Вопрос: В случае если кредитная организация присоединилась к стандарту СТО БР ИББС, какую самооценку ей необходимо провести в первую очередь: на соответствие требованиям СТО БР ИББС или Положения 382-П?
Ответ: Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – СТО БР ИББС-1.0) имеет рекомендательный характер и рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних методических и нормативных документах, а также в договорах.
Проведение кредитной организацией оценки соответствия положениям СТО БР ИББС-1.0 не может заменять проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением № 382-П (далее – оценка соответствия).
Оценка соответствия, согласно Положению № 382-П, проводится не реже одного раза в два года, а также по требованию Банка России.