Cтандарт Банка России появился в 2004 году как адаптация к условиям банковской сферы РФ 27000-й серии международных стандартов и начало процесса стандартизации системы защиты банковской тайны в нашей стране. Однако в России не существует системы отраслевых стандартов — есть только государственные стандарты и стандарты предприятий. СТО БР ИББС имеет статус стандарта предприятия, и потому каждый банк самостоятельно решает, принимать или не принимать данный стандарт.
До 2010 года переход на СТО БР ИББС происходил достаточно вяло — во многом из-за его необязательного статуса. Но проблема выполнения технических требований, вытекающих из закона «О персональных данных», подстегнула процесс принятия кредитными учреждениями данного стандарта. Сейчас перед банковскими организациями стоит дилемма: или принять адаптированную под ЗоПД редакцию СТО БР ИББС-1.0-2010, или остаться один на один с регуляторами и предъявляемыми ими требованиями (которые почти полностью не учитывают специфику информационных систем кредитно-финансового сектора рынка) и при этом еще выполнять требования PCI DSS и Базель II.

История вопроса

Банковские информационные системы, как и большинство информационных систем, не обрабатывающих государственные секреты, создавались стихийно: так, как это понимали их создатели, и на что у них хватало денег. Документированность создания этих систем, да и вообще документированность бизнес-процессов почти отсутствовала. Произошло это во многом по причине того, что два десятка лет организация защиты информации ограниченного распространения, не составляющей государственную тайну, фактически не регулировалась как в государственном, так и в негосударственном секторе. Точнее сказать, она регулировалась рядом документов — СТР-К, ГОСТ Р 51583-2000, ГОСТ Р 51624-2000, Указом президента РФ №611 от 2004 года (отменен, сейчас действует Указ президента РФ №351 от 2008 года), но эти нормативы для коммерческих организаций были рекомендательными или вовсе на них не распространялись, а государственным и муниципальным организациям на их выполнение не выделялись средства.

Два десятка лет организация защиты информации ограниченного распространения, не составляющей государственную тайну, фактически не регулировалась как в государственном, так и в негосударственном секторе

В 2008 году регуляторы «вдруг» вспомнили, что персональные данные составляют охраняемую законом тайну и предложили распространить на них полноценный режим защиты по аналогии с защитой «государевой тайны».

На самом деле для банков установление режима защиты персональных данных не было чем-то новым. Еще в 1996 году Гражданским кодексом сведения о клиентах были отнесены к банковской тайне, а следовательно, уже с того времени полежали защите, что и отражено в более ранних версиях СТО БР ИББС.
Сложность здесь вызвало требование установления отдельного и отличного от других режима защиты персональных данных. Для банковских информационных систем выполнение данного требования невозможно, так как нельзя отделить банковскую и коммерческую тайну от персональных данных в кредитно-финансовой сфере. Поэтому возникла парадигма комплексности подхода к защите информации конфиденциального характера, а не превалирования защиты одной охраняемой законом тайны над другими. Такой подход показал свою непротиворечивость с иными требованиями в области информационной безопасности в редакции стандарта Банка России 2010 года, которая успешно была согласована с регуляторами, а также поддержана Ассоциацией российских банков и Ассоциацией региональных банков «Россия».

Впереди паровоза

Комплекс СТО БР ИББС не закостеневшая догма, а динамично развивающийся проект, который учитывает как международный, так и российский опыт построения систем защиты информации. С 2004 года стандарт Банка России претерпел уже ряд изменений и постоянно обновляется по результатам его применения. Он не идеален, но, несомненно, процесс улучшения будет происходить по мере реализации процессов внедрения. На настоящий момент времени, по мнению большинства представителей профессионального сообщества, стандарт Банка России предъявляет наиболее вменяемые требования к построению системы информационной безопасности.

