14/12/2016
В этом году сообщество банковских безопасников отмечает свой маленький юбилей. Ровно 10 лет назад была введена в действие вторая редакция Стандарта Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». 
 
Несмотря на то, что первая редакция Стандарта была принята в 2004 году, именно со второй редакции для многих безопасников начался процесс внедрения стандарта. Объясняется это прежде всего тем, что только в 2007 году было принято ещё два новых стандарта Банка России, формировавших основу для работ по оценке соответствия. Это СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0–2006».
 
Трехлетний интервал между принятием стандарта требований (СТО БР ИББС-1.1-2004) и первых редакций стандартов оценки соответствия (СТО БР ИББС-1.1-2007 и СТО БР ИББС-1.2-2007) объяснялся периодом апробации стандартов оценки соответствия, как в кредитных организациях, так и в территориальных учреждениях Банка России. Например, в Центральном банке РФ в 2005 году была организована опытная зона, включавшая 10 территориальных учреждения Банка России (по существовавшему тогда административно-территориальному делению подразделений банка России), в которых должен был быть реализован весь комплекс мероприятий от реализации стандарта требований до работ по оценке (самооценке) соответствия.
 
Введение в действие Стандарта для Центрального Банка было знаковым событием. Регулятору пришлось переступить через многие свои правила. Во-первых, Центральный Банк впервые активно подключился к процессам, направленным на повышение защищенности участников отечественного финансового рынка -  обеспечения как их информационной безопасности, так и их клиентов. Во-вторых, признал за банками право не следовать всем требованиям документа, а последовательно развивать свои системы обеспечения информационной безопасности  через применение оценки зрелости процессов безопасности, которая была тем выше, чем полнее банк следовал требованиям стандарта. В-третьих, стандарт был добровольным. Несмотря на это Стандарт был положительно воспринят банковским сообществом. С каждым годом росло число банков, которые присоединялись к нему. И чтобы разобраться в причинах успеха, нужно вернуться к истокам.
 
В конце ноября 2003 года на базе научно-производственной фирмы «Кристалл» (г. Пенза) прошло первое заседание подкомитета «Защита информации в кредитно-финансовой сфере», входящего в состав 362-го технического комитета «Защита информации» Госстандарта России. Этот подкомитет был образован по инициативе Банка России в целях формирования экспертной площадки для выработки и обсуждения направлений развития процессов обеспечения и аудита информационной безопасности в кредитно-финансовых организациях России. Среди технических вопросов, вызвавших наиболее жаркие дискуссии на этом заседании подкомитета, выделялась проблема разработки банковского стандарта по обеспечению информационной безопасности в кредитно-финансовой сфере и подходов к аудиту его реализации.
 
Основными источниками разработки стандарта явились следующие документы: 
  • международные и зарубежные стандарты и документы: ИСО/МЭК 17799, ИСО/МЭК 13335, ИСО/МЭК 21827, COBIT, OCTAVE, BS 7799-2;
  • национальные стандарты: ГОСТ 1.1-2002, ГОСТ Р 51898, ГОСТ Р 51897, ГОСТ Р ИСО/МЭК 15408;
  • нормативные акты Банка России: 130-П, ВТ-60, 21-П, 3-П, 70-Т;
  • другие документы. 
В деятельности подкомитета приняли активное участие (вошли в состав ТК 362 и банковского подкомитета) такие организации, как Банки «Петрокоммерц» и «Российский кредит», Институт Банковского Дела АРБ, международная аудиторская фирма КПМГ и многие другие.
 
Была проведена очень большая кропотливая работа и вот, наконец, — долгожданная и важная новость: распоряжением Председателя Банка России С.М. Игнатьева (№ 609-Р от 18.11.2004) с 1 декабря 2004 года вводится в действие стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2004). Текст стандарта был опубликован в Вестнике Банка России от 24 ноября 2004 года № 68 (792).
 
Как уже отмечалось, стандарт прошел обкатку в нескольких крупных и небольших банках (Банк «Петрокоммерц» - в настоящее время входит в банковскую группу ФК «Открытие», «Метробанк») и, прежде всего, в самом Центральном Банке. Всю деятельность в рамках обеспечения ИБ организации в соответствии с положениями СТО БР ИББС-1.0-2004 предлагалось «выстраивать» относительно «состояния защищенности интересов (целей) организации БС РФ в условиях угроз в информационной сфере» (определение понятия «информационная безопасность организации банковской системы Российской Федерации»). Защищенность интересов (целей) организации БС РФ безусловно лежит в плоскости основной деятельности - «основных процессов», тогда как деятельности и системы менеджмента ИБ составляют вспомогательные относительно основной деятельности, которые предназначены для обеспечения состояния защищенности интересов (целей) организации в информационной сфере. Позиционирование деятельности по обеспечению ИБ как вспомогательной деятельности обусловлено тем, что деятельности и системы менеджмента ИБ, включая соответствующие процессы, напрямую не участвуют в выпуске продукции организации, а наоборот добавляют себестоимости продукции и по своей сути являются затратными для организации. В то же время затраты на системы менеджмента ИБ создают экономию при возможных потерях (они их минимизируют), т.е. формируют прибыль, и по этой характеристике процессы системы менеджмента ИБ можно было бы отождествить с основными процессами.
 
