Пространство имён страницы (page_namespace ) | 0 |
Название страницы (без пространства имён) (page_title ) | 'СТО БР ИББС' |
Полное название страницы (page_prefixedtitle ) | 'СТО БР ИББС' |
Вики-текст старой страницы до правки (old_wikitext ) | ''''Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации''' ('''СТО БР ИББС''') — комплекс документов [[Банк России|Банка России]], описывающий единый подход к построению системы обеспечения [[информационная безопасность|ИБ]] организаций банковской сферы с учётом требований российского законодательства.
Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.
== Темпы присоединения ==
По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки).<ref>{{cite web|url=http://www.ib-bank.ru/arhiv/05/01/kurilo.rar|title=Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации.|lang=ru}}</ref>
== Состав ==
В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть '''Комплексом БР ИББС'''):
* СТО БР ИББС-1.0-2010. Общие положения (4 редакция);
* СТО БР ИББС-1.1-2007. Аудит информационной безопасности;
* СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (3 редакция).
Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:
* РС БР ИББС-2.0-2007. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0;
* РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0;
* РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности;
* РС БР ИББС-2.3-2010. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации;
* РС БР ИББС-2.4-2010. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации.
== Безопасность персональных данных ==
{{main|Федеральный закон «О персональных данных»}}
Июльская поправка (261-ФЗ) к 152-ФЗ "О персональных данных" наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).
Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона "О персональных данных":
* федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
* под понятие информационной системы персональных данных, приведенное в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн [[Автоматизированная банковская система|АБС]], реализующие банковские платёжные технологические процессы).
Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идеи создания отраслевого стандарта.
В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.
== Система обеспечения информационной безопасности ==
[[Файл:Цикл Деминга для СОИБ.JPG|thumb|300px|Цикл Деминга для СОИБ, ''СТО БР ИББС-1.0-2010'']]
В основу СОИБ заложен [[Цикл Деминга]], используемый в управлении качеством.
Основными этапами обеспечения ИБ считаются:
* Планирование СОИБ;
* Реализация СОИБ;
* Проверка СОИБ;
* Совершенствование СОИБ.
== Методика оценки соответствия стандарту Банка России ==
[[Файл:Диаграмма5.JPG|thumb|300px|''Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой BSAT'']]
Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с [[Федеральный закон «О персональных данных»|защитой персональных данных]].
Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R.
Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).
Выделяют 5 уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.
== Программные комплексы оценки соответствия ==
Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:
* '''Bank Security Assessment Tool (BSAT)''' компании ЛитСофт;
* '''Exact Flow - Оценка соответствия''', компании PACIFICA;
* '''ISM Revision: Audit Manager''' компании ISM SYSTEMS;
* Система '''Еstimаtе Tооl''' НПФ "Кристалл";
* "'''СТО БР Аудитор'''" компании Инлайн Технолоджис.
== Примечания ==
{{примечания}}
== Ссылки ==
* {{cite web|url=http://cbr.ru/credit/Gubzi_docs/info3.pdf|title=Информационное сообщение о реализации в организациях БС РФ Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»|archiveurl=http://www.webcitation.org/67c3T1Sdr|archivedate=2012-05-13}}
* {{cite web|url=http://www.abiss.ru|title=Сайт сообщества пользователей стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards)|archiveurl=http://www.webcitation.org/67c3TVVim|archivedate=2012-05-13}}
[[Категория:Информационная безопасность]]
[[Категория:Банковское дело в России]]' |
Вики-текст новой страницы после правки (new_wikitext ) | ''''Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации''' ('''СТО БР ИББС''') — комплекс документов [[Банк России|Банка России]], описывающий единый подход к построению системы обеспечения [[информационная безопасность|ИБ]] организаций банковской сферы с учётом требований российского законодательства.
Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. Однако в соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении.
