6 сентября 2019 г.

Роль СТО БР ИББС


“Никто не ценит положительного вклада новых НПА.
Все замечают только косяки.”
Алексей Лукацкий (вчера в 16:21)

В августе 2019 года произошло почти никем незамеченное событие в банковской информационной безопасности, которое подвело своеобразную черту под целой эпохой – эпохой появления и развития Комплекса стандартов СТО БР ИББС от Банка России. Финансовые организации РФ через свои личные кабинеты на площадке Банка России получили письма от регулятора с темой сообщения “О проведении оценки соответствия требованиям СТО БР ИББС-1.0-2014”.


Нет, ничего сенсационного в этом сообщении от регулятора не было. Сообщалось, что согласно Положению Банка России № 683-П с 1 января 2021 года “кредитные организации обеспечивают реализацию мер защиты информации, определенных ГОСТ Р 57580.1-2017, а также предоставляют информацию об оценке выполнения требований к обеспечению защиты информации …, проводимой в соответствии с положениями ГОСТ Р 57580.2-2018”. Исходя из этого: “направлять сведения о выполнении оценки соответствия … требованиям … СТО БР ИББС-1.2-2014 …не требуется”. А раз так, то Комплекс стандартов СТО БР ИББС, очевидно, отходит на второй план и утрачивает неформальную роль драйвера развития информационной безопасности в финансовой отрасли, которую фактически (но не де-юре, так как согласно Закону о техническом регулировании СТО БР имеет статус необязательный к исполнению) играл последние 15 лет.

Предыстория
Творение Банка России - Комплекс стандартов СТО БР ИББС – симбиоз международных стандартов, лучших практик обеспечения безопасности информационных технологий, а также российских ГОСТов.
Настоящая - пятая редакция основного стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014) действует с 1 июня 2014 года. Сейчас всего стандартов Банка России СТО БР - шесть.
Напомню, что первая редакция стандарта СТО БР ИББС-1.0-2004 (на момент принятия – просто Стандарт Банка России) вступила в действие 1 декабря 2004 года.
Банк России с завидной регулярностью обновлял этот документ:
- вторая редакция: СТО БР ИББС-1.0-2006 взамен СТО БР ИББС-1.0-2004;
- третья редакция: СТО БР ИББС-1.0-2008 взамен СТО БР ИББС-1.0-2006;
- четвертая редакция: СТО БР ИББС-1.0-2010 взамен СТО БР ИББС-1.0-2008;
- пятая редакция: СТО БР ИББС-1.0-2014 взамен СТО БР ИББС-1.0-2010.
Первые рекомендации (РС БР ИББС-2.0-2007) в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0” начали действовать с 1 мая 2007 года. Сейчас рекомендаций РС БР ИББС - восемь.
В результате финансовые организации на текущий момент имеют следующий комплект взаимосвязанных стандартов и рекомендаций.


За, без малого, 15 лет Банку России удалось создать комплект документов, содержащих единые требования по обеспечению информационной безопасности организаций банковской системы РФ. С появлением Стандарта работе в банке по направлению "информационная безопасность" (далее – ИБ) придали смысл. Смысл отразился в реальных делах. Реальные дела привлекли внимание бизнеса. Бизнес выделил ресурсы (дал денег) и штатные единицы, а также наделил полномочиями службу ИБ. У ИБ появилась обратная связь с бизнес-подразделениями. Хорошая ИБ стала одним из критериев надёжности банка.
В те времена, когда хакеры ещё атаковали не тех, кого решили атаковать, а тех, до кого смогли дотянуться, когда ещё теплилась надежда на существование большой красной кнопки у службы ИБ с надписью “Гарантия 100%-й защиты”, начинать приходилось с самых элементарных вещей. С определения целей ИБ, с поиском “спонсора” ИБ в компании, с утверждения требований ИБ на уровне организации. В каждом банке началась кропотливая работа по приготовлению фирменного "блюда" организации – Политики ИБ – написанной по одинаковым, передаваемым из рук в руки рецептам, но уникальной в сознании каждого "блюдодела".
Стандарт Банка России СТО БР ИББС (впоследствии – Комплекс стандартов) долгое время был основополагающим документом в области защиты информации и правового регулирования для банковской системы РФ. Влияние Стандарта на финансовую отрасль сравнимо с влиянием Закона о персональных данных (152-ФЗ).
Финансовые организации должны быть благодарны Комплексу стандартов Банка России СТО БР ИББС. Именно с него началось систематическое регулирование уровня обеспечения информационной безопасности в банковской системе (с проведением оценки соответствия и т.д.). Документы СТО БР ИББС продолжают действовать в настоящее время и могут применяться банками, как и раньше, по своему желанию (кроме того, Банком России данный комплект документов обновляется и дополняется новыми стандартами и рекомендациями).



3 комментария:

  1. Опытные бизнесмены советуют составить список из нескольких идей. В конечном результате, нужно избрать только одну из их, а про существование остальных временно оставить. По любому варианту у грядущего бизнесмена должны быть корректные сведения об необыкновенностях такового бизнеса. Например, если человек намерен открыть свой ресторан dividend-center, через своих своих стопам попытаться найти собственника данного бизнеса и пообщаться с ним, чтобы узнать всё до мельчайших нюансов, неподражаемо тех, коие связаны с рисками денежных утрат.

    ОтветитьУдалить
  2. Третитй бездепозитный приз за регистрацию – денежные средства. К огорчению, начислить рубли либо баксы способны только знаменитые и знаменитые клубы бездепозитные бонусы casino 2022. С их поддержкой у насладиться каждой доступной игрой – автоматом, рулеткой, кено, блэкджеком.

    ОтветитьУдалить
  3. ключевики Live Betting: main recommendations 1 xbet - Betting in live first time used bookmaker ключевики. Demand for the direction appeared instantly. Therefore similar options begin to apply other bookmakers. Now approximately 50% of wagers placed on games in real time. We will tell how to play correctly. ключевики Selection of a bookmaker ключевики First of all user required select betting site. This procedure is complex. Firms exists quite a lot. As a result of this users should consider lots of options: ключевики Recommendations when playing in live ключевики First of all need analyze match. This should perform before start of the game. The specified solution help the user determine chances winning some outcomes. After that need wait for the start meeting. Player required monitor play of athletes. Such decision will set chance of entry of the event. Also required fill in ticket. Specified advice help the user eliminate probability time wasting in the future. Next must analyze sizes of coefficients. Need wait optimal values and make a bet. Desirable for indicator to range 1.5-2.0. Such parameters are most optimal. They give a chance to earn more money with small risks. ключевики Instead of results Clients ключевики must bet only on sporting events that real interest for them. This recommendation helps to improve reliability of forecasts. Analyze in-demand discipline easier http://deutschamgimnazijano1.blogspot.com/2010/11/daad-stipendium-fur-eleonora-babina.html.

    ОтветитьУдалить