Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ
Каждый российский безопасник прекрасно знает про комплекс стандартов СТО БР ИББС. Многие по нему ещё живут, но формально с 2014 г. этот комплекс «приказал долго жить». А жаль. Тем не менее, хотя ЦБ и попытался расширить область ИБ за счёт разных нормативных актов и ГОСТа 57580, забыть СТО БР всё же не получается.
Да и не нужно забывать хорошее, особенно когда речь идёт о лучших практиках. Поэтому Национальный банк Республики Беларусь (далее – НБРБ) принял решение разработать и утвердить для белорусских банков комплекс Технических требований и правил информационной безопасности в банковской деятельности (далее ТТП).
В настоящее время утверждены восемь документов:
- ТТП ИБ 1.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения и терминология»;
- ТТП ИБ 2.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования к системам менеджмента информационной безопасности»;
- ТТП ИБ 3.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по обеспечению информационной безопасности при использовании технологий виртуализации»;
- ТТП ИБ 4.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Менеджмент рисков информационной безопасности»;
- ТТП ИБ 5.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Оценка соответствия информационной безопасности банков Республики Беларусь требованиям ТТП ИБ 1.1-2020 и ТТП ИБ 2.1-2020»;
- ТТП ИБ 6.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по документационному обеспечению деятельности в области обеспечения информационной безопасности в соответствии с требованиями ТТП ИБ 1.1-2020»;
- ТТП ИБ 7.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по менеджменту инцидентов информационной безопасности»;
- ТТП ИБ 8.1-2021 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по защите программного обеспечения банковских мобильных приложений».
Из многообразия видно, что НБРБ подошёл основательно к решению вопроса обеспечения информационной безопасности в РБ.
Давайте рассмотрим, в чём различие ТТП ИБ и СТО БР ИББС.
- ТТП 1.1-2020. Документ сформирован на основе семи глав СТО БР ИББС 1.0-2014. Отличие только в отсутствии текста, связанного с персональными данными.
- ТТП 2.1-2020. Документ сформирован на основе восьми глав СТО БР ИББС 1.0-2014. В общем текст повторяется, за исключением приложений. Что бросается в глаза, «самооценка» теперь – «внутренний аудит». Добавлены пункт 21 «Требования к организации ИБ на стадии жизненного цикла автоматизированной банковской системы» и пункт 22 «Требования к обеспечению защиты информации организации БС» (7, 8, 9-й разделы ГОСТ Р 57580 1-2017).
В данном документе присутствует несколько приложений:
- пример плана обеспечения непрерывности ИБ;
- типовые недостатки в реализации функций безопасности автоматизированных систем;
- порядок применения положений стандарта ГОСТ Р 57580.1 при формировании дополнительных требований ИБ к системе защиты информации организации БС;
- рекомендации к проведению контроля исходного кода;
- рекомендации к проведению оценки защищённости;
- рекомендации к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации).
- ТТП 3.1-2020. Документ разработан на основании РС БР ИББС 2.8-2015. Текст сохранён, за исключением специфики РБ.
- ТТП 4.1-2020. Документ разработан на основании РС БР ИББС 2.2-2009 и СТО БР ИББС 1.4-2018.
- ТТП 5.1-2020. Первое, что бросается в глаза, — данные требования и правила созданы не на основе СТО БР ИББС-1.2-2014, а на основе предыдущей версии 1.2-2010. Заменены два групповых показателя ИБ, связанных с персональными данными, два показателя, связанных с организацией ИБ на стадиях жизненного цикла АБС и обеспечения защиты информации в организации БС (с учётом разделов 7, 8, 9 ГОСТ Р 57580 1-2017). Математика и круговая диаграмма повторяют СТО.
- ТТП 6.1-2020. Документ разработан на основании РС БР ИББС 2.0-2007. Так как документ был создан в 2007 году и к настоящему времени много уже было доработано в области ИБ, необходимо было пересмотреть Приложение Б. Добавить в него более практичные названия документов, привести к единому наименованию внутренние документы Банка.
- ТТП 7.1-2020. Документ разработан на основании РС БР ИББС 2.5-2014 и СТО БР ИББС 1.3-2016. Текст сохранён, за исключением специфики РБ.
- ТТП 8.1-2021. Данный документ основан не на комплексе стандартов СТО БР.
Надо сказать, что сохранение текста в ТТП из российских документов и сама специфика заключается в том, что на момент «разработки» документов в Республике Беларусь не был урегулирован специальными нормативными актами вопрос защиты ПД и соответствующие разделы просто были изъяты из рассмотрения.
Вышеуказанные документы разработаны в развитие серии государственных стандартов серии «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь», действующих с 2013 года: СТБ 34.101.41, СТБ 34.101.42, СТБ 34.101.61, СТБ 34.101.62, СТБ 34.101.68. Информацию о них можно почерпнуть, например, на tnpa.by.
Со слов заказчиков ТТП (НБ РБ), следует отметить, что «документы выпущены с целью повышения уровня обеспечения кибербезопасности, но на данном этапе носят рекомендательный характер». В перспективе после внесения изменений в Банковский кодекс РБ планируется на основе прилагаемых требований доработать и утвердить стандарты информационной безопасности, которые уже будут обязательны для исполнения в банковской сфере. Ничего не напоминает?
На практике сейчас (уже по прошествии более двух лет) ТТП мало используемы в отрасли (даже в рамках надзорных мероприятий НБ РБ их не использует), и, кроме того, существуют организационные сложности в осуществлении дальнейших планов.
Что сказать в завершение статьи: НБРБ очень сильно постарался и выпустил все эти документы. Но не стоит забывать, что у специалистов ИБ России имеется большой опыт внедрения комплекса стандартов СТО БР – более 12–14 лет. Многие учились и как внедренцы, и как аудиторы, и стоило бы, наверное, создать совместными усилиями методические рекомендации, в которых и будет отражён весь накопленный опыт, а также более детально разъяснены и ТТП 1.1, и ТТП 2.1.
Кроме того, стоит организовать и совместное обучение специалистов ИБ Беларуси и России. Там российские специалисты смогут научить белорусских коллег практическому внедрению методических рекомендаций. Такое взаимодействие, безусловно, позволит сократить время и избежать грубых ошибок при внедрении СТО БР.