Белые начинают и выигрывают...

СТО БР ИББС-1.0-2010

Стандарт имеет в своей основе риск-ориентированный подход, позволяющий через замкнутый цикл Деминга «Планирование» – «Реализация» – «Проверка» – «Совершенствование» реализовать эффективную систему управления ИБ.

Преимущества данного подхода очевидны – система управления ИБ находится в постоянном развитии, оперативно подстраиваясь к динамике бизнеса и учитывая новые угрозы информационной безопасности.

Его особенность – довольно продолжительное время, необходимое для достижения системой управления ИБ достаточно зрелого уровня.

Еще одна особенность – требования к системе информационной безопасности (раздел 7 стандарта), обязательные к выполнению, не детализируют применение мер по ИБ, оставляя свободу выбора по способу реализации.

PCI DSS

Стандарт представляет собой классический подход обеспечения ИБ, включая в себя ограниченный набор требований по ИБ, обязательных к исполнению.

Несомненное преимущество – все требования достаточно подробно описаны и содержат жесткие привязки мер по обеспечению ИБ к реализации.

Вопрос – что делать, если приведенных требований недостаточно для обеспечения ИБ? Формальная оценка рисков один раз в год в стандарте предусмотрена, но ее явно недостаточно для постоянного поддержания уровня ИБ.

Возможна ли интеграция риск-ориентированного и классического подходов обеспечения ИБ?

Стандарт Банка России СТО БР ИББС-1.0 был разработан на основе общепризнанного международного стандарта ISO 27001. Если проследить путь развития всей группы международных стандартов по информационной безопасности ISO 270xx, самым ранним из них был выпущен «Перечень мер по информационной безопасности» B S7799-1 (впоследствии эволюционировавший в ISO 17799 и затем в ISO 27002), вобравший в себя за более чем 15-летнюю историю квинтэссенцию лучших мировых практик по обеспечению ИБ.

Продолжительное время стандарт являлся классикой в информационной безопасности – внедрение некоторого количества мер позволяло закрыть проблемные области. Чем больше внедрил – тем лучше, даже если лишнее – не беда, пригодится в будущем. Лишь несколько лет спустя появился Стандарт BS 7799-2 (впоследствии ставший ISO 27001), описывающий риск-ориентированный подход построения системы управления ИБ.

Кроме основных требований к разработке и внедрению системы менеджмента ИБ данный стандарт включил перечень мер из ISO 27002, приведенных в качестве рекомендуемых для снижения рисков ИБ. В итоге получилось, что по результатам оценки рисков нужно выбрать только те меры обеспечения ИБ, которые действительно необходимы и достаточны для снижения рисков до приемлемого бизнесом уровня.

Так почему бы не использовать такой же подход в отношении СТО БР и PCI DSS?

Что для этого нужно:

• Включить в область деятельности системы менеджмента ИБ все необходимые для соответствия требованиям PCI DSS платежные системы.
• Провести идентификацию информационных активовданных систем и классифицировать их в соответствии с тяжестью последствий потери свойств ИБ.
• Провести оценку рисков ИБ.
• Разработать план обработки рисков, включающий в качестве применяемых мер выполнение требований 7-го раздела СТО БР, а также требований PCIDSS, применяемых как самостоятельные меры, так и детализирующие требования СТО БР в тех местах, где это необходимо.
• Выполнить данный план и оценить эффективность внедрения мер посредством «мониторинга и контроля защитных мер» в рамках системы менеджмента ИБ.

О чем нужно помнить при использовании данного подхода:

• перечень требований 7-го раздела СТО БР и требований PCI DSS достаточно обширен для формирования мер по снижению рисков ИБ, но окончательным его считать нельзя. В случае необходимости можно добавлять меры обеспечения ИБ из ISO27002 или разрабатывать свои;
• незадействованные в процессе оценки рисков меры обеспечения ИБ должны быть обоснованы отсутствием или принятием конкретного риска.

В итоге два абсолютно разных и казалось бы несовместимых друг с другом стандарта можно увязать в один общий проект, который:

• потребует меньше трудозатрат, чем при внедрении каждого из стандартов в отдельности;
• позволит системе обеспечения информационной безопасности быстрее достичь зрелого уровня;
• обеспечит контроль соответствия требованиям обоих стандартов.