СТО БР ИББС

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства.

Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.

Содержание

1 Темпы присоединения
2 Состав
3 Безопасность персональных данных
4 Система обеспечения информационной безопасности
5 Методика оценки соответствия стандарту Банка России
6 Программные комплексы оценки соответствия
7 Примечания
8 Ссылки

Темпы присоединения

По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки)^[1].

Продвиджением стандарта, а также его регулярным обновлением и улучшением занимается некоммерческое партнерство ABISS^[2].

Состав

В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть Комплексом БР ИББС):

СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)».
СТО БР ИББС-1.1-2007. «Аудит информационной безопасности».
СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)».

Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:

РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0».
РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности».
РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности».
РС БР ИББС-2.6-2014. «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».
РС БР ИББС-2.7-2015. «Ресурсное обеспечение информационной безопасности».
РС БР ИББС-2.8-2015. «Обеспечение информационной безопасности при использовании технологии виртуализации».
РС БР ИББС-2.9-2016. «Предотвращение утечек информации».

Предложения по улучшению и информацию об ошибках в документах Комплекса БР ИББС можно направить в Банк России с использованием интернет-приемной Банка России.

Следующие рекомендации в области стандартизации выведены из действия по состоянию на 01.06.2014:

РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».
РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

Безопасность персональных данных

Основная статья: Федеральный закон «О персональных данных»

Июльская поправка (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).

Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:

федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
под понятие информационной системы персональных данных, приведенное в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).

Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идее создания отраслевого стандарта.

В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.

Система обеспечения информационной безопасности

В основу СОИБ заложен Цикл Деминга, используемый в управлении качеством.

Основными этапами обеспечения ИБ считаются:

Планирование СОИБ;
Реализация СОИБ;
Проверка СОИБ;
Совершенствование СОИБ.

Методика оценки соответствия стандарту Банка России

Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с защитой персональных данных.

Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R. Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).

Выделяют 6, начиная с нулевого, уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.

Программные комплексы оценки соответствия

Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:

Bank Security Assessment Tool (BSAT) компании «ЛитСофт»^[3].
ExactFlow — Оценка соответствия, компании «PACIFICA»^[4].
ISM Revision: Audit Manager компании «ISM SYSTEMS»^[5].
MaxPatrol компании «Positive Technologies»К:Википедия:Статьи без источников (тип: не указан)^{[источник не указан 3980 дней]}.
Еstimatе Tооl НПФ «Кристалл»^[4].
СТО БР Аудитор компании «Инлайн Технолоджис»К:Википедия:Статьи без источников (тип: не указан)^{[источник не указан 3980 дней]}.
DS Audit компании «Датасекьюрити»^[6].

Напишите отзыв о статье "СТО БР ИББС"

Примечания

↑ [www.ib-bank.ru/arhiv/05/01/kurilo.rar Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации.] (рус.). [www.webcitation.org/69MP5qGlo Архивировано из первоисточника 23 июля 2012].
↑ [www.leta.ru/services/compliance/Standart-Banka-Rossii-STO-BR-IBBS.html Обеспечение соответствия требованиям СТО БР ИББС] (рус.). Группа компаний «LETA». Проверено 5 августа 2013. [www.webcitation.org/6JFniXd9H Архивировано из первоисточника 30 августа 2013].
↑ [www.leetsoft.ru/bsat/ BSAT] (рус.). «ЛитСофт». [www.webcitation.org/6GvUeLP3J Архивировано из первоисточника 27 мая 2013].
↑ ¹ ² [www.abiss.ru/activities/conformity-assessment/ ПО для оценки соответствия] (рус.). ABISS. [www.webcitation.org/6GvUfBVf7 Архивировано из первоисточника 27 мая 2013].
↑ [www.ismsys.ru/audit-manager ISM Revision: Audit Manager предназначен для управления программой аудитов и самооценок в Банке в соответствии с требованиями СТО БР ИББС-1.0.] (рус.). «ISM SYSTEMS». [www.webcitation.org/6GvUftTtg Архивировано из первоисточника 27 мая 2013].
↑ [www.datasec.ru/news/48/ Новое решение DS Audit поможет оценить уровень безопасности банков] (рус.). ООО «ДатаСек Текнолоджиз». [www.webcitation.org/6GvUgvaaz Архивировано из первоисточника 27 мая 2013].

