Как вы уже наверно знаете, недавно обновился СТО БР ИББС-1.0 "Стандарт банка России обеспечение информационной безопасности организаций банковской системы Российской Федерации". Теперь он уже пятой версии (2014 года).
На мой взгляд, обновление скорее "косметического" характера, принципиальных изменений нет. Ну, разве что про ПДн...
Итак, вот на что я обратил внимание:
- Добавили 4 новых термина, некоторые определения, например, "инцидент ИБ", "мониторинг ИБ" пересмотрели.
- Пересмотрен процессный подход. Еще больше стали говорить про "процессы" и "процедуры", количество их упоминаний выросло на 23,4%. В новой версии используется фраза "процедуры должны быть определены, выполняться. регистрироваться и контролироваться" вместо "процедуры должны быть документально определены и выполняться". Из-за этого убраны пункты типа "результаты должны документироваться"... Например, очень показательно в п.7.4.1 вместо "перечня информационных активов" сейчас появилось требование по "наличию процедуры выявления и классификации".
- Существенно расширен перечень правил и процедур в п.7.4.3 и 7.4.4 (общие требования).
- Пересмотрены п.7.10 и 7.11 (это про ПДн). Их выровняли со 152-ФЗ и ПП1119. Требований стало заметно больше. Кстати, обратите внимание, что ЦБ РФ в явном виде определяет, что "актуальные угрозы ПДн 3 типа": "7.11.4. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ". Объем положений про ПДн возрос примерно в 1,5 раза.
- Впервые в стандарте упоминается термин "утечка информации", расширен перечень мер по контролю. Для "контроля информационных потоков и проведения разбирательств по фактам утечек" предлагается использовать архивирование электронной почты (п.7.6.9). В стандарте можно найти требования по "контролю использования съемных носителей" (п.7.4.8 и про ПДн в п.7.11.6) и по "выявлению и блокированию несанкционированного перемещения (копирования) информации" (в п.7.4.3). Кстати, про съемные носители добавлено еще и в п.7.5.3, но там про антивирусную проверку.
- Модели угроз рекомендуется регулярно пересматривать. "п.6.12. В организации БС РФ рекомендуется устанавливать процедуры регулярного анализа необходимости пересмотра модели угроз и нарушителей ИБ". Раньше этого пункта не было.
- Расширен перечень защищаемых активов. В п.7.1.9 добавлена информация по 382-П.
- Расширены положения по обеспечению ИБ на стадиях жизненного цикла. П.7.3 расширен в два раза.
- Добавлены положения по сегментированию сетей. Это в п.7.4.5.
- Появились дополнительные меры, направленные на обеспечение защиты от НСД. п.7.4.13-7.4.16.
- Сокращен п.7.9 про общие требований по ИБ банковских ИТ процессов.
- П.8 про систему менеджмента ИБ практически не изменился, основные правки внесены в п.7 (система ИБ).
По сути получилось как с обновлением ISO 27001 , правки в текст внесены, но общие принципы и суть не поменялись. И если вы строили ИБ по старой версии стандарта, то переделывать (а точнее "совершенствовать") придется не много...
P.S. Еще про обновление стандарта можно посмотреть в блоге Алексея Лукацкого .
