05.08.2014

ИБ-требования к разным этапам жизненного цикла АБС вступают в силу с 1-го сентября

На прошлой неделе Банк России выложил у себя на сайте рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014), которая вводится в действие с 1-го сентября 2014-го года.

Идея у данного документа достаточно простая - немалое количество проблем с безопасностью в кредитных организациях происходит по причине не очень высокой защищенности АБС, используемых в банках. Но если выстраивать процессы ИБ вокруг АБС банки умеют, то что делать с приобретаемой и местами дырявой системой было непонятно. Влиять на разработчиков Банк России напрямую не может; к мнению заказчиков многие разработчики тоже прислушиваются редко. И вот был предложен способ, который может повлиять на ситуацию в лучшую сторону. ЦБ дает указание банкам, а те транслируют его исполнителям - разработчикам АБС, которые выполняют не "хотелки" заказчика, а распоряжение отраслевого регулятора. И вот именно такое распоряжение и представляет собой РС 2.6.

Документ разбит, по крупному, на 3 части, последние 2 из которых вынесены в приложения:
  • Требования по организации работ на разных стадиях жизненного цикла АБС.
  • Список из 122 типовых проблем АБС с точки зрения безопасности.
  • Рекомендации по контролю исходного кода АБС и оценке ее защищенности, включая проведение пентестов.
Выделяется 7 этапов, для каждой из которых прописаны свои требования по ИБ.

  1. Стадия разработки технического задания
  2. Стадия проектирования АБС
  3. Стадия создания и тестирования АБС
  4. Стадия приемки и ввода в действие
  5. Стадия эксплуатации 
  6. Сопровождение и модернизация АБС
  7. Стадия снятия с эксплуатации.

Многие мои комментарии и замечания были устранены еще на этапе обсуждения этого документа в ТК122, за исключением двух. Во-первых, документ ну вот совсем никак не рассматривает такое нередкое у нас явление, как иностранные АБС. И особенно АБС (или их компоненты), которые установлены в штаб-квартирах иностранных банках, которые используются и их российскими дочками. А второе мое замечание касалось облачных АБС. Яркий пример - Factura.ru. Вот как к такой АБС применить требования РС 2.6? Она вроде и не банком разрабатывается, и ПО не покупается (покупается сервис), и не разворачивается на стороне банка... Один сплошной диссонанс :-)

Но отчасти я могу понять разработчиков. Непонятно как вообще подступить к теме облачной ИБ. ЦБ к ней планировал подойти не раньше следующего года, а требования к ИБ на разных этапах жизненного цикла АБС выпускать надо было уже сейчас. Вот и нашли компромисс - облачные и иностранные АБС не замечать вовсе.

4 коммент.:

Сергей Борисов комментирует...

Все таки - это требования или рекомендации?

Алексей Лукацкий комментирует...

СТО и РС - это рекомендации. Но часть из них войдет в новую редакцию обязательных требований в 382-П

Denis Trevogin комментирует...

Не подскажете, а когда ждать новы требования по 382П?

Алексей Лукацкий комментирует...

Принятие - в ближайшее время. У ЦБ появились более приоритетные дела.

Вступление - через 180 дней со дня принятия