BIS Journal №4(35)/2019

17 декабря, 2019

Роль СТО БР ИББС

В августе 2019 года произошло почти никем незамеченное событие, которое подвело черту под целой эпохой в банковской ИБ – эпохой Комплекса стандартов СТО БР ИББС. Финансовые организации РФ получили от Банка России письмо «О проведении оценки соответствия требованиям СТО БР ИББС-1.0-2014».

На первый взгляд, ничего сенсационного в этом письме от регулятора не было. Сообщалось, что согласно Положению БР № 683-П с 1 января 2021 года «кредитные организации обеспечивают реализацию мер защиты информации, определенных ГОСТ Р 57580.1-2017, а также предоставляют информацию об оценке выполнения требований к обеспечению защиты…, проводимой в соответствии с положениями ГОСТ Р 57580.2-2018». Исходя из этого «направлять сведения о выполнении оценки соответствия требованиям СТО БР ИББС-1.2-2014… не требуется». А раз так, то Комплекс стандартов СТО БР ИББС, очевидно, отходит на второй план, сбрасывается с корабля современности и утрачивает роль драйвера развития ИБ, которую играл последние 15 лет. Заметим, играл фактически, а не де-юре, так как согласно Закону о техническом регулировании СТО БР имеет статус «Необязательный к исполнению».

 

ПРЕДЫСТОРИЯ

Творение Банка России - Комплекс стандартов СТО БР ИББС – симбиоз международных стандартов, лучших практик обеспечения безопасности и российских ГОСТов. Напомню, что первая редакция стандарта СТО БР ИББС-1.0-2004 (на момент принятия – просто Стандарт Банка России) вступила в действие 1 декабря 2004 года.

Банк России с завидной регулярностью обновлял этот документ:

  • вторая редакция: СТО БР ИББС-1.0-2006;
  • третья редакция: СТО БР ИББС-1.0-2008;
  • четвертая редакция: СТО БР ИББС-1.0-2010;
  • пятая редакция: СТО БР ИББС-1.0-2014.

Первые рекомендации (РС БР ИББС-2.0-2007) в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» начали действовать с 1 мая 2007 года. Сейчас рекомендаций РС БР ИББС – восемь.

В результате финансовые организации на текущий момент имеют следующий комплект взаимосвязанных стандартов и рекомендаций.

За 15 лет Банку России удалось создать комплект документов, содержащих единые требования по обеспечению информационной безопасности банков РФ. С появлением Стандарта направлению ИБ в кредитно-финансовых организациях придали смысл. Смысл отразился в реальных делах. Реальные дела привлекли внимание бизнеса. Бизнес наделил службу ИБ полномочиями и выделил ресурсы (дал денег и штатные единицы). У ИБ появилась обратная связь с бизнес-подразделениями. Хорошая ИБ стала одним из критериев надёжности банка.

В те времена, когда хакеры ещё атаковали не тех, кого решили, а тех, кого могли, когда ещё верилось в существование большой красной кнопки «Гарантия защиты – 100%», начинать приходилось с элементарного. С определения целей ИБ, с поиска «спонсора» ИБ в компании, с утверждения требований ИБ на уровне организации. В каждом банке началась кропотливая работа по приготовлению фирменного «блюда» – Политики ИБ, написанной по одинаковым, передаваемым из рук в руки рецептам, но уникальной в сознании каждого «блюдодела».

Стандарт Банка России СТО БР ИББС долгое время был основополагающим документом в области защиты информации для банковской системы РФ. Влияние Стандарта на финансовую отрасль сравнимо только с влиянием Закона о персональных данных (152-ФЗ).

Банки должны быть благодарны Комплексу стандартов СТО БР ИББС. Именно с него началось систематическое регулирование ИБ в банковской системе. Документы СТО БР ИББС продолжают действовать в настоящее время и могут применяться банками, как и раньше, по желанию. Более того, Банк России обновляет и дополняет этот комплект документов новыми стандартами и рекомендациями.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных