СТО БР ИББС

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.

Темпы присоединения

По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки)^[1].

Продвижением стандарта, а также его регулярным обновлением и улучшением занимается некоммерческое партнерство ABISS^[2].

Состав

В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):

СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)».
СТО БР ИББС-1.1-2007. «Аудит информационной безопасности».
СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)».
СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств».
СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге».
СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации».

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:

РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0».
РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности».
РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности».
РС БР ИББС-2.6-2014. «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».
РС БР ИББС-2.7-2015. «Ресурсное обеспечение информационной безопасности».
РС БР ИББС-2.8-2015. «Обеспечение информационной безопасности при использовании технологии виртуализации».
РС БР ИББС-2.9-2016. «Предотвращение утечек информации».

Предложения по улучшению и информацию об ошибках в документах Комплекса БР ИББС можно направить в Банк России с использованием интернет-приемной Банка России.

Следующие рекомендации в области стандартизации выведены из действия по состоянию на 01.06.2014:

РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».
РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

Безопасность персональных данных

Июльская поправка (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).

Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:

федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
под понятие информационной системы персональных данных, приведенное в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).

Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идее создания отраслевого стандарта.

В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

Система обеспечения информационной безопасности

В основу СОИБ заложен Цикл Деминга, используемый в управлении качеством.

Основными этапами обеспечения ИБ считаются:

Планирование СОИБ;
Реализация СОИБ;
Проверка СОИБ;
Совершенствование СОИБ.

Методика оценки соответствия стандарту Банка России

*Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой BSAT*

Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с защитой персональных данных.

Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R. Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).

Выделяют 6, начиная с нулевого, уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.

Программные комплексы оценки соответствия

Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:

Bank Security Assessment Tool (BSAT) компании «ЛитСофт»^[3].
ExactFlow — Оценка соответствия, компании «PACIFICA»^[4].
ISM Revision: Audit Manager компании «ISM SYSTEMS»^[5].
MaxPatrol компании «Positive Technologies»^{[источник не указан 4000 дней]}.
Еstimatе Tооl НПФ «Кристалл»^[4].
СТО БР Аудитор компании «Инлайн Технолоджис»^{[источник не указан 4000 дней]}.
DS Audit компании «Датасекьюрити»^[6].

Примечания

↑ Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации. (рус.) (недоступная ссылка). Дата обращения: 22 марта 2011. Архивировано 23 июля 2012 года.
↑ Обеспечение соответствия требованиям СТО БР ИББС (рус.) (недоступная ссылка). Группа компаний «LETA». Дата обращения: 5 августа 2013. Архивировано 16 сентября 2013 года.
↑ BSAT (рус.) (недоступная ссылка). «ЛитСофт». Дата обращения: 27 мая 2013. Архивировано 27 мая 2013 года.
↑ ^4,0 ^4,1 ПО для оценки соответствия (рус.) (недоступная ссылка). ABISS. Дата обращения: 27 мая 2013. Архивировано 27 мая 2013 года.
↑ ISM Revision: Audit Manager предназначен для управления программой аудитов и самооценок в Банке в соответствии с требованиями СТО БР ИББС-1.0. (рус.) (недоступная ссылка). «ISM SYSTEMS». Дата обращения: 27 мая 2013. Архивировано 27 мая 2013 года.
↑ Новое решение DS Audit поможет оценить уровень безопасности банков (рус.). ООО «ДатаСек Текнолоджиз». Дата обращения: 27 мая 2013. Архивировано 17 марта 2013 года.

Ссылки

[1] Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации. (рус.) (недоступная ссылка). Дата обращения: 22 марта 2011. Архивировано 23 июля 2012 года.

[2] Обеспечение соответствия требованиям СТО БР ИББС (рус.) (недоступная ссылка). Группа компаний «LETA». Дата обращения: 5 августа 2013. Архивировано 16 сентября 2013 года.

[3] BSAT (рус.) (недоступная ссылка). «ЛитСофт». Дата обращения: 27 мая 2013. Архивировано 27 мая 2013 года.

[ABISS-4] 4,0 ^4,1 ПО для оценки соответствия (рус.) (недоступная ссылка). ABISS. Дата обращения: 27 мая 2013. Архивировано 27 мая 2013 года.

[5] ISM Revision: Audit Manager предназначен для управления программой аудитов и самооценок в Банке в соответствии с требованиями СТО БР ИББС-1.0. (рус.) (недоступная ссылка). «ISM SYSTEMS». Дата обращения: 27 мая 2013. Архивировано 27 мая 2013 года.

[6] Новое решение DS Audit поможет оценить уровень безопасности банков (рус.). ООО «ДатаСек Текнолоджиз». Дата обращения: 27 мая 2013. Архивировано 17 марта 2013 года.

[1]

[2]

[3]

[4]

[5]

[6]