20.10.2014

ОБЛАСТЬ ПРИМЕНЕНИЯ СТО БР ИББС ПЛАНИРУЕТСЯ РАСШИРИТЬ

kanshina_m

Автор: Мария Каншина

Должность: старший аудитор отдела безопасности банковских систем компании «Информзащита»

Как сообщает BISA, в блоге бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого опубликован утвержденный план деятельности ТК122 – технического комитета по стандартизации в финансовой сфере. В этом плане намечено распространить действие стандарта СТО БР ИББС (он по-прежнему остается рекомендательным) на все подконтрольные ЦБ финансовые организации – ранее данный стандарт относился только к кредитным организациям. Кроме того, предполагается пересмотреть СТО БР ИББС для обеспечения его соответствия новым технологическим реалиям и разработать ряд стандартов на средства защиты в финансовой сфере (стандартов на предотвращение утечек информации, противодействие мошенничеству при переводе денежных средств, на распределение ролей в ИБ-области, обеспечение ИБ в облаках и при аутсорсинге). Таким образом, планируется создать отраслевую систему требований к информационной безопасности, которая частично повторяет аналогичную систему, создаваемую ФСТЭК.

 Касательно некредитных финансовых организаций (НФО): если область действия СТО БР ИББС стандарта будет расширена, то у НФО появится возможность применять практики, описанные в СТО БР ИББС. Однако пока что Стандарт даже для банков носит исключительно рекомендательный характер. И пока его статус не изменится, регулярно будут подниматься 3 основных вопроса:

  1.  Зачем некредитным финансовым организациям внедрять у себя СТО БР на добровольной основе?
  2. Каким образом будет организован контроль ЦБ за организациями, которые все-таки примут такое решение? (не будем забывать об ограниченности ресурсов самого ЦБ для осуществления контроля, проведения проверок и других мер).
  3. Что будет с теми, кто решит не внедрять у себя требования СТО БР ИББС? Например, известна такая практика: при проведении ежегодных проверок в банках, в независимости от того, приняла ли банковская организация решение о присоединении к требованиям стандарта или нет, случается, что проверяющие интересуются степенью реализации его требований.

И, возможно, расширение области действия СТО БР ИББС на некредитные финансовые организации – это первый небольшой шаг к превращению рекомендательного стандарта в обязательный. Тем более, что в состав ТК-122 входят представители нескольких крупнейших российских банков, которые приняли решение по внедрению СТО БР. По состоянию на 1.09.2014 г., всего 542 банка направили в ЦБ уведомление о принятии решения о введении требований СТО БР ИББС .

 Что касается рекомендаций по стандартизации, то из всего перечня наиболее ожидаемыми для банков могут стать:

  • РС 2.7. Рекомендации по ресурсному обеспечению. Нехватка ресурсов и проблема их обоснования – то, с чем приходится сталкиваться большинству банковских организаций. А в контексте распределения человеческих ресурсов также будут очень интересны РС по распределению ролей в области ИБ.
  • РС по обеспечению ИБ в облаках и при аутсорсинге. Возможно, в этом документе банки увидят подход к процессу управления отношениями с поставщиками услуг с точки зрения ИБ: критерии выбора поставщиков сервисов, подходы к осуществлению мониторинга и контроля поставщиков услуг, и т.д. Не будем забывать, что в области безопасности облачных сервисов много трудностей лежит в организационной и юридической плоскости, и касаются они вопросов распределения ответственности между участниками процесса предоставления услуг.

 Судя по общему набору уже выпущенных и планируемых к выпуску рекомендаций по стандартизации, а также планов по расширению области применения СТО БР ИББС, возможно в будущем, в параллель со ФСТЭК, появится еще один глобальный регулятор – в области информационной безопасности в финансовой сфере.