Система обеспечения информационной безопасности организаций банковской сферы. Комплекс БР ИББС: новая версия (Е. Заяц, "Бухгалтерия и банки", N 10, октябрь 2010 г.)

Система обеспечения информационной безопасности организаций банковской сферы. Комплекс БР ИББС: новая версия

Процесс информатизации не только предоставляет новые возможности для ведения бизнеса, но и приносит новые угрозы, повышая значимость вопросов обеспечения информационной безопасности для стабильности любого современного бизнеса, не говоря уже о банковской сфере, острота и критичность вопросов обеспечения информационной безопасности которой связана со спецификой отрасли.

Следствием понимания того, что уязвимость отдельных организаций, входящих в банковскую систему, может негативно сказаться на всём банковском сообществе России, стало создание в 2004 году ЦБ РФ совместно с банковским сообществом первого отраслевого стандарта в области информационной безопасности - "Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2004".

Основанный на международных подходах, стандарт определил основные требования к структуре и основным элементам системы обеспечения информационной безопасности банковской организации.

Данный стандарт, несмотря на его рекомендательный характер, стал основой для формирования нормативно-методической базы по построению систем обеспечения информационной безопасности и одним из первоочередных документов для организаций банковской системы Российской Федерации.

Возросшая в последнее время актуальность вопросов обеспечения информационной безопасности обусловлена не только развитием технологий и возросшим числом угроз, но и появлением новых законодательных требований.

На этом фоне новая, уже четвёртая, версия СТО БР ИББС-1.0 от 2010 года - стала, пожалуй, самой ожидаемой и долгожданной.

Большой интерес вызван в основном появлением в стандарте требований по защите персональных данных, позволяющих организациям банковской системы Российской Федерации выполнять требования Федерального закона от 27.07.06 N 152-ФЗ "О персональных данных", а также требования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Теперь базовый отраслевой стандарт в области информационной безопасности, базирующийся на лучших практиках и принципах международных стандартов, позволяет организациям, внедрившим его, не только построить эффективную систему обеспечения информационной безопасности, но и руководствоваться им при проведении работ в соответствии с законодательными требованиями Российской Федерации по защите информации, отнесённой к персональным данным, банковской и коммерческой тайне.

Кроме того, новая версия стандарта согласована с регуляторами - Роскомнадзором, ФСБ и ФСТЭК России.

Помимо четвёртой редакции СТО БР ИББС-1.0 - в части требований по обработке и обеспечению безопасности персональных данных была доработана и методика оценки соответствия (СТО БР ИББС-1.2-2010).

Кроме того, комплекс БР ИББС пополнился новыми документами, это:

- рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4);

- рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.3).

Также совместно Банком России, АРБ и Ассоциацией региональных банков России (ассоциацией "Россия") были разработаны Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации.

Документы комплекса БР ИББС разъяснили и адаптировали положения законодательства и требования регуляторов в области обеспечения безопасности персональных данных с учётом отраслевой специфики и содержат рекомендации по созданию адекватной системы защиты персональных данных в рамках системы обеспечения информационной безопасности. Важно и то, что документы стандарта значительно упрощают требования к информационным системам персональных данных в сравнении с требованиями регуляторов.

Теперь комплекс БР ИББС - единый отраслевой набор документов по построению системы обеспечения информационной безопасности, соответствующий законодательным и отраслевым требованиям, согласованный со всеми регуляторами, содержащий отраслевую модель угроз и шаблоны всех необходимых внутренних организационно-распорядительных документов.

Внедрение комплекса БР ИББС даёт возможность выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление и ликвидацию различных видов угроз информационной безопасности, а также организацию эффективно функционирующей системы обеспечения информационной безопасности, соответствующей требованиям стандарта Банка России и Федерального закона "О персональных данных". Предлагаемый комплексный подход позволяет создать современную эффективную систему, которая отвечает всем основным требованиям в области информационной безопасности и при этом не содержит жёстких требований к применяемым организационным мерам и техническим средствам.

Теперь у организаций банковской системы для обеспечения соответствия законодательным требованиям в области персональных данных есть два возможных пути:

- принять для себя комплекс БР ИББС обязательным и приступить к построению системы обеспечения информационной безопасности;

- выполнять требования регуляторов (Роскомнадзора, ФСТЭК и ФСБ России).

Признание комплекса БР ИББС обязательным к исполнению позволяет значительно сократить финансовые и ресурсные затраты на создание системы защиты персональных данных и одновременно обеспечить соответствие признанному отраслевому стандарту. В случае принятия в банке комплекса БР ИББС необходимо выполнить следующие действия:

- предварительная оценка соответствия. Целью данного этапа является оценка текущего состояния информационной безопасности, выявление несоответствий требованиям стандарта;

- внедрение. В рамках данного этапа осуществляются работы по определению информационных активов, подлежащих защите, оценке актуальных угроз и рисков, разработке комплекта нормативной и регламентирующей документации, внедрению необходимых технических средств защиты;

- оценка соответствия. Данный этап является необходимым для оценки достигнутого уровня соответствия требованиям стандарта. По результатам выпускается документ "Подтверждение соответствия стандарту Банка России СТО БР ИББС-1.0-2010", который должен быть направлен не позже 31 декабря 2010 года в адрес Банка России, Роскомнадзора, ФСТЭК России и ФСБ России.

В новой версии стандарта банковское сообщество получило единые адаптированные отраслевые требования в области информационной безопасности, которые позволяют реализовать единый комплекс мер, соответствующий основным законодательным и отраслевым требованиям.

Е. Заяц,

консультант по информационной

безопасности ЗАО "ДиалогНаука"

"Бухгалтерия и банки", N 10, октябрь 2010 г.