Алексей Лукацкий - менеджер по развитию бизнеса Cisco SystemsАлексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Когда только в Интернете появилась первая версия проекта Стандарта Банка России СТО БР ИББС-1.0 (а это произошло в конце прошлого года), то многие с воодушевлением восприняли эту инициативу отраслевого регулятора. И действительно в СТО были прописаны революционные на тот момент тезисы, как то необязательность лицензирования во ФСТЭК, необязательность аттестации, необязательность использования сертифицированных средств защиты информации и т.д. Это позволило бы сэкономить банку немалые деньги в деле выполнения законодательства о персональных данных. Но 5 февраля был подписан новый приказ ФСТЭК №58, в котором были убраны наиболее одиозные пункты о аттестации и лицензировании (а фраза о сертифицированных СЗИ стала более размытой). И сразу началась дискуссия о том, что СТО выполнить гораздо труднее, чем приказ ФСТЭК №58 и лучше к СТО не присоединяться.

Давайте сначала поймем, что такое «труднее». Трудность – это комбинация трех параметров – времени, денег, людей. Иными словами, на выполнение СТО мы должны затратить больше ресурсов, чем на Приказ 58 ФСТЭК и два документа ФСБ. Так ли это? И вот тут и кроется основное отличие подхода СТО и подхода традиционных регуляторов в области информационной безопасности.

В нормативных документах ФСТЭК и ФСБ описан следующий подход – к 1-му января 2011-го года вы должны выполнить 100% мероприятий, описанных в документах:

  • Приказ №58 от 5 февраля 2010 года «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».

Только вдумайтесь в это – 100% требований ФСТЭК и ФСБ за оставшиеся 2 с небольшим месяца.

Что же говорит нам отраслевой регулятор? В «письме шести», подписанном ЦБ, АРБ, АРБР, а также ФСТЭК, ФСБ и Роскомнадзором указаны 6 этапов подключения организации к СТО БР ИББС-1.0:

1. Представить информацию о принятом решении в Центральный банк Российской Федерации.

2. Провести мероприятия по приведению организации БС РФ в соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0.

3. Применять Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.

4. Провести оценку соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0. Оценку соответствия рекомендуется поручать организациям, имеющим опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта Банка России СТО БР ИББС-1.0. В случае невозможности проведения оценки соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 силами сторонней организации, организацией собственными силами проводится самооценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0.

5. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и регуляторам один раз в три года.

Многие считают, что выполнение 2-го пункта сродни выполнению документов ФСТЭК и ФСБ, но это не совсем так. В основу Комплекса стандартов Банка России положены «цикл Шухарта-Деминга» и принцип непрерывности совершенствования уровня информационной безопасности банковских активов. Невозможно (и никто этого и не ждет), что банк, который никогда не читал стандарт или никогда не пытался привести в порядок состояние своей защищености в соответствие с лучшими практиками, сразу реализует все положения, описанные в СТО. В СТО БР ИББС-1.2 написано, что по пятибальной шкале, уровень соответствия ИБ требованиям СТО БР ИББС-1.0 банка должен быть не ниже 4-го. Он может быть 4.1, 4.3, 4.6 или 4.9. Никто не требует, чтобы уровень был сразу пятый. А ведь, по сути, пятый уровень означает, что вы реализовали все, что написано в СТО в полном объеме. Этого же от вас ждут ФСТЭК и ФСБ в отношении их документов. Надо заметить, что в России нет организаций, которые бы находились на этом уровне. Да и организаций, перешагнувших пороговое значение 4 тоже немного.

К чему мы приходим? К тому, что к 1-му января 2011-го года никто не ждет, что банк в состоянии будет исполнить все требования СТО Банка России. Но и ничего не делать тоже нельзя. Именно поэтому необходимо в соответствие с циклом Деминга:

  • Оценить текущий уровень защищенности и спланировать шаги по его улучшению (Plan)
  • Релизовать набор мер, неутрализующих угрозы информационной безопасности (Do)
  • Непрерывно мониторить уровень информационной безопасности (Check)
  • Улучшать состояние защищености и повышать ее уровень, вновь возвращаясь к первому этапу (Act).

Мы видим, что в отличие от требований ФСТЭК и ФСБ, носящих скорее разовый, чем непрерывный характер, СТО Банка России предусматривает поэтапное и постепенное наращивание защитной мощи. К 1-му января ваш уровень соответствия ИБ требованиям СТО БР ИББС будет равен, допустим, 2.3. Через год – 2.9; через два – 3.4; а через три – 4.1. Это здравый подход, лежащий в основе многих лучших практик по управлению информационной безопасностью в современных организациях. Вы переходите с уровня на уровень, не затрачивая неимоверное количество усилий и не тратя одномоментно 100% всех денег на закупку необходимых средств защиты, перестройку сети, набор персонала и т.п. Вы все делаете постепенно, разбивая на два или три года, что в итоге будет гораздо эффективнее, чем выполняя пусть и меньшее количество требований ФСТЭК и ФСБ.

В этом и есть ключевое отличие вышеназванных трех документов классических регуляторов в области защиты информации и Комплекса стандартов Банка России.