Стандарт по обеспечению ИБ Банков России (СТО БР ИББС): что это, понятие, цель, задачи

Получить консультацию по Solar DAG

ФИО

Телефон

Я даю согласие на обработку персональных данных, на условия Политики по обработке персональных данных, а также на получение информационных материалов и рассылок

В каждой отрасли свои методы защиты чувствительных сведений и используемых ресурсов. В банковской сфере один из них это СТО БР ИББС, или Стандарт банка России по обеспечению информационной безопасности организаций банковской системы РФ. Он представляет собой свод правил, формулирующих требования к ИБ с учетом законодательных норм. Его соблюдение позволяет оптимизировать работу с данными, минимизировать риски утечки и несанкционированного использования информационных массивов. В статье рассмотрим особенности Стандарта по обеспечению ИБ банков и роль решений класса DAG (Data Access Governance) в реализации стратегии ИБ в соответствии с его рекомендациями.

СТО БР ИББС: понятие, цель, принципы и задачи

Под стандартом понимают комплекс документов с перечнем положений, описывающих подход к построению системы информационной безопасности в банковской сфере. СТО БР ИББС сформирован с учетом законодательных требований и специфики финансовой отрасли.

Стандарты для банков разрабатывает ЦБ РФ. Они содержат оценку актуальных угроз ИБ, рекомендации по хранению и обработке данных, использованию средств защиты.

Цели стандартов:

Обеспечение стабильной работы организаций, принадлежащих к банковской отрасли.
Повышение уровня доверия к банкам.
Повышение уровня ИБ в финансовых организациях.
Минимизация последствий инцидентов ИБ.

Без использования в своей деятельности Стандарта по обеспечению ИБ банков финансовые организации не смогут нормально функционировать из-за постоянного риска угроз. Главная задача этого стандарта — предоставить выверенные подходы, касающиеся защиты информационных активов. Все положения документа носят характер рекомендаций, то есть могут выполняться финансовыми организациями добровольно, но лучше все же исполнять регламенты.

Основные принципы СТО БР ИББС 2014

СТО БР ИББС 2014 в пятой редакции, которая актуальна сейчас, включает требования к ИБ, которые касаются:

Хранения чувствительных данных, в том числе персональных.
Внедрения средств информационной защиты, которые будут эффективны именно в банковской сфере.
Распределения ролей сотрудников, разграничения доступа к информационным системам во избежание внутренних инцидентов.
Использования веб-ресурсов, которые необходимы сотрудникам банков для работы.
Защиты платежных операций и информационных технологических процессов.
Антивирусной защиты, позволяющей предотвращать проникновение программ-шпионов и вирусов на рабочие компьютеры.

Значительное внимание в Стандарте по обеспечению информационной безопасности банков России уделяется внешним угрозам. Положения документа диктуют необходимость качественной антивирусной защиты, внедрения средств управления доступом и фильтрации трафика, шифрования данных. В Стандарте также содержится документ, где перечислены актуальные нормативные требования к безопасности в банковских автоматизированных системах и дана готовая модель угроз, которой банки могут смело руководствоваться.

Отдельный блок СТО БР ИББС 2014 посвящен категорированию и классификации персональной информации. В нем перечислены методы, которые можно использовать для классификации, и категории, на которые можно разделить информационные активы банков.

Также СТО БР ИББС содержит модель оценки соответствия требованиям информационной безопасности. С ее помощью банки могут проанализировать эффективность принятых мер по защите данных и при необходимости скорректировать их.

Роль Solar DAG в соблюдении СТО БР ИББС

Решения DAG — системы, позволяющие реализовать концепцию DCAP (Data-Centric Audit and Protection). Это подход к защите информации, подразумевающий классификацию и структурирование информационных массивов с целью дальнейшего контроля использования сведений. Он направлен на работу с неструктурированными данными, которые есть в любой компании, в том числе в финансовых организациях. Неструктурированной называют информацию различных форматов, хранящуюся в разрозненных хранилищах. Примеры: скриншоты документов, сканы, видео, копии договоров и т. д. Часто такие данные хранятся в личных папках, общих хранилищах или просто на рабочих столах компьютеров.

Объем неструктурированных данных постоянно растет, как и риски несанкционированного использования из-за слабого контроля. Как Solar DAG поможет снизить эти риски? Система осуществляет классификацию информационных массивов, чтобы по ее результатам ответственные лица могли обеспечить надлежащее хранение данных согласно требованиям СТО БР ИББС. Как проводится классификация?

При первичном запуске Solar DAG сканирует все подключенные системы хранения и с помощью контентного анализа выявляет критичные данные.
По результатам сканирования данным присваиваются служебные метки, обозначающие степень их конфиденциальности и важности для финансовой организации.
На основании присвоенных меток ответственные лица распределяют данные по конечным хранилищам и разграничивают к ним доступ, что тоже продиктовано положениями СТО БР ИББС.
После первичного сканирования Solar DAG постоянно фиксирует все события, связанные с данными, например отмечает появление новых файлов, изменение прав доступа, перемещение в другие хранилища.

Таким образом, с помощью внедрения Solar DAG удается выстроить защиту информационных систем, как того требуют стандарты Банка России (СТО БР ИББС).

Возможности Solar DAG, позволяющие соблюдать Стандарт по обеспечению информационной безопасности банков России

Какие задачи решает Solar DAG в части соблюдения отраслевых требований и стандартов:

Позволяет проанализировать уровень доступа к конфиденциальным сведениям и реализовать принцип наименьших привилегий. Система формирует двунаправленные отчеты «Ресурсы» и «Учетные записи». В первом отображаются списки всех учетных записей, которые имеют доступ к конкретным ресурсам. Во втором — перечень ресурсов, доступных для конкретных учетных записей. Также Solar DAG предоставляет отдельные отчеты, касающиеся изменений прав доступа.
Способствует контролю политик хранения данных. Solar DAG сканирует хранилища, обнаруживает новые файлы и присваивает им соответствующий класс, чтобы затем можно было назначить надлежащие места хранения. Также система отслеживает, было ли перемещение уже классифицированной информации и нет ли нарушений доступа.
Помогает контролировать использование чувствительных сведений, проводить аудит событий в контролируемых информационных системах, защищать данные от несанкционированного доступа.

Высокая скорость контентного анализа данных и построения отчетов позволяет Solar DAG обрабатывать большие объемы данных и контролировать действия множества сотрудников. Благодаря этим преимуществам решение подходит даже для крупных банков.

Выводы

Чтобы соблюсти стандарты Банка России (СТО БР ИББС) и обеспечить надлежащую безопасность конфиденциальной информации, финансовые организации внедряют узкоспециализированные решения для защиты данных. Одним из таких инструментов может стать Solar DAG — высокопроизводительная система для работы с неструктурированными информационными массивами. Она оперативно предоставляет достоверную аналитику, необходимую для принятия стратегических решений в части выполнения рекомендаций СТО БР ИББС 2014.