Конечно, желательно, чтобы политика информационной безопасности при защите от внутренних IТ-угроз разрабатывалась на основе существующих стандартов информационной безопасности и информационных технологий, таких как уже упомянутый СТО БР ИББС – 1.0 – 2006, ISO IEC 27001-2005, COBIT. На мой взгляд, не стоит изобретать велосипед, в то время когда уже существуют лучшие практики в области информационной безопасности, такие как ISO IEC 17799-2005.

Стоит также отметить, что нельзя руководствоваться одним лишь «кнутом» при разработке политики информационной безопасности. Огромную роль играет еще и действующая в банке корпоративная этика.

Готов ли ваш банк технически осуществлять серьезный контроль над состоянием внутренней информационной среды? Каков общий принцип организации информационной безопасности в вашем банке?

На данный вопрос нельзя дать однозначный ответ без привлечения внешних аудиторов, но скорее да, чем нет. Основной же принцип организации информационной безопасности в банке – это принцип минимальной достаточности.

Приложение

Основные принципы для разработки политики информационной безопасности при защите от внутренних IТ-угроз:

n  принцип двойного управления;

n  принцип минимальной достаточности;

n  принцип самоокупаемости.

Анна Верхось