СТО БР ИББС
Подборка наиболее важных документов по запросу СТО БР ИББС (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Разбор стандарта НСПК по управлению рисками ИБ субъектов ПС "Мир"
(Беляев Д.)
("Внутренний контроль в кредитной организации", 2025, N 3)2) отчеты в ФинЦЕРТ, которые сдаются по инцидентам ИБ в рамках СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств";
(Беляев Д.)
("Внутренний контроль в кредитной организации", 2025, N 3)2) отчеты в ФинЦЕРТ, которые сдаются по инцидентам ИБ в рамках СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств";
Статья: Передача кредитными организациями информации компаниям в сфере IT-аутсорсинга: правовые проблемы
(Лаутс Е.Б.)
("Право и цифровая экономика", 2024, N 2)<4> Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018 (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568) // Вестник Банка России. 2018. N 27.
(Лаутс Е.Б.)
("Право и цифровая экономика", 2024, N 2)<4> Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018 (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568) // Вестник Банка России. 2018. N 27.
Нормативные акты
Статья: Кибербезопасность банковской системы и этические правила взаимодействия человека с ИИ: к вопросу о необходимости сосуществования
(Попова А.В.)
("Банковское право", 2021, N 1)В 2014 г. был принят Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации / Общие положения" <27>, раздел 8 которого посвящен "Системе менеджмента информационной безопасности организаций банковской системы Российской Федерации" (8.2 - 8.18). Отдельный раздел 7 "Система информационной безопасности организаций банковской системы Российской Федерации" содержит принципы распределения прав доступа работников и клиентов к информационным активам организации банковской системы России (п. п. 7.1.4, 7.1.9), а также общие требования по обеспечению информационной безопасности (п. п. 7.2, 7.4, 7.6 - 7.11). Однако в федеральном проекте "Цифровая экономика" Центральный Банк России, несмотря на возложенные на него законодательством задачи в сфере кибербезопасности, не представлен <28>. А ведь сегодня банковский сектор меняется под влиянием таких информационно-коммуникационных технологий, как блокчейн, цифровой рубль, облачные и когнитивные вычисления и искусственный интеллект (далее - ИИ) <29>.
(Попова А.В.)
("Банковское право", 2021, N 1)В 2014 г. был принят Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации / Общие положения" <27>, раздел 8 которого посвящен "Системе менеджмента информационной безопасности организаций банковской системы Российской Федерации" (8.2 - 8.18). Отдельный раздел 7 "Система информационной безопасности организаций банковской системы Российской Федерации" содержит принципы распределения прав доступа работников и клиентов к информационным активам организации банковской системы России (п. п. 7.1.4, 7.1.9), а также общие требования по обеспечению информационной безопасности (п. п. 7.2, 7.4, 7.6 - 7.11). Однако в федеральном проекте "Цифровая экономика" Центральный Банк России, несмотря на возложенные на него законодательством задачи в сфере кибербезопасности, не представлен <28>. А ведь сегодня банковский сектор меняется под влиянием таких информационно-коммуникационных технологий, как блокчейн, цифровой рубль, облачные и когнитивные вычисления и искусственный интеллект (далее - ИИ) <29>.
"Правовое регулирование внешней торговли услугами в цифровой экономике: монография"
(Ворникова Е.Д.)
("Юстицинформ", 2024)<226> См. п. 6.9 Стандарта Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы РФ. Управление риском нарушения информационной безопасности при аутсорсинге" (принят Приказом Банка России от 06.03.2018 N ОД-568).
(Ворникова Е.Д.)
("Юстицинформ", 2024)<226> См. п. 6.9 Стандарта Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы РФ. Управление риском нарушения информационной безопасности при аутсорсинге" (принят Приказом Банка России от 06.03.2018 N ОД-568).
Статья: Право на единую технологию как интеллектуальное право будущего
(Лисаченко А.В.)
("Российский юридический журнал", 2021, N 4)<5> Пункт 3.12 Стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17 мая 2014 г. N Р-399).
(Лисаченко А.В.)
("Российский юридический журнал", 2021, N 4)<5> Пункт 3.12 Стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17 мая 2014 г. N Р-399).
Статья: Закон США NDAA 2021 и правовые проблемы обеспечения банками конфиденциальности информации
(Лаутс Е.Б.)
("Банковское право", 2021, N 5)<11> Стандарт Банка России СТО БР ИББС-1.4-2018 по существу позволяет передавать на аутсорсинг поставщикам услуг (третьим лицам) информацию, относящуюся к банковской тайне. При этом в самом Стандарте указывается, что при аутсорсинге возникает риск бесконтрольного несанкционированного доступа к защищаемой информации лиц, не являющихся работниками банка, а также риск несоблюдения требований законодательства РФ в части обеспечения режима защиты банковской тайны // Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018 (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568) // Вестник Банка России. 2018. N 27.
(Лаутс Е.Б.)
("Банковское право", 2021, N 5)<11> Стандарт Банка России СТО БР ИББС-1.4-2018 по существу позволяет передавать на аутсорсинг поставщикам услуг (третьим лицам) информацию, относящуюся к банковской тайне. При этом в самом Стандарте указывается, что при аутсорсинге возникает риск бесконтрольного несанкционированного доступа к защищаемой информации лиц, не являющихся работниками банка, а также риск несоблюдения требований законодательства РФ в части обеспечения режима защиты банковской тайны // Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018 (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568) // Вестник Банка России. 2018. N 27.
Статья: Искусственный интеллект: инструмент обеспечения кибербезопасности финансовой сферы или киберугроза для банков?
(Горохова С.С.)
