Внедрение стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банков»

Хотя развитие механизмов банковских сервисов и информационной безопасности банка как таковой осуществляется уже давно, и соответствующий процесс в действительности можно назвать успешным, в данной сфере объем мошеннических операций неизменно увеличивается.
Вначале кредитно-финансовыми учреждениями внимание было обращено на повышение уровня своей информационной безопасности. Однако в последнее время статистические данные свидетельствуют о том, что преимущественное количество случаев хищения денежных средств злоумышленниками начали происходить не у банковских структур, а у самих пользователей, что может повлечь за собой ухудшение качества репутации кредитно-финансовых учреждений Российской Федерации. В связи с этим в современных условиях происходит смещение акцентов информационной безопасности банка в сторону обеспечение высокого уровня безопасности так называемых удаленных пользователей. Именно этому должен способствовать вступивший в силу Федеральный закон «О национальной платежной системе», согласно которому кредитно-финансовые учреждения обязаны нести ответственность за хищение денежных средств их клиентов в результате осуществления сторонними лицами действий мошеннического характера. Так, в качестве наиболее важных следует рассматривать вопросы, касающиеся безопасности работы банковских клиентов, в частности, наиболее надежных и добросовестных.
Эксперты отмечают, что ориентация на повышение уровня защиты пользователя от мошеннических действий должна предполагать более высокий уровень контроля своей защищенности со стороны самого клиента банка. Поэтому необходимо, чтобы пользователь как можно более ясно осознавал все угрозы, с которыми он может столкнуться, а также то, что системы ДБО являются уязвимыми. Поэтому специалисты предлагают проводить с клиентами необходимую в данном случае работу разъяснительного характера. Согласно отечественному законодательству, платежные системы должны предоставлять клиентам информацию относительно текущих рисков, а также требований к информационной безопасности

ВВЕДЕНИЕ 3
ГЛАВА 1 МЕСТО И РОЛЬ СТАНДАРТОВ БАНКА РОССИИ В ОБЕСПЕЧЕНИИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
Раздел 1.1 Правовые аспекты защиты информации 5
Раздел 1.2 Сущность и содержание Стандартов Банка России СТО БР ИББС 7
Раздел 1.3 Становление и перспективы развития стандарта СТО БР ИББС 17
Раздел 1.4 Международный опыт в сфере защиты банковской информации 21
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ И ЗА РУБЕЖОМ
Раздел 2.1 Основные проблемы обеспечения информационной безопасности в российских банках 25
Раздел 2.2 Проблема внутренних угроз и пути ее решения 32
ГЛАВА 3 ПРАКТИКА ПРИМЕНЕНИЯ СТАНДАРТА В БАНКАХ РОССИИ
Раздел 3.1 Анализ оценки соответствия СТО БР ИББС некоторых российских банков
Подраздел 3.1.1 Банк АКБ НАШ ДОМ 35
Подраздел 3.1.2 ОАО «Челиндбанк» 36
Раздел 3.2 Сравнение методик оценки соответствия СТО БР ИББС и 382-П 37
Подраздел 3.1.3 МСП Банк 37
Подраздел 3.3 Расчёт эффективности внедрения защитного программного обеспечения в работу бэк-офиса банка 39
ЗАКЛЮЧЕНИЕ 43
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 45




 

ВВЕДЕНИЕ 3
ГЛАВА 1 МЕСТО И РОЛЬ СТАНДАРТОВ БАНКА РОССИИ В ОБЕСПЕЧЕНИИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
Раздел 1.1 Правовые аспекты защиты информации 5
Раздел 1.2 Сущность и содержание Стандартов Банка России СТО БР ИББС 7
Раздел 1.3 Становление и перспективы развития стандарта СТО БР ИББС 17
Раздел 1.4 Международный опыт в сфере защиты банковской информации 21
ГЛАВА 2 ОСОБЕННОСТИ ПРИМЕНЕНИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ И ЗА РУБЕЖОМ
Раздел 2.1 Основные проблемы обеспечения информационной безопасности в российских банках 25
Раздел 2.2 Проблема внутренних угроз и пути ее решения 32
ГЛАВА 3 ПРАКТИКА ПРИМЕНЕНИЯ СТАНДАРТА В БАНКАХ РОССИИ
Раздел 3.1 Анализ оценки соответствия СТО БР ИББС некоторых российских банков
Подраздел 3.1.1 Банк АКБ НАШ ДОМ 35
Подраздел 3.1.2 ОАО «Челиндбанк» 36
Раздел 3.2 Сравнение методик оценки соответствия СТО БР ИББС и 382-П 37
Подраздел 3.1.3 МСП Банк 37
Подраздел 3.3 Расчёт эффективности внедрения защитного программного обеспечения в работу бэк-офиса банка 39
ЗАКЛЮЧЕНИЕ 43
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 45




