

СТО БР ИББС-1.0-2010
Стандарт имеет в своей основе риск-ориентированный подход, позволяющий через замкнутый цикл Деминга «Планирование» – «Реализация» – «Проверка» – «Совершенствование» реализовать эффективную систему управления ИБ.
Преимущества данного подхода очевидны – система управления ИБ находится в постоянном развитии, оперативно подстраиваясь к динамике бизнеса и учитывая новые угрозы информационной безопасности.
Его особенность – довольно продолжительное время, необходимое для достижения системой управления ИБ достаточно зрелого уровня.
Еще одна особенность – требования к системе информационной безопасности (раздел 7 стандарта), обязательные к выполнению, не детализируют применение мер по ИБ, оставляя свободу выбора по способу реализации.
PCI DSS
Стандарт представляет собой классический подход обеспечения ИБ, включая в себя ограниченный набор требований по ИБ, обязательных к исполнению.
Несомненное преимущество – все требования достаточно подробно описаны и содержат жесткие привязки мер по обеспечению ИБ к реализации.
Вопрос – что делать, если приведенных требований недостаточно для обеспечения ИБ? Формальная оценка рисков один раз в год в стандарте предусмотрена, но ее явно недостаточно для постоянного поддержания уровня ИБ.
Возможна ли интеграция риск-ориентированного и классического подходов обеспечения ИБ?
Стандарт Банка России СТО БР ИББС-1.0 был разработан на основе общепризнанного международного стандарта ISO 27001. Если проследить путь развития всей группы международных стандартов по информационной безопасности ISO 270xx, самым ранним из них был выпущен «Перечень мер по информационной безопасности» B S7799-1 (впоследствии эволюционировавший в ISO 17799 и затем в ISO 27002), вобравший в себя за более чем 15-летнюю историю квинтэссенцию лучших мировых практик по обеспечению ИБ.
Продолжительное время стандарт являлся классикой в информационной безопасности – внедрение некоторого количества мер позволяло закрыть проблемные области. Чем больше внедрил – тем лучше, даже если лишнее – не беда, пригодится в будущем. Лишь несколько лет спустя появился Стандарт BS 7799-2 (впоследствии ставший ISO 27001), описывающий риск-ориентированный подход построения системы управления ИБ.
Кроме основных требований к разработке и внедрению системы менеджмента ИБ данный стандарт включил перечень мер из ISO 27002, приведенных в качестве рекомендуемых для снижения рисков ИБ. В итоге получилось, что по результатам оценки рисков нужно выбрать только те меры обеспечения ИБ, которые действительно необходимы и достаточны для снижения рисков до приемлемого бизнесом уровня.
Так почему бы не использовать такой же подход в отношении СТО БР и PCI DSS?
Что для этого нужно:
О чем нужно помнить при использовании данного подхода:
В итоге два абсолютно разных и казалось бы несовместимых друг с другом стандарта можно увязать в один общий проект, который:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных