6 Сентября, 2019

Роль СТО БР ИББС

Валерий Естехин

“Никто не ценит положительного вклада новых НПА.
Все замечают только косяки.”
Алексей Лукацкий (вчера в 16:21)

В августе 2019 года произошло почти никем незамеченное событие в банковской информационной безопасности, которое подвело своеобразную черту под целой эпохой – эпохой появления и развития Комплекса стандартов СТО БР ИББС от Банка России. Финансовые организации РФ через свои личные кабинеты на площадке Банка России получили письма от регулятора с темой сообщения “О проведении оценки соответствия требованиям СТО БР ИББС-1.0-2014”.
Нет, ничего сенсационного в этом сообщении от регулятора не было. Сообщалось, что согласно Положению Банка России № 683-П с 1 января 2021 года “кредитные организации обеспечивают реализацию мер защиты информации, определенных ГОСТ Р 57580.1-2017, а также предоставляют информацию об оценке выполнения требований к обеспечению защиты информации …, проводимой в соответствии с положениями ГОСТ Р 57580.2-2018”. Исходя из этого: “направлять сведения о выполнении оценки соответствия … требованиям … СТО БР ИББС-1.2-2014 …не требуется”. А раз так, то Комплекс стандартов СТО БР ИББС, очевидно, отходит на второй план и утрачивает неформальную роль драйвера развития информационной безопасности в финансовой отрасли, которую фактически (но не де-юре, так как согласно Закон у о техническом регулировании СТО БР имеет статус необязательный к исполнению) играл последние 15 лет.
Предыстория
Творение Банка России - Комплекс стандартов СТО БР ИББС – симбиоз международных стандартов, лучших практик обеспечения безопасности информационных технологий, а также российских ГОСТов.
Настоящая - пятая редакция основного стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014) действует с 1 июня 2014 года. Сейчас всего стандартов Банка России СТО БР - шесть.
Напомню, что первая редакция стандарта СТО БР ИББС-1.0-2004 (на момент принятия – просто Стандарт Банка России) вступила в действие 1 декабря 2004 года.
Банк России с завидной регулярностью обновлял этот документ:
- вторая редакция: СТО БР ИББС-1.0-2006 взамен СТО БР ИББС-1.0-2004 ;
- третья редакция: СТО БР ИББС-1.0-2008 взамен СТО БР ИББС-1.0-2006 ;
- четвертая редакция: СТО БР ИББС-1.0-2010 взамен СТО БР ИББС-1.0-2008 ;
- пятая редакция: СТО БР ИББС-1.0-2014 взамен СТО БР ИББС-1.0-2010 .
Первые рекомендации (РС БР ИББС-2.0-2007) в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0” начали действовать с 1 мая 2007 года. Сейчас рекомендаций РС БР ИББС - восемь.
В результате финансовые организации на текущий момент имеют следующий комплект взаимосвязанных стандартов и рекомендаций.

За, без малого, 15 лет Банку России удалось создать комплект документов, содержащих единые требования по обеспечению информационной безопасности организаций банковской системы РФ. С появлением Стандарта работе в банке по направлению "информационная безопасность" (далее – ИБ) придали смысл. Смысл отразился в реальных делах. Реальные дела привлекли внимание бизнеса. Бизнес выделил ресурсы (дал денег) и штатные единицы, а также наделил полномочиями службу ИБ. У ИБ появилась обратная связь с бизнес-подразделениями. Хорошая ИБ стала одним из критериев надёжности банка.
В те времена, когда хакеры ещё атаковали не тех, кого решили атаковать, а тех, до кого смогли дотянуться, когда ещё теплилась надежда на существование большой красной кнопки у службы ИБ с надписью “Гарантия 100%-й защиты”, начинать приходилось с самых элементарных вещей. С определения целей ИБ, с поиском “спонсора” ИБ в компании, с утверждения требований ИБ на уровне организации. В каждом банке началась кропотливая работа по приготовлению фирменного "блюда" организации – Политики ИБ – написанной по одинаковым, передаваемым из рук в руки рецептам, но уникальной в сознании каждого "блюдодела".
Стандарт Банка России СТО БР ИББС (в последствие – Комплекс стандартов) долгое время был основополагающим документом в области защиты информации для банковской системы РФ. Влияние Стандарта на финансовую отрасль сравнимо с влиянием Закона о персональных данных (152-ФЗ).
Финансовые организации должны быть благодарны Комплексу стандартов Банка России СТО БР ИББС. Именно с него началось систематическое регулирование уровня обеспечения информационной безопасности в банковской системе (с проведением оценки соответствия и т.д.). Документы СТО БР ИББС продолжают действовать в настоящее время и могут применяться банками, как и раньше, по своему желанию (кроме того, Банком России данный комплект документов обновляется и дополняется новыми стандартами и рекомендациями).