Прошло уже практически 10 лет с момента публикации первой версии Стандарта Банка России по обеспечению информационной безопасности в организациях банковской системы Российской Федерации СТО БР ИББС-1.0-2004 (далее – Стандарта). За это время Банк России провел огромную работу, направленную на развитие Стандарта. И если первые версии полностью брали за основу процессную модель обеспечения информационной безопасности, описанную в стандартах серии BS 7799-2-2002 и ISO/IEC 17799-2000, то по мере своего развития Стандарт все глубже интегрировался в специфику обеспечения информационной безопасности в организациях банковской системы, а также учитывал требования регуляторов.

Главной целью выхода новой версии Стандарта Банка России СТО БР ИББС-1.0-2014 является фиксация единых требований по обеспечению информационной безопасности, учитывающих как требования Положения Банка России от 9 июня 2012 года № 382-П в области обеспечения информационной безопасности при осуществлении переводов денежных средств, так и требования законодательства в области обработки и защиты персональных данных.

Как и в предыдущих версиях, СТО БР ИББС-1.0-2014 ориентирован на защиту от внутреннего нарушителя, Выбор контролей (защитных мер) основан на риск-ориентированном подходе.

В Стандарте появились детальные требования в части необходимости использования дополнительных мер по обеспечению информационной безопасности в рамках реализации системы информационной безопасности банковских технологических процессов:
– средств анализа защищенности, направленных на выявление различных классов уязвимостей (требования в разделе 7.3);
– необходимости регистрации событий и хранения указанных данных (требования в разделе 7.4);
– требования к сегментации сети и контроля информационных потоков (требования описаны в разделах 7.3, 7.4, 7.6 и 7.9);
– реализация контроля съемных носителей информации (требования описаны в разделах 7.4 и 7.5);
– необходимости протоколирования посещения ресурсов сети Интернет (требования в разделе 7.6);
– требования к банкоматам (требования в разделе 7.8).

Необходимость использования средства криптографической защиты информации определяется организацией банковской системы Российской Федерации самостоятельно, однако в Стандарте остались ограничения на использование средств криптографической защиты информации для защиты персональных данных – сертифицированные, не ниже уровня КС2.

Отдельно стоит сказать о применении Стандарта для выполнения требований законодательства в области защиты персональных данных.

В новой версии зафиксирована необходимость определения в организации критериев отнесения автоматизированных банковских систем к информационным системам персональных данных, однако не детализировано, какими могут быть данные критерии.

В Стандарте появился новый термин «Ресурс ПДн» (совокупность персональных данных, обрабатываемых в организации банковской системы Российской Федерации с использованием или без использования средств автоматизации и автоматизированных банковских систем, в том числе информационных систем персональных данных, объединенных общими целями обработки), для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). В качестве «Ресурсов ПДн» в организации могут быть выделены:
– персональные данные работников;
– персональные данные клиентов;
– персональные данные посетителей;
– и т. п.

Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать персональные данные не сразу, а на периодической основе, но не реже 1 раза в 6 месяцев. При этом должна обеспечиваться блокировка таких данных до момента уничтожения.

В соответствии с п.7.11.3 Стандарта требования разделов 7 и 8 направлены на нейтрализацию актуальных угроз безопасности персональных данных, однако в соответствии с п.13г Постановления Правительства Российской Федерации № 1119 от 1.11.2012 средства защиты информации, используемые для нейтрализации актуальных угроз безопасности персональных данных, должны пройти в установленном порядке процедуру оценки соответствия (читать «сертифицированные»). То есть любое средство защиты, которое внедряется в организации в соответствии с требованиями Стандарта для защиты персональных данных должно пройти оценку соответствия (должно быть сертифицированным), т. е. нельзя использовать встроенные механизмы управления доступом операционной системы для реализации соответствующих мер обеспечения безопасности персональных данных.

А поскольку «требования, установленные в разделах 7 и 8 Стандарта, рекомендуются для выполнения требований к защите персональных данных для 3 и 4 уровней защищенности» и направлены на нейтрализацию актуальных угроз, организациям банковской системы Российской Федерации необходимо выполнять требования Приказа ФСТЭК России № 21 от 18.02.2013 в части реализации мер, описанных в Приложении к данному Приказу.

Остается надеяться на дополнительные разъяснения со стороны Банка России.

Банком России также была актуализирована методика оценки соответствия информационной безопасности требованиям СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.2-2014). Основные изменения коснулись подхода к оценке:
– методика приведена в соответствие с подходом, описанным в Положении Банка России № 382-П;
– все требования отнесены к одному из трех классов (документирование, выполнение, документирование и выполнение);
– оценка групповых показателей определяется как среднее арифметическое (отсутствуют весовые коэффициенты частных показателей);
– вводится понятие корректирующих коэффициентов, влияющих на оценки по направлениям и зависящих от количества полностью не реализованных требований Стандарта;
– значение показателя М9 (Общие требования по обработке персональных данных) рассчитывается по общей схеме (не как минимальное из значений входящих частных показателей в предыдущей версии Стандарта).

В дополнение Банком России были выпущены новые рекомендации в части управления инцидентами информационной безопасности РС БР ИББС-2.5-2014, основанные на рекомендациях ISO/IEC TR 18044:2004. Рекомендации РС БР ИББС-2.5-2014 содержат:
а) описание подхода к построению процессов менеджмента инцидентов информационной безопасности на основе циклической модели Деминга;
б) описание задач, решаемых на каждой стадии обработки инцидентами информационной безопасности;
в) описание организационной структуры менеджмента инцидентов информационной безопасности;
г) рекомендации по документированию процесса менеджмента инцидентов информационной безопасности;
д) рекомендации по использованию специализированных средств при обработке (в том числе для обнаружения) инцидентов информационной безопасности;
е) рекомендации по классификации инцидентов информационной безопасности.

С нашей точки зрения, публикация новой версии стандарта Банка России позволила учесть последние изменения законодательства в области защиты персональных данных и информации о переводах денежных средств, а также более детально изложить требования к целому ряду дополнительных мер по обеспечению информационной безопасности.

ИНФОРМАЦИЯ О КОМПАНИИ «ДИАЛОГНАУКА»

С момента образования в 1992 г. «ДиалогНаука» является одной из ведущих российских компаний, специализирующихся в области информационной безопасности. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были антивирусы Aidstest, Doctor Web и ревизор ADinf.
«ДиалогНаука» оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания занимает лидирующие позиции в сфере дистрибьюции программных продуктов для защиты от вирусов, спама, сетевых атак и других угроз информационной безопасности.
«ДиалогНаука» является поставщиком программных решений от ряда ведущих российских и зарубежных компаний рынка информационной безопасности – «Аладдин Р.Д.», «Доктор Веб», «Информзащита», «Инфотекс», «КриптоПро», «Лаборатория Касперского», НПП «Информационные технологии в бизнесе», «С-Терра СиЭсПи», Acronis, Agnitum, Avanpost, BalaBit IT Security, Cisco Systems, CyberArk, Delphix, IBM, iT-CUBE SYSTEMS, FireEye, Guidance Software, Hewlett-Packard (HP ArcSight, HP Fortify), Microsoft, Oracle, Portwise, Positive Technologies, RedSeal Networks, SmartLine, Sophos, Stonesoft, Symantec, Trend Micro, Websense и других.
«ДиалогНаука» является членом Ассоциации защиты информации (АЗИ), Ассоциации документальной электросвязи (АДЭ), НП «АБИСС» и Ассоциации предприятий компьютерных и информационных технологий (АП КИТ).
Компания является сертифицированным партнёром BSI Management Systems CIS, имеет сертификат соответствия ГАЗПРОМСЕРТ и свидетельство об аккредитации в области персональных данных от Роскомнадзора.
Система менеджмента качества компании «ДиалогНаука» сертифицирована на соответствие требованиям стандарта ISO 9001:2008. Система менеджмента информационной безопасности компании сертифицирована в соответствии со стандартом ГОСТ ИСО 27001.
Свою деятельность компания «ДиалогНаука» осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ.
Компания имеет статус Qualified Security Assessor (QSA), который позволяет проводить сертифицированный аудит на соответствие стандарту Payment Card Industry Data Security Standard (PCI DSS).
Программами и услугами от «ДиалогНауки» пользуются тысячи корпоративных пользователей в России и других странах. В их числе крупные коммерческие компании и государственные структуры.
Миссия «ДиалогНауки» заключается в создании решений, оказании услуг и поставке продуктов, обеспечивающих защиту информации и безопасную работу с компьютерами и сетями.
Дополнительную информацию о компании можно найти на сайте www.DialogNauka.ru.