 

Кодексы РФ

1. № 63-ФЗ Уголовный кодекс РФ от 13.06.1996 г. (в части ответственности за незаконный доступ к информации, ее порчу, нарушение авторских и смежных прав, нарушение тайны переписки и телефонных переговоров, незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, нарушение неприкосновенности частной жизни).
2. № 174-ФЗ Уголовно-процессуальный кодекс РФ от 18.12.2001 г. (в части безопасности информации и защиты данных конфиденциального характера).
3. № 197-ФЗ Трудовой кодекс РФ от 30.12.2001 г. (в части защиты персональных данных работников).
4. № 195-ФЗ Кодекс об административных правонарушениях РФ от 30.12.2001 г. (в части защиты информации и интеллектуальной собственности).

Международные договоры и соглашения

5. Базель II и Базель III (в части информационной безопасности)

Федеральные законы РФ

6. № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г.
7. № 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г.
8. № 152-ФЗ «О персональных данных» от 27.07.2006 г.
9. № 395-1 «О банках и банковской деятельности» от 02.12.1990 г.
10. № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.
11. № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г.
12. № 184-ФЗ «О техническом регулировании» от 27.12.2002 г.
13. № 161-ФЗ «О национальной платежной системе» от 27.06.2011 г.

Стратегия и Доктрина

14. № Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г.
15. № Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г.

Указы Президента РФ

16. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 г.
17. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 09.01.1996 г.
18. № 188 «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г.
19. Постановления Правительства РФ:
20. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
21. № 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г.
22. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.
23. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г.
24. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г.
25. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, по оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» от 16.04.2012 г.
26. № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию» от 10.03.2000 г.
27. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г.

Международные, британские стандарты и стандарты платежных систем

28. PCI DSS 2.0. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0.
29. PA DSS 2.0. Requirements and security assessment procedures.
30. ISO/IEC 27001:2005 – «Информационные технологии — Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования».
31. ISO/IEC 27005:2011 – «Информационные технологии — Методы обеспечения безопасности – Система управления рисками информационной безопасности».
32. ISO/IEC 17799:2005 – «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности».
33. BS 7799-1:2005 – Британский стандарт BS 7799 первая часть. Практические правила управления информационной безопасностью.
34. BS 7799-2:2005 – Британский стандарт BS 7799 вторая часть стандарта. Спецификация системы управления информационной безопасностью.
35. BS 7799-3:2006 – Британский стандарт BS 7799 третья часть стандарта. Руководство по менеджменту рисков ИБ.
36. BS 25999-1:2006 «Управление непрерывностью бизнеса».
37. CobiT 5.0 (Control Objectives for Information and Related Technology).

Стандарты и технические регламенты

38. ГОСТ Р 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
39. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
40. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процесс формирования и проверки электронной подписи».
41. ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.
42. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
43. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
44. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
45. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
46. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
47. ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
48. ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
49. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.
50. ГОСТ 28195-89. Оценка качества программных средств. Общие положения.
51. ГОСТ 28388-89. Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения.
52. ГОСТ 28806-90. Качество программных средств. Термины и определения.
53. ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний.
54. ГОСТ 30373-95/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний.
55. ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
56. ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
57. ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
58. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
59. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
60. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
61. ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
62. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
63. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
64. ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
65. ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств – источников индустриальных радиопомех.
66. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.
67. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
68. ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
69. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.
70. ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.
71. МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.
72. МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.
73. Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.
74. РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
75. РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
76. РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.
77. СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.
78. СНиП 23-03-2003. Защита от шума.
79. ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
80. ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.
81. ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
82. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.
83. ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показа¬телей качества.
84. ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
85. ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
86. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
87. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
88. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече¬ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
89. ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
90. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
91. ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности.
92. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.
93. ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
94. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.
95. Рекомендации по аккредитации. «Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных органов по сертификации» Р 50.4.002-2000.
96. Рекомендации по аккредитации. «За деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий» Р 50.4.003-2000.
97. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. Санитарно-эпидемиологические правила и нормативы. СанПиН 2.2.2./2.4.1340-03.
98. Строительные нормы и правила Российской федерации. Защита от шума. СНиП 23-03-2003.
99. Государственная система обеспечения единства измерений. Результаты и характеристики качества измерений. ПМГ 96-2009.

Документы Банка России

100. № 382-П Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов» от 09.06.2012 г.
101. № 383-П Положение «О правилах перевода денежных средств» от 19.06.2012 г.
102. № 379-П Положение «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» от 31.05.2012 г.
103. Письмо о вводе комплекса документов (Письмо шестерых) от 28.06.2010 г.
104. СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
105. СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
106. СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх».
107. РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС¬-1.0».
108. РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
109. РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».
110. РС БР ИББС-2.3-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы российской федерации».
111. РС БР ИББС-2.4-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

Документы АРБ

112. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ от 2010 г.
113. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации». Версия 7.4 от 02.04.2012 г.

