BIS Journal №4(47)2022

30 декабря, 2022

Россия — Беларусь: диалог друзей. Как СТО БР возродился в ТТП ИБ

Каждый российский безопасник прекрасно знает про комплекс стандартов СТО БР ИББС. Многие по нему ещё живут, но формально с 2014 г. этот комплекс «приказал долго жить». А жаль. Тем не менее, хотя ЦБ и попытался расширить область ИБ за счёт разных нормативных актов и ГОСТа 57580, забыть СТО БР всё же не получается.

Да и не нужно забывать хорошее, особенно когда речь идёт о лучших практиках. Поэтому Национальный банк Республики Беларусь (далее – НБРБ) принял решение разработать и утвердить для белорусских банков комплекс Технических требований и правил информационной безопасности в банковской деятельности (далее ТТП).

В настоящее время утверждены восемь документов:

  • ТТП ИБ 1.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения и терминология»;
  • ТТП ИБ 2.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования к системам менеджмента информационной безопасности»;
  • ТТП ИБ 3.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по обеспечению информационной безопасности при использовании технологий виртуализации»;
  • ТТП ИБ 4.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Менеджмент рисков информационной безопасности»;
  • ТТП ИБ 5.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Оценка соответствия информационной безопасности банков Республики Беларусь требованиям ТТП ИБ 1.1-2020 и ТТП ИБ 2.1-2020»;
  • ТТП ИБ 6.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по документационному обеспечению деятельности в области обеспечения информационной безопасности в соответствии с требованиями ТТП ИБ 1.1-2020»;
  • ТТП ИБ 7.1-2020 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Рекомендации по менеджменту инцидентов информационной безопасности»;
  • ТТП ИБ 8.1-2021 «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Требования по защите программного обеспечения банковских мобильных приложений».

Из многообразия видно, что НБРБ подошёл основательно к решению вопроса обеспечения информационной безопасности в РБ.

Давайте рассмотрим, в чём различие ТТП ИБ и СТО БР ИББС.

  • ТТП 1.1-2020. Документ сформирован на основе семи глав СТО БР ИББС 1.0-2014. Отличие только в отсутствии текста, связанного с персональными данными.
  • ТТП 2.1-2020. Документ сформирован на основе восьми глав СТО БР ИББС 1.0-2014. В общем текст повторяется, за исключением приложений. Что бросается в глаза, «самооценка» теперь – «внутренний аудит». Добавлены пункт 21 «Требования к организации ИБ на стадии жизненного цикла автоматизированной банковской системы» и пункт 22 «Требования к обеспечению защиты информации организации БС» (7, 8, 9-й разделы ГОСТ Р 57580 1-2017).

В данном документе присутствует несколько приложений:

  1. пример плана обеспечения непрерывности ИБ;
  2. типовые недостатки в реализации функций безопасности автоматизированных систем;
  3. порядок применения положений стандарта ГОСТ Р 57580.1 при формировании дополнительных требований ИБ к системе защиты информации организации БС;
  4. рекомендации к проведению контроля исходного кода;
  5. рекомендации к проведению оценки защищённости;
  6. рекомендации к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации).
  • ТТП 3.1-2020. Документ разработан на основании РС БР ИББС 2.8-2015. Текст сохранён, за исключением специфики РБ.
  • ТТП 4.1-2020. Документ разработан на основании РС БР ИББС 2.2-2009 и СТО БР ИББС 1.4-2018.
  • ТТП 5.1-2020. Первое, что бросается в глаза, — данные требования и правила созданы не на основе СТО БР ИББС-1.2-2014, а на основе предыдущей версии 1.2-2010. Заменены два групповых показателя ИБ, связанных с персональными данными, два показателя, связанных с организацией ИБ на стадиях жизненного цикла АБС и обеспечения защиты информации в организации БС (с учётом разделов 7, 8, 9 ГОСТ Р 57580 1-2017). Математика и круговая диаграмма повторяют СТО.
  • ТТП 6.1-2020. Документ разработан на основании РС БР ИББС 2.0-2007. Так как документ был создан в 2007 году и к настоящему времени много уже было доработано в области ИБ, необходимо было пересмотреть Приложение Б. Добавить в него более практичные названия документов, привести к единому наименованию внутренние документы Банка.
  • ТТП 7.1-2020. Документ разработан на основании РС БР ИББС 2.5-2014 и СТО БР ИББС 1.3-2016. Текст сохранён, за исключением специфики РБ.
  • ТТП 8.1-2021. Данный документ основан не на комплексе стандартов СТО БР.

Надо сказать, что сохранение текста в ТТП из российских документов и сама специфика заключается в том, что на момент «разработки» документов в Республике Беларусь не был урегулирован специальными нормативными актами вопрос защиты ПД и соответствующие разделы просто были изъяты из рассмотрения.

Вышеуказанные документы разработаны в развитие серии государственных стандартов серии «Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь», действующих с 2013 года: СТБ 34.101.41, СТБ 34.101.42, СТБ 34.101.61, СТБ 34.101.62, СТБ 34.101.68. Информацию о них можно почерпнуть, например, на tnpa.by.

Со слов заказчиков ТТП (НБ РБ), следует отметить, что «документы выпущены с целью повышения уровня обеспечения кибербезопасности, но на данном этапе носят рекомендательный характер». В перспективе после внесения изменений в Банковский кодекс РБ планируется на основе прилагаемых требований доработать и утвердить стандарты информационной безопасности, которые уже будут обязательны для исполнения в банковской сфере. Ничего не напоминает?

На практике сейчас (уже по прошествии более двух лет) ТТП мало используемы в отрасли (даже в рамках надзорных мероприятий НБ РБ их не использует), и, кроме того, существуют организационные сложности в осуществлении дальнейших планов.

Что сказать в завершение статьи: НБРБ очень сильно постарался и выпустил все эти документы. Но не стоит забывать, что у специалистов ИБ России имеется большой опыт внедрения комплекса стандартов СТО БР – более 12–14 лет. Многие учились и как внедренцы, и как аудиторы, и стоило бы, наверное, создать совместными усилиями методические рекомендации, в которых и будет отражён весь накопленный опыт, а также более детально разъяснены и ТТП 1.1, и ТТП 2.1.

Кроме того, стоит организовать и совместное обучение специалистов ИБ Беларуси и России. Там российские специалисты смогут научить белорусских коллег практическому внедрению методических рекомендаций. Такое взаимодействие, безусловно, позволит сократить время и избежать грубых ошибок при внедрении СТО БР.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.01.2023
На «чёрном рынке» растёт стоимость банковских карт
30.01.2023
Baidu вскакивает на поезд OpenAI
30.01.2023
Без «железа» любая операционная система теряет смысл
30.01.2023
Замена техники Ingenico не потребует никаких усилий
30.01.2023
В России необходимо создать собственную среду разработки
30.01.2023
Как работают MDM-приложения, каковы их преимущества и недостатки
30.01.2023
С продуктом R-Style Softlab получать налоговый вычет станет проще
27.01.2023
Хакер получил доступ к «чёрному списку» пассажиров Управления транспортной безопасности США
27.01.2023
Хакеры атакуют британских политиков и журналистов
27.01.2023
Деятельность Hive пресечена в результате совместной операции 13 стран

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных