Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России

Руслан Рахметов, Security Vision

В данной статье мы познакомимся с документами отечественного стандарта обеспечения информационной безопасности организаций банковской системы РФ – СТОБР ИББС, а также проясним ситуацию по обязательности его применения в 2021 году.

Ранее мы рассматривали множество различных нормативных документов и международных стандартов, связанных с информационной безопасностью, но важно учитывать, что при построении комплексной системы обеспечения ИБ в организации лучше всегда ориентироваться именно на тот стандарт, который применяется конкретно в вашей стране и для вашей отрасли. Ведь такие отраслевые стандарты как правило уже изначально учитывают законодательство вашей страны, специфические бизнес-процессы, технологические процессы, а также другие особенности выстраивания защиты активов и системы менеджмента ИБ в организации.

СТО БР ИББС – это отраслевой стандарт, который был разработан Банком России в 2004 году (далее он обновлялся и дополнялся), для того чтобы все банки выстраивали эффективную защиту активов, применяя системный и унифицированный подход к обеспечению ИБ. Кроме того, применение СТОБР ИББС позволило повысить стабильность всей банковской системы Российской Федерации и уменьшить ущерб от инцидентов ИБ. В сущности, данный стандарт выступил важным драйвером развития информационной безопасности российской финансовой отрасли.

СТО БР ИББС состоит из комплекса взаимосвязанных документов, которые разделяются на стандарты (СТО) и рекомендации (РС). Ниже на схеме представлен весь перечень документов, который актуален на март 2021 года.

Теперь приведем краткое описание каждого стандарта (СТО) БР ИББС:

СТО БР ИББС-1.0-2014 «Общие положения». Это основной документ комплекса стандартов. Начиная с 2004 года, данный документ периодически обновлялся, текущая его редакция является пятой. Здесь описана основная информация и требования по выстраиванию системы обеспечения информационной безопасности (СОИБ). Реализация системы менеджмента ИБ по СТО БР ИББС основана на процессном подходе и организовывается в виде циклической модели Деминга (планирование, реализация, проверка, совершенствование). Кроме того, в данном документе достаточно подробно описываются вполне конкретные защитные меры и требования к системе информационной безопасности (СИБ) организации.

СТО БР ИББС-1.1-2007 «Аудит информационной безопасности». Достаточно краткий документ, который описывает основные принципы и требования к этапам проведения аудита ИБ на предмет соответствия уровня ИБ организации.

СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». Данный документ актуализировался Банком России в привязке к основному документу, текущая редакция является четвертой. Здесь детально описывается методика определения степени соответствия стандарту СТО БР ИББС. Оценка производится на основе частных и групповых показателей ИБ. Групповые показатели ИБ вычисляются на основе частных как среднее арифметическое. Значения всех полученных групповых показателей ИБ отображаются на круговой диаграмме соответствия (см. рисунок ниже).

В свою очередь, на основе групповых показателей вычисляются итоговые показатели по трем направлениям: текущий уровень ИБ, менеджмент ИБ и уровень осознания ИБ. Также отдельно вычисляются уровни соответствия по защите персональных данных. По результатам оценки разрабатывается документ "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014", который в последствии направляется в Банк России.

СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств». Этот документ детально описывает порядок сбора доказательств, последующую их обработку и другие технические аспекты в отношении инцидентов ИБ. Кроме того, в документе содержатся рекомендации по применению различных технических средств и инструментов.

СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге». В этом, относительно свежем, документе Банк России делает акцент на необходимость осуществлять контроль и управление рисками связанными с нарушением ИБ при передаче (на длительный срок) различных бизнес-функций внешним организациям-поставщикам услуг. Таким образом, с целью митигации обозначенных рисков (связанных с аутсорсингом), стандарт содержит ряд требований и описание процедуры оценки потенциальных рисков нарушения ИБ.

Далее приведем аналогичное описание документов-рекомендаций (РС) БР ИББС:

РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Здесь Банк России устанавливает рекомендации к структуре, составу, назначению и содержанию внутренних документов по обеспечению информационной безопасности в соответствии со стандартом СТО БР ИББС.

РС БР ИББС-2.1-2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». В стандарте Банка России предусмотрено требование по проведению банками регулярной самооценки уровня соответствия ИБ, поэтому данный документ содержит ряд пояснений и рекомендаций к порядку проведения такой самооценки.

РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности». При построении системы менеджмента ИБ стандарт содержит требования по проведению оценки рисков нарушения ИБ, поэтому данный документ содержит описание и последовательность проведения процедур.

РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности». Здесь, в отличие от СТО БР ИББС-1.3-2016, описываются рекомендации именно по выстраиванию системы менеджмента инцидентов ИБ, то есть даются детальные пояснения по организации процессов с учетом циклической модели Деминга (планирование, реализация, проверка, совершенствование).

РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем». Данный документ содержит свод рекомендаций и правил обеспечения должного уровня ИБ автоматизированных банковских систем (АБС) на протяжении всего их жизненного цикла, который включает в себя следующие стадии: разработка ТЗ, проектирование, создание и тестирование, приемка и ввод в действие, эксплуатация, сопровождение и модернизация, а также снятие с эксплуатации.

РС БР ИББС-2.7-2015 «Ресурсное обеспечение информационной безопасности». Проблемы, связанные с дефицитом ресурсов в сфере ИБ, являются достаточно актуальными. В связи с этим Банк России выпустил данный документ, который устанавливает ряд рекомендаций по определению потребностей организации в ресурсах, необходимых для обеспечения процессов ИБ, а также их последующего эффективного использования. В частности, в документе представлены методологии оценки уровня зрелости процессов обеспечения ИБ, оценки рисков с учетом данных об уровне зрелости, определения потребности службы ИБ в кадрах, проведения контроля эффективности инвестирования в обеспечение ИБ организации.

РС БР ИББС-2.8-2015 «Обеспечение информационной безопасности при использовании технологии виртуализации». Банк России разработал данный документ в связи с тем, что требования по обеспечению ИБ при использовании виртуализации имеют ряд особенностей. Он содержит следующие 8 блоков рекомендаций: разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, мониторинг ИБ, определение состава ролей и разграничение полномочий эксплуатационного персонала, а также обеспечение ИБ систем хранения данных.

РС БР ИББС-2.9-2016 «Предотвращение утечек информации». Банк России выпустил данный документ в связи с актуальностью и высоким потенциалом нанесения ущерба внутренними нарушителями. Он содержит рекомендации, выполнение которых позволит снизить риски утечки информации с помощью мониторинга и контроля информационных потоков.

Если обратить внимание на порядковые номера, можно заметить, что в списке рекомендаций отсутствуют некоторые документы. В частности, речь идет о документах РС БР ИББС-2.4-2010 и РС БР ИББС-2.3-2010. Это связано с тем, что данные документы (на март 2021 года) признаны Банком России недействующими.

В заключение проясним ситуацию с текущим статусом применения СТО БР ИББС российскими банками и направления оценки соответствия в адрес Банка России для тех организаций, которые присоединились к стандарту и приняли его в качестве обязательного. В официальных письмах Банка России № 56-3-7/473 от 12.08.2019 г. и № ИН-014-56/113 от 16.07.2020 г. было сообщено, что указанные стандарты носят рекомендательный характер и направление оценок соответствия требованиям по СТО БР ИББС не требуется. Это связано с вступлением в силу нового стандарта, а именно ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.