Ссылки

[www.cbr.ru/credit/Gubzi_docs/ Информационная безопасность организаций банковской системы Российской Федерации]
[www.abiss.ru Сайт сообщества пользователей стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards)]. [www.webcitation.org/67c3TVVim Архивировано из первоисточника 13 мая 2012].

Отрывок, характеризующий СТО БР ИББС

22 го числа, в полдень, Пьер шел в гору по грязной, скользкой дороге, глядя на свои ноги и на неровности пути. Изредка он взглядывал на знакомую толпу, окружающую его, и опять на свои ноги. И то и другое было одинаково свое и знакомое ему. Лиловый кривоногий Серый весело бежал стороной дороги, изредка, в доказательство своей ловкости и довольства, поджимая заднюю лапу и прыгая на трех и потом опять на всех четырех бросаясь с лаем на вороньев, которые сидели на падали. Серый был веселее и глаже, чем в Москве. Со всех сторон лежало мясо различных животных – от человеческого до лошадиного, в различных степенях разложения; и волков не подпускали шедшие люди, так что Серый мог наедаться сколько угодно.
Дождик шел с утра, и казалось, что вот вот он пройдет и на небе расчистит, как вслед за непродолжительной остановкой припускал дождик еще сильнее. Напитанная дождем дорога уже не принимала в себя воды, и ручьи текли по колеям.
Пьер шел, оглядываясь по сторонам, считая шаги по три, и загибал на пальцах. Обращаясь к дождю, он внутренне приговаривал: ну ка, ну ка, еще, еще наддай.
Ему казалось, что он ни о чем не думает; но далеко и глубоко где то что то важное и утешительное думала его душа. Это что то было тончайшее духовное извлечение из вчерашнего его разговора с Каратаевым.
Вчера, на ночном привале, озябнув у потухшего огня, Пьер встал и перешел к ближайшему, лучше горящему костру. У костра, к которому он подошел, сидел Платон, укрывшись, как ризой, с головой шинелью, и рассказывал солдатам своим спорым, приятным, но слабым, болезненным голосом знакомую Пьеру историю. Было уже за полночь. Это было то время, в которое Каратаев обыкновенно оживал от лихорадочного припадка и бывал особенно оживлен. Подойдя к костру и услыхав слабый, болезненный голос Платона и увидав его ярко освещенное огнем жалкое лицо, Пьера что то неприятно кольнуло в сердце. Он испугался своей жалости к этому человеку и хотел уйти, но другого костра не было, и Пьер, стараясь не глядеть на Платона, подсел к костру.
– Что, как твое здоровье? – спросил он.
– Что здоровье? На болезнь плакаться – бог смерти не даст, – сказал Каратаев и тотчас же возвратился к начатому рассказу.
– …И вот, братец ты мой, – продолжал Платон с улыбкой на худом, бледном лице и с особенным, радостным блеском в глазах, – вот, братец ты мой…
Пьер знал эту историю давно, Каратаев раз шесть ему одному рассказывал эту историю, и всегда с особенным, радостным чувством. Но как ни хорошо знал Пьер эту историю, он теперь прислушался к ней, как к чему то новому, и тот тихий восторг, который, рассказывая, видимо, испытывал Каратаев, сообщился и Пьеру. История эта была о старом купце, благообразно и богобоязненно жившем с семьей и поехавшем однажды с товарищем, богатым купцом, к Макарью.
Остановившись на постоялом дворе, оба купца заснули, и на другой день товарищ купца был найден зарезанным и ограбленным. Окровавленный нож найден был под подушкой старого купца. Купца судили, наказали кнутом и, выдернув ноздри, – как следует по порядку, говорил Каратаев, – сослали в каторгу.
– И вот, братец ты мой (на этом месте Пьер застал рассказ Каратаева), проходит тому делу годов десять или больше того. Живет старичок на каторге. Как следовает, покоряется, худого не делает. Только у бога смерти просит. – Хорошо. И соберись они, ночным делом, каторжные то, так же вот как мы с тобой, и старичок с ними. И зашел разговор, кто за что страдает, в чем богу виноват. Стали сказывать, тот душу загубил, тот две, тот поджег, тот беглый, так ни за что. Стали старичка спрашивать: ты за что, мол, дедушка, страдаешь? Я, братцы мои миленькие, говорит, за свои да за людские грехи страдаю. А я ни душ не губил, ни чужого не брал, акромя что нищую братию оделял. Я, братцы мои миленькие, купец; и богатство большое имел. Так и так, говорит. И рассказал им, значит, как все дело было, по порядку. Я, говорит, о себе не тужу. Меня, значит, бог сыскал. Одно, говорит, мне свою старуху и деток жаль. И так то заплакал старичок. Случись в их компании тот самый человек, значит, что купца убил. Где, говорит, дедушка, было? Когда, в каком месяце? все расспросил. Заболело у него сердце. Подходит таким манером к старичку – хлоп в ноги. За меня ты, говорит, старичок, пропадаешь. Правда истинная; безвинно напрасно, говорит, ребятушки, человек этот мучится. Я, говорит, то самое дело сделал и нож тебе под голова сонному подложил. Прости, говорит, дедушка, меня ты ради Христа.
Каратаев замолчал, радостно улыбаясь, глядя на огонь, и поправил поленья.
– Старичок и говорит: бог, мол, тебя простит, а мы все, говорит, богу грешны, я за свои грехи страдаю. Сам заплакал горючьми слезьми. Что же думаешь, соколик, – все светлее и светлее сияя восторженной улыбкой, говорил Каратаев, как будто в том, что он имел теперь рассказать, заключалась главная прелесть и все значение рассказа, – что же думаешь, соколик, объявился этот убийца самый по начальству. Я, говорит, шесть душ загубил (большой злодей был), но всего мне жальче старичка этого. Пускай же он на меня не плачется. Объявился: списали, послали бумагу, как следовает. Место дальнее, пока суд да дело, пока все бумаги списали как должно, по начальствам, значит. До царя доходило. Пока что, пришел царский указ: выпустить купца, дать ему награждения, сколько там присудили. Пришла бумага, стали старичка разыскивать. Где такой старичок безвинно напрасно страдал? От царя бумага вышла. Стали искать. – Нижняя челюсть Каратаева дрогнула. – А его уж бог простил – помер. Так то, соколик, – закончил Каратаев и долго, молча улыбаясь, смотрел перед собой.
Не самый рассказ этот, но таинственный смысл его, та восторженная радость, которая сияла в лице Каратаева при этом рассказе, таинственное значение этой радости, это то смутно и радостно наполняло теперь душу Пьера.

– A vos places! [По местам!] – вдруг закричал голос.
Между пленными и конвойными произошло радостное смятение и ожидание чего то счастливого и торжественного. Со всех сторон послышались крики команды, и с левой стороны, рысью объезжая пленных, показались кавалеристы, хорошо одетые, на хороших лошадях. На всех лицах было выражение напряженности, которая бывает у людей при близости высших властей. Пленные сбились в кучу, их столкнули с дороги; конвойные построились.
– L'Empereur! L'Empereur! Le marechal! Le duc! [Император! Император! Маршал! Герцог!] – и только что проехали сытые конвойные, как прогремела карета цугом, на серых лошадях. Пьер мельком увидал спокойное, красивое, толстое и белое лицо человека в треугольной шляпе. Это был один из маршалов. Взгляд маршала обратился на крупную, заметную фигуру Пьера, и в том выражении, с которым маршал этот нахмурился и отвернул лицо, Пьеру показалось сострадание и желание скрыть его.
Генерал, который вел депо, с красным испуганным лицом, погоняя свою худую лошадь, скакал за каретой. Несколько офицеров сошлось вместе, солдаты окружили их. У всех были взволнованно напряженные лица.
– Qu'est ce qu'il a dit? Qu'est ce qu'il a dit?.. [Что он сказал? Что? Что?..] – слышал Пьер.
Во время проезда маршала пленные сбились в кучу, и Пьер увидал Каратаева, которого он не видал еще в нынешнее утро. Каратаев в своей шинельке сидел, прислонившись к березе. В лице его, кроме выражения вчерашнего радостного умиления при рассказе о безвинном страдании купца, светилось еще выражение тихой торжественности.
Каратаев смотрел на Пьера своими добрыми, круглыми глазами, подернутыми теперь слезою, и, видимо, подзывал его к себе, хотел сказать что то. Но Пьеру слишком страшно было за себя. Он сделал так, как будто не видал его взгляда, и поспешно отошел.
Когда пленные опять тронулись, Пьер оглянулся назад. Каратаев сидел на краю дороги, у березы; и два француза что то говорили над ним. Пьер не оглядывался больше. Он шел, прихрамывая, в гору.
Сзади, с того места, где сидел Каратаев, послышался выстрел. Пьер слышал явственно этот выстрел, но в то же мгновение, как он услыхал его, Пьер вспомнил, что он не кончил еще начатое перед проездом маршала вычисление о том, сколько переходов оставалось до Смоленска. И он стал считать. Два французские солдата, из которых один держал в руке снятое, дымящееся ружье, пробежали мимо Пьера. Они оба были бледны, и в выражении их лиц – один из них робко взглянул на Пьера – было что то похожее на то, что он видел в молодом солдате на казни. Пьер посмотрел на солдата и вспомнил о том, как этот солдат третьего дня сжег, высушивая на костре, свою рубаху и как смеялись над ним.

[1] [www.ib-bank.ru/arhiv/05/01/kurilo.rar Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации.] (рус.). [www.webcitation.org/69MP5qGlo Архивировано из первоисточника 23 июля 2012].

[2] [www.leta.ru/services/compliance/Standart-Banka-Rossii-STO-BR-IBBS.html Обеспечение соответствия требованиям СТО БР ИББС] (рус.). Группа компаний «LETA». Проверено 5 августа 2013. [www.webcitation.org/6JFniXd9H Архивировано из первоисточника 30 августа 2013].

[3] [www.leetsoft.ru/bsat/ BSAT] (рус.). «ЛитСофт». [www.webcitation.org/6GvUeLP3J Архивировано из первоисточника 27 мая 2013].

[ABISS-4] ¹ ² [www.abiss.ru/activities/conformity-assessment/ ПО для оценки соответствия] (рус.). ABISS. [www.webcitation.org/6GvUfBVf7 Архивировано из первоисточника 27 мая 2013].

[5] [www.ismsys.ru/audit-manager ISM Revision: Audit Manager предназначен для управления программой аудитов и самооценок в Банке в соответствии с требованиями СТО БР ИББС-1.0.] (рус.). «ISM SYSTEMS». [www.webcitation.org/6GvUftTtg Архивировано из первоисточника 27 мая 2013].

[6] [www.datasec.ru/news/48/ Новое решение DS Audit поможет оценить уровень безопасности банков] (рус.). ООО «ДатаСек Текнолоджиз». [www.webcitation.org/6GvUgvaaz Архивировано из первоисточника 27 мая 2013].

[1]

[2]

[3]

[4]

[5]

[6]