Идея у данного документа достаточно простая — немалое количество проблем с безопасностью в кредитных организациях происходит по причине не очень высокой защищенности АБС, используемых в банках. Но если выстраивать процессы ИБ вокруг АБС банки умеют, то что делать с приобретаемой и местами дырявой системой было непонятно. Влиять на разработчиков Банк России напрямую не может; к мнению заказчиков многие разработчики тоже прислушиваются редко. И вот был предложен способ, который может повлиять на ситуацию в лучшую сторону. ЦБ дает указание банкам, а те транслируют его исполнителям — разработчикам АБС, которые выполняют не «хотелки» заказчика, а распоряжение отраслевого регулятора. И вот именно такое распоряжение и представляет собой РС 2.6.
Документ разбит, по крупному, на 3 части, последние 2 из которых вынесены в приложения:
- Требования по организации работ на разных стадиях жизненного цикла АБС.
- Список из 122 типовых проблем АБС с точки зрения безопасности.
- Рекомендации по контролю исходного кода АБС и оценке ее защищенности, включая проведение пентестов.
- Стадия разработки технического задания
- Стадия проектирования АБС
- Стадия создания и тестирования АБС
- Стадия приемки и ввода в действие
- Стадия эксплуатации
- Сопровождение и модернизация АБС
- Стадия снятия с эксплуатации.
Но отчасти я могу понять разработчиков. Непонятно как вообще подступить к теме облачной ИБ. ЦБ к ней планировал подойти не раньше следующего года, а требования к ИБ на разных этапах жизненного цикла АБС выпускать надо было уже сейчас. Вот и нашли компромисс — облачные и иностранные АБС не замечать вовсе.
Все таки — это требования или рекомендации?
СТО и РС — это рекомендации. Но часть из них войдет в новую редакцию обязательных требований в 382-П
Не подскажете, а когда ждать новы требования по 382П?
Принятие — в ближайшее время. У ЦБ появились более приоритетные дела.
Вступление — через 180 дней со дня принятия