02.06.2014

СТО 2014: ключевые изменения

Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 вводятся в действие с 1 июня 2014 года:

  • пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (регистрационный номер СТО БР ИББС-1.0-2014)
  • четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014)
  • рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (регистрационный номер РС БР ИББС-2.5-2014).

Попутно с 1-го июня отменяются предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз).

К сожалению, у Банка России нет привычки выпускать вместе с новыми стандартами документ, описывающий изменения по сравнению с предыдущей версией (такое есть, например, у PCI Council). Поэтому приходится глазами пробегать по двум версиям, чтобы отметить изменения. Посимвольно я не сравнивал, поэтому мой экспресс-анализ не претендует на полноту, но я обратил внимание на следующие изменения:

  • Появилось 4 новых термина.
  • Малость перегрупированы требования разделов, которые раньше входили в состав того или иного пункта, а сейчас выделены отдельно. Это поменяло всю нумерацию, что приводит к необходимости к переделке всех матриц соответствия (mapping), которые делались к предыдущей версии стандарта. Несмертельно, но неприятно.
  • Добавилось требование регулярного пересмотра модели угроз (п.6.12).
  • В список защищаемой попала информация по 382-П (п.7.1.9).
  • Расширен раздел 7.3 по общим требованиям по ИБ АБС на стадиях жизненного цикла. Сама РС по непонятным причинам пока не принята, хотя и была разработана и одобрена на заседании ТК122 в январе 2014-го года.
  • Раздел 7.4 по управлению доступом и регистрацией также претерпел изменения. Уточнен перечень процедур по управлению доступом, которые должны быть определены, выполняться, регистрироваться и контролироваться. Также уточнен список процедур по мониторингу ИБ. Появилось требование регламентации сегментации сетей (включая и среды виртуализации). Уточнен список операций в ДБО, требующих регистрации (по аналогии с 382-П). Введено требование регламентации использования съемных носителей. Появились требования использования защищенных сетевых протоколов (не обязательно с помощью сертицифированных СКЗИ) при выходе за пределы контролируемой зоны.
  • Раздел 7.5 по антивирусной защите пересмотрен незначительно. Гораздо больше по этому вопросу написано в 49-Т.
  • Претерпел изменения, но небольшие, и раздел 7.6 по безопасности Интернет и, особенно, ДБО.
  • Раздел 7.7 по применению СКЗИ остался неизменным - по-прежнему требуется применение СКЗИ класса не ниже КС2 (прощай мобильные устройства). 
  • Раздел 7.8 по ИБ банковских платежных процессов почти не поменялся, а вот раздел 7.9 по ИБ банковских информационных технологических процессов урезали вдвое.
  • Раздел 7.10 с общими требованиями по обработке ПДн привели в соответствие с последней редакцией ФЗ-152. А вот раздел 7.11 по ИБ банковских технологических процессов, в которых обрабатываются ПДн, переработали сильно. Много отсылок на ПП-1119. Угрозы утечки ПДн по техническим каналам, а также угрозы 1-го и 2-го типа признаются неактуальными. Сертифицированные СЗИ не требуются, а если и будут применяться, то в соответствие с приказом ФСТЭК №21. По сути это единственное упоминание этого приказа. На мой взгляд, эта коллизия (все-таки 21-й приказ имеет большую юридическую силу, чем СТО) может быть разрешена (и то частично) только принятием очередной версии "письма шести", разговоры о которой ведутся давно.
  • Разделы 8.1 и 8.2 не менялись, а вот 8.3 по области действия СМИБ претерпел некоторые текстовые изменения (по сути все осталось тем же самым).
  • Из раздела 8.4 почему-то исчезло требование создания и поддержания базы инцидентов (скорее всего потому, что этой теме посвящена отдельная РС 2.5).
  • Остальные разделы 8-й части СТО почти не поменялись, исключая небольшие текстовые правки и изменение нумерации.
  • 9-й раздел расширили, по по сути поменялось мало что. 
СТО 1.2 по методике оценки соответствия также актуализировали и привели в соответствие с 382-П. В приложении даже есть таблица соответствия частных показателей из СТО и показателей из текущей редакции 382-П. По данному стандарту у меня только два вопроса:
  1. Зачем проводить рекомендательную оценку по СТО, если уже есть обязательная оценка по 382-П? Вопрос задается уже не первый раз, но ответа на него так и нет :-( По сути банк, принявший СТО, должен проводить две оценки соответствия пусть и по схожим, но все-таки различным методиками, и отправлять отчетность в два адреса (ДНПС и ГУБЗИ). При этом аналитических отчетов с анализом результатов (что хорошо и что плохо) так и не появилось.
  2. Что будет, когда ЦБ примет новую редакцию 382-П, которую введут в действие предположительно с 1-го января 2015-го года (плюс/минус)? Разрыв между ней и СТО станет еще больше.
Последним принятым с 1-го июня документа стали РС 2.5 "Менеджмент инцидентов ИБ", которые описывают высокоуровневые рекомендации по выстраиванию процесса управления инцидентами, кратко упомянутого в 382-П или СТО 1.0. До детально расписанных процедур этим РС еще далеко (тут лучше следовать документам CERT/CC), но как введение в организацию процесса очень даже ничего.

