В августе 2019 года произошло почти никем незамеченное событие, которое подвело черту под целой эпохой в банковской ИБ – эпохой Комплекса стандартов СТО БР ИББС. Финансовые организации РФ получили от Банка России письмо «О проведении оценки соответствия требованиям СТО БР ИББС-1.0-2014».
На первый взгляд, ничего сенсационного в этом письме от регулятора не было. Сообщалось, что согласно Положению БР № 683-П с 1 января 2021 года «кредитные организации обеспечивают реализацию мер защиты информации, определенных ГОСТ Р 57580.1-2017, а также предоставляют информацию об оценке выполнения требований к обеспечению защиты…, проводимой в соответствии с положениями ГОСТ Р 57580.2-2018». Исходя из этого «направлять сведения о выполнении оценки соответствия требованиям СТО БР ИББС-1.2-2014… не требуется». А раз так, то Комплекс стандартов СТО БР ИББС, очевидно, отходит на второй план, сбрасывается с корабля современности и утрачивает роль драйвера развития ИБ, которую играл последние 15 лет. Заметим, играл фактически, а не де-юре, так как согласно Закону о техническом регулировании СТО БР имеет статус «Необязательный к исполнению».
ПРЕДЫСТОРИЯ
Творение Банка России - Комплекс стандартов СТО БР ИББС – симбиоз международных стандартов, лучших практик обеспечения безопасности и российских ГОСТов. Напомню, что первая редакция стандарта СТО БР ИББС-1.0-2004 (на момент принятия – просто Стандарт Банка России) вступила в действие 1 декабря 2004 года.
Банк России с завидной регулярностью обновлял этот документ:
Первые рекомендации (РС БР ИББС-2.0-2007) в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» начали действовать с 1 мая 2007 года. Сейчас рекомендаций РС БР ИББС – восемь.
В результате финансовые организации на текущий момент имеют следующий комплект взаимосвязанных стандартов и рекомендаций.
За 15 лет Банку России удалось создать комплект документов, содержащих единые требования по обеспечению информационной безопасности банков РФ. С появлением Стандарта направлению ИБ в кредитно-финансовых организациях придали смысл. Смысл отразился в реальных делах. Реальные дела привлекли внимание бизнеса. Бизнес наделил службу ИБ полномочиями и выделил ресурсы (дал денег и штатные единицы). У ИБ появилась обратная связь с бизнес-подразделениями. Хорошая ИБ стала одним из критериев надёжности банка.
В те времена, когда хакеры ещё атаковали не тех, кого решили, а тех, кого могли, когда ещё верилось в существование большой красной кнопки «Гарантия защиты – 100%», начинать приходилось с элементарного. С определения целей ИБ, с поиска «спонсора» ИБ в компании, с утверждения требований ИБ на уровне организации. В каждом банке началась кропотливая работа по приготовлению фирменного «блюда» – Политики ИБ, написанной по одинаковым, передаваемым из рук в руки рецептам, но уникальной в сознании каждого «блюдодела».
Стандарт Банка России СТО БР ИББС долгое время был основополагающим документом в области защиты информации для банковской системы РФ. Влияние Стандарта на финансовую отрасль сравнимо только с влиянием Закона о персональных данных (152-ФЗ).
Банки должны быть благодарны Комплексу стандартов СТО БР ИББС. Именно с него началось систематическое регулирование ИБ в банковской системе. Документы СТО БР ИББС продолжают действовать в настоящее время и могут применяться банками, как и раньше, по желанию. Более того, Банк России обновляет и дополняет этот комплект документов новыми стандартами и рекомендациями.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных