Стандарты ИБ банков - российские реалии

Автор и ведущий: Александр Суханов – эксперт по информационной безопасности МФИ Софт

Слушать подкаст - 15 минут

Читать – 7 минут

Для чего нужны стандарты?

Стандарт – набор правил и принципов, по которым разные люди могут выстраивать системы и понимать друг друга, общаться на одном языке.  В промышленности наличие стандарта помогает удешевлять производство, за счет унификации подходов.

Стандарты информационной безопасности нужны для построения единой системы менеджмента ИБ – это готовый набор инструкций и системы оценки  для внедрения в организации.

Стандарты информационной безопасности, применимые в финансовой сфере РФ

Отраслевых стандартов существует множество, только в сфере информационной безопасности их больше 100. Но сегодня мы поговорим о самых основных:

• PCI DSS – разработан советом по стандартам индустрии платежных карт, VISA, Master card и другими операторами платежных систем с целью создания единых принципов и критериев информационной безопасности платежных карт. Стандарт обязательный для всех организаций, которые обрабатывают данные платежных карт. Ему нужно не только соответствовать, но и регулярно проходить аудит.  Для небольших компаний  достаточно листа самооценки, а крупные компании проверяют сертифицированные аудиторы.

• ISO -27001 – универсальный международный стандарт по информационной безопасности, собрание best practices. В российском варианте – это ГОСТ ИСО МЭК – 27001, но с той лишь разницей, что перевод существенно отстает от последней версии стандарта  2013 года. В нашей стране еще действует по версии 2005 года.

• СТО БР – комплекс документов, разработанный Банком России для применения в российском финансовом секторе.

Ключевые стандарты для создания системы менеджмента ИБ в российской практике

Стандарты, которые рекомендованы к применению в российских банках ,– ISO-27001 и СТО БР – основаны  на одном Британском стандарте  №7799. Рассматривают систему создания и внедрения системы менеджмента информационной безопасности.  Оба стандарта основаны на управлении процессами информационной безопасности.  В компании должны быть внедрены процессы, имеющие конкретные  точки входа и выхода, они должны контролироваться  службой безопасности, проверяться на соответствие поставленным целям и фиксировать их достижение.

Оба стандарта работают по модели Деминга:

При наличии сходств и единой базы,  у стандартов есть и существенные различия:

ISO -27001 

-  стандарт с риск-ориентированным подходом

- универсальный стандарт, может внедряться в компанию из любой отрасли

- описывает методики и инструментарий по управлению безопасностью

СТО БР

– основан на модели нарушителя и модели угроз, поэтому будет понятен российским безопасникам, которые привыкли работать с документами ФСТЭК и ФСБ.  В нем четко прослеживается российская специфика построения системы информационной безопасности.

- отраслевой стандарт банковской сферы, учитывает угрозы и риски финансовой сферы.

- описывает практические схемы внедрения, как что делать, дает широкий комплекс методических документов, по которым можно все поэтапно внедрить.

Несмотря на то, что по обоим стандартам предусмотрена сертификация,  они необязательны к исполнению. Если банк принимает решение о внедрении стандарта, – нужно  вызвать аудитора, который оценит готовность организации и даст рекомендации, что необходимо доработать. После всех доработок, аудиторская служба выдает сертификат соответствия выбранному стандарту.

Какой стандарт выбрать для применения в банке?

По мнению эксперта МФИ Софт по информационной безопасности Александра Суханова, – наиболее подходящим для внедрения в российских реалиях  является Стандарт Банка России (СТО БР).

• Разработан российским регулятором. То есть, присоединение к стандарту повышает уровень доверия  регулятора к компании.
• Учитывается российский опыт и мировые практики, адаптированные под российские реалии.
• Требования СТО Бра интегрируются с требованиями российского законодательства. Например, после обновления закона «О персональных данных» 152ФЗ, в стандарте сразу появились отсылки к требованиям обновленного закона.
• Содержит методическое руководство по внедрению  и ведению документальной базы.
• Содержит методическое руководство по расчету рисков.
• Для проведения самооценки компании на соответствие стандарту, предусмотрено подробное руководство.

Структура и основные положения СТОБР:

СТО БР ИББС-1.0-2014

Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения – основной документ  СТО БР, именно по нему проводятся все аудиты и проверки.

СТО БР ИББС-1.1-2007

Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.

СТО БР ИББС-1.2-2014

Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014.

СТО БР ИББС-1.3-2016

Обеспечение ИБ организаций банковской системы РФ. Сбор и анализ технических данных при реагировании на инциденты ИБ при осуществлении переводов денежных средств.

Комплект рекомендаций – все изменения по российскому законодательству и документы  по различным практическим ситуациям.

Преимущества внедрения СТО БР

Главный плюс внедрения стандарта – это готовая методология. Остается только внимательно ознакомиться и внедрить в компании.

При выполнении необходимого уровня соответствия стандарту, единовременно выполняются требования сразу нескольких регуляторов: Банк России, ФСТЭК, ФСБ и Роскомнадзор.

Конечно, никто из регуляторов не зачтет  сертификацию по СТО БР как результат своей проверки, но  проверка для вас будет проходить намного проще, чем без внедрения стандарта.

Кроме того, растет доверие со стороны клиентов и контрагентов банка. После прохождения аудита на адрес Банка России нужно отправить письмо о присоединении к стандарту. Тогда на сайте https://www.cbr.ru/ Ваш банк будет размещен в реестре компаний, соответствующих стандарту.

Менеджмент рисков – еще один момент, который важно учитывать  в банковской сфере. С помощью внедрения СТО БР можно  просчитать все риски в денежном эквиваленте, донести эту информацию до руководства. В стандарте большое внимание уделено том, что руководство должно быть максимально вовлечено в работу службы безопасности банка.  Менеджмент рисков  ИБ должен быть учтен в общей системе рисков компании.

Риски ИБ можно отнести на операционные, то есть застраховать. А  вследствие того, что они уже учтены соблюдением стандартов, можно существенно сократить сумму затрат на страхование этих рисков.

Как внедрить стандарт  Банка России?

Для начала стандарт нужно досконально изучить – это поможет понять, как и что нужно внедрить и что доработать.

Решение о внедрении стандарта должно быть подтверждено документально подписью руководителя и печатью компании. Этот документ позволит службе безопасности опросить сотрудников и проверить все процессы в компании на соответствие стандарту.

Затем нужно оценить текущий уровень соответствия стандарту. Если мы не знаем, что в компании происходит сейчас, значит, не знаем, куда двигаться дальше.  В стандарте приведена методология оценки из 36 пунктов. Это дает возможность понять, какие меры не выполняются, какие выполняются частично,  какие задачи закрываются организационными мерами, какие чисто документальными, и какие требуются технические решения.

После аудита состояния компании – начинается следующий этап по устранению несоответствий и внедрению отсутствующих мер. Когда все внедрено, нужно снова вернуться к оценке текущего уровня.

После прохождения нескольких таких уровней можно достичь уровня соответствия СТО БР. Затем уже можно отправить письмо о соответствии в Банк России и пригласить стороннюю компанию для оценки.

На сегодня, компаний прошедших аудит чуть больше 40, а тех, кто ограничился самопроверкой – больше 300.

То есть, все сначала занимаются подтягиванием соответствия до нужного уровня, а уже потом приглашают внешних аудиторов.

Выводы:

• Если  нужно не просто внедрить информационную безопасность, а контролировать и оперативно реагировать на новые угрозы, необходима система менеджмента информационной безопасности.
• Для качественного внедрения системы менеджмента стоит пользоваться методиками опытных коллег, которые уже создали существующий популярный стандарт.
• При выборе стандарта стоит ориентироваться  и на международный опыт, и  на российскую практику. Если есть отраслевой стандарт, нужно применять именно его. В этом случае не придется подгонять систему «под себя», так как все требования  отечественных регуляторов в стандарте уже учтены. Поэтому внедрить его будет значительно проще.