Если рассматривать новый СТО в отрыве от всей нормативки, что выпускает Банк России в области ИБ, то придраться там почти не к чему. Добротный документ, определяющий передовой опыт в области защиты банковских информационных активов. К нему бы примеров побольше, как например, выпустил недавно NIST - по управлению правами доступа к активам и по управлению активами в финансовых организаций. Но тут вопрос чисто практический - насколько ГУБЗИ уполномочено такие рекомендации выпускать?.. Все-таки объединения всей тематики ИБ под крышей ГУБЗИ так и не произошло, как того хотелось бы. Свои документы по ИБ выпускает не только и не столько ГУБЗИ, сколько ДНПС, являющийся "держателем" 382-П, непонятный мне источник 258-й формы отчетности по инцидентам с платежными картами, г-н Симановский, порадовавший недавно своими письмами 42-Т и 49-Т. На фоне такой активности Банка России, необязательный к применению СТО выглядит специфически :-( У семи нянек дитя без глазу и отсутствие единого координирующего органа по банковской ИБ, который бы проводил единую и согласованную политику, явно не хватает.

А пока остается только вчитываться в новую редакцию СТО и претворять ее в жизнь.

ЗЫ. На прошлой неделе в ТК122 прошло заседание, на котором были одобрены еще две РС - по ресурсному обеспечению (с доработками) и по защите технологий виртуализации.

6 коммент.:

Dmitry Leviev комментирует...

Это пятая редакция:
2004 1 редакция
2006 2 редакция
2008 3 редакция
2010 4 редакция
2014 5 редакция

Алексей Лукацкий комментирует...

Пятая. Так это вроде и написано :-)

Максим Дуков комментирует...

Алексей, а как-же не всякая АБС ИСПДн? Не в последнюю очередь из-за чего массы и принимали старый стандарт. Принять старое определение ИСПДн в качестве критерия отнесения АБС к ИСПДн?

Алексей Лукацкий комментирует...

Я и раньше и сейчас считаю, что любая АБС - это ИСПДн

Любовь Шорина комментирует...

Алексей, добрый день! Нет ли у вас информации о планах Банка России по выпуску новой отраслевой модели угроз безопасности ПДн (или безопасности информации)? Поскольку сейчас не вполне понятно, на какие НПА ориентироваться банку при разработке модели угроз.

Алексей Лукацкий комментирует...

Любовь, все подвисло в 8-м Центре. Но я надеюсь, что в самое ближайшее время можно ждать ее принятия. Пока вы можете следовать прежней модели угроз (если ее принимали).