Павел Гениевский: проблемы внедрения Комплекса БР ИББС нуждаются в профессиональном обсуждении и обратной связи с регуляторами

Павел Гениевский: проблемы внедрения Комплекса БР ИББС нуждаются в профессиональном обсуждении и обратной связи с регуляторами

www.infosecurityrussia.ru

О том, какие проблемы следует обсудить на совещании и о месте его в ряду других мероприятий по информационной безопасности, рассказывает Павел Гениевский в интервью, данном им журналу "Information Security / Информационная безопасность".

"Существует ряд проблем, связанных с вводом пакета обновленных отраслевых документов по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Этот пакет включают четыре документа, входящих в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее – Комплекс БР ИББС):

1.1. Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0), доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;

1.2. Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.2-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0", доработанная в части оценки по дополнительным требованиям, относящимся к обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;

1.3. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее – Отраслевая модель угроз);

1.4. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее – рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

С одной стороны, кредитные организации ожидали, что вышедший Комплекс БР ИББС признан всеми регуляторами (Банк России, Роскомнадзор, ФСБ и ФСТЭК), и им станет легче ориентироваться как в самих требованиях, так и в вопросах соответствия этим требованиям. На деле оказалось, что некоторые регуляторы, изъявив полную поддержку подготовленной к вводу редакции, стали предъявлять все новые условия и Комплекс БР ИББС начал "разбухать".

Кроме того, неясно, что именно ждут регуляторы от кредитных организаций к концу года? В соответствии с письмом "шестерых", все кредитные организации, которые ввели Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением), до конца года должны выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий). Однако в Стандарте Банка России нет жесткой формулировки "соответствует требованиям/не соответствует" (что, на мой взгляд, абсолютно правильно), а имеется 6 (шесть) уровней соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0. Где "нулевой" уровень – самый низкий, а пятый – это уровень, к которому нужно постоянно стремиться. Рекомендуемый Банком России – "четвертый" уровень. Отсюда возникает вопрос: что если окажется, что по результатам оценки соответствия/самооценки банк подтвердит соответствие своей организации "второму" или "третьему" уровню??? А на сегодняшний день подавляющее большинство банков имеют именно такую ситуацию, что в действительности не так уж и плохо, ведь это не отметки в школе… Чтобы привести банк например к "третьему" уровню, необходимо проделать очень большую работу.

Сейчас проходит множество мероприятий с участием представителей банковского сообщества и регуляторов, посвященных всем вышеназванным проблемам. Идет профессиональный диалог, дающий возможность регуляторам получить оперативную обратную реакцию. И не просто реакцию, а взвешенный анализ: с момента подписания письма "шестерых" банки смогли оценить для себя ситуацию, подсчитать ресурсную емкость, проанализировать возможности, оценить что удобнее было бы сделать, а что делать нецелесообразно, определить основные затраты (временные и денежные).

Результаты этого анализа прозвучали в конце сентября на конференции АРБ.

Как отмечают представители кредитных организаций, было бы справедливо к концу этого года требовать от их организаций объективных результатов оценки соответствия, которые будут зафиксированы регуляторами, а в следующем году продолжить работу по совершенствованию и к концу года также предоставить результаты оценки соответствия/самооценки регуляторам. Таким образом, за счет ежегодного совершенствования банки постепенно достигнут рекомендуемого уровня. Если же уже в этом году прировнять соответствие "четвертого" уровня к соответствию требованиям 152-ФЗ, то в нарушителях окажется большинство кредитных организаций.

В этом смысле все проводимые профессиональные мероприятия можно рассматривать как кирпичики для возведения здания. Каждый новый кирпичик – это еще один шаг к цели. Так, например, после одной из таких конференций было принято решение о создании "горячей линии" на базе АРБ, цель которой снять большую часть оперативных вопросов, связанных с внедрением Комплекса БР ИББС.

В конце концов, уверен, мы придем к единому пониманию всех шагов, которые необходимо сделать для обеспечения необходимого и достаточного уровня информационной безопасности организаций БС РФ. Уверен, что будут определены и критерии оценок, и порядок проверок, определены те, кто проверяет и оценивает, и те, кто должен нести ответственность в той или иной ситуации – перед клиентами, перед акционерами, перед регуляторами.

А пока есть смысл вынести все нерешенные вопросы на обсуждение в рамках отраслевого совещания выставки InfoSecurity Russia’2010. Выставка проходит в ноябре – и в силу этого к моменту ее проведения у нас будет уже какое-то приближение к пониманию, в каком направлении проводятся "корректировки". Это обязательно будет доложено участникам совещания.

Желаем всем участникам выставки плодотворной работы!"

VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010 пройдет с 17 по 19 ноября в Москве, в КВЦ "Сокольники", павильон 4.

Совещание банковского сообщества "Практические аспекты применения комплекса документов в области стандартизации Банка России "Обеспечение ИБ организаций банковской системы РФ с учетом 152-ФЗ" состоится 18 ноября (зал "Регулирование"), начало – в 15.00.

В рамках совещания запланированы следующие доклады:

1. Внедрение СТОБР ИББС-2010 в кредитных организациях. Первый опыт, трудности и проблемы

2. Реализация Стандарта Банка России в части обеспечения безопасности персональных данных.

3. А судьи кто? Проблемы создания "экспертного совета".

4. Экономическая эффективность внедрения отраслевых стандартов

5. Возможность применения механизмов Стандарта Банка России в других отраслях.

Павел Владимирович Гениевский выступит с докладом "А судьи кто? Проблемы создания "экспертного совета", в котором будут подняты следующие вопросы:

Кто будет проверять банки на соответствие СТО БР ИББС? Внешний аудит или самооценка? Куда предоставлять результаты проверки КО на соответствие стандарту?

Зарегистрироваться на совещании: http://www.infosecurityrussia.ru/2010/program/18.11.2010/#s1086.