12.09.2008

Стандарт Банка России - новая версия

Сообщество ABISS представило проект третьей редакции Стандарта Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008). Всегда приятно, когда регулятор не ставит перед фактом о выпуске каких-либо требований (а в этом случае они еще и рекомендательные), а выкладывает в открытый доступ документ и принимает комментарии и пожелания.

Чтобы я отметил из нового.
1. В предыдущей версии был такой абзац "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться". Все верно и логично. Но в новой версии этот абзац был переписан так: "При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации должны особенно тщательно контролироваться". Смысл совершенно поменялся. Теперь речь идет не о контроле персонала, а о защите слабоконтролируемых объектов защиты. Хотя и тут есть свои тонкости. Все-таки на мой взгляд вероятность атаки зависит не от степени контролируемости объекта (хотя это и играет роль), а от степени интереса нарушителя к объекту.

2. Если в последней версии акцент был на системе управления (СМИБ), то в проекте новой версии не забыли и про сами решения, обеспечивающие ИБ (СИБ). В новой версии термин "политика ИБ" был заменен на СИБ. Все вместе объединили в СОИБ. Процессный подход оставили без изменений.

3. Из третьей версии исчез 6-й раздел "Основные принципы обеспечения ИБ организаций БС РФ". Сложно сказать, хорошо это или плохо. С одной стороны это прописные истины и они должны быть известны специалистам, а значит и включать их в стандарт не надо. А с другой - почему бы и нет. Бывают ситуации, которые некоторые из этих прописных истин (например, адекватность затрат) нарушаются - в тех же требованиях по безопасности персданных об этом полностью забыли.

4. Сами по себе требования СИБ не поменялись. А вот раздел СМИБ претерпел коренные изменения. Из 3-х страниц второй версии появилось 15 страниц, что говорит о том, что разработчики сконцентрировались именно на управлении системой ИБ. Нельзя сказать, что это плохо. Но мне кажется, что сейчас все помешались на СУИБ (СМИБ по версии стандарта), забывая про нижнюю часть, которой эта самая СУИБ и управляет.

Как бы поступил я, если бы меня спросили разработчики стандарта? Применил бы правило Паретто (об этом я и буду рассказывать на InfoSecurity Moscow). Разработал бы БАЗОВЫЙ стандарт ИБ, который покрывал бы 80% всех применений ИБ в разных предприятиях. Ведь как бы мы не старались разбивать рынок на отрасли, вертикали ит.п., стандартные задачи и механизмы ИБ у всех одинаковые - повышение осведомленности, управление ИБ, тестирование и установка патчей, антивирусы, МСЭ и IPS, IdM и т.п. Отличия конечно же есть, но они составляют всего 20%. И именно под эти 20% я бы и создавал отдельные стандарты/рекомендации, расширяющие БАЗОВЫЙ стандарт.

Если применить это рассуждение к стандарту ЦБ, то я бы сделал следующим образом. Сначала создал бы базовый стандарт и раздел 8 текущей версии (и 7 новой версии) лег бы в его основу. СУИБ я бы вынес в отдельный стандарт, а может быть бы и просто отослал бы к ISO 27001, IDS3 и т.п. А вот для таких приложений, как ДБО, АБС, SWIFT, процессинг и т.п. я бы разработал собственные стандарты. И тогда бы все было логично. Базовый уровень обеспечить должны все. Тут вопросов нет. Стандарт по СУИБ должны применять те, кто дозрел до этого - он не должен быть обязательным. Стандарты по ДБО, процессингу и т.п. должны внедрять те, кто использует эти системы. Причем и тут эти стандарты предъявляют минимально необходимые требования по безопасности конкретных технологий/приложений.

ЗЫ. Детальный анализ требований к СУИБ попробую сделать чуть позже.

ЗЗЫ. Если у вас будет желание, то посмотрите стандарт и вышлите его разработчикам замечания, комментария и предложения. Это тот редкий случай, когда к мнению будущих пользователей стандарта действительно могут прислушаться.

6 коммент.:

EvgeniCh комментирует...

>Разработал бы БАЗОВЫЙ стандарт ИБ, который покрывал бы 80% всех применений ИБ в разных предприятиях.

А о компаниях кормящихся со всего многообразия страндартов ВЫ подумали? Разработка, лицензирование, проекты, противоречивые и дополняющие требования-это ж какое поле для маневров.:)

Алексей Лукацкий комментирует...

Ну поэтому я и написал "Как бы я сделал" ;-)

Nikita Remezov комментирует...

Алексей, а ,например, если взять 27002 (17799) выкинуть оттуда RM, BCM и пару других контролей - разве не будет как раз тем что надо?

Алексей Лукацкий комментирует...

Будет ;-) Только это правильно оформить. Чтобы инициатива исходила от ФСТЭК/ЦБ и они не забыли сделать стандарты второго уровня (именно в них есть нехватка).

Nikita Remezov комментирует...

Стандарты второго уровня - имеется ввиду те 20% заточенные под конкретную специфику?

Алексей Лукацкий комментирует...

Да, именно они