Обеспечение соответствия требованиям СТО БР ИББС

Стандарт Банка России по обеспечению ИБ организаций банковской системы Российской Федерации (далее - СТО БР ИББС 1.0-2010) позволяет создать систему обеспечения информационной безопасности (СОИБ).

СТО БР ИББС 1.0-2010 учитывает лучшие мировые практики менеджмента ИБ, требования российского законодательства (включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»), а также отраслевую специфику организаций банковской системы Российской Федерации (далее - БС РФ).

СТО БР ИББС 1.0-2010 разработан с целью:

• развития и укрепления БС РФ;
• повышения доверия к БС РФ;
• поддержания стабильности организаций БС РФ и на этой основе – стабильности БС РФ в целом;
•  достижения адекватности мер защиты реальным угрозам ИБ;
•  предотвращения и (или) снижения ущерба от инцидентов ИБ.

Для выполнения поставленных задач сообщество ABISS проводит регулярное обновление и улучшение стандарта.

После принятия Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Ассоциация российских банков, Банк России и сообщество ABISS организовали рабочую группу по доработке существующей версии стандарта и выработке рекомендаций по выполнению требований указанного закона. В результате был разработан Комплекс БР ИББС, содержащий требования по защите ПДн, учитывающие отраслевую специфику организаций БС РФ. Документы были согласованы с органами государственного контроля и регулирования вопросов обеспечения безопасности ПДн – ФСБ России, Роскомнадзором и ФСТЭК России.

В настоящее время для многих банков остается не актуальным вопрос по обеспечению безопасности ПДн в соответствии с требованиями законодательства. Согласно направленному от имени ЦБ РФ в адрес всех организаций БС РФ так называемого Письма шестерых, всем кредитным организациям рекомендуется ввести Комплекс БР ИББС в качестве обязательного. В случае если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, ФСТЭК России и Роскомнадзора.

В настоящий момент для организаций БС РФ выполнение требований СТО БР ИББС-1.0-2010 является наиболее адекватным способом выполнения требований Федерального закона от 27.07 2006 № 152-ФЗ «О персональных данных».

Построение СОИБ в соответствии с требованиями СТО БР ИББС 1.0-2010 обеспечивает:

• снижение рисков ИБ и повышение эффективности мероприятий по обеспечению ИБ;
• повышение защиты критичных бизнес-процессов и информационных ресурсов заказчика;
• создание основы для реализации требований законодательства и других международных стандартов по ИБ;
•  защиту ПДн в соответствии с требованиями, установленными федеральным законодательством по защите ПДн;
•  подтверждение приверженности организации рекомендуемым требованиям регулятора банковской отрасли РФ – Банка России;
•  повышение доверия к организации со стороны партнеров, клиентов, акционеров.

Оценка соответствия требованиям СТО БР ИББС (аудит)

В рамках услуги специалисты компании LETA проводят оценку степени соответствия требованиям СТО БР ИББС-1.0-2010, т.к. эффективное планирование проекта по внедрению требований СТО БР ИББС-1.0-2010 должно основываться на объективных оценках соответствия ИБ организации положениям стандарта.

Согласно методике, описанной в стандарте, оценка проводится по 34 групповым показателям ИБ. Для более наглядного отображения полученных результатов оценки составляется круговая диаграмма.

Рисунок. Степень выполнения требований СТО БР ИББС-1.0-2010 по 3 ключевым направлениям и 34 групповым показателям в формате диаграммы

По итогам проведенной оценки уровень ИБ организации может быть отнесен к одному из 6 уровней соответствия по положениям СТО БР ИББС-1.0-2010. Банком России рекомендованы уровни 4 и 5.

Одним из результатов проведения внешнего аудита является определение степени выполнения требований СТО БР ИББС-1.2010 по трем направлениям:

• текущий уровень ИБ организации;
• менеджмент ИБ организации;
• уровень осознания ИБ организации.

Полученные сведения о текущем уровне соответствия могут быть использованы менеджментом банковской организации при разработке стратегических планов по повышению уровня соответствия требованиям СТО БР ИББС-1.0-2010 и определении необходимых для этого затрат.

Внедрение СОИБ по требованиям СТО БР ИББС

Универсального подхода по созданию СОИБ не существует. Однако, на основе опыта проведения работ по приведению в соответствие СТО БР ИББС, был разработан типовой подход внедрения СОИБ.

Стадия 1. Предварительная оценка соответствия требованиям Стандарта (предаудит)

• Сбор первичных сведений (путем анкетирования сотрудников Заказчика)
• Анализ предоставленных сведений, подготовка опросных форм и планирование работ
• Сбор и уточнение свидетельств аудита
• Подготовка отчетных материалов по итогам экспресс-оценки

Стадия 2. Инвентаризация информационных активов и оценка рисков ИБ

• Сбор сведений для инвентаризации информационных активов Заказчика
• Анализ собранных сведений и планирование работ на объектах Заказчика
• Проведение работ по инвентаризации активов на объектах Заказчика
• Анализ собранной информации и разработка отчетной документации по результатам инвентаризации
• Разработка отчетной документации по результатам оценки рисков ИБ
• Презентация результатов инвентаризации активов и оценки рисков ИБ

Стадия 3. Проектирование СОИБ в соответствии с требованиями Стандарта

• Разработка технического задания на создание/модернизацию СОИБ
• Разработка технического проекта на модернизацию СОИБ

Стадия 4. Внедрение СОИБ по требованиям Стандарта

• Разработка организационно-распорядительной документации
• Внедрение технических решений в соответствии с техническим проектом на модернизацию СОИБ

Стадия 5. Итоговая оценка соответствия по требованиям Стандарта

• Сбор/предоставление дополнительных сведений для аудита ИБ
• Анализ сведений и планирование работ на объектах Заказчика
• Проведение аудита на месте согласно разработанному Плану
• Анализ собранной информации и разработка отчетной документации

Наиболее оптимальную схему внедрения можно выбрать в рамках предпроектного обследования.

Переход на новую версию СТО БР ИББС

Ряд кредитных организаций уже не первый год проводят мероприятия по приведению СОИБ в соответствие требованиям СТО БР ИББС. Для таких организаций была разработана услуга по переходу на новую версию стандарта. 
 

1. Проведение работ в области защиты персональных данных:

• Инициация проекта и предоставление Заказчиком первичных сведений об объекте обследования (заполнение опросных форм)
• Анализ первичных сведений и планирование работ на объектах Заказчика
• Изучение процессов обработки ПДн на объектах Заказчика
• Анализ собранной информации и разработка отчетной документации
• Разработка проектов организационно-распорядительной документации
• Разработка Эскизного проекта СЗПДн, включающего несколько вариантов проектных решений
• Разработка Технического проекта СЗПДн
• Внедрение средств защиты информации
• Обучение специалистов Заказчика

2. Доработка СОИБ
3. Оценка соответствия требованиям СТО БР ИББС (аудит)

Выполнение требований по защите персональных данных в рамках СТО БР ИББС

Не все кредитные организации готовы приступить к полномасштабному проекту по внедрению СОИБ по требованиям СТО БР ИББС. При этом выполнение требований закона и регуляторов имеют высокий приоритет. Для таких организаций предлагается услуга по выполнению требований по персональным данным в соответствии с СТО БР ИББС. 

1. Экспресс-оценка
2. Проведение работ в области защиты персональных данных:

• Инициация проекта и предоставление Заказчиком первичных сведений об объекте обследования (заполнение опросных форм)
• Анализ первичных сведений и планирование работ на объектах Заказчика
• Изучение процессов обработки ПДн на объектах Заказчика
• Анализ собранной информации и разработка отчетной документации
• Разработка проектов организационно-распорядительной документации
• Разработка Эскизного проекта СЗПДн, включающего несколько вариантов проектных решений
• Разработка Технического проекта СЗПДн
• Внедрение средств защиты информации
• Обучение специалистов Заказчика

3. Оценка соответствия требованиям СТО БР ИББС (аудит)

Необходимость проведения оценки соответствия после стадии «Проведение работ в области защиты персональных данных» определятся дополнительно.