 120-ФЗ; от 26.04.1995 № 65-ФЗ; от 02.12.1990 № 394-1. Вносит изменения в федеральные законы: от 21.03.2002 № 31-ФЗ; от 06.08.2001 № 110 -ФЗ; от 08.07.1999 № 139-ФЗ; от 31.07.1998 № 151-ФЗ; от 11.01.1995 № 4-ФЗ. Вносит изменения в Закон РФ от 24.06.1992 № 3119-1. |
| Государственный стандарт РФ ГОСТ Р 51898-2002 от 05.06.2002 № 228-ст | Аспекты безопасности. Правила включения в стандарты | Настоящий стандарт устанавливает для разработчиков стандартов правила включения в стандарты аспектов безопасности. Стандарт может быть применен к любым аспектам безопасности, относящимся к людям или имуществу, или окружающей среде, или к сочетанию этих сторон. Правила, устанавливаемые настоящим стандартом, основаны на уменьшении риска, возникающего при использовании продукции, процессов или услуг. Стандарт рассматривает полный жизненный цикл продукции, процесса или услуги, включая как предназначенное использование, так и возможное предсказуемое неправильное использование. | Принят постановлением Госстандарта РФ от 05.06.2002 № 228-ст. Дата введения 1 января 2003 года. |
| Государственный стандарт РФ ГОСТ Р ИСО/МЭК ТО 15271-2002 от 05.06.2002 № 227-ст | Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств) | В настоящем стандарте приведены рекомендации по практическому применению ГОСТ Р ИСО/МЭК 12207 в условиях реализации конкретных проектов создания программных средств. Опытное применение ГОСТ Р ИСО/МЭК 12207 в ряде организаций подтвердило необходимость выработки таких рекомендаций для однозначного понимания требований и норм, установленных в ГОСТ Р ИСО/МЭК 12207. Вместе с тем, ряд концептуальных положений и понятий, определенных в указанном стандарте, требуют дополнительного пояснения и более расширенной трактовки. В настоящем стандарте учтены обобщенные предложения по практическому применению ГОСТ Р ИСО/МЭК 12207, представленные Техническим комитетом по стандартизации ТК 22 "Информационные технологии". | Принят и введен в действие постановлением Госстандарта РФ от 05.06.2002 № 227-ст. Дата введения 1 июля 2003 года. |
| Государственный стандарт РФ ГОСТ Р ИСО 9001-2001 от 15.08.2001 № 333-ст | Системы менеджмента качества. Требования | Настоящий стандарт направлен на применение "процессного подхода" при разработке, внедрении и улучшении результативности системы менеджмента качества с целью повышения удовлетворенности потребителей путем выполнения их требований. Для успешного функционирования организация должна определить и осуществлять менеджмент многочисленных взаимосвязанных видов деятельности. Деятельность, использующая ресурсы и управляемая с целью преобразования входов в выходы, может рассматриваться как процесс. Часто выход одного процесса образует непосредственно вход следующего. Применение в организации системы процессов наряду с их идентификацией и взаимодействием, а также менеджмент процессов могут считаться "процессным подходом". | (Утв. постановлением Госстандарта РФ от 15.08.2001 № 333-ст. Дата введения 31 августа 2001 года. |
| Государственный стандарт РФ ГОСТ Р ИСО/МЭК 12207-99 от 23.12.1999 № 675-ст | Информационная технология. Процессы жизненного цикла программных средств | Настоящий стандарт устанавливает, используя четко определенную терминологию, общую структуру процессов жизненного цикла программных средств, на которую можно ориентироваться в программной индустрии. Настоящий стандарт определяет процессы, работы и задачи, которые используются: при приобретении системы, содержащей программные средства, или отдельно поставляемого программного продукта; при оказании программной услуги, а также при поставке, разработке, эксплуатации и сопровождении программных продуктов. Понятие программных средств также охватывает программный компонент программно-аппаратных средств. Настоящий стандарт также определяет процесс, который может быть использован при определении, контроле и модернизации процессов жизненного цикла программных средств. | Принят и введен в действие постановлением Госстандарта РФ от 23.12.1999 № 675-ст. Дата введения 1 июля 2000 года. |
| Государственный стандарт Союза ССР ГОСТ 34.601-90 от 29.12.1990 № 3469 | Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания | Настоящий стандарт распространяется на автоматизированные системы, используемые в различных видах деятельности (исследование, проектирование, управление и т.п.), включая их сочетания, создаваемые в организациях, объединениях и на предприятиях. Стандарт устанавливает стадии и этапы создания автоматизированных систем. | Утв. постановлением Госстандарта СССР от 29.12.1990 № 3469. Дата введения 1 января 1992 года. |
| Федеральный закон от 02.12.1990 № 395-1 | О банках и банковской деятельности | Изм. Федеральными законами от 03.02.1996 № 17-ФЗ, от 31.07.1998 № 151-ФЗ, от 08.07.1999 № 136-ФЗ. |
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510