Стандарт Банка России СТО БР ИББС
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков . Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.
Содержание |
Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.
Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.
Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
- развитие и укрепление БС РФ;
- повышение доверия к БС РФ;
- поддержание стабильности организаций БС РФ и на этой основе - стабильности БС РФ в целом;
- достижение адекватности мер защиты реальным угрозам ИБ;
- предотвращение и(или) снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
- установление единых требований по обеспечению ИБ организаций БС РФ;
- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
Область применения
Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее - организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и(или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг
Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе нормативными актами Банка России.
Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации применяются по решению организации БС РФ.
Банком России введены в действие с 21 июня 2010 года документы Комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации":
- четвёртая редакция стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2010);
- третья редакция стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010" (СТО БР ИББС-1.2-2010)
- рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.3-2010);
- рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010).
Достижение бизнес-целей банков
Если рассматривать задачи служб ИБ банков, связанные с требованиями по защите ПДн, документами Комплекса БР ИББС и стандарта PCI DSS, то можно проследить этапы соответствующего проекта. Традиционно он начинается с обследования с целью выявления автоматизированных систем (АС) различных типов. Например, выделение информационных систем, целью создания которых является обработка ПДн, выделение автоматизированных банковских систем или АС, имеющих отношение к процессинговому центру банка. Далее решаются организационные вопросы обеспечения ИБ, и готовится комплексный технический проект.[1]
Приоритетная задача при создании системы обеспечения ИБ в любой коммерческой организации – повышение ее пользы для бизнеса. В качестве основных показателей можно привести обеспечение непрерывности бизнес-процессов, высокий уровень доступности и надежности, возможность обмена информацией с зарубежными партнерами, использование продуктов мировых брендов, повышение реальной защищенности коммерческой тайны.
Реализация технических требований по трем направлениям – вопрос не из простых. Банкам и привлекаемым к работам системным интеграторам необходимо решить немало интересных задач. Перечислим основные, с которыми регулярно сталкиваются специалисты нашей компании:
- взаимосвязь требований к СЗИ отраслевого стандарта, подзаконных актов 152-ФЗ и PCI DSS;
- корректировка перечня угроз безопасности информации с учетом реальных условий эксплуатации систем;
- минимальное воздействие на существующую инфраструктуру.
Обратим внимание на необходимость создания полноценной модели угроз ИБ, которая должна отражать риски и механизмы последующей защиты коммерческой тайны банков, наряду с данными о держателях платежных карточек и ПДн. Качественная проработка перечня актуальных угроз может содержать в себе основания для внедрения необходимых бизнесу подсистем ИБ, например:
- предотвращения утечек информации;
- разграничения и аудита доступа к базам данных;
- единого центра мониторинга и корреляции событий ИБ;
- контроля выполнения политик ИБ и оценки защищенности;
- централизованного управления правами доступа к информации.
Для создания реальной защищенности конфиденциальной информации, в том числе банковской тайны, рекомендуется включать в проекты решения ведущих производителей в своих направлениях: ArcSight ESM, IBM Guardium, Oracle IdM и IRM, MaxPatrol, «Дозор-Джет», Symantec DLP. Все перечисленные продукты прошли оценку соответствия по российским требованиям к СЗИ, что позволяет успешно применять их в проектах по защите ПДн и приведению в соответствие СТО БР ИББС.
Стандарт Банка России СТО БР ИББС-1.0-2014
Главной целью выхода новой версии Стандарта Банка России СТО БР ИББС-1.0-2014 является фиксация единых требований по обеспечению информационной безопасности, учитывающих как требования Положения Банка России от 9 июня 2012 года № 382-П в области обеспечения информационной безопасности при осуществлении переводов денежных средств, так и требования законодательства в области обработки и защиты персональных данных.
Как и в предыдущих версиях, СТО БР ИББС-1.0-2014 ориентирован на защиту от внутреннего нарушителя, Выбор контролей (защитных мер) основан на риск-ориентированном подходе.
В Стандарте появились детальные требования в части необходимости использования дополнительных мер по обеспечению информационной безопасности в рамках реализации системы информационной безопасности банковских технологических процессов:
- средств анализа защищенности, направленных на выявление различных классов уязвимостей (требования в разделе 7.3);
- необходимости регистрации событий и хранения указанных данных (требования в разделе 7.4);
- требования к сегментации сети и контроля информационных потоков (требования описаны в разделах 7.3, 7.4, 7.6 и 7.9);
- реализация контроля съемных носителей информации (требования описаны в разделах 7.4 и 7.5);
- необходимости протоколирования посещения ресурсов сети Интернет (требования в разделе 7.6);
- требования к банкоматам (требования в разделе 7.8).
Необходимость использования средства криптографической защиты информации определяется организацией банковской системы Российской Федерации самостоятельно, однако в Стандарте остались ограничения на использование средств криптографической защиты информации для защиты персональных данных – сертифицированные, не ниже уровня КС2.
Отдельно стоит сказать о применении Стандарта для выполнения требований законодательства в области защиты персональных данных.
В новой версии зафиксирована необходимость определения в организации критериев отнесения автоматизированных банковских систем к информационным системам персональных данных, однако не детализировано, какими могут быть данные критерии.
В Стандарте появился новый термин «Ресурс ПДн» (совокупность персональных данных, обрабатываемых в организации банковской системы Российской Федерации с использованием или без использования средств автоматизации и автоматизированных банковских систем, в том числе информационных систем персональных данных, объединенных общими целями обработки), для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). В качестве «Ресурсов ПДн» в организации могут быть выделены:
- персональные данные работников;
- персональные данные клиентов;
- персональные данные посетителей.
Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать персональные данные не сразу, а на периодической основе, но не реже 1 раза в 6 месяцев. При этом должна обеспечиваться блокировка таких данных до момента уничтожения.
В соответствии с п.7.11.3 Стандарта требования разделов 7 и 8 направлены на нейтрализацию актуальных угроз безопасности персональных данных, однако в соответствии с п.13г Постановления Правительства Российской Федерации № 1119 от 1.11.2012 средства защиты информации, используемые для нейтрализации актуальных угроз безопасности персональных данных, должны пройти в установленном порядке процедуру оценки соответствия (читать «сертифицированные»). То есть любое средство защиты, которое внедряется в организации в соответствии с требованиями Стандарта для защиты персональных данных должно пройти оценку соответствия (должно быть сертифицированным), т. е. нельзя использовать встроенные механизмы управления доступом операционной системы для реализации соответствующих мер обеспечения безопасности персональных данных.
А поскольку «требования, установленные в разделах 7 и 8 Стандарта, рекомендуются для выполнения требований к защите персональных данных для 3 и 4 уровней защищенности» и направлены на нейтрализацию актуальных угроз, организациям банковской системы Российской Федерации необходимо выполнять требования Приказа ФСТЭК России № 21 от 18.02.2013 в части реализации мер, описанных в Приложении к данному Приказу.
Остается надеяться на дополнительные разъяснения со стороны Банка России.
Банком России также была актуализирована методика оценки соответствия информационной безопасности требованиям СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.2-2014). Основные изменения коснулись подхода к оценке:
- методика приведена в соответствие с подходом, описанным в Положении Банка России № 382-П;
- все требования отнесены к одному из трех классов (документирование, выполнение, документирование и выполнение);
- оценка групповых показателей определяется как среднее арифметическое (отсутствуют весовые коэффициенты частных показателей);
- вводится понятие корректирующих коэффициентов, влияющих на оценки по направлениям и зависящих от количества полностью не реализованных требований Стандарта;
- значение показателя М9 (Общие требования по обработке персональных данных) рассчитывается по общей схеме (не как минимальное из значений входящих частных показателей в предыдущей версии Стандарта).
В дополнение Банком России были выпущены новые рекомендации в части управления инцидентами информационной безопасности РС БР ИББС-2.5-2014, основанные на рекомендациях ISO/IEC TR 18044:2004. Рекомендации РС БР ИББС-2.5-2014 содержат:
- описание подхода к построению процессов менеджмента инцидентов информационной безопасности на основе циклической модели Деминга;
- описание задач, решаемых на каждой стадии обработки инцидентами информационной безопасности;
- описание организационной структуры менеджмента инцидентов информационной безопасности;
- рекомендации по документированию процесса менеджмента инцидентов информационной безопасности;
- рекомендации по использованию специализированных средств при обработке (в том числе для обнаружения) инцидентов информационной безопасности;
- рекомендации по классификации инцидентов информационной безопасности.
Смотрите также
- Безопасность финансовых (банковских) операций (СТО БР ФАПИ.СЕК-1.6-2020)
- Обеспечение информационной безопасности финансовых организаций РФ (СТО БР ИБФО-1.5-2018)
- Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)
- PCI DSS
- Полный текст стандарта на сайте ЦБ РФ