
Взаимодействие с FinCERT
Выполнение требований
Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, определяет требования к организации и функционированию платежных систем.
Положение Банка России от 09 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требования к обеспечению защиты информации при осуществлении переводов денежных средств.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» устанавливает определенные требования к техническим системам реагирования на инциденты ИБ, а также к самому процессу организации такого реагирования. Данный стандарт является обязательным для организаций, подчиняющихся нормативам Банка России.
Стандарт СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» определяет различные аспекты взаимодействия Банка России с участниками информационного обмена при выявлении кибер-инцидентов.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» устанавливает требования к системам защиты информации при осуществлении финансовых операций.
Стандарт ГОСТ Р 57580.2-2018«Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» определяет способ оценки соответствия защиты информации независимой организацией.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе» устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, определяет требования к организации и функционированию платежных систем.
Положение Банка России от 09 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требования к обеспечению защиты информации при осуществлении переводов денежных средств.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» устанавливает определенные требования к техническим системам реагирования на инциденты ИБ, а также к самому процессу организации такого реагирования. Данный стандарт является обязательным для организаций, подчиняющихся нормативам Банка России.
Стандарт СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» определяет различные аспекты взаимодействия Банка России с участниками информационного обмена при выявлении кибер-инцидентов.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» устанавливает требования к системам защиты информации при осуществлении финансовых операций.
Стандарт ГОСТ Р 57580.2-2018«Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» определяет способ оценки соответствия защиты информации независимой организацией.
Применимость:
· Финансовый сектор
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Проблематика
За Банком России законодательно закреплено регулирование вопросов по защите информации при осуществлении переводов денежных средств, осуществлении банковских и финансовых операций, а также регулирование вопросов по информационному обмену. Для реализации данных задач был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT/ФинЦЕРТ) – структурное подразделение главного управления безопасности и защиты информации Банка России.Основными целями FinCERT являются обеспечение кибер-устойчивости, защита потребителей финансовых услуг, содействие развитию инновационных финансовых технологий. Для достижения указанных целей выполняется в том числе обмен информацией между Центром, правоохранительными органами, кредитными и некредитными финансовыми организациями. Участниками информационного обмена являются банки и некредитные финансовые организации, которые обязаны отправлять данные об кибер-инцидентах и их технических параметрах в автоматизированную систему обработки инцидентов (АСОИ) ФинЦЕРТа. Указанные организации должны немедленно передавать информацию о произошедших кибер-инцидентах, при этом обмен информацией является двухсторонним – ФинЦЕРТа предоставляет пострадавшей от инцидента ИБ организации рекомендации по устранению, а всем остальным участникам даются вводные по произошедшему инциденту, наряду с индикаторами компрометации и техническими данными, с соблюдением условий анонимности уже пострадавшего участника. Кроме передачи сообщений об инциденте ИБ в ФинЦЕРТ, банкам также требуется уведомлять НКЦКИ ФСБ РФ о случившемся факте посредством отправки данных в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), поскольку любой банк является субъектом критической информационной инфраструктуры (КИИ).
В настоящее время действует следующая нормативно-правовая база в финансовой сфере:
· Федеральный закон от 27 июня 2011 г.№ 161-ФЗ «О национальной платежной системе»
· Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
· ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
· ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
· Стандарт Банка России «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» (СТО БР БФБО-1.5-2018)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-1.3-2016)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007)
Информационный обмен с ФинЦЕРТ является непременным условием соответствия нормативам Банка России. Для реализации данной задачи следует руководствоваться стандартами СТО БР БФБО-1.5-2018 и СТО БР ИББС-1.3-2016, а также рекомендациями РС БР ИББС-2.5-2014. Данные документы, в числе прочего, регламентируют состав, сроки и порядок сообщения в ФинЦЕРТ фактов об инцидентах ИБ в подотчетных организациях. Следует учесть, что в ситуации быстроразвивающейся масштабной угрозы крайне важна автоматизированная обработка данных об инциденте и их отправка в ФинЦЕРТ с соблюдением предписанных ограничений по составу, сроку и порядку передачи.
За Банком России законодательно закреплено регулирование вопросов по защите информации при осуществлении переводов денежных средств, осуществлении банковских и финансовых операций, а также регулирование вопросов по информационному обмену. Для реализации данных задач был создан Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT/ФинЦЕРТ) – структурное подразделение главного управления безопасности и защиты информации Банка России.Основными целями FinCERT являются обеспечение кибер-устойчивости, защита потребителей финансовых услуг, содействие развитию инновационных финансовых технологий. Для достижения указанных целей выполняется в том числе обмен информацией между Центром, правоохранительными органами, кредитными и некредитными финансовыми организациями. Участниками информационного обмена являются банки и некредитные финансовые организации, которые обязаны отправлять данные об кибер-инцидентах и их технических параметрах в автоматизированную систему обработки инцидентов (АСОИ) ФинЦЕРТа. Указанные организации должны немедленно передавать информацию о произошедших кибер-инцидентах, при этом обмен информацией является двухсторонним – ФинЦЕРТа предоставляет пострадавшей от инцидента ИБ организации рекомендации по устранению, а всем остальным участникам даются вводные по произошедшему инциденту, наряду с индикаторами компрометации и техническими данными, с соблюдением условий анонимности уже пострадавшего участника. Кроме передачи сообщений об инциденте ИБ в ФинЦЕРТ, банкам также требуется уведомлять НКЦКИ ФСБ РФ о случившемся факте посредством отправки данных в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), поскольку любой банк является субъектом критической информационной инфраструктуры (КИИ).
