На сайте технического комитета ТК-122 (http://tk122.ru/) в начале ноября опубликованы два проекта стандартов Центрального банка РФ: СТО БР ИБНФО Б-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций. Общие положения» и СТО БР ИБНФО М-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций, соответствующих критериям отнесения к малым предприятиям и микропредприятиям. Общие положения». Первый проект стандарта определяет требования к информационной безопасности для крупных и средних некридитных финансовых организаций (НФО), а второй – для малых и микропредприятий. В документе указано, что при количестве сотрудников в компании более 60 человек рекомендуется использовать первый стандарт, при меньшей численности – второй. Впрочем, оба стандарта предполагается сделать пока рекомендательными, но уже предусмотрено уточнение «если иное не указано в других законодательных актах».
В обоих стандартах указывается, что в НФО необходимо построить систему обеспечения информационной безопасности (СОИБ), которая состоит из собственно системы информационной безопасности (СИБ) и системы мониторинга информационной безопасности (СМИБ). Первая – защищает, вторая – контролирует. Выбор технических средств защиты осуществляется в соответствии с моделью угроз и нарушителей. Предполагается, что мониторинг позволяет оценить актуальность угроз, состояние системы защиты и эффективность защиты. В случае обнаружения проблем защита должна перестраиваться таким образом, чтобы можно было защищаться в том числе и от новых угроз. Контроль необходим для постоянного развития системы защиты.
Стандарт также предполагает, что в СИБ небольших НФО должны быть следующие компоненты: управление доступом на основе ролей; соблюдение требований ИБ на всех стадиях жизненного цикла информационной системы; защита от несанкционированного доступа и контроль всех действий персонала в инфраструктуре предприятия; антивирусы на всех компонентах; контроль использования Интернет; защита данных с помощью криптографических средств. Впрочем, документ предусматривает возможность использования компенсационных мер, которые позволяют с помощью организационных регламентов компенсировать отсутствие технических средств защиты. Для малых предприятий также не допускается совмещение для одного специалиста таких обязанностей, как администратор системы и администратор ИБ, выполнение операций в информационной системе и контроль их выполнения. Это необходимо для предотвращения злоупотреблений теми сотрудниками, которые совмещают указанные обязанности.
В крупных организациях набор требований несколько расширен. В частности, в нем добавляется требование по обеспечению безопасности бизнес-процессов в компании. Кроме указанных для малых предприятий требуется разделять дополнительные роли: разработка, сопровождение и эксплуатация автоматизированной системы должна вестись тремя разными подразделениями. При этом в требованиях к крупным НФО закреплены международные принципы организации защиты, которые формулируются как «знать своего клиента» (сбор сведений о клиенте для проведения расследования), «знать своего сотрудника» (сбор сведений о сотрудниках), «необходимо знать» (давать сотруднику минимум сведений в рамках его полномочий) и «двойное управление» (дублирование ответственных операций для проверки результатов).
Следует отметить, что требования стандартов являются базовыми и могут быть изменены по результатам деятельности СМИБ. Характерно, что для реализации СОИБ Центробанк предлагает пользоваться услугами профессиональных компаний, которые имеют лицензию на деятельность по ТЗКИ. В этом плане Центробанк находится в русле приказов ФСТЭК и требований по защите персональных данных. Стандарты были опубликованы 5 ноября для ознакомления. Замечания по стандарту принимаются до 5 декабря, поэтому еще есть время повлиять на принятие стандарта – следующее изменение, скорее всего, можно будет внести не ранее чем через два года.
