СТО БР ИББС

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.

Темпы присоединения

По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки).^[1]

Состав

В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):

• СТО БР ИББС-1.0-2010. Общие положения (4 редакция);
• СТО БР ИББС-1.1-2007. Аудит информационной безопасности;
• СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (3 редакция).

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:

• РС БР ИББС-2.0-2007. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0;
• РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0;
• РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности;
• РС БР ИББС-2.3-2010. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации;
• РС БР ИББС-2.4-2010. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации.

Безопасность персональных данных

Основная статья: Федеральный закон «О персональных данных»

Июльская поправка (261-ФЗ) к 152-ФЗ "О персональных данных" наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).

Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона "О персональных данных":

• федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
• под понятие информационной системы персональных данных, приведенное в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).

Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идеи создания отраслевого стандарта.

В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

Система обеспечения информационной безопасности

Цикл Деминга для СОИБ, СТО БР ИББС-1.0-2010

В основу СОИБ заложен Цикл Деминга, используемый в управлении качеством.

Основными этапами обеспечения ИБ считаются:

• Планирование СОИБ;
• Реализация СОИБ;
• Проверка СОИБ;
• Совершенствование СОИБ.

Методика оценки соответствия стандарту Банка России

Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой BSAT

Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой DSAudit

Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с защитой персональных данных.

Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R. Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).

Выделяют 5 уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.

Программные комплексы оценки соответствия

Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:

• Bank Security Assessment Tool (BSAT) компании ЛитСофт;
• Exact Flow - Оценка соответствия, компании PACIFICA;
• ISM Revision: Audit Manager компании ISM SYSTEMS;
• Система Еstimаtе Tооl НПФ "Кристалл";
• СТО БР Аудитор компании Инлайн Технолоджис;
• DS Audit компании "Датасекьюрити".

Примечания

1. ↑ Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации.  (рус.). Архивировано из первоисточника 23 июля 2012.

Ссылки

• Информационное сообщение о реализации в организациях БС РФ Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Архивировано из первоисточника 13 мая 2012.
• Сайт сообщества пользователей стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards). Архивировано из первоисточника 13 мая 2012.