В настоящее время действует следующая нормативно-правовая база в финансовой сфере:
· Федеральный закон от 27 июня 2011 г.№ 161-ФЗ «О национальной платежной системе»
· Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
· ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
· ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
· Стандарт Банка России «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» (СТО БР БФБО-1.5-2018)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-1.3-2016)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014)
· Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007)
· Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007)
Информационный обмен с ФинЦЕРТ является непременным условием соответствия нормативам Банка России. Для реализации данной задачи следует руководствоваться стандартами СТО БР БФБО-1.5-2018 и СТО БР ИББС-1.3-2016, а также рекомендациями РС БР ИББС-2.5-2014. Данные документы, в числе прочего, регламентируют состав, сроки и порядок сообщения в ФинЦЕРТ фактов об инцидентах ИБ в подотчетных организациях. Следует учесть, что в ситуации быстроразвивающейся масштабной угрозы крайне важна автоматизированная обработка данных об инциденте и их отправка в ФинЦЕРТ с соблюдением предписанных ограничений по составу, сроку и порядку передачи.
Применение
ГК «Интеллектуальная безопасность» предлагает решение по автоматизации взаимодействия банков и некредитных финансовых организаций с ФинЦЕРТ Банка России: продукт Security Vision в комплектации Security Operation Center [SOC] позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы взаимодействия при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации, и реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств. В дополнение к функционалу комплектации Security Operation Center [SOC] следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности банков и некредитных финансовых организаций.
Следует отметить, что линейка продуктов Security Vision соответствует перспективным нормативным методологическим доменам ГУБиЗИ ЦБ РФ: домену УР «Управление кибер-риском», домену СО «Мониторинг кибер-рисков и ситуационная осведомленность», домену УИ «Управление инцидентами ИБ».
Продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей. Немаловажно и то, что данный продукт является полностью отечественной разработкой и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных, что в текущих реалиях особо важно.
ГК «Интеллектуальная безопасность» предлагает решение по автоматизации взаимодействия банков и некредитных финансовых организаций с ФинЦЕРТ Банка России: продукт Security Vision в комплектации Security Operation Center [SOC] позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы взаимодействия при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации, и реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств. В дополнение к функционалу комплектации Security Operation Center [SOC] следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности банков и некредитных финансовых организаций.
Следует отметить, что линейка продуктов Security Vision соответствует перспективным нормативным методологическим доменам ГУБиЗИ ЦБ РФ: домену УР «Управление кибер-риском», домену СО «Мониторинг кибер-рисков и ситуационная осведомленность», домену УИ «Управление инцидентами ИБ».
Продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей. Немаловажно и то, что данный продукт является полностью отечественной разработкой и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных, что в текущих реалиях особо важно.
Ссылки
• Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»: https://rg.ru/2011/06/30/fz-dok.html
• Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»: http://www.cbr.ru/Publ/Vestnik/ves120622032.pdf
• Стандарт Банка России «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» (СТО БР БФБО-1.5-2018): https://www.cbr.ru/Content/Document/File/51269/st-15-18.pdf
• Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-1.3-2016): https://www.cbr.ru/Content/Document/File/46920/st-13-16.pdf
• Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018): https://www.cbr.ru/Content/Document/File/46919/st-14-18.pdf
• Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014): https://www.cbr.ru/Content/Document/File/46921/st-10-14.pdf
• Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (СТО БР ИББС-1.2-2014): https://www.cbr.ru/Content/Document/File/46922/st-12-14.pdf
• Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007» (СТО БР ИББС-1.1-2007): https://www.cbr.ru/Content/Document/File/46923/st11.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016): https://www.cbr.ru/Content/Document/File/46924/rs-29-16.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015): https://www.cbr.ru/Content/Document/File/46925/rs-28-15.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015): https://www.cbr.ru/Content/Document/File/46926/rs-27-15.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014): https://www.cbr.ru/Content/Document/File/46927/rs-26-14.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014): https://www.cbr.ru/Content/Document/File/46928/rs-25-14.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» (РC БР ИББС-2.2-2009): https://www.cbr.ru/Content/Document/File/46929/st22_09.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» (РС БР ИББС-2.1-2007): https://www.cbr.ru/Content/Document/File/46930/st21.pdf
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (РС БР ИББС-2.0-2007): https://www.cbr.ru/Content/Document/File/46931/st20.pdf