С момента выхода первой редакции Стандарта СТО БР ИББС-1.0 прошло 16 лет. За это время Банком России совместно со специалистами в области защиты информации проведена огромная работа по стандартизации требований по информационной безопасности для финансовых организаций. Но «рекомендательный» статус СТО БР ИББС не позволял создать единую, измеряемую и применимую ко всем финансовым организациям методологическую основу для реализуемых систем обеспечения информационной безопасности.
Подходы, заложенные как в СТО БР ИББС-1.0, так и в методику оценки соответствия СТО БР ИББС-1.2, не позволяли для финансовых организаций разного «масштаба» проводить сбалансированную политику в области защиты информации по нескольким основным причинам:
Двигаясь от СТО БР ИББС с добровольной областью применения (выбираемой кредитной организацией самостоятельно) к текущим Положениям Банка России с насколько это возможно в официальных документах формализованной областью применения (Положения 382-П, 672-П, 683-П и 684-П) появилась необходимость создания единой методологической основы к формализации требований к защите информации. Такой основой стали первые документы из серии Национальных стандартов ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (требования) и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценка соответствия».
Вчитываясь в положения Национального стандарта ГОСТ Р 57580.1-2017, мы видим преемственность:
Однако, как и написано в Положениях Банка России, (переводящих Национальный стандарт в область обязательных к применению документов, ГОСТ Р 57580.1 должен использоваться как базовый набор мер, необходимых к реализации на уровне ИТ-инфраструктуры финансовых организации, а требования к мерам защиты информации на уровне технологических процессов определяются соответствующими нормативными документами Банка России.
Банк России дает возможность финансовым организациям делать выбор мер защиты информации, основываясь на формализованных в нормативных документах критериях, проводить их адаптацию и уточнение (с учетом особенностей ИТ-инфраструктуры и результатов моделирования угроз), а также предоставляет возможность применения компенсирующих мер (экономическая целесообразность). При этом Банк России уходит от «самооценок» в сторону внешних независимых аудитов. Такой подход должен позволить получать повторяемые результаты, как один из критериев независимости аудита, и отслеживать состояние информационной безопасности финансовых организаций по единой методологии.
Изменился и подход к формированию базовых требований:
В ГОСТ 57580.1 отсутствуют требования о необходимости обязательного применения сертифицированных средств защиты информации, однако дана отсылка к результатам моделирования угроз (по аналогии с Приказом ФСТЭК России от 18 февраля 2013 г. № 21 и Постановлением Правительства Российской Федерации от 01.11.2012 № 1119):
Необходимо обеспечить применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
Методика оценки соответствия определена положениями ГОСТ Р 57580.2-2018, однако описание самого процесса проведения аудита информационной безопасности лучше раскрыто в документе СТО БР ИББС-1.1-2007 года. Данный подход может использоваться как при проведении оценки соответствия требованиям Положения 382-П, так и при проведении оценки соответствия требованиям ГОСТ Р 57580.1.
Ключевые отличия от подхода, применяемого в Положении Банка России 382-П:
Единственное, на что стоит обратить внимание финансовым организациям – в разных нормативных документах определена разная периодичность оценки: