SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России

Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
05.04.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     


Руслан Рахметов, Security Vision


В данной статье мы познакомимся с документами отечественного стандарта обеспечения информационной безопасности организаций банковской системы РФ – СТОБР ИББС, а также проясним ситуацию по обязательности его применения в 2021 году.


Ранее мы рассматривали множество различных нормативных документов и международных стандартов, связанных с информационной безопасностью, но важно учитывать, что при построении комплексной системы обеспечения ИБ в организации лучше всегда ориентироваться именно на тот стандарт, который применяется конкретно в вашей стране и для вашей отрасли. Ведь такие отраслевые стандарты как правило уже изначально учитывают законодательство вашей страны, специфические бизнес-процессы, технологические процессы, а также другие особенности выстраивания защиты активов и системы менеджмента ИБ в организации.


СТО БР ИББС – это отраслевой стандарт, который был разработан Банком России в 2004 году (далее он обновлялся и дополнялся), для того чтобы все банки выстраивали эффективную защиту активов, применяя системный и унифицированный подход к обеспечению ИБ. Кроме того, применение СТОБР ИББС позволило повысить стабильность всей банковской системы Российской Федерации и уменьшить ущерб от инцидентов ИБ. В сущности, данный стандарт выступил важным драйвером развития информационной безопасности российской финансовой отрасли.


СТО БР ИББС состоит из комплекса взаимосвязанных документов, которые разделяются на стандарты (СТО) и рекомендации (РС). Ниже на схеме представлен весь перечень документов, который актуален на март 2021 года.


 sto1.png

 


Теперь приведем краткое описание каждого стандарта (СТО) БР ИББС:


СТО БР ИББС-1.0-2014 «Общие положения». Это основной документ комплекса стандартов. Начиная с 2004 года, данный документ периодически обновлялся, текущая его редакция является пятой. Здесь описана основная информация и требования по выстраиванию системы обеспечения информационной безопасности (СОИБ). Реализация системы менеджмента ИБ по СТО БР ИББС основана на процессном подходе и организовывается в виде циклической модели Деминга (планирование, реализация, проверка, совершенствование). Кроме того, в данном документе достаточно подробно описываются вполне конкретные защитные меры и требования к системе информационной безопасности (СИБ) организации.


СТО БР ИББС-1.1-2007 «Аудит информационной безопасности». Достаточно краткий документ, который описывает основные принципы и требования к этапам проведения аудита ИБ на предмет соответствия уровня ИБ организации.


СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». Данный документ актуализировался Банком России в привязке к основному документу, текущая редакция является четвертой. Здесь детально описывается методика определения степени соответствия стандарту СТО БР ИББС. Оценка производится на основе частных и групповых показателей ИБ. Групповые показатели ИБ вычисляются на основе частных как среднее арифметическое. Значения всех полученных групповых показателей ИБ отображаются на круговой диаграмме соответствия (см. рисунок ниже).


sto2.png



В свою очередь, на основе групповых показателей вычисляются итоговые показатели по трем направлениям: текущий уровень ИБ, менеджмент ИБ и уровень осознания ИБ. Также отдельно вычисляются уровни соответствия по защите персональных данных. По результатам оценки разрабатывается документ "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014", который в последствии направляется в Банк России.


СТО БР ИББС-1.3-2016 «Сбор и анализ технических данных при выявлении и расследовании инцидентов информационной безопасности при осуществлении переводов денежных средств». Этот документ детально описывает порядок сбора доказательств, последующую их обработку и другие технические аспекты в отношении инцидентов ИБ. Кроме того, в документе содержатся рекомендации по применению различных технических средств и инструментов.


СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге». В этом, относительно свежем, документе Банк России делает акцент на необходимость осуществлять контроль и управление рисками связанными с нарушением ИБ при передаче (на длительный срок) различных бизнес-функций внешним организациям-поставщикам услуг. Таким образом, с целью митигации обозначенных рисков (связанных с аутсорсингом), стандарт содержит ряд требований и описание процедуры оценки потенциальных рисков нарушения ИБ.


Далее приведем аналогичное описание документов-рекомендаций (РС) БР ИББС:


РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Здесь Банк России устанавливает рекомендации к структуре, составу, назначению и содержанию внутренних документов по обеспечению информационной безопасности в соответствии со стандартом СТО БР ИББС.


РС БР ИББС-2.1-2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». В стандарте Банка России предусмотрено требование по проведению банками регулярной самооценки уровня соответствия ИБ, поэтому данный документ содержит ряд пояснений и рекомендаций к порядку проведения такой самооценки.


РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности». При построении системы менеджмента ИБ стандарт содержит требования по проведению оценки рисков нарушения ИБ, поэтому данный документ содержит описание и последовательность проведения процедур.


РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности». Здесь, в отличие от СТО БР ИББС-1.3-2016, описываются рекомендации именно по выстраиванию системы менеджмента инцидентов ИБ, то есть даются детальные пояснения по организации процессов с учетом циклической модели Деминга (планирование, реализация, проверка, совершенствование).


РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем». Данный документ содержит свод рекомендаций и правил обеспечения должного уровня ИБ автоматизированных банковских систем (АБС) на протяжении всего их жизненного цикла, который включает в себя следующие стадии: разработка ТЗ, проектирование, создание и тестирование, приемка и ввод в действие, эксплуатация, сопровождение и модернизация, а также снятие с эксплуатации.


РС БР ИББС-2.7-2015 «Ресурсное обеспечение информационной безопасности». Проблемы, связанные с дефицитом ресурсов в сфере ИБ, являются достаточно актуальными. В связи с этим Банк России выпустил данный документ, который устанавливает ряд рекомендаций по определению потребностей организации в ресурсах, необходимых для обеспечения процессов ИБ, а также их последующего эффективного использования. В частности, в документе представлены методологии оценки уровня зрелости процессов обеспечения ИБ, оценки рисков с учетом данных об уровне зрелости, определения потребности службы ИБ в кадрах, проведения контроля эффективности инвестирования в обеспечение ИБ организации.


РС БР ИББС-2.8-2015 «Обеспечение информационной безопасности при использовании технологии виртуализации». Банк России разработал данный документ в связи с тем, что требования по обеспечению ИБ при использовании виртуализации имеют ряд особенностей. Он содержит следующие 8 блоков рекомендаций: разделение потоков информации и изоляция виртуальных машин, обеспечение ИБ виртуальных машин и их образов, серверных компонентов виртуализации, АРМ пользователей (терминалов и персональных электронных вычислительных машин), используемых при реализации технологии виртуализации рабочих мест пользователей, мониторинг ИБ, определение состава ролей и разграничение полномочий эксплуатационного персонала, а также обеспечение ИБ систем хранения данных.


РС БР ИББС-2.9-2016 «Предотвращение утечек информации». Банк России выпустил данный документ в связи с актуальностью и высоким потенциалом нанесения ущерба внутренними нарушителями. Он содержит рекомендации, выполнение которых позволит снизить риски утечки информации с помощью мониторинга и контроля информационных потоков.


Если обратить внимание на порядковые номера, можно заметить, что в списке рекомендаций отсутствуют некоторые документы. В частности, речь идет о документах РС БР ИББС-2.4-2010 и РС БР ИББС-2.3-2010. Это связано с тем, что данные документы (на март 2021 года) признаны Банком России недействующими.


В заключение проясним ситуацию с текущим статусом применения СТО БР ИББС российскими банками и направления оценки соответствия в адрес Банка России для тех организаций, которые присоединились к стандарту и приняли его в качестве обязательного. В официальных письмах Банка России № 56-3-7/473 от 12.08.2019 г. и № ИН-014-56/113 от 16.07.2020 г. было сообщено, что указанные стандарты носят рекомендательный характер и направление оценок соответствия требованиям по СТО БР ИББС не требуется. Это связано с вступлением в силу нового стандарта, а именно ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

Стандарты ИБ ГОСТы и документы ИБ Импортозамещение ИБ для начинающих Подкасты ИБ Финансы в ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют