Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ

Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ

Каждый российский безопасник прекрасно знает про комплекс стандартов СТО БР ИББС. Многие по нему ещё живут, но формально с 2014 г. этот комплекс «приказал долго жить». А жаль. Тем не менее, хотя ЦБ и попытался расширить область ИБ за счёт разных нормативных актов и ГОСТа 57580, забыть СТО БР всё же не получается.

Да и не нужно забывать хорошее, особенно когда речь идёт о лучших практиках. Поэтому Национальный банк Республики Беларусь (далее – НБРБ) принял решение разработать и утвердить для белорусских банков комплекс Технических требований и правил информационной безопасности в банковской деятельности (далее ТТП).

В настоящее время утверждены восемь документов:

• ТТП ИБ 1.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения и терминология»;
• ТТП ИБ 2.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования к системам менеджмента информационной безопасности»;
• ТТП ИБ 3.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по обеспечению информационной безопасности при использовании технологий виртуализации»;
• ТТП ИБ 4.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Менеджмент рисков информационной безопасности»;
• ТТП ИБ 5.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Оценка соответствия информационной безопасности банков Республики Беларусь требованиям ТТП ИБ 1.1-2020 и ТТП ИБ 2.1-2020»;
• ТТП ИБ 6.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по документационному обеспечению деятельности в области обеспечения информационной безопасности в соответствии с требованиями ТТП ИБ 1.1-2020»;
• ТТП ИБ 7.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по менеджменту инцидентов информационной безопасности»;
• ТТП ИБ 8.1-2021 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по защите программного обеспечения банковских мобильных приложений».

Из многообразия видно, что НБРБ подошёл основательно к решению вопроса обеспечения информационной безопасности в РБ.

Давайте рассмотрим, в чём различие ТТП ИБ и СТО БР ИББС.

• ТТП 1.1-2020. Документ сформирован на основе семи глав СТО БР ИББС 1.0-2014. Отличие только в отсутствии текста, связанного с персональными данными.
• ТТП 2.1-2020. Документ сформирован на основе восьми глав СТО БР ИББС 1.0-2014. В общем текст повторяется, за исключением приложений. Что бросается в глаза, «самооценка» теперь – «внутренний аудит». Добавлены пункт 21 «Требования к организации ИБ на стадии жизненного цикла автоматизированной банковской системы» и пункт 22 «Требования к обеспечению защиты информации организации БС» (7, 8, 9-й разделы ГОСТ Р 57580 1-2017).

В данном документе присутствует несколько приложений:

1. пример плана обеспечения непрерывности ИБ;
2. типовые недостатки в реализации функций безопасности автоматизированных систем;
3. порядок применения положений стандарта ГОСТ Р 57580.1 при формировании дополнительных требований ИБ к системе защиты информации организации БС;
4. рекомендации к проведению контроля исходного кода;
5. рекомендации к проведению оценки защищённости;
6. рекомендации к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации).

• ТТП 3.1-2020. Документ разработан на основании РС БР ИББС 2.8-2015. Текст сохранён, за исключением специфики РБ.
• ТТП 4.1-2020. Документ разработан на основании РС БР ИББС 2.2-2009 и СТО БР ИББС 1.4-2018.
• ТТП 5.1-2020. Первое, что бросается в глаза, — данные требования и правила созданы не на основе СТО БР ИББС-1.2-2014, а на основе предыдущей версии 1.2-2010. Заменены два групповых показателя ИБ, связанных с персональными данными, два показателя, связанных с организацией ИБ на стадиях жизненного цикла АБС и обеспечения защиты информации в организации БС (с учётом разделов 7, 8, 9 ГОСТ Р 57580 1-2017). Математика и круговая диаграмма повторяют СТО.
• ТТП 6.1-2020. Документ разработан на основании РС БР ИББС 2.0-2007. Так как документ был создан в 2007 году и к настоящему времени много уже было доработано в области ИБ, необходимо было пересмотреть Приложение Б. Добавить в него более практичные названия документов, привести к единому наименованию внутренние документы Банка.
• ТТП 7.1-2020. Документ разработан на основании РС БР ИББС 2.5-2014 и СТО БР ИББС 1.3-2016. Текст сохранён, за исключением специфики РБ.
• ТТП 8.1-2021. Данный документ основан не на комплексе стандартов СТО БР.

Надо сказать, что сохранение текста в ТТП из российских документов и сама специфика заключается в том, что на момент «разработки» документов в Республике Беларусь не был урегулирован специальными нормативными актами вопрос защиты ПД и соответствующие разделы просто были изъяты из рассмотрения.

Вышеуказанные документы разработаны в развитие серии государственных стандартов серии «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь», действующих с 2013 года: СТБ 34.101.41, СТБ 34.101.42, СТБ 34.101.61, СТБ 34.101.62, СТБ 34.101.68. Информацию о них можно почерпнуть, например, на tnpa.by.

Со слов заказчиков ТТП (НБ РБ), следует отметить, что «документы выпущены с целью повышения уровня обеспечения кибербезопасности, но на данном этапе носят рекомендательный характер». В перспективе после внесения изменений в Банковский кодекс РБ планируется на основе прилагаемых требований доработать и утвердить стандарты информационной безопасности, которые уже будут обязательны для исполнения в банковской сфере. Ничего не напоминает?

На практике сейчас (уже по прошествии более двух лет) ТТП мало используемы в отрасли (даже в рамках надзорных мероприятий НБ РБ их не использует), и, кроме того, существуют организационные сложности в осуществлении дальнейших планов.

Что сказать в завершение статьи: НБРБ очень сильно постарался и выпустил все эти документы. Но не стоит забывать, что у специалистов ИБ России имеется большой опыт внедрения комплекса стандартов СТО БР – более 12–14 лет. Многие учились и как внедренцы, и как аудиторы, и стоило бы, наверное, создать совместными усилиями методические рекомендации, в которых и будет отражён весь накопленный опыт, а также более детально разъяснены и ТТП 1.1, и ТТП 2.1.

Кроме того, стоит организовать и совместное обучение специалистов ИБ Беларуси и России. Там российские специалисты смогут научить белорусских коллег практическому внедрению методических рекомендаций. Такое взаимодействие, безусловно, позволит сократить время и избежать грубых ошибок при внедрении СТО БР.