Для формирования нормативной базы по ИБ Банка России в соответствии с требованиями Стандарта СТО БР ИББС как результата деятельностей и процессов по обеспечению ИБ требовался предварительный анализ формализованных процессов основной деятельности Банка России.
 
Необходимо было усовершенствование СТО. Было проведено не одно заседание 362 комитета и в конечном итоге: распоряжением Председателя Банка России С.М. Игнатьева (№Р27 от 26.01.2006) с 1 января 2006 года вводится в действие стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006). Это уже была вторая редакция Стандарта.

Но мало было принять Стандарт, нужно было убедить банки внедрять его. Центральный Банк провел большую работу по популяризации Стандарта. Заместитель начальник Главного управления безопасности и защиты информации Банка России Андрей Петрович Курило принял участие в ряде форумов и конференций, посвященных информационной безопасности, продвигая идею Стандарта. На уфимской конференции «Банки. Процессы. Стандарты. Качество» стандарту СТО БР ИББС была посвящена целая секция. Со временем она переросла в самостоятельную международную конференцию Уральский форум «Информационная безопасность банков», который в 2017 году будет проводиться в девятый раз. С целью продвижения Стандарта было создано Сообщество пользователей стандартов Банка России по информационной безопасности (Сообщество ABISS), которое было призвано объединить всех участников процесса обеспечения информационной безопасности банков: Центральный Банк, коммерческие банки, интеграторы, учебные заведения. Активную поддержку стандарту оказал Комитет по информационной безопасности АРБ. И усилия не пропали даром: Стандарт зашагал по стране.
 
Многие кредитные-финансовые организации начали присоединяться к СТО. Появились документы по обеспечению ИБ в банках. Специалисты уже начали выстраивать свою работу и осознавать, что информационная безопасность – это уже не пустой звук, а та цель, к которой нужно стремиться при выстраивании всей этой цепочки у себя.
 
Но работа, документы и др. – это все хорошо, но как оценить себя – насколько Банк готов. Для этих целей в 2007 году был принят ряд документов, включая упоминавшиеся ранее, в частности, следующие: 
  • СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» (распоряжение Р-345 от 28 апреля 2007);
  • СТО БР ИББС-1.22007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006) (распоряжение Р-346 от 28 апреля 2007);
  • РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» (распоряжение Р-348 от 28 апреля 2007);
  • РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0» (распоряжение Р-347 от 28 апреля 2007). 
Но в то же время Стандарт не был просто бумагой, содержащей требования по информационной безопасности. Он инициировал процесс формирования сообщества банковских безопасников. Бороться с современными вызовами информационной безопасности можно только сообща, и сильная корпорация банковских безопасников является хорошим подспорьем. Сейчас у нас есть и FinCERT, и Клуб «Анти-фрод». Но не будем забывать, что когда-то это все начиналось со Стандарта и Сообщества «ABISS» как инструмента его продвижения.
 
В настоящее время Стандарт переходит на новый уровень. На его основе подготовлен проект национального стандарта, предназначенный для применения в соответствии с действующим законодательством (№184-ФЗ от 2002 года «О техническом регулировании» и №162-ФЗ от 2015 года «О стандартизации»).

Комментарий



Андрей Курило,

доцент Финансового Университета при правительстве РФ, председатель комитета по информационной безопасности  НП НСФР, кандидат технических наук
 
Идея создания для банковской системы единого набора требований по информационной безопасности и как следствие единого и универсального набора критериев оценки уровня информационной безопасности кредитной организации возникла еще в 2000 году.

Банк России провел работу по изучению данного вопрос в ряде ведущих зарубежных банках, были изучены все имеющиеся на то время зарубежные национальные и международные стандарты, стандарты аудита. Нам стало понятно, с учетом общего состояния вопроса в стране и в банковском сообществе, а также существующего нормативно - правового поля, опираться на зарубежные стандарты путем их прямого заимствования нецелесообразно и неправильно. В первую очередь это было связано с тем, что реализация в полном объеме требований имевшихся на то время международно признанных стандартов безопасности BSI 7799 и ISO 27001 была крайне затруднительна для кредитных организаций. Поэтому специалисты Банка России пришли к выводку о необходимости разработки, с учетом положений указанных стандартов, собственного комплекта документов, с включением в него идеологии стандартов качества ISO 9000 и стандарта аудита COBIT в части использования рейтингового подхода к оценке достигнутого уровня безопасности, известного как «шкала зрелости». Как показала дальнейшая практика, такой подход оказался верным и позволил провести в банковской системе Российской Федерации радикальное улучшение положения дел. С удовлетворением следует сказать, что по уровню глубины проникновения стандартов в среду регулирования, комплекс стандартов Банка России СТО ИББС занимает одно из первых мест. Новый мощный толчок этой теме придал Федеральный Закон «О Стандартизации в Российской Федерации», в соответствии с которым появилась возможность после перевода стандартов предприятия, которыми являются стандарты комплекса СТО ИББС в статус государственных стандартов включать их требования в состав нормативных документов Банка России. Таким образом будет преодолено известное противоречие между рекомендательным статусом стандарта обязательностью требований безопасности, включенных в него.