== Темпы присоединения ==
По данным на февраль 2011 года 66% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать. Общая доля кредитных организаций, принявших стандарт, ожидается на уровне 75-80%. Отказались внедрять стандарт 5-10% кредитных организаций. Заняли выжидательную позицию 10-15% (в основном, малые банки).<ref>{{cite web|url=http://www.ib-bank.ru/arhiv/05/01/kurilo.rar|title=Доклад представителя Банка России на III Межбанковской конференции «Информационная безопасность банков». Реализация отраслевого подхода к обеспечению информационной безопасности (включая персональные данные) в банковской системе Российской Федерации.|lang=ru}}</ref>
== Состав ==
В настоящий момент приняты и введены в действие распоряжением Банка России следующие стандарты (совокупность указанных документов принято называть '''Комплексом БР ИББС'''):
* СТО БР ИББС-1.0-2010. Общие положения (4 редакция);
* СТО БР ИББС-1.1-2007. Аудит информационной безопасности;
* СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (3 редакция).
Кроме того, Банком России разработаны и введены следующие рекомендации в области стандартизации:
* РС БР ИББС-2.0-2007. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0;
* РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0;
* РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности;
* РС БР ИББС-2.3-2010. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации;
* РС БР ИББС-2.4-2010. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации.
== Безопасность персональных данных ==
{{main|Федеральный закон «О персональных данных»}}
Июльская поправка (261-ФЗ) к 152-ФЗ "О персональных данных" наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было так же утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).
Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона "О персональных данных":
* федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
* под понятие информационной системы персональных данных, приведенное в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн [[Автоматизированная банковская система|АБС]], реализующие банковские платёжные технологические процессы).
Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что так же противоречит основной идеи создания отраслевого стандарта.
В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.
== Система обеспечения информационной безопасности ==
[[Файл:Цикл Деминга для СОИБ.JPG|thumb|300px|Цикл Деминга для СОИБ, ''СТО БР ИББС-1.0-2010'']]
В основу СОИБ заложен [[Цикл Деминга]], используемый в управлении качеством.
Основными этапами обеспечения ИБ считаются:
* Планирование СОИБ;
* Реализация СОИБ;
* Проверка СОИБ;
* Совершенствование СОИБ.
== Методика оценки соответствия стандарту Банка России ==
[[Файл:Диаграмма5.JPG|thumb|300px|''Круговая диаграмма соответствия требованиям СТО БР ИББС, сформированная программой BSAT'']]
Методика оценки соответствия (СТО БР ИББС-1.2-2010) включает в себя 423 частных показателя ИБ, сгруппированных в 34 групповых показателя. Кроме того, Методика содержит 34 уточняющих вопроса Приложения В (69 с учётом подвопросов), связанных с [[Федеральный закон «О персональных данных»|защитой персональных данных]].
Результатом оценки является 8 оценок степени выполнения требований Стандарта по направлениям ИБ и итоговая оценка R.
Значения всех групповых показателей ИБ и оценок по направлениям ИБ должны быть отображены на итоговой диаграмме соответствия (см. рисунок).
Выделяют 5 уровней соответствия стандарту. Банком России рекомендованы уровни 4 и 5.
== Программные комплексы оценки соответствия ==
Для проведения процедуры оценки соответствия требованиям Стандарта Банка России, построения диаграмм соответствия и формирования подтверждения соответствия разработаны системы оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0:
* '''Bank Security Assessment Tool (BSAT)''' компании ЛитСофт;
* '''Exact Flow - Оценка соответствия''', компании PACIFICA;
* '''ISM Revision: Audit Manager''' компании ISM SYSTEMS;
* Система '''Еstimаtе Tооl''' НПФ "Кристалл";
* "'''[http://in-line.ru/solutions/security/ СТО БР Аудитор]'''" компании Инлайн Технолоджис.
== Примечания ==
{{примечания}}
== Ссылки ==
* {{cite web|url=http://cbr.ru/credit/Gubzi_docs/info3.pdf|title=Информационное сообщение о реализации в организациях БС РФ Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»|archiveurl=http://www.webcitation.org/67c3T1Sdr|archivedate=2012-05-13}}
* {{cite web|url=http://www.abiss.ru|title=Сайт сообщества пользователей стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards)|archiveurl=http://www.webcitation.org/67c3TVVim|archivedate=2012-05-13}}
[[Категория:Информационная безопасность]]
[[Категория:Банковское дело в России]]' |