Автор и ведущий: Александр Суханов – эксперт по информационной безопасности МФИ Софт
Слушать подкаст - 15 минут
Читать – 7 минут
Стандарт – набор правил и принципов, по которым разные люди могут выстраивать системы и понимать друг друга, общаться на одном языке. В промышленности наличие стандарта помогает удешевлять производство, за счет унификации подходов.
Стандарты информационной безопасности нужны для построения единой системы менеджмента ИБ – это готовый набор инструкций и системы оценки для внедрения в организации.
Отраслевых стандартов существует множество, только в сфере информационной безопасности их больше 100. Но сегодня мы поговорим о самых основных:
Стандарты, которые рекомендованы к применению в российских банках ,– ISO-27001 и СТО БР – основаны на одном Британском стандарте №7799. Рассматривают систему создания и внедрения системы менеджмента информационной безопасности. Оба стандарта основаны на управлении процессами информационной безопасности. В компании должны быть внедрены процессы, имеющие конкретные точки входа и выхода, они должны контролироваться службой безопасности, проверяться на соответствие поставленным целям и фиксировать их достижение.
Оба стандарта работают по модели Деминга:
При наличии сходств и единой базы, у стандартов есть и существенные различия:
ISO -27001
- стандарт с риск-ориентированным подходом
- универсальный стандарт, может внедряться в компанию из любой отрасли
- описывает методики и инструментарий по управлению безопасностью
СТО БР
– основан на модели нарушителя и модели угроз, поэтому будет понятен российским безопасникам, которые привыкли работать с документами ФСТЭК и ФСБ. В нем четко прослеживается российская специфика построения системы информационной безопасности.
- отраслевой стандарт банковской сферы, учитывает угрозы и риски финансовой сферы.
- описывает практические схемы внедрения, как что делать, дает широкий комплекс методических документов, по которым можно все поэтапно внедрить.
Несмотря на то, что по обоим стандартам предусмотрена сертификация, они необязательны к исполнению. Если банк принимает решение о внедрении стандарта, – нужно вызвать аудитора, который оценит готовность организации и даст рекомендации, что необходимо доработать. После всех доработок, аудиторская служба выдает сертификат соответствия выбранному стандарту.
По мнению эксперта МФИ Софт по информационной безопасности Александра Суханова, – наиболее подходящим для внедрения в российских реалиях является Стандарт Банка России (СТО БР).
СТО БР ИББС-1.0-2014
Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения – основной документ СТО БР, именно по нему проводятся все аудиты и проверки.
СТО БР ИББС-1.1-2007
Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.
СТО БР ИББС-1.2-2014
Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014.
СТО БР ИББС-1.3-2016
Обеспечение ИБ организаций банковской системы РФ. Сбор и анализ технических данных при реагировании на инциденты ИБ при осуществлении переводов денежных средств.
Комплект рекомендаций – все изменения по российскому законодательству и документы по различным практическим ситуациям.
Главный плюс внедрения стандарта – это готовая методология. Остается только внимательно ознакомиться и внедрить в компании.
При выполнении необходимого уровня соответствия стандарту, единовременно выполняются требования сразу нескольких регуляторов: Банк России, ФСТЭК, ФСБ и Роскомнадзор.
Конечно, никто из регуляторов не зачтет сертификацию по СТО БР как результат своей проверки, но проверка для вас будет проходить намного проще, чем без внедрения стандарта.
Кроме того, растет доверие со стороны клиентов и контрагентов банка. После прохождения аудита на адрес Банка России нужно отправить письмо о присоединении к стандарту. Тогда на сайте https://www.cbr.ru/ Ваш банк будет размещен в реестре компаний, соответствующих стандарту.
Менеджмент рисков – еще один момент, который важно учитывать в банковской сфере. С помощью внедрения СТО БР можно просчитать все риски в денежном эквиваленте, донести эту информацию до руководства. В стандарте большое внимание уделено том, что руководство должно быть максимально вовлечено в работу службы безопасности банка. Менеджмент рисков ИБ должен быть учтен в общей системе рисков компании.
Риски ИБ можно отнести на операционные, то есть застраховать. А вследствие того, что они уже учтены соблюдением стандартов, можно существенно сократить сумму затрат на страхование этих рисков.
Для начала стандарт нужно досконально изучить – это поможет понять, как и что нужно внедрить и что доработать.
Решение о внедрении стандарта должно быть подтверждено документально подписью руководителя и печатью компании. Этот документ позволит службе безопасности опросить сотрудников и проверить все процессы в компании на соответствие стандарту.
Затем нужно оценить текущий уровень соответствия стандарту. Если мы не знаем, что в компании происходит сейчас, значит, не знаем, куда двигаться дальше. В стандарте приведена методология оценки из 36 пунктов. Это дает возможность понять, какие меры не выполняются, какие выполняются частично, какие задачи закрываются организационными мерами, какие чисто документальными, и какие требуются технические решения.
После аудита состояния компании – начинается следующий этап по устранению несоответствий и внедрению отсутствующих мер. Когда все внедрено, нужно снова вернуться к оценке текущего уровня.
После прохождения нескольких таких уровней можно достичь уровня соответствия СТО БР. Затем уже можно отправить письмо о соответствии в Банк России и пригласить стороннюю компанию для оценки.
На сегодня, компаний прошедших аудит чуть больше 40, а тех, кто ограничился самопроверкой – больше 300.
То есть, все сначала занимаются подтягиванием соответствия до нужного уровня, а уже потом приглашают внешних аудиторов.