08.07.2014

Изменения СТО БР ИББС 2014: вопросы и ответы

kanshina_m

Автор: Мария Каншина

Должность: старший аудитор отдела безопасности банковских систем компании «Информзащита»

1 июня 2014 года вступили в действие новые редакции стандартов СТО БР ИББС 1.0 «Общие положения» (далее – СТО БР ИББС 1.0) и СТО БР ИББС 1.2. «Методика оценки соответствия» (далее – СТО БР ИББС 1.2). По состоянию на 1.04.2014, согласно опубликованным на сайте ЦБ РФ данным, 546 кредитных организаций приняли решение о введении в действие комплекса БР ИББС. Более трехсот из них отчитались о проведении оценки соответствия либо в форме самооценки, либо в форме оценки сторонней организацией. Наверняка у руководителей подразделений ИБ этих кредитных организаций в связи с выходом новых версий СТО БР ИББС 1.0 и СТО БР ИББС 1.2 возникли следующие вопросы: 

  • В какую сторону теперь изменится уровень соответствия нашей организации требованиям Стандарта?  Какие в связи с этим действия в первую очередь следует предпринять?
  • Что теперь делать с защитой персональных данных при их обработке в ИСПДн?
  • Что будет, если «наш» уровень соответствия ниже рекомендуемого?

Разберем каждый из этих вопросов по порядку.

1. В какую сторону теперь изменится уровень соответствия нашей организации требованиям Стандарта? Какие в связи с этим действия в первую очередь следует предпринять?

Чтобы оценить, каким образом новые требования и новая методика повлияют на уровень соответствия ИБ требованиям СТО БР ИББС 1.0., мы решили пересчитать результаты для двух завершенных компанией «Информзащита» проектов по проведению оценки соответствия требованиям СТО БР ИББС 1.0. В качестве примера возьмем кредитные организации и банки с итоговыми оценками уровней соответствия СТО БР ИББС 2010 – 4 и 3, как наиболее распространенные. Пересчет результатов в соответствии с новой методикой будем проводить, предполагая, что все новые требования выполняются полностью, т.е. по соответствующим частным показателям выставляется 1.

 Итак, для Банка А, по итогам проведенной оценки соответствия СТО БР ИББС1.0. 2010 получившего 4-й уровень соответствия, получаем следующие результаты при пересчете:

 expert_08_07_2014_1
expert_08_07_2014_2

Для Банка Б, который получил 3-й уровень соответствия СТО БР ИББС 1.0 2010, получаем такие результаты при пересчете:

  expert_08_07_2014_3
expert_08_07_2014_4

Как видим, в обоих случаях общий уровень соответствия, а также оценки по разным направлениям понизились, даже несмотря на предположение, что все новые требования выполняются полностью. Это объясняется двумя факторами:

  • Изменилась математика для подсчета результатов
  • Изменились критерии оценки показателей: оценка «0» выставляется по показателям (1 и 2 категория проверок) если требования показателя не определены во внутренних документах организации БС РФ.

Вывод:

Банкам, которые ранее провели оценку соответствия требованиям Стандарта версии 2010 г., нужно быть готовыми к тому, что уровень соответствия ИБ требованиям новой версии стандарта может оказаться на 1 балл ниже. Повышение уровня  невозможно без совершенствования внутренней нормативной базы по направлениям деятельности ИБ.

Поэтому, первое, что нужно будет сделать тем, кто хочет избежать понижения оценок –   доработать внутренние политики  и процедуры ИБ. 

По опыту проектов, выполненных компанией «Информзащита», наиболее проблемными с точки зрения выполнения требований к документированию являются следующие разделы СТО БР ИББС:

  • Управление рисками нарушения ИБ
  • Обеспечение ИБ при назначении и распределении ролей и обеспечение доверия к персоналу
  • Обеспечение ИБ на всех стадиях жизненного цикла АБС
  • Определение/коррекция области действия СОИБ
  • Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ
  • Организация обнаружения и реагирования на инциденты безопасности
  • Организация обеспечения непрерывности бизнеса и его восстановления после прерываний
  • Мониторинг ИБ и контроль защитных мер.

При этом, качественное описание процедур по этим направлениям положительно скажется не только на уровне соответствия требованиям СТО БР ИББС, но и на общем состоянии системы обеспечения ИБ.

Как можно повысить качество документированных процедур ИБ? Лучшие практики по описанию процессов говорят о том, что для любого процесса должны быть определены следующие критерии:

  • Вход процесса (информация и ресурсы, необходимые для старта процесса)
  • Выход процесса (что мы получим в результате процесса)
  • Роли участников процесса и зоны их ответственности
  • Описание шагов (работ или операций) процесса
  • KPI процесса
  • Перечень и шаблоны записей по процессу.

Процессы ИБ следует проектировать, оптимизируя состав, последовательность процедур, исключая узкие места, выстраивая интерфейсы с другими процессами организации. Для этого полезно использовать диаграммы и таблицы: 

Рисунок 1. Пример Диаграммы процесса ИБ

 expert_08_07_2014_5

 

Таблица1. Пример табличного описания процесса ИБ

expert_08_07_2014_6

2. Что делать с защитой ПДн?

Гораздо проще дела обстоят с вопросом о защите персональных данных при выполнении требований новой редакции Стандарта:

  1. Письма «шестерых» теперь нет
  2. Разделы требований и групповые показатели, касающиеся обработки ПДн, были переработаны с учетом Постановления Правительства РФ от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” и приказа ФСТЭК  от 18 февраля 2013 года №21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.

Таким образом, в вопросе защиты ПДн при их обработке в ИСПДн у банков теперь есть только один путь – выполнять требования ПП №1119 и приказа ФСТЭК №21.

3. Что будет, если уровень соответствия нашей организации ниже рекомендуемого ЦБ?

Стандарт и другие нормативные документы ЦБ РФ не устанавливают санкции за недостижение рекомендуемого 4-го уровня соответствия. Теперь же из отчета о проведенной оценке соответствия СТО БР ИББС регулятор может получить информацию о невыполнении отдельных требований 382-П. (Приложение В СТО БР ИББС 1.2. 2014 содержит Таблицу соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года № 382-П и учитываемых при оценивании частных показателей). В нашей практике мы сталкивались со случаями, когда после получения неудовлетворительных результатов оценки соответствия 382-п, Центробанк направлял в кредитные организации предписание об устранении несоответствий, в отдельных случаях указывая сроки устранения несоответствий.