Стандартизация вопросов информационной безопасности

На тематическом заседании № 2 были представлены доклады всего спектра участников конференции – банков, в том числе Банка России, регуляторов и поставщиков продуктов и услуг. Основным на заседании № 2 был доклад заместителя начальника ГУБиЗИ А.П. Курило о, пожалуй, наиболее значимом событии прошедшего года в области стандартизации вопросов информационной безопасности банков. Андрей Петрович рассказал о создании приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2010 года № 5527 на базе Банка России Технического комитета ТК 122 «Стандарты финансовых операций», который является аналогом международного технического комитета ISO-TC 68.

В составе ТК 122 – 5 подкомитетов. Наиболее важный для нас – ПК 1 «Безопасность финансовых (банковских) операций». Он продолжит работу по развитию Комплекса БР ИББС, в том числе в части обеспечения безопасности основных финансовых операций. Комитет расширит деятельность по стандартизации вопросов информационной безопасности банков в части подготовки национальных стандартов на основе документов Комплекса БР ИББС. Будет развиваться и деятельность по гармонизации и адаптации к российским реалиям международных стандартов, изданных в рамках технического комитета ISO/TC 68/SC 2. Также комитет будет заниматься продвижением на уровень ISO отдельных национальных решений и технологий безопасности.

В докладе А.П. Курило подведены итоги 2011 года – первого года работы ПК 1, и представлен план работ на текущий 2012 год. План включает, среди других направлений, работу по выпуску СТО БР ИББС-1.0 уже в статусе национального стандарта. В докладе начальника отдела методологии обеспечения безопасности информационных ресурсов Банка России В.П. Харламова вновь был поднят вопрос о стандарте PCI DSS – международном стандарте, не имеющем аналога в Российской Федерации. Однако вступление России в ВТО, её более тесное включение в мировое экономическое сообщество предполагает и гармонизацию её технического законодательства с мировым. Поэтому возникла необходимость перенесения его требований в российскую практику, но на легитимной основе.

Используя ресурс, который предоставляет ТК 122, создаётся совместная рабочая группа из представителей трёх подкомитетов с целью нахождения взаимоприемлемых путей для введения в действие на территории Российской Федерации (национальных) стандартов, гармонизированных с PCI DSS и сопутствующими ему документами PCI SSC. Первые шаги на этом пути – организация взаимодействия от имени российской стороны с PCI SSC и организация работы по заключению соглашения о сотрудничестве с PCI SSC.

В трёх других выступлениях представителей кредитных организаций были рассмотрены отдельные вопросы выполнения требований СТО БР ИББС-1.0-2010. Так, Банк «Возрождение» (ОАО) рассказал об опыте реализации требований к обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла. ОАО «Россельхозбанк» представил свою разработку системы менеджмента инцидентов информационной безопасности и её влияние на эффективность и управляемость системы обеспечения информационной безопасности. ЗАО «Транскапиталбанк» представил свой опыт реализации рекомендаций одного из документов Комплекса БР ИББС – РС БР ИББС-2.3-2010.

Регуляторы были представлены двумя докладами. Представитель ФСБ России проинформировал о работах Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26), созданного приказом №3825 Росстандарта от 28 декабря 2007 года для организации и проведения работ в области национальной, региональной и международной стандартизации шифровальных (криптографических) средств защиты информации, а также технических решений по их применению в информационно-телекоммуникационных системах и системах шифрованной, засекреченной и иных видов специальной связи.

Прозвучала информация о проектах обновленных версий национальных стандартов ГОСТ Р 34.10-20 «Процессы формирования и проверки электронной цифровой подписи» и ГОСТ Р 34.11-20 «Функция хэширования». Переход на новые редакции этих стандартов будет проводиться поэтапно на протяжении определенного срока, установленного ФСБ России. Были отмечены проблемы взаимодействия с рабочей группой подкомитета 27 объединенного технического комитета 1 международной организации по стандартизации ISO (JTC 1/SC 27/WG 2 – Cryptography and security mechanisms), объединяющей национальные системы стандартизации 163 стран.

Представитель Росстандарта рассказал о направлениях развития национальной стандартизации, обеспечивающей гармонизацию национальных и международных стандартов в сфере финансовых операций. Речь шла о разработке и реализации единых методических принципов стандартизации (в том числе и в банковском деле), реализующих системный подход к созданию системы взаимосвязанных стандартов. При этом определяются цели и задачи создания системы стандартов, области стандартизации, выявляется множество объектов стандартизации, формируются профили, определяются последовательности и сроки выполнения работ.

Некоммерческое партнерство «АБИСС» представило предварительные результаты исследования задач и проблем применения Комплекса СТО БР ИББС. Был проведён анализ результатов опроса 42 кредитных организаций по проблемам бюджета информационной безопасности и различным аспектам присоединения к Комплексу СТО БР ИББС, по кадровым вопросам, по выполненным работам и планам. Однако пока результаты исследований и анализа основаны на недостаточно репрезентативной выборке и будут более ценными после завершения исследований.

Ещё один доклад эксперта НП «АБИСС» был посвящен опыту подготовки сертифицированных специалистов по СТО БР ИББС, что необходимо для членства в НП «АБИСС». Положение о некоммерческом партнерстве требует наличия в штате организации не менее трёх специалистов, обладающих сертификатом НП «АБИСС». Работают подготовленные партнёрством обучающие курсы, действует соответствующий спектр сертификатов. Отзывы слушателей в целом положительные, отмечается практическая направленность курсов. Были высказаны пожелания к авторам методики по содержанию курсу и процедуре тестирования.

Среди выступлений поставщиков продуктов и услуг можно выделить выступление представителя ООО «КАБЕСТ» с подробным изложением шагов, которые необходимы для подготовки организации банковской сферы к сертификации по PCI DSS 2.0. Интересен был доклад ЗАО «ДиалогНаука» о способах оценки степени соответствия комплексу стандартов Банка России с применением различных технических средств. В докладе рассказывалось о способах оценки соответствия использования автоматизированных средств.

Информационно ёмкое выступление представителя компании Microsoft о своих продуктах, сертифицированных и планируемых к сертификации на соответствие российским требованиям ФСБ России и ФСТЭК России, представляло безусловный интерес, хотя и не затрагивало вопросы стандартизации. Выступление  представителя компания LETA было посвящено продукту Avanpost SSO (single sign-on) – модулю обеспечения единого механизма доступа к приложениям, который, видимо, может быть использован при реализации требований СТО БР ИББС.

Следует отметить: основные, соответствующие тематике заседания № 2 доклады не вызвали дискуссий. Что можно объяснить тем, что стандартизация в области информационной безопасности организаций банковской системы РФ вступила на новый этап. Уже формируются планы, но ещё нет новых результатов. Все – в ожидании постановлений Правительства, которые предусмотрены Федеральным законом от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и которые определят изменения требований к защите персональных данных», а, следовательно, приведут к изменениям документов Комплекса БР ИББС. 

Кроме того, нормативные акты Банка России по защите информации, предусмотренные Федеральным законом от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», скорее всего, потребуют выпуска уточняющих требований, которые целесообразно оформить в виде документа Комплекса БР ИББС в статусе рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» аналогично РС БР ИББС- 2.3-2010 для персональных данных.

Валерий Харламов -- начальник отдела методологии обеспечения безопасности информационных ресурсов (Банк России)

BIS Journal №2(5)/2012

12 мая, 2012

Смотрите также