Стандарт Банка России: 4 шага до соответствия

Юрий Черкас
Руководитель отдела технической защиты информации компании ReignVox

Стандарт Банка России, а вернее его доработка и рекомендации к применению, стали одними из самых актуальных тем второй половины 2010 года в сфере обеспечения ИБ организаций кредитно-финансового сектора. Соответствие требованиям Стандарта Банка России (СТО БР ИББС) позволяет Банкам обеспечить собственную ИБ в целом, включая и защиту персональных данных (ПДн). По мнению экспертов компании ReignVox«именно эта возможность комплексного и единовременного подхода к защите конфиденциальной информации различных категорий обуславливает значительный рост количества запросов со стороны Банков, направленных на приведение их ИС в соответствие требованиям Стандарта». Каждый подобный проект «гораздо более широк и всеобъемлющ с т.з. ИБ, нежели нацеленный сугубо на формальное обеспечение соответствия требованиям в части защиты ПДн, являющихся одной из составляющих Стандарта».

Накопленный за 2010 год практический опыт работ в части оказания услуг по приведению ИС Банков в соответствие требованиям СТО БР ИББС-1.0-2010 и проведению самооценки соответствия Банков положениям данного Стандарта позволил специалистам ReignVox разработать четырехэтапную основу проекта - так называемый «типовой состав работ».

Шаг первый – исследовательский

На первом этапе, являющемся по своей сути аналитическим, оцениваются результаты работ уже проведенных Банком в области ИБ. В частности, анализу подвергаются документы, направленные на обеспечение безопасности информации (положения, руководства, инструкции и т.п.), а ИБ Банка оценивается по следующим трем направлениям:

• текущий уровень ИБ Банка, включающий в себя 10 групповых показателей, описанных в Стандарте;
• менеджмент ИБ, объединяющий 17 групповых показателей;
• осознание уровня ИБ, в который входят ещё 7 из 34 показателей.

По итогам оценки существующих защитных мер на предмет их соответствия требованиям Стандарта, в рамках данного этапа работ, принимается решение о необходимости применения дополнительных защитных мер, а также составляется последовательный план дальнейших мероприятий по обеспечению ИБ, с учетом их влияния на повышение оценки.

Шаг второй – документативный

Основной целью второго этапа является доработка имеющейся на момент обследования организационно-распорядительной документации и, соответственно, разработка отсутствующей. При разработке документов необходимо руководствоваться рекомендациями Банка России РС БР ИББС-2.0-2007 «Методические рекомендации по документам в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», а также – методическими рекомендациями по выполнению законодательных требований при обработке ПДн в организациях банковской системы РФ.

Решение руководствоваться Стандартом Банка России повлечет за собой значительное расширение перечня документов, регламентирующих обеспечение ИБ (в сравнении с формальным выполнением требований Регуляторов по защите ПДн), т.к. многие частные показатели ИБ содержат в себе требования по документированию различных процессов и процедур, а не только обработки ПДн.

Шаг третий – практический

На данном этапе, в соответствии с определенными дополнительными мерами защиты и исходя из IT-инфраструктуры Банка, выбираются конкретные способы защиты, реализуется комплекс запланированных мероприятий по обеспечению ИБ с помощью технических средств защиты (ввод в действие), осуществляется разработка соответствующей проектной документации (технического задания, технического проекта, рабочей документации и т.п.).

Сроки выполнения работ в рамках третьего этапа, т.н. этапа внедрения, зависят от трех основных параметров: текущего уровня обеспечения ИБ в Банке, размера каждого конкретного Банка и сложности его IT-инфраструктуры.

Шаг четвертый – оценочный

Финальной частью всего комплекса работ по приведению Банка в соответствие требованиям Стандарта Банка России является оценка соответствия, цель которой – получение документального подтверждения уровня и степени соответствия Банка требованиям СТО БР ИББС-1.0-2010. В проведении оценки необходимо руководствоваться «Методикой оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС» (от 21.06.2010), которая рекомендует уровень соответствия требованиям Стандарта от 0,85 до 1 по каждому из трех направлений оценки. В рамках оценки соответствия должны быть определены актуальности частных показателей для конкретного Банка, выполнен комплекс работ, рекомендуемый принятой Методикой оценки. Результаты проведенной оценки должны быть соответствующим образом оформлены в виде документа, подтверждающего соответствие Банка требованиям Стандарта Банка России СТО БР ИББС-1.0-2010 с указанием соответствия в целом и по направлениям Регуляторов (Роскомнадзора, ФСБ России и ФСТЭК России).

По мнению экспертов компании ReignVox общая «длительность проекта, направленного на обеспечение соответствия требованиям Стандарта во многом зависит от размеров Банка, количества и видов его деятельности, и в среднем может составить от 4 до 6 месяцев». Однако, следует понимать, что в рамках данного срока можно обеспечить соответствие лишь по ограниченному ряду требований Стандарта, касающихся защиты ПДн. Для обеспечения соответствия по всем 34 параметрам, выделенным в Стандарте, времени потребуется значительно больше – здесь мы сможем говорить уже как минимум о полуторагодичных сроках работ. Весь же комплекс работ в рамках обеспечения соответствия требованиям Стандарта должен быть организован в виде циклической модели Деминга «…- планирование – реализация – проверка – совершенствование – планирование - …», поэтому крайне важно не только внедрить процессы менеджмента ИБ, но и обеспечить их «прохождение» хотя бы по одному циклу с целью дальнейшего совершенствования системы обеспечения ИБ.

О компании

ReignVox – Российская компания, специализирующаяся на инновационных проектах и разработках в области ИТ и обеспечении их информационной безопасности. Цель создания компании - оказание услуг по обеспечению защиты ПДн в соответствии с требованиями закона «О персональных данных» ФЗ-152 от 27.07.2006 г. и построению комплексных систем защиты информации.

ReignVox - член Межрегиональной общественной организации «Ассоциация защиты информации» (МОО «АЗИ»), ассоциированный член «Инфокоммуникационного союза» (Infocommunication Union), а также член Ассоциации Региональных Банков. Компания обладает необходимыми лицензиями ФСТЭК России и ФСБ РФ для проведения комплекса работ по технической защите информации, в том числе с применением средств криптографической защиты. С сентября 2010 года имеет статус «кандидата в члены ABISS», который позволяет проводить работы в кредитно-финансовых организациях по оценке соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС.

Наиболее значимыми, из успешно реализованных компанией проектов по защите ПДн, являются отраслевой проект по защите персональных данных операторов сотовой связи, проекты для телекоммуникационных компаний (ОАО «ВымпелКом», ОАО «МегаФон»), крупных коммерческих банков (ОАО «НОТА-Банк», Внешэкономбанк, ЗАО АКБ «ЦентроКредит» и др.), Научно-исследовательского института ревматологии РАМН, компании Zepter International, группы компаний HeadHunter и др.