Документы Минкомсвязи РФ

114. № 320 Приказ Минкомсвязи России «Об аккредитации удостоверяющих центров» от 23.11.2011 г.

Документы ФСТЭК России

115. № 21 Приказ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.
116. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г.
117. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008 г.
118. № 55/86/20 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г.
119. № 28 дсп Приказ «Требования к средствам антивирусной защиты» от 20.03.12 г.
120. № 27 дсп Приказ «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» от 12.03.12 г.
121. № 638 дсп Приказ «Требования к системам обнаружения вторжений» от 06.12.11.
122. «Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утверждено Заместителем директора ФСТЭК России от 25.12.06 г. дсп.
123. № 282 дсп Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержден приказом Гостехкомиссии России от 30.08.02.
124. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г. дсп.
125. № 355 дсп Руководящий документ «Защита информации. Комплектующие помехоподавляющие изделия электронной техники, радиоэкранирующие и помехоподавляющие материалы. Общие технические требования», утвержден приказом Гостехкомиссии России от 31.08.2001 г.
126. Руководящий документ «Автоматизированные системы Защита от нессанкионированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением Гостехкомиссии России от 20.03.1992 г.

Документы ФСБ России

127. №152 Приказ ФАПСИ «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» от 13.06.2001 г.
128. № 66 Приказ Федеральной службы безопасности Российской Федерации «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» от 9 февраля 2005 г.
129. № 149/6/6-622 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 2008 г.
130. № 149/54-144 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 2008 г.
131. № 795 Приказ ФСБ «Об утверждении требований к форме квалификационного сертификата ключа проверки электронной подписи» от 27.12.11 г.
132. № 796 Приказ ФСБ «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» от 27.12.11 г.

