BIS Journal №4(47)2022

30 декабря, 2022

Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ

Каждый российский безопасник прекрасно знает про комплекс стандартов СТО БР ИББС. Многие по нему ещё живут, но формально с 2014 г. этот комплекс «приказал долго жить». А жаль. Тем не менее, хотя ЦБ и попытался расширить область ИБ за счёт разных нормативных актов и ГОСТа 57580, забыть СТО БР всё же не получается.

Да и не нужно забывать хорошее, особенно когда речь идёт о лучших практиках. Поэтому Национальный банк Республики Беларусь (далее – НБРБ) принял решение разработать и утвердить для белорусских банков комплекс Технических требований и правил информационной безопасности в банковской деятельности (далее ТТП).

В настоящее время утверждены восемь документов:

  • ТТП ИБ 1.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения и терминология»;
  • ТТП ИБ 2.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования к системам менеджмента информационной безопасности»;
  • ТТП ИБ 3.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по обеспечению информационной безопасности при использовании технологий виртуализации»;
  • ТТП ИБ 4.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Менеджмент рисков информационной безопасности»;
  • ТТП ИБ 5.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Оценка соответствия информационной безопасности банков Республики Беларусь требованиям ТТП ИБ 1.1-2020 и ТТП ИБ 2.1-2020»;
  • ТТП ИБ 6.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по документационному обеспечению деятельности в области обеспечения информационной безопасности в соответствии с требованиями ТТП ИБ 1.1-2020»;
  • ТТП ИБ 7.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по менеджменту инцидентов информационной безопасности»;
  • ТТП ИБ 8.1-2021 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по защите программного обеспечения банковских мобильных приложений».

Из многообразия видно, что НБРБ подошёл основательно к решению вопроса обеспечения информационной безопасности в РБ.

Давайте рассмотрим, в чём различие ТТП ИБ и СТО БР ИББС.

  • ТТП 1.1-2020. Документ сформирован на основе семи глав СТО БР ИББС 1.0-2014. Отличие только в отсутствии текста, связанного с персональными данными.
  • ТТП 2.1-2020. Документ сформирован на основе восьми глав СТО БР ИББС 1.0-2014. В общем текст повторяется, за исключением приложений. Что бросается в глаза, «самооценка» теперь – «внутренний аудит». Добавлены пункт 21 «Требования к организации ИБ на стадии жизненного цикла автоматизированной банковской системы» и пункт 22 «Требования к обеспечению защиты информации организации БС» (7, 8, 9-й разделы ГОСТ Р 57580 1-2017).

В данном документе присутствует несколько приложений:

  1. пример плана обеспечения непрерывности ИБ;
  2. типовые недостатки в реализации функций безопасности автоматизированных систем;
  3. порядок применения положений стандарта ГОСТ Р 57580.1 при формировании дополнительных требований ИБ к системе защиты информации организации БС;
  4. рекомендации к проведению контроля исходного кода;
  5. рекомендации к проведению оценки защищённости;
  6. рекомендации к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации).
  • ТТП 3.1-2020. Документ разработан на основании РС БР ИББС 2.8-2015. Текст сохранён, за исключением специфики РБ.
  • ТТП 4.1-2020. Документ разработан на основании РС БР ИББС 2.2-2009 и СТО БР ИББС 1.4-2018.
  • ТТП 5.1-2020. Первое, что бросается в глаза, — данные требования и правила созданы не на основе СТО БР ИББС-1.2-2014, а на основе предыдущей версии 1.2-2010. Заменены два групповых показателя ИБ, связанных с персональными данными, два показателя, связанных с организацией ИБ на стадиях жизненного цикла АБС и обеспечения защиты информации в организации БС (с учётом разделов 7, 8, 9 ГОСТ Р 57580 1-2017). Математика и круговая диаграмма повторяют СТО.
  • ТТП 6.1-2020. Документ разработан на основании РС БР ИББС 2.0-2007. Так как документ был создан в 2007 году и к настоящему времени много уже было доработано в области ИБ, необходимо было пересмотреть Приложение Б. Добавить в него более практичные названия документов, привести к единому наименованию внутренние документы Банка.
  • ТТП 7.1-2020. Документ разработан на основании РС БР ИББС 2.5-2014 и СТО БР ИББС 1.3-2016. Текст сохранён, за исключением специфики РБ.
  • ТТП 8.1-2021. Данный документ основан не на комплексе стандартов СТО БР.

Надо сказать, что сохранение текста в ТТП из российских документов и сама специфика заключается в том, что на момент «разработки» документов в Республике Беларусь не был урегулирован специальными нормативными актами вопрос защиты ПД и соответствующие разделы просто были изъяты из рассмотрения.

Вышеуказанные документы разработаны в развитие серии государственных стандартов серии «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь», действующих с 2013 года: СТБ 34.101.41, СТБ 34.101.42, СТБ 34.101.61, СТБ 34.101.62, СТБ 34.101.68. Информацию о них можно почерпнуть, например, на tnpa.by.

Со слов заказчиков ТТП (НБ РБ), следует отметить, что «документы выпущены с целью повышения уровня обеспечения кибербезопасности, но на данном этапе носят рекомендательный характер». В перспективе после внесения изменений в Банковский кодекс РБ планируется на основе прилагаемых требований доработать и утвердить стандарты информационной безопасности, которые уже будут обязательны для исполнения в банковской сфере. Ничего не напоминает?

На практике сейчас (уже по прошествии более двух лет) ТТП мало используемы в отрасли (даже в рамках надзорных мероприятий НБ РБ их не использует), и, кроме того, существуют организационные сложности в осуществлении дальнейших планов.

Что сказать в завершение статьи: НБРБ очень сильно постарался и выпустил все эти документы. Но не стоит забывать, что у специалистов ИБ России имеется большой опыт внедрения комплекса стандартов СТО БР – более 12–14 лет. Многие учились и как внедренцы, и как аудиторы, и стоило бы, наверное, создать совместными усилиями методические рекомендации, в которых и будет отражён весь накопленный опыт, а также более детально разъяснены и ТТП 1.1, и ТТП 2.1.

Кроме того, стоит организовать и совместное обучение специалистов ИБ Беларуси и России. Там российские специалисты смогут научить белорусских коллег практическому внедрению методических рекомендаций. Такое взаимодействие, безусловно, позволит сократить время и избежать грубых ошибок при внедрении СТО БР.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.02.2023
UBS: ChatGPT — самое быстрорастущее приложение в истории
03.02.2023
Компания «Информационные системы»: новые возможности дистанционного обслуживания на Форуме iFin-2023
03.02.2023
МТС Банк реализовал сервис денежных переводов в Турцию
03.02.2023
Россияне стали чаще жаловаться регулятору на банки. И меньше — на МФО
03.02.2023
«Мы давно развиваем бизнес в Турции». «Яндекс» идёт на юг
03.02.2023
«Альфа-Банк» презентовал платформу для работы с ЦФА
03.02.2023
Весна близко. Банки смогут заморозить и дропперов, и клиентов
02.02.2023
Практики ИБ и кибербезопасности адаптируются под меняющийся ИТ-ландшафт
02.02.2023
«Удачный» слив: поставлен рекорд по утечкам баз данных отечественных компаний
02.02.2023
«Разрушить технологическую монополию ряда западных стран в финансовой сфере — дело непростое»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных