Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 вводятся в действие с 1 июня 2014 года:
Попутно с 1-го июня отменяются предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз).
К сожалению, у Банка России нет привычки выпускать вместе с новыми стандартами документ, описывающий изменения по сравнению с предыдущей версией (такое есть, например, у PCI Council). Поэтому приходится глазами пробегать по двум версиям, чтобы отметить изменения. Посимвольно я не сравнивал, поэтому мой экспресс-анализ не претендует на полноту, но я обратил внимание на следующие изменения:
- пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (регистрационный номер СТО БР ИББС-1.0-2014)
- четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014)
- рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (регистрационный номер РС БР ИББС-2.5-2014).
Попутно с 1-го июня отменяются предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз).
К сожалению, у Банка России нет привычки выпускать вместе с новыми стандартами документ, описывающий изменения по сравнению с предыдущей версией (такое есть, например, у PCI Council). Поэтому приходится глазами пробегать по двум версиям, чтобы отметить изменения. Посимвольно я не сравнивал, поэтому мой экспресс-анализ не претендует на полноту, но я обратил внимание на следующие изменения:
- Появилось 4 новых термина.
- Малость перегрупированы требования разделов, которые раньше входили в состав того или иного пункта, а сейчас выделены отдельно. Это поменяло всю нумерацию, что приводит к необходимости к переделке всех матриц соответствия (mapping), которые делались к предыдущей версии стандарта. Несмертельно, но неприятно.
- Добавилось требование регулярного пересмотра модели угроз (п.6.12).
- В список защищаемой попала информация по 382-П (п.7.1.9).
- Расширен раздел 7.3 по общим требованиям по ИБ АБС на стадиях жизненного цикла. Сама РС по непонятным причинам пока не принята, хотя и была разработана и одобрена на заседании ТК122 в январе 2014-го года.
- Раздел 7.4 по управлению доступом и регистрацией также претерпел изменения. Уточнен перечень процедур по управлению доступом, которые должны быть определены, выполняться, регистрироваться и контролироваться. Также уточнен список процедур по мониторингу ИБ. Появилось требование регламентации сегментации сетей (включая и среды виртуализации). Уточнен список операций в ДБО, требующих регистрации (по аналогии с 382-П). Введено требование регламентации использования съемных носителей. Появились требования использования защищенных сетевых протоколов (не обязательно с помощью сертицифированных СКЗИ) при выходе за пределы контролируемой зоны.
- Раздел 7.5 по антивирусной защите пересмотрен незначительно. Гораздо больше по этому вопросу написано в 49-Т.
- Претерпел изменения, но небольшие, и раздел 7.6 по безопасности Интернет и, особенно, ДБО.
- Раздел 7.7 по применению СКЗИ остался неизменным - по-прежнему требуется применение СКЗИ класса не ниже КС2 (прощай мобильные устройства).
- Раздел 7.8 по ИБ банковских платежных процессов почти не поменялся, а вот раздел 7.9 по ИБ банковских информационных технологических процессов урезали вдвое.
- Раздел 7.10 с общими требованиями по обработке ПДн привели в соответствие с последней редакцией ФЗ-152. А вот раздел 7.11 по ИБ банковских технологических процессов, в которых обрабатываются ПДн, переработали сильно. Много отсылок на ПП-1119. Угрозы утечки ПДн по техническим каналам, а также угрозы 1-го и 2-го типа признаются неактуальными. Сертифицированные СЗИ не требуются, а если и будут применяться, то в соответствие с приказом ФСТЭК №21. По сути это единственное упоминание этого приказа. На мой взгляд, эта коллизия (все-таки 21-й приказ имеет большую юридическую силу, чем СТО) может быть разрешена (и то частично) только принятием очередной версии "письма шести", разговоры о которой ведутся давно.
- Разделы 8.1 и 8.2 не менялись, а вот 8.3 по области действия СМИБ претерпел некоторые текстовые изменения (по сути все осталось тем же самым).
- Из раздела 8.4 почему-то исчезло требование создания и поддержания базы инцидентов (скорее всего потому, что этой теме посвящена отдельная РС 2.5).
- Остальные разделы 8-й части СТО почти не поменялись, исключая небольшие текстовые правки и изменение нумерации.
- 9-й раздел расширили, по по сути поменялось мало что.
СТО 1.2 по методике оценки соответствия также актуализировали и привели в соответствие с 382-П. В приложении даже есть таблица соответствия частных показателей из СТО и показателей из текущей редакции 382-П. По данному стандарту у меня только два вопроса:
- Зачем проводить рекомендательную оценку по СТО, если уже есть обязательная оценка по 382-П? Вопрос задается уже не первый раз, но ответа на него так и нет :-( По сути банк, принявший СТО, должен проводить две оценки соответствия пусть и по схожим, но все-таки различным методиками, и отправлять отчетность в два адреса (ДНПС и ГУБЗИ). При этом аналитических отчетов с анализом результатов (что хорошо и что плохо) так и не появилось.
- Что будет, когда ЦБ примет новую редакцию 382-П, которую введут в действие предположительно с 1-го января 2015-го года (плюс/минус)? Разрыв между ней и СТО станет еще больше.
Последним принятым с 1-го июня документа стали РС 2.5 "Менеджмент инцидентов ИБ", которые описывают высокоуровневые рекомендации по выстраиванию процесса управления инцидентами, кратко упомянутого в 382-П или СТО 1.0. До детально расписанных процедур этим РС еще далеко (тут лучше следовать документам CERT/CC), но как введение в организацию процесса очень даже ничего.
Если рассматривать новый СТО в отрыве от всей нормативки, что выпускает Банк России в области ИБ, то придраться там почти не к чему. Добротный документ, определяющий передовой опыт в области защиты банковских информационных активов. К нему бы примеров побольше, как например, выпустил недавно NIST - по управлению правами доступа к активам и по управлению активами в финансовых организаций. Но тут вопрос чисто практический - насколько ГУБЗИ уполномочено такие рекомендации выпускать?.. Все-таки объединения всей тематики ИБ под крышей ГУБЗИ так и не произошло, как того хотелось бы. Свои документы по ИБ выпускает не только и не столько ГУБЗИ, сколько ДНПС, являющийся "держателем" 382-П, непонятный мне источник 258-й формы отчетности по инцидентам с платежными картами, г-н Симановский, порадовавший недавно своими письмами 42-Т и 49-Т . На фоне такой активности Банка России, необязательный к применению СТО выглядит специфически :-( У семи нянек дитя без глазу и отсутствие единого координирующего органа по банковской ИБ, который бы проводил единую и согласованную политику, явно не хватает.
А пока остается только вчитываться в новую редакцию СТО и претворять ее в жизнь.
ЗЫ. На прошлой неделе в ТК122 прошло заседание, на котором были одобрены еще две РС - по ресурсному обеспечению (с доработками) и по защите технологий виртуализации.