Введение Банком России в 2014 году в действие новой редакции стандарта информационной безопасности банковских систем было вызвано необходимостью комплексного развития этого документа. С момента утверждения предыдущей редакции стандарта 2012 года Государственная Дума РФ приняла ряд поправок в федеральные законы, напрямую регулирующие обеспечение безопасности кредитно-финансовой сферы. Кроме того, за это же время появились новые нормативные документы государственных органов, осуществляющих контрольно-надзорную деятельность в отрасли.

 

ГАРМОНИЗАЦИЯ С ЗАКОНОДАТЕЛЬСТВОМ

Пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014) полностью соответствует актуальным нормам федерального законодательства и положениям отраслевой нормативной базы.

В обновлённых базовых положениях отраслевого стандарта учтены требования трёх новых нормативных документов, преимущественно касающиеся нормирования защиты персональных данных и обеспечения безопасности национальной платёжной системы, в частности:

• Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение Банка России № 382-П);
• Постановления Правительства России от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства РФ № 1119);
• Приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В стандарте появились требования к обеспечению информационной безопасности банков, которые охватывают 3 новых направления:

• функционирование автоматизированных банковских систем на всех стадиях их жизненного цикла;
• управление доступом и регистрацией;
• использование ресурсов «открытой», по умолчанию «не доверенной» сети интернет.

Существенной переработке подверглись требования к обработке персональных данных (ПД), с учётом особенностей банковских технологических процессов. В частности, сформулирован ряд положений, которые регламентируют:

• формулировку целей обработки ПД;
• необходимость в установленной форме уведомлять об обработке ПД государственный орган, уполномоченный защищать права их субъектов (Роскомнадзор);
• требования к организационным мероприятиям, которые должны выполняться для каждого ресурса, используемого в обработке или для хранения ПД;
• условия прекращения обработки ПД и их уничтожения либо обезличивания;
• определение политики обработки ПД, правил её реализации и контроля их соблюдения;
• получение согласия субъектов ПД на их обработку;
• контроль доступа в помещения, в которых ведётся обработка ПД;
• особенности работы с материальными носителями ПД;
• правила осуществления трансграничной передачи ПД.

Также существенному пересмотру подверглись положения об обеспечении информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные. Для выполнения новых требований приняты следующие рекомендации:

• признавать не актуальными угрозы утечки персональных данных по техническим каналам, а также связанные с возможным наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении;
• применять меры по защите персональных данных в соответствии с текстом Постановления Правительства РФ № 1119.

ИЗМЕНЕНИЯ МЕТОДИКИ ОЦЕНКИ СООТВЕТСТВИЯ

Четвёртая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (СТО БР ИББС-1.2-2014) актуализирована в соответствии с новой редакцией отраслевого стандарта в целом.

Модернизация этого документа приводит в соответствие методики и способы оценки соответствия требованиям, которые содержатся в 2 разных нормативных документах – СТО БР ИББС-1.0-2014 и Положении Банка России № 382-П, регламентирующем обеспечение защиты информации при осуществлении переводов денежных средств.

В четвёртой редакции методики произведены следующие изменения основных процедур оценки соответствия требованиям информационной безопасности банковских систем:

• определены подходы к учёту результатов выполнения требований, содержащихся как в Положении Банка России № 382-П, так и в СТО БР ИББС-1.0;
• рекомендуемые подходы к оценке частных показателей приведены в соответствие со способами оценки, установленными Положением Банка России № 382-П;
• исключены «весовые» коэффициенты частных показателей;
• включены корректирующие коэффициенты по аналогии с Положением Банка России № 382-П.

При оценке степени соответствия нормам отраслевого стандарта значения формируются по следующим направлениям:

• банковский платёжный технологический процесс;
• банковский информационный технологический процесс;
• банковский технологический процесс, включающий обработку персональных данных;
• менеджмент обеспечения информационной безопасности;
• осознание необходимости обеспечения информационной безопасности.

СИСТЕМА МЕНЕДЖМЕНТА ИНЦИДЕНТОВ ИБ

Понизить степень тяжести последствий, которыми чреваты инциденты информационной безопасности, способна система обнаружения и реагирования на инциденты информационной безопасности. Создать и поддерживать в должном состоянии такую систему помогут рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014).

Документ конкретизирует общие нормы стандарта СТО БР ИББС-1.0. Устанавливается процессный подход к созданию и эксплуатации системы менеджмента инцидентов информационной безопасности, поддержанию её на должном уровне и контролю функционирования. Рекомендуемая схема подхода имеет вид циклической модели У.Э. Деминга: «… планирование – реализация – проверка – совершенствование – планирование …», с конкретизацией на каждой стадии.

На стадии планирования системы инцидентов ИБ рекомендации предлагаются к следующим операциям:

• разработке и документированию политики менеджмента инцидентов ИБ;
• определению организационной структуры реагирования на инциденты ИБ;
• описанию ролей в ходе реагирования на инциденты ИБ;
• установлению и документированию регламентов обнаружения инцидентов ИБ и реагирования на них;
• выбору и определению порядка эксплуатации технических средств, применяемых для обнаружения инцидентов ИБ и реагирования на них;
• установлению порядка контроля как процессов обнаружения инцидентов ИБ, так и реагирования на них.

На стадии эксплуатации системы менеджмента инцидентов ИБ рекомендации относятся к следующим процессам:

• выделению необходимых ресурсов и назначению ролей в ходе реагирования на инциденты ИБ;
• проведению мероприятий обучения и повышения осведомлённости в области обнаружения инцидентов ИБ и реагирования на них;
• собственно деятельности по обнаружению инцидентов ИБ и реагированию на них.

Также сформулированы рекомендации к классификации инцидентов ИБ, использованию классификатора инцидентов ИБ в процессе их обработки. В дополнение приводятся примерный перечень событий и типовой классификатор инцидентов ИБ.

СТАДИИ ЖИЗНЕННОГО ЦИКЛА АБС

Рекомендации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014) уточняют общие нормы стандарта СТО БР ИББС-1.0, относящиеся к обеспечению информационной безопасности автоматизированных банковских систем на всех стадиях их жизненного цикла.

Конкретизируется описание следующих задач:

• выполнения требований обеспечения информационной безопасности, содержащихся в федеральном законодательстве и в нормативных актах Банка России, в СТО БР ИББС-1.0, также во внутренних документах кредитной организации;
• снижения рисков нарушений информационной безопасности, связанных с наличием уязвимостей в автоматизированных банковских системах;
• контроля обеспечения ИБ в рамках эксплуатации АБС;
• снижения рисков нарушения ИБ, в том числе утечки информации на этапе сопровождения, модернизации и вывода из эксплуатации АБС;
• оперативной модернизации АБС в случае выявления недопустимых рисков нарушений ИБ, связанных с их эксплуатацией.

Документ содержит и рекомендации по организации – составу, содержанию и порядку проведения работ, направленных на выполнение перечисленных задач:

• создания возможности доверенного обеспечения ИБ на всех этапах жизненного цикла АБС;
• устранения типовых недостатков, чреватых недопустимыми рисками нарушений ИБ при эксплуатации АБС;
• контроля исходного кода программного обеспечения, оценки защищённости АБС посредством выявления ошибок в конфигурациях настроек технических защитных мер.

Данный документ рекомендует выделять следующие стадии жизненного цикла автоматизированных банковских систем:

1. Разработка технического задания;
2. Проектирование;
3. Создание и тестирование;
4. Приёмка и ввод в действие;
5. Эксплуатация;
6. Сопровождение и модернизация;
7. Снятие с эксплуатации.

Определяются основные задачи обеспечения информационной безопасности, решение которых необходимо осуществлять на каждой из стадий жизненного цикла АБС.

СВИДЕТЕЛЬСТВА ДОВЕРИЯ

Документ устанавливает: доверие к реализации обеспечения ИБ АБС возможно только при наличии определённых свидетельств полноты и корректности проведения мероприятий по обеспечению информационной безопасности на стадиях жизненного цикла.

Рекомендуются следующие свидетельства доверия:

• регламентация обеспечения информационной безопасности на всех этапах жизненного цикла;
• документирование результатов деятельности по обеспечению ИБ на этапах жизненного цикла.

Обновлённый стандарт содержит перечни свидетельств доверия, рекомендуемые для каждой стадии жизненного цикла АБС. На основании результатов их оценки принимается решение о полноте и корректности выполнения требований к обеспечению информационной безопасности, предъявляемых к автоматизированным банковским системам.