SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России

Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
05.04.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     

Руслан Рахметов, Security Vision

В данной статье мы познакомимся с документами отечественного стандарта обеспечения информационной безопасности организаций банковской системы РФ – СТОБР ИББС, а также проясним ситуацию по обязательности его применения в 2021 году.

Ранее мы рассматривали множество различных нормативных документов и международных стандартов, связанных с информационной безопасностью, но важно учитывать, что при построении комплексной системы обеспечения ИБ в организации лучше всегда ориентироваться именно на тот стандарт, который применяется конкретно в вашей стране и для вашей отрасли. Ведь такие отраслевые стандарты как правило уже изначально учитывают законодательство вашей страны, специфические бизнес-процессы, технологические процессы, а также другие особенности выстраивания защиты активов и системы менеджмента ИБ в организации.

СТО БР ИББС – это отраслевой стандарт, который был разработан Банком России в 2004 году (далее он обновлялся и дополнялся), для того чтобы все банки выстраивали эффективную защиту активов, применяя системный и унифицированный подход к обеспечению ИБ. Кроме того, применение СТОБР ИББС позволило повысить стабильность всей банковской системы Российской Федерации и уменьшить ущерб от инцидентов ИБ. В сущности, данный стандарт выступил важным драйвером развития информационной безопасности российской финансовой отрасли.

СТО БР ИББС состоит из комплекса взаимосвязанных документов, которые разделяются на стандарты (СТО) и рекомендации (РС). Ниже на схеме представлен весь перечень документов, который актуален на март 2021 года.

 sto1.png

 

Теперь приведем краткое описание каждого стандарта (СТО) БР ИББС:

СТО БР ИББС-1.0-2014 «Общие положения». Это основной документ комплекса стандартов. Начиная с 2004 года, данный документ периодически обновлялся, текущая его редакция является пятой. Здесь описана основная информация и требования по выстраиванию системы обеспечения информационной безопасности (СОИБ). Реализация системы менеджмента ИБ по СТО БР ИББС основана на процессном подходе и организовывается в виде циклической модели Деминга (планирование, реализация, проверка, совершенствование). Кроме того, в данном документе достаточно подробно описываются вполне конкретные защитные меры и требования к системе информационной безопасности (СИБ) организации.

СТО БР ИББС-1.1-2007 «Аудит информационной безопасности». Достаточно краткий документ, который описывает основные принципы и требования к этапам проведения аудита ИБ на предмет соответствия уровня ИБ организации.

СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». Данный документ актуализировался Банком России в привязке к основному документу, текущая редакция является четвертой. Здесь детально описывается методика определения степени соответствия стандарту СТО БР ИББС. Оценка производится на основе частных и групповых показателей ИБ. Групповые показатели ИБ вычисляются на основе частных как среднее арифметическое. Значения всех полученных групповых показателей ИБ отображаются на круговой диаграмме соответствия (см. рисунок ниже).

sto2.png

В свою очередь, на основе групповых показателей вычисляются итоговые показатели по трем направлениям: текущий уровень ИБ, менеджмент ИБ и уровень осознания ИБ. Также отдельно вычисляются уровни соответствия по защите персональных данных. По результатам оценки разрабатывается документ "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014", который в последствии направляется в Банк России.

СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств». Этот документ детально описывает порядок сбора доказательств, последующую их обработку и другие технические аспекты в отношении инцидентов ИБ. Кроме того, в документе содержатся рекомендации по применению различных технических средств и инструментов.

СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге». В этом, относительно свежем, документе Банк России делает акцент на необходимость осуществлять контроль и управление рисками связанными с нарушением ИБ при передаче (на длительный срок) различных бизнес-функций внешним организациям-поставщикам услуг. Таким образом, с целью митигации обозначенных рисков (связанных с аутсорсингом), стандарт содержит ряд требований и описание процедуры оценки потенциальных рисков нарушения ИБ.

Далее приведем аналогичное описание документов-рекомендаций (РС) БР ИББС:

РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Здесь Банк России устанавливает рекомендации к структуре, составу, назначению и содержанию внутренних документов по обеспечению информационной безопасности в соответствии со стандартом СТО БР ИББС.

РС БР ИББС-2.1-2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». В стандарте Банка России предусмотрено требование по проведению банками регулярной самооценки уровня соответствия ИБ, поэтому данный документ содержит ряд пояснений и рекомендаций к порядку проведения такой самооценки.

РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности». При построении системы менеджмента ИБ стандарт содержит требования по проведению оценки рисков нарушения ИБ, поэтому данный документ содержит описание и последовательность проведения процедур.

РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности». Здесь, в отличие от СТО БР ИББС-1.3-2016, описываются рекомендации именно по выстраиванию системы менеджмента инцидентов ИБ, то есть даются детальные пояснения по организации процессов с учетом циклической модели Деминга (планирование, реализация, проверка, совершенствование).

РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем». Данный документ содержит свод рекомендаций и правил обеспечения должного уровня ИБ автоматизированных банковских систем (АБС) на протяжении всего их жизненного цикла, который включает в себя следующие стадии: разработка ТЗ, проектирование, создание и тестирование, приемка и ввод в действие, эксплуатация, сопровождение и модернизация, а также снятие с эксплуатации.

РС БР ИББС-2.7-2015 «Ресурсное обеспечение информационной безопасности». Проблемы, связанные с дефицитом ресурсов в сфере ИБ, являются достаточно актуальными. В связи с этим Банк России выпустил данный документ, который устанавливает ряд рекомендаций по определению потребностей организации в ресурсах, необходимых для обеспечения процессов ИБ, а также их последующего эффективного использования. В частности, в документе представлены методологии оценки уровня зрелости процессов обеспечения ИБ, оценки рисков с учетом данных об уровне зрелости, определения потребности службы ИБ в кадрах, проведения контроля эффективности инвестирования в обеспечение ИБ организации.

РС БР ИББС-2.8-2015 «Обеспечение информационной безопасности при использовании технологии виртуализации». Банк России разработал данный документ в связи с тем, что требования по обеспечению ИБ при использовании виртуализации имеют ряд особенностей. Он содержит следующие 8 блоков рекомендаций: разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, мониторинг ИБ, определение состава ролей и разграничение полномочий эксплуатационного персонала, а также обеспечение ИБ систем хранения данных.

РС БР ИББС-2.9-2016 «Предотвращение утечек информации». Банк России выпустил данный документ в связи с актуальностью и высоким потенциалом нанесения ущерба внутренними нарушителями. Он содержит рекомендации, выполнение которых позволит снизить риски утечки информации с помощью мониторинга и контроля информационных потоков.

Если обратить внимание на порядковые номера, можно заметить, что в списке рекомендаций отсутствуют некоторые документы. В частности, речь идет о документах РС БР ИББС-2.4-2010 и РС БР ИББС-2.3-2010. Это связано с тем, что данные документы (на март 2021 года) признаны Банком России недействующими.

В заключение проясним ситуацию с текущим статусом применения СТО БР ИББС российскими банками и направления оценки соответствия в адрес Банка России для тех организаций, которые присоединились к стандарту и приняли его в качестве обязательного. В официальных письмах Банка России № 56-3-7/473 от 12.08.2019 г. и № ИН-014-56/113 от 16.07.2020 г. было сообщено, что указанные стандарты носят рекомендательный характер и направление оценок соответствия требованиям по СТО БР ИББС не требуется. Это связано с вступлением в силу нового стандарта, а именно ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Стандарты ИБ ГОСТы и документы ИБ Импортозамещение ИБ для начинающих Подкасты ИБ Финансы в ИБ

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
False или не false?
False или не false?
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
False или не false?
False или не false?
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Динамический анализ исходного кода
Динамический анализ исходного кода
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Динамический анализ исходного кода
Динамический анализ исходного кода
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных