 перейти на главную страницу Buhi.ru
|
 поиск документов
|
 добавить сайт Buhi.ru в избранное
|
|
| |
|
Три составные части и три источника информационной безопасности в кредитных организациях. Часть 2 (Продолжение) ("Управление в кредитной организации", 2006, N 3)
"Управление в кредитной организации", 2006, N 3
ТРИ СОСТАВНЫЕ ЧАСТИ И ТРИ ИСТОЧНИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ. ЧАСТЬ 2
(Продолжение. Начало см. "Управление в кредитной организации", 2006, N N 1, 2)
В данной публикации автор продолжает рассматривать Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" в новой редакции (СТО БР ИББС-1.0-2006) <1>.
————————————————————————————————
<1> Настоящая статья отражает исключительно мнение автора и может не совпадать с позицией Банка России.
Принципы обеспечения ИБ
В разд. 6 Стандарта излагаются общие принципы безопасного функционирования организации БС РФ и специальные принципы обеспечения ИБ такой организации <2>. Общих принципов восемь, и к ним отнесены: - своевременность обнаружения проблем <3>; - прогнозируемость развития проблем; - оценка влияния проблем на бизнес-цели; - адекватность защитных мер; - эффективность защитных мер; - использование опыта при принятии и реализации решений; - непрерывность принципов безопасного функционирования; - контролируемость защитных мер.
————————————————————————————————
<2> Размеры статьи не позволяют раскрыть содержание принципов, как это сделано в Стандарте, даются лишь краткие замечания к некоторым из них.<3> Здесь и далее в перечислении ощущается некоторая неполнота: скажем, следовало бы точно указать, что понимается под своевременностью (например, с точки зрения выполнения обязательств перед клиентами, требований законодательных актов, регламентирующих банковскую деятельность (хотя бы своевременность платежей и выполнение других возможных ордеров клиентов), инструкций Банка России и т.п.). Хотя интуитивно это понятно, но тем не менее на практике вполне возможны разночтения, из-за которых отдельные вопросы обеспечения ИБ могут оказаться неучтенными.
С точки зрения автора, к этому перечислению можно было бы добавить еще четыре принципа, которые упоминаются в специальной литературе по обеспечению ИБ, а именно: - полнота обнаружения угроз и их содержания; - непрерывность распределения ответственности и подотчетности; - рациональное распределение ресурсов защиты; - адаптация защитных мер с течением времени и их тестирование. Что касается специальных принципов обеспечения ИБ, то их установлено шесть: - определенность целей (данный принцип, вообще говоря, следовало бы отнести к общим принципам); - знание своих клиентов и служащих (в комментарии к данному положению о реализации принципа "знай своего клиента" не сказано; логичнее было бы этот принцип разделить на два); - персонификация и адекватное разделение ролей и ответственности; - адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки; - доступность услуг и сервисов (в зарубежной литературе используется также понятие "непрерывность обслуживания"); - наблюдаемость и оцениваемость обеспечения ИБ (также может рассматриваться как общий принцип). Можно заметить, что в современных условиях "повальной" компьютеризации банковской деятельности (как уже отмечалось выше) проблематика учета руководством кредитных организаций применяемых ими технологий банковского обслуживания выходит на передний план. Вследствие этого в число специальных принципов логично было бы включить новый принцип: "знай свои технологии". Практика надзорной деятельности, подкрепленная материалами органов банковского надзора Западной Европы и США, свидетельствует об актуальности данного положения. Кроме того, опыт ряда крупных зарубежных банков свидетельствует о том, что "хорошей практикой" является испытание своих банковских автоматизированных систем на "пуленепробиваемость", то есть использование хакерских и крэкерских технологий для совершенствования защиты таких систем <1>. Поэтому проведение подобных испытаний также можно было бы рекомендовать компьютеризованным кредитным организациям.
————————————————————————————————
<1> По информации, полученной на первом международном семинаре по интернет-банкингу, проведенном Управлением контролера денежного обращения США в 2004 г. (Washington, DC); см. также: Crume J. Inside Internet Security. - AddisonWesley, Pearson Education Ltd., 2000; Peltier T.R. Information Security Risk Analysis. - CRC Press LLC, 2001.
Модели угроз и нарушителей ИБ
В разд. 7 Стандарта рассмотрены подходы к разработке моделей угроз и нарушителей ИБ организаций БС РФ. При этом акцент изначально сделан на том, что эти модели целесообразно интерпретировать как своего рода основу для развертывания, поддержания и совершенствования системы обеспечения ИБ организации. Для этого необходимо, в свою очередь, опираться на совершенно конкретную информационную инфраструктуру, уже реализованную или предполагаемую к реализации в конкретной кредитной организации. Эта инфраструктура может представляться в виде достаточно традиционной иерархии, используемой для распределенных компьютерных систем. Она включает физический, сетевой и прикладной уровни, а также уровни операционных систем, систем управления базами данных, банковских технологических процессов и приложений и, наконец, бизнес-процессов кредитной организации. Такого рода деление в целом не вызывает сомнений, за одним исключением: если речь идет о распределенных системах, то нельзя ограничиваться только и исключительно процессами и процедурами самой кредитной организации. Как уже было отмечено выше, следовало бы рассматривать весь информационный контур банковской деятельности (ИКБД), в противном случае немалое число проблем остается за пределами изучения и анализа (в данном случае за кругом внимания службы обеспечения ИБ кредитной организации заведомо остаются провайдеры, вендоры <1> и клиенты кредитных организаций, последние, как известно, "склонны" к созданию инцидентов ИБ).
————————————————————————————————
<1> Автор использует классификацию, практически сложившуюся за рубежом: под провайдерами кредитных организаций понимаются компании, обеспечивающие для нее те или иные процессы (доступ в Интернет, процессинг, клиринг, связь и пр.), а под вендорами - компании, продающие кредитной организации те или иные продукты (аппаратное и программное обеспечение). Хотя в последнее время в отечественной практике из провайдеров иногда выделяют процессинговую часть, связанную с ведением баз данных, и такие провайдеры определяются как аутсорсеры.
Во всяком случае, в данном разделе подчеркивается необходимость определения конкретных объектов защиты на каждом из уровней информационной инфраструктуры кредитной организации. Весьма важным является наличие в данном разделе описаний наиболее актуальных источников угроз на отдельных иерархических уровнях информационной инфраструктуры кредитной организации, приведенных выше. Отмечается, кстати, что детализация параметров разрабатываемых в кредитной организации моделей угроз и нарушителей ИБ может быть различной, что определяется ее реальными потребностями. В этом же разделе отмечается и влияние рисков на бизнес-процессы кредитной организации. Однако при этом в текст вкрались некоторые терминологические неточности. Например, употребление понятия "операционный риск" во множественном числе <2> или выражение "угрозы непосредственно влияют на операционные риски деятельности организации" (п. 7.12), правильнее было бы сказать "на уровень операционного и других рисков, ассоциируемых с рисковыми компонентами технологического характера". То же самое относится к перечислению причин возникновения "операционных рисков" - в документе эти причины названы "эксплуатационными факторами" (п. 7.13), в число которых включены "технические неполадки, ошибочные (случайные) и (или) преднамеренные злоумышленные действия персонала организации, ее клиентов".
————————————————————————————————
<2> Такая же неточность допущена и во введении к Стандарту, где также говорится об операционных, кредитных и иных рисках, при этом не очень ясно, какое отношение кредитный риск как таковой имеет к ИБ (?). Впрочем, эти шероховатости легко могут быть устранены по мере большего сближения технологических аспектов рассматриваемой проблематики с аспектами банковской деятельности и нормативными документами Банка России. Кроме того, здесь можно увидеть смешение понятий разного уровня общности: так, "непрерывность принципов безопасного функционирования" логично было бы определить в разд. 3 Стандарта и т.п.
Очевидно, что состав факторов риска сильно сокращен по сравнению с тем множеством, которое логично было бы рассматривать в условиях применения технологий электронного банкинга, чем, собственно, и является уже большая часть банковской деятельности. Да и роль моделей нарушителей и угроз определена в данном разделе недостаточно четко: в сравнении с упомянутым выше п. 7.1 в п. 7.14 сказано, что ПИБ организации БС РФ разрабатывается всего лишь "в том числе и на основе моделей угроз и нарушителей ИБ". Впрочем, автор полагает, что неточности такого рода будет несложно устранить в дальнейшем.
Требования к политике ИБ организаций банковской системы
Наиболее важным с точки зрения приложения содержания Стандарта к содержанию внутрибанковской деятельности представляется его разд. 8, поскольку он фактически содержит описание той идеологии обеспечения ИБ, которой целесообразно придерживаться кредитным организациям, чтобы гарантировать в этой части надежное и безопасное функционирование. В подразделе 8.1 кратко определены состав и назначение ПИБ организаций БС РФ, а также постулируется необходимость назначения лиц, ответственных за реализацию политики ИБ и поддержание ее в актуальном состоянии. В подразделе 8.2 излагаются общие (основные) требования по обеспечению ИБ, отображаемые в политиках ИБ кредитных организаций. Считается (п. 8.2.1), что прежде всего требования по ИБ необходимо "взаимоувязывать в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла внутрибанковских автоматизированных систем комплекс". Это действительно актуальное требование, поскольку нередко стадии жизненного цикла таких систем просто не учитываются в политиках ИБ кредитных организаций, так же как отсутствует и их деление на подсистемы при выполнении той или иной кредитной организацией конкретных функциональных задач. Вместе с тем можно отметить, что целесообразность такого подхода обычно зависит от размера конкретной кредитной организации, видов и масштабов ее деятельности. Тем не менее существенно важно перечисление далее областей, для которых следует формулировать такие требования, как-то: - назначение и распределение ролей и доверия к персоналу <1>; - стадии жизненного цикла АБС (в Стандарте используется термин "автоматизированные банковские системы"); - защита от несанкционированного доступа, управления доступом и регистрацией в системе, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д. <2>; - антивирусная защита; - использование ресурсов Интернета (это относится ко всем кредитным организациям пока что только в перспективе); - применение средств криптозащиты информации; - защита банковских платежных и информационных технологических процессов.
————————————————————————————————
<1> В предшествующей версии Стандарта было "распределение ролей и прав персонала" - не очень понятно, чем обусловлена замена.<2> Очевидная стилистическая неточность.
В основном все перечисленное справедливо для большинства кредитных организаций. Одно из замечаний, которые можно здесь сделать, касается упоминания о том, что политика ИБ кредитной организации "может учитывать" и такие области, как обеспечение непрерывности, физическая защита и т.д. С точки зрения автора, доступность банковских операционных систем должна быть одним из основных обязательно учитываемых направлений обеспечения ИБ, поскольку данная характеристика уязвима для многих видов сетевых атак, например атаки типа "отказ в обслуживании" или "наводнение" <3>, которые фактически блокируют соответствующие серверы (и, соответственно, сервисы) кредитных организаций. До конца разд. 8 перечисленные выше компоненты рассматриваются подробно. Второе замечание заключается в том, что здесь, вероятно, уместно было бы сделать акцент на введенный в разд. 5 "процессный подход", однако и далее, во всем разд. 8, об этом подходе ничего не говорится.
————————————————————————————————
<3> Denial-of-Service (DoS) или Flood attack.
Что касается общих требований по обеспечению ИБ в части персонала кредитной организации (п. 8.2.2), то указывается, что в основе эффективного выполнения целей кредитной организации и решаемых ею задач по управлению активами должно лежать выделение и определение соответствующих ролей ее персонала. Роли следует определять для конкретных исполнителей и устанавливать ответственность за их исполнение, которая должна быть зафиксирована в должностных инструкциях. Формирование ролей рекомендуется осуществлять, как правило, на основании бизнес-процессов, реализуемых кредитной организацией. Отмечается нежелательность совмещения в одном лице ролей разработки, сопровождения, администрирования или контроля, например исполнителя и администратора, администратора и контролера или других их комбинаций. Для контроля качества выполнения требований относительно ИБ в кредитной организации необходимо выделять и определять роли по обеспечению ИБ. Также кратко рассматриваются особенности кадровой политики и требования к квалификации и переподготовке персонала. Подчеркивается необходимость обеспечения компетентности персонала кредитной организации. В части общих требований по обеспечению ИБ внутрибанковских автоматизированных систем на стадиях их жизненного цикла (п. 8.2.3) указывается прежде всего, что при обеспечении ИБ необходимо учитывать все стороны, имеющие отношение к этому циклу (заказчики, разработчики, поставщики и т.д.). Рекомендуется модель такого цикла определять в соответствии с ГОСТ 34.601-90 <1> и международным стандартом ISO/IEC IS 15288 <2>. Особый акцент сделан на том, что подразделение, ответственное за обеспечение ИБ, должно принимать участие в разработке технических заданий, проектировании, создании и тестировании систем и средств защиты внутрибанковских автоматизированных систем, а также вводе в действие, эксплуатации и снятии с эксплуатации этих систем (в части вопросов ИБ).
————————————————————————————————
<1> "Информационная технология. Автоматизированные системы и стадии создания".<2> ISO/IEC IS 15288-2002 "System engineering. System Life Cycle Processing".
Кроме этого, в данном подразделе определяется перечень угроз, действующих на разных стадиях жизненного цикла систем, для случая же приобретения кредитной организацией какой-либо системы выдвигается требование наличия описания в поставочной документации мер, предпринятых разработчиком в отношении перечисляемых угроз и других защитных мер. Также приводится перечень угроз, существующих на стадии эксплуатации, от которых должна быть обеспечена защита в соответствии с документом ISO TR 13569 <3>.
————————————————————————————————
<3> ISO TR 13569 "Banking and Related Financial Services. Information Security Guidelines".
Наконец, постулируется необходимость включения требований ИБ во все договоры и контракты на проведение работ или оказание услуг на всех стадиях жизненного цикла внутрибанковских автоматизированных систем. Можно отметить, что в Стандарте не выделена роль подразделения ИБ в отношении клиентов кредитной организации, работающих дистанционно, хотя с такими клиентами могут быть связаны многие "инциденты безопасности", о которых тоже говорится в документе, а также возможная роль этой службы в отношении процедур подтверждения соблюдения требований данного Стандарта провайдерами, услугами которых пользуется та или иная кредитная организация. По мнению автора, в современных условиях широкого распространения технологий ДБО различные провайдеры оказываются по существу участниками БС РФ, поскольку отдельные виды банковского обслуживания, предоставляемые кредитными организациями, могут фактически зависеть от качества функционирования систем, непосредственно принадлежащих провайдерам или в различных вариантах поддерживаемых ими <1>.
————————————————————————————————
<1> Одним из показательных примеров такой зависимости является работа кредитных организаций с системой Faktura.ru Центра финансовых технологий (Новосибирск).
В отношении общих требований по обеспечению ИБ при управлении доступом и регистрации (п. 8.2.4) рекомендуется руководствоваться четырьмя принципами: "знай своего клиента", "знай своего служащего", "необходимо знать" (ограничение прав и полномочий пользования информационными ресурсами) и "двойное управление" (поддержание целостности процесса за счет выполнения действий двумя независимыми лицами). В данном подразделе указывается также на необходимость использования в составе внутрибанковских автоматизированных систем кредитной организации сертифицированных или разрешенных к применению средств защиты информации от несанкционированного доступа и обеспечения идентификации, аутентификации, авторизации, управления доступом, контроля целостности и регистрации, включая: - функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС); - непротиворечивую и прозрачную (без комментариев в тексте) административно-техническую поддержку задач управления доступом к ресурсам ЭВМ и (или) ЛВС