На прошлой неделе Банк России выложил у себя на сайте рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014), которая вводится в действие с 1-го сентября 2014-го года.
Идея у данного документа достаточно простая - немалое количество проблем с безопасностью в кредитных организациях происходит по причине не очень высокой защищенности АБС, используемых в банках. Но если выстраивать процессы ИБ вокруг АБС банки умеют, то что делать с приобретаемой и местами дырявой системой было непонятно. Влиять на разработчиков Банк России напрямую не может; к мнению заказчиков многие разработчики тоже прислушиваются редко. И вот был предложен способ, который может повлиять на ситуацию в лучшую сторону. ЦБ дает указание банкам, а те транслируют его исполнителям - разработчикам АБС, которые выполняют не "хотелки" заказчика, а распоряжение отраслевого регулятора. И вот именно такое распоряжение и представляет собой РС 2.6.
Документ разбит, по крупному, на 3 части, последние 2 из которых вынесены в приложения:
Идея у данного документа достаточно простая - немалое количество проблем с безопасностью в кредитных организациях происходит по причине не очень высокой защищенности АБС, используемых в банках. Но если выстраивать процессы ИБ вокруг АБС банки умеют, то что делать с приобретаемой и местами дырявой системой было непонятно. Влиять на разработчиков Банк России напрямую не может; к мнению заказчиков многие разработчики тоже прислушиваются редко. И вот был предложен способ, который может повлиять на ситуацию в лучшую сторону. ЦБ дает указание банкам, а те транслируют его исполнителям - разработчикам АБС, которые выполняют не "хотелки" заказчика, а распоряжение отраслевого регулятора. И вот именно такое распоряжение и представляет собой РС 2.6.
Документ разбит, по крупному, на 3 части, последние 2 из которых вынесены в приложения:
- Требования по организации работ на разных стадиях жизненного цикла АБС.
- Список из 122 типовых проблем АБС с точки зрения безопасности.
- Рекомендации по контролю исходного кода АБС и оценке ее защищенности, включая проведение пентестов.
Выделяется 7 этапов, для каждой из которых прописаны свои требования по ИБ.
- Стадия разработки технического задания
- Стадия проектирования АБС
- Стадия создания и тестирования АБС
- Стадия приемки и ввода в действие
- Стадия эксплуатации
- Сопровождение и модернизация АБС
- Стадия снятия с эксплуатации.
Многие мои комментарии и замечания были устранены еще на этапе обсуждения этого документа в ТК122, за исключением двух. Во-первых, документ ну вот совсем никак не рассматривает такое нередкое у нас явление, как иностранные АБС. И особенно АБС (или их компоненты), которые установлены в штаб-квартирах иностранных банках, которые используются и их российскими дочками. А второе мое замечание касалось облачных АБС. Яркий пример - Factura.ru. Вот как к такой АБС применить требования РС 2.6? Она вроде и не банком разрабатывается, и ПО не покупается (покупается сервис), и не разворачивается на стороне банка... Один сплошной диссонанс :-)
Но отчасти я могу понять разработчиков. Непонятно как вообще подступить к теме облачной ИБ. ЦБ к ней планировал подойти не раньше следующего года, а требования к ИБ на разных этапах жизненного цикла АБС выпускать надо было уже сейчас. Вот и нашли компромисс - облачные и иностранные АБС не замечать вовсе.
Но отчасти я могу понять разработчиков. Непонятно как вообще подступить к теме облачной ИБ. ЦБ к ней планировал подойти не раньше следующего года, а требования к ИБ на разных этапах жизненного цикла АБС выпускать надо было уже сейчас. Вот и нашли компромисс - облачные и иностранные АБС не замечать вовсе.
4 коммент.:
Все таки - это требования или рекомендации?
СТО и РС - это рекомендации. Но часть из них войдет в новую редакцию обязательных требований в 382-П
Не подскажете, а когда ждать новы требования по 382П?
Принятие - в ближайшее время. У ЦБ появились более приоритетные дела.
Вступление - через 180 дней со дня принятия
Отправить комментарий