С 2004 года стандарт Банка России претерпел уже ряд изменений и постоянно обновляется по результатам его применения. Он неидеален, но, несомненно, процесс улучшения будет происходить по мере реализации процессов внедрения

Из обсуждений профессионального сообщества можно увидеть, что сейчас наиболее актуальным стоит вопрос выделения и оценки информационных активов банков. Это показывает, что большинство кредитных учреждений сейчас находится лишь на начальном этапе внедрения стандарта.
Процесс выделения и оценки активов — принципиально важный и необходимый этап определения объекта защиты. Бессмысленно делать любые шаги, когда неизвестно, что, где и от кого нужно защищать. Невозможно также провести анализ рисков и решить, как будет осуществляться защита. Но это только первые трудности начального этапа внедрения.
В некотором смысле службам информационной безопасности сейчас приходится бежать впереди паровоза. Если говорить о рекомендуемой очередности, то следовало бы сначала вводить систему менеджмента качества по серии стандартов ISO/IEC 9000, подпроектами которой были бы системы управления IT-сервисами по серии стандартов ISO/IEC 20000 и системы управления информационной безопасности по серии стандартов ISO/IEC 27000. Тогда бы процесс инвентаризации активов происходил от бизнес-подразделений, а не службы информационной безопасности. Пока же именно последним приходится инициировать процессы повышения зрелости всей системы управления в банках.
Можно ожидать, что не все будет идти гладко, так как придется менять саму систему управления. А без поддержки системы ИБ со стороны топ-менеджмента вряд ли можно говорить о результативности, ведь для обеспечения реальной защиты мало написать или купить правильные политики построения защиты и установить соответствующие аппаратно-программные средства. Порядка 75–80% общего объема работы — это внедрение.

Долгий путь

Не следует ожидать, что к 1 января 2011 года все банки достигнут рекомендуемого уровня выполнения стандарта. За полгода сделать это просто нереально, и декларация наличия рекомендуемого уровня — скорее повод выразить сомнение в добросовестности оценки.
Большинство банков выйдет на рекомендуемый уровень соответствия стандарту лишь через 3–5 лет, по самым оптимистичным прогнозам. Но дорогу осилит идущий. И начало выполнения работ по приведению состояния информационной безопасности в соответствие со стандартом — это движение к обеспечению реальной защиты информации конфиденциального характера в кредитных учреждениях и свидетельство растущей зрелости банковской системы в целом. Кроме того, Россия пока не отказалась от цели вступления в ВТО, поэтому российские банки должны быть готовы к борьбе за рынок с зарубежными банками.
Также не следует ожидать, что все банки смогут самостоятельно внедрить стандарт. Далеко не во всех банках вообще существует служба информационной безопасности и имеются квалифицированные специалисты. Для оказания помощи в организации процесса внедрения стандарта рабочей группой ЦБ/АРБ были разработаны методические рекомендации, но многим кредитным учреждениям все равно не обойтись без приглашения аутсорсеров.
Впрочем, не следует думать, что «доб­рый дядя»-интегратор сделает всю работу. Интеграторы могут лишь помочь на начальной стадии работ поставить необходимые аппаратно-программные средства и обучить персонал. Львиную долю работы по непосредственному внедрению все равно придется делать силами персонала банка. И следует помнить, что вся полнота ответственности в любом случае лежит на банке.

Вместо заключения

Защита ради защиты никому не нужна. Информационная безопасность — один из множества обеспечивающих бизнес-деятельность процессов. И эффективность этого процесса напрямую зависит от того, насколько он органично интегрирован с другими бизнес-процессами. Таким образом, цели обеспечения интересов бизнеса следует учитывать с первых же шагов по созданию системы ИБ.
Как уже было сказано, рабочая группа ЦБ/АРБ подготовила методические рекомендации, включающие план приведения ИБ в соответствие стандарту. Но и даже полное выполнение этого плана не означает полного решения всех вопросов и проблем, так как на последующих этапах внедрения обязательно возникнет вопрос доверия к персоналу и обеспечение его мотивации и лояльности. Здесь камнем преткновения окажется запрет Трудового кодекса и ЗоПД на сбор, обработку и получение от третьих лиц данных о личной жизни сотрудников без их согласия. С одной стороны, никто не отменял право субъекта на тайну личной жизни, а с другой — возникает вопрос: какими способами предупредить возможное мошенничество со стороны доверенного персонала? В общем, безопасность — это процесс, а не продукт, как говорил Брюс Шнайер (американский специалист по информационной безопасности. — Прим. «БО»).