("Банковское право", 2021, N 1)Во-вторых, мошенничество сотрудников банков также одно из самых дорого обходящихся финансовым организациям обстоятельств <11>. Так, согласно сведениям, исходящим от Association of Certified Fraud Examination, ежегодно компании теряют в среднем 5% доходов из-за мошенничества сотрудников <12>. Понятно, что банки прикладывают серьезные усилия к искоренению данного явления в своих рядах. Так, например, действующий Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" СТО БР ИББС-1.0-2014 содержит отдельный раздел 7.2, касающийся требований по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу. Однако, вероятно, до конца изжить противоправные действия работников просто нельзя, как нельзя в принципе полностью победить преступность как социальное явление. В-третьих, интернет-банкинг, который делает жизнь намного удобнее, также открывает финансовые ресурсы банков для взломов. Поэтому особенно важно принимать активные меры для защиты финансовых организаций от утечек данных, взломов и других методов использования информации учетных записей, таких как фишинг, троянские программы, захват сеансов, и т.д. <13>. Исходя из вышеизложенного, неудивительно, что банки, иные финансовые учреждения, поставщики, торговцы и все субъекты, участвующие в предоставлении и получении финансовых онлайн-услуг, обнаруживают все большую потребность в обеспечении безопасности своих транзакций. К тому же, принимая во внимание все уже существующие угрозы и риски, не стоит забывать, что мы живем в чрезвычайно волнующее время, когда технологии стремительно развиваются, создавая новые возможности для потребителей, однако эти же технологии могут открыть и новые пути для хакеров и киберпреступников <14>. Поэтому при создании системы кибербезопасности в банковском или любом другом секторе очень важно задействовать наиболее эффективные ресурсы, которые способны помочь цифровой экономике оставаться на шаг впереди злоумышленников <15>.
(Горохова С.С.)
("Банковское право", 2021, N 1)Во-вторых, мошенничество сотрудников банков также одно из самых дорого обходящихся финансовым организациям обстоятельств <11>. Так, согласно сведениям, исходящим от Association of Certified Fraud Examination, ежегодно компании теряют в среднем 5% доходов из-за мошенничества сотрудников <12>. Понятно, что банки прикладывают серьезные усилия к искоренению данного явления в своих рядах. Так, например, действующий Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" СТО БР ИББС-1.0-2014 содержит отдельный раздел 7.2, касающийся требований по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу. Однако, вероятно, до конца изжить противоправные действия работников просто нельзя, как нельзя в принципе полностью победить преступность как социальное явление. В-третьих, интернет-банкинг, который делает жизнь намного удобнее, также открывает финансовые ресурсы банков для взломов. Поэтому особенно важно принимать активные меры для защиты финансовых организаций от утечек данных, взломов и других методов использования информации учетных записей, таких как фишинг, троянские программы, захват сеансов, и т.д. <13>. Исходя из вышеизложенного, неудивительно, что банки, иные финансовые учреждения, поставщики, торговцы и все субъекты, участвующие в предоставлении и получении финансовых онлайн-услуг, обнаруживают все большую потребность в обеспечении безопасности своих транзакций. К тому же, принимая во внимание все уже существующие угрозы и риски, не стоит забывать, что мы живем в чрезвычайно волнующее время, когда технологии стремительно развиваются, создавая новые возможности для потребителей, однако эти же технологии могут открыть и новые пути для хакеров и киберпреступников <14>. Поэтому при создании системы кибербезопасности в банковском или любом другом секторе очень важно задействовать наиболее эффективные ресурсы, которые способны помочь цифровой экономике оставаться на шаг впереди злоумышленников <15>.
"Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)В качестве ориентира при имплементации модели разграничения доступа можно руководствоваться положениями п. 7 Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" <1>.
(2-е издание, переработанное и дополненное)
(Савельев А.И.)
("Статут", 2021)В качестве ориентира при имплементации модели разграничения доступа можно руководствоваться положениями п. 7 Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" <1>.
Статья: Ответственность аутсорсинговой компании за вред, причиненный ее работником
(Мухтарова О.С.)
("Вестник Арбитражного суда Московского округа", 2024, N 3)<17> Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568).
(Мухтарова О.С.)
("Вестник Арбитражного суда Московского округа", 2024, N 3)<17> Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568).
Статья: Управление риском аутсорсинга ИТ-поставщиков: как корректно сформировать требования
(Чекудаев К.)
("Внутренний контроль в кредитной организации", 2025, N 1)ГОСТ Р 57580.3-2022 <3> описывает меры по управлению рисками реализации информационных угроз и операционной надежности при аутсорсинге. При этом стандарт определяет аутсорсинг как передачу финансовой организацией на основании договора на длительный срок (например, от одного года) поставщику услуг выполнения бизнес- и технологических процессов. При аутсорсинге рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-2-2020 <4>, ГОСТ Р ИСО/МЭК 27036-4-2020 <5>, а также Стандарт Банка России "Управление риском нарушения информационной безопасности при аутсорсинге" (СТО БР ИББС-1.4-2018) <6>.
(Чекудаев К.)
("Внутренний контроль в кредитной организации", 2025, N 1)ГОСТ Р 57580.3-2022 <3> описывает меры по управлению рисками реализации информационных угроз и операционной надежности при аутсорсинге. При этом стандарт определяет аутсорсинг как передачу финансовой организацией на основании договора на длительный срок (например, от одного года) поставщику услуг выполнения бизнес- и технологических процессов. При аутсорсинге рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-2-2020 <4>, ГОСТ Р ИСО/МЭК 27036-4-2020 <5>, а также Стандарт Банка России "Управление риском нарушения информационной безопасности при аутсорсинге" (СТО БР ИББС-1.4-2018) <6>.