Учебные пособия и периодические издания

133. Анин Б. Ю. Защита компьютерной информации. – СПб.: БХВ-Санкт-Петербург, 2009. – 384 с.
134. Астахов А. Банковский миф о присоединении к стандарту Банка России СТО БР ИББС [Электронный ресурс] // ISO27000.RU (ЗАЩИТА-ИНФОРМАЦИИ.SU) — авторитетный информационно-аналитический портал сообщества менеджеров и экспертов в области информационной безопасности - 2011. - Режим доступа: http://www.iso27000.ru/blogi/aleksandr-astahov/bankovskii-mif-o-prisoedinenii-k-standartu-banka-rossii-sto-br-ibbs
135. Бурцев И. Практика применения Комплекса документов Банка России по обеспечению информационной безопасности [Электронный ресурс] // Ассоциация по вопросам защиты информации: официальный сайт. - 2012. - Режим доступа: http://bis-expert.ru/blog/2378/8219
136. Гришин А. Оценка соответствия ОАО «Банк ВТБ Северо-Запад» требованиям стандарта СТО БР ИББС-1.0 [Электронный ресурс] // JetInfo. Информационный бюллетень компании «ИнфосистемыДжет» - 2013. - Режим доступа: http://www.jetinfo.ru/stati/dlp/?nid=a6e90ede507da5958a1acb3f93948b70
137. Зубиньска Е. Латвийский суд защитил банковскую тайну [Электронный ресурс] // Профессионалы.ru: деловая социальная сеть - 2010. - Режим доступа: http://professionali.ru/
138. Информационная безопасность организаций банковской системы Российской Федерации [Электронный ресурс] // Банк России: официальный сайт. - 2013. - Режим доступа: http://www.cbr.ru/credit/Gubzi_docs/
139. Информационная безопасность в банках: внешние и внутренние угрозы и способы их минимизации [Электронный ресурс] // Bankir.ru: информационный портал. - 2011. - Режим доступа: http://bankir.ru/tehnologii/s/informatsionnaya-bezopasnost-v-bankakh-vneshnie-i-vnutrennie-ugrozy-i-sposoby-ikh-minimizatsii-10000874/#ixzz2pu8G3dHm
140. Концепция безопасности банка [Электронный ресурс] // Директор по безопасности: электронный журнал - 2013. - Режим доступа: http://www.s-director.ru/docs/view/57.html
141. Маляревский, А.”Тонкие клиенты” – информационная безопасность и экономия / А. Маляревский // Финансовая газета. – декабрь 2005. – № 49.
142. Никитович Н. Российский е-банкинг в контексте мировых тенденций [Электронный ресурс] // Группа Optima: официальный сайт компании - 2013. - Режим доступа: http://infosec.optima.ru/press-center/writes-about-us/1562/
143. Новые требования по защите персональных данных – приказ ФСТЭК №21 зарегистрирован в Минюсте [Электронный ресурс] // DataProtectionSystems: официальный сайт компании. - 2013. - Режим доступа: http://dpsys.ru/news/134-novye-trebovaniya-po-zashchite-personalnykh-dannykh-prikaz-fstek-21-zaregistrirovan-v-minyust
144. Организация системы защиты информации в западной Европе [Электронный ресурс] // Прогноз финансовызх рисков: интернет-издание. - 2013. - Режим доступа: http://bre.ru/security/20395.html
145. Оценка соответствия ОАО «Банк ВТБ Северо-Запад» требованиям стандарта СТО БР ИББС-1.0
146. Оценка соответствия требованиям СТО БР ИББС [Электронный ресурс] // ЗАО «ЕВРААС – Информационные технологии»: официальный сайт. - 2013. - Режим доступа: http://www.evraasit.ru/?m=ac1&an=aaacd
147. Петухов А. Финансирование проектов по обеспечению безопасности информации в банках выросло вдвое [Электронный ресурс] // АйТи: официальный сайт компании - 2004. - Режим доступа: http://www.it.ru/press_center/publications/6983/
148. План защиты информации [Электронный ресурс] // Avoidance.ru: статьи об информационной безопасности - 2013. - Режим доступа: http://avoidance.ru/articles/informatsionnaja-bezopasnost-na-predprijatii/62-plan-zaschity-informacii.html
149. Политика информационной безопасности (финансовые организации) [Электронный ресурс] // SecurityPolicy.ru: официальный сайт компании. - 2013. - Режим доступа: http://securitypolicy.ru/index.php/
150. Правовые аспекты использования информационных технологий, вопросы безопасности и защиты информации [Электронный ресурс] // Информационные технологии в образовании: образовательный портал - 2013. - Режим доступа: http://www.sgpizh.ru/files/uchebnyi_process/sovrinfteh/page25.html
151. Правовые основы обеспечения информационной безопасности в банковской сфере [Электронный ресурс] // BISjournal: информационная безопасность банков - 2013. - Режим доступа: http://www.journal.ib-bank.ru/pub/206
152. Реализация требований СТО БР ИББС [Электронный ресурс] // DataSecurityTechnologies: официальный сайт - 2013. - Режим доступа: http://www.datasec.ru/services/realizatsiya_trebovanii_sto_br_ibbs
153. Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. – СПб.: Питер, 2008. – 272 с.
154. Росенко А. П. Теоретические основы анализа оценки влияния внутренних угроз на безопасность конфиденциальной информации.: М.: «Гелиос АРВ», 2008г. – 138 с.
155. Самооценка уровня соответствия ИБ [Электронный ресурс] // Челиндбанк: официальный сайт. - 2013. - Режим доступа: http://www.chelindbank.ru/holders/sam.shtml
156. Скогорева А. Стандарт Банка России - не застывший документ// «Национальный Банковский Журнал», №11 (102), ноябрь 2012 года
157. Сотникова Н. Базель II для российских банков [Электронный ресурс] // Audit.ru: информационный портал. - 2013. - Режим доступа: http://www.audit-it.ru/articles/soft/a118/113092.html
158. Способы защиты информации [Электронный ресурс] // Информационная безопасность: блог об информационной безопасности - 2013. - Режим доступа: http://itsecblog.ru/sposoby-zashhity-informacii/
159. Становая С. Г. Правовое обеспечение защиты информации [Электронный ресурс] // Молодежная электронная научная школа-конференция «Актуальные проблемы защиты информации и информационной безопасности» - 2013. - Режим доступа: http://stavkombez.ru/conf/category/section1/
160. ЦБ РФ: обзор по информационной безопасности [Электронный ресурс] // eMoney: Новости и консалтинг - 2013. - Режим доступа: http://www.e-moneynews.ru/cb-rf-obzor-po-informacionnoj-bezopasnosti/
161. Шустиков С. Процессы информационной безопасности [Электронный ресурс] // Prostobankir.com: официальный сайт компании. - 2013. - Режим доступа: http://www.prostobankir.com.ua/it/stati/protsessy_informatsionnoy_bezopasnosti
162. LETA обеспечила соответствие информационной безопасности ОАО «МСП Банк» требованиям СТО БР ИББС [Электронный ресурс] // CRN: новости ИТ-бизнеса - 2013. - Режим доступа: http://www.crn.ru/news/detail.php?ID=81253
163. Trusteer и Group-IB будут вместе бороться с киберпреступностью в Европе [Электронный ресурс] // TopSecurity: официальный сайт компании - 2013. - Режим доступа: http://tsecure.ru/company/news/