СТО БР ИББС

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.

Темпы присоединения

По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки)^[1].

Продвижением стандарта, а также его регулярным обновлением и улучшением занимается некоммерческое партнерство ABISS^[2].

Состав

В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):

СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)».
СТО БР ИББС-1.1-2007. «Аудит информационной безопасности».
СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)».
СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств».
СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге».
СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности».

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:

РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0».
РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности».
РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности».
РС БР ИББС-2.6-2014. «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».
РС БР ИББС-2.7-2015. «Ресурсное обеспечение информационной безопасности».
РС БР ИББС-2.8-2015. «Обеспечение информационной безопасности при использовании технологии виртуализации».
РС БР ИББС-2.9-2016. «Предотвращение утечек информации».

Предложения по улучшению и информацию об ошибках в документах Комплекса БР ИББС можно направить в Банк России с использованием интернет-приемной Банка России.

Следующие рекомендации в области стандартизации выведены из действия по состоянию на 01.06.2014:

РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».
РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

Безопасность персональных данных

Июльская поправка (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).

Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:

федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
под понятие информационной системы персональных данных, приведенное в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).

Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идее создания отраслевого стандарта.

В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

Система обеспечения информационной безопасности

Цикл Деминга для СОИБ, СТО БР ИББС-1.0-2010

В основу СОИБ заложен Цикл Деминга, используемый в управлении качеством.

Основными этапами обеспечения ИБ считаются:

Планирование СОИБ;
Реализация СОИБ;
Проверка СОИБ;
Совершенствование СОИБ.

Методика оценки соответствия стандарту Банка России

Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой BSAT

Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой DSAudit

Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с защитой персональных данных.

Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R. Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).

Выделяют 6, начиная с нулевого, уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.

Программные комплексы оценки соответствия

Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:

Bank Security Assessment Tool (BSAT) компании «ЛитСофт»^[3].
ExactFlow — Оценка соответствия, компании «PACIFICA»^[4].
ISM Revision: Audit Manager компании «ISM SYSTEMS»^[5].
MaxPatrol компании «Positive Technologies»^{[источник не указан 4162 дня]}.
Еstimatе Tооl НПФ «Кристалл»^[4].
СТО БР Аудитор компании «Инлайн Технолоджис»^{[источник не указан 4162 дня]}.
DS Audit компании «Датасекьюрити»^[6].

Примечания

↑ Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации. (рус.) Дата обращения: 22 марта 2011. Архивировано из оригинала 23 июля 2012 года.
↑ Обеспечение соответствия требованиям СТО БР ИББС (рус.). Группа компаний «LETA». Дата обращения: 5 августа 2013. Архивировано из оригинала 16 сентября 2013 года.
↑ BSAT (рус.). «ЛитСофт». Дата обращения: 27 мая 2013. Архивировано из оригинала 27 мая 2013 года.
↑ ¹ ² ПО для оценки соответствия (рус.). ABISS. Дата обращения: 27 мая 2013. Архивировано из оригинала 27 мая 2013 года.
↑ ISM Revision: Audit Manager предназначен для управления программой аудитов и самооценок в Банке в соответствии с требованиями СТО БР ИББС-1.0. (рус.) «ISM SYSTEMS». Дата обращения: 27 мая 2013. Архивировано из оригинала 27 мая 2013 года.
↑ Новое решение DS Audit поможет оценить уровень безопасности банков (рус.). ООО «ДатаСек Текнолоджиз». Дата обращения: 27 мая 2013. Архивировано 17 марта 2013 года.

Ссылки

[1] Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации. (рус.) Дата обращения: 22 марта 2011. Архивировано из оригинала 23 июля 2012 года.

[2] Обеспечение соответствия требованиям СТО БР ИББС (рус.). Группа компаний «LETA». Дата обращения: 5 августа 2013. Архивировано из оригинала 16 сентября 2013 года.

[3] BSAT (рус.). «ЛитСофт». Дата обращения: 27 мая 2013. Архивировано из оригинала 27 мая 2013 года.

[ABISS-4] ¹ ² ПО для оценки соответствия (рус.). ABISS. Дата обращения: 27 мая 2013. Архивировано из оригинала 27 мая 2013 года.

[5] ISM Revision: Audit Manager предназначен для управления программой аудитов и самооценок в Банке в соответствии с требованиями СТО БР ИББС-1.0. (рус.) «ISM SYSTEMS». Дата обращения: 27 мая 2013. Архивировано из оригинала 27 мая 2013 года.

[6] Новое решение DS Audit поможет оценить уровень безопасности банков (рус.). ООО «ДатаСек Текнолоджиз». Дата обращения: 27 мая 2013. Архивировано 17 марта 2013 года.

[1]

[2]

[3]

[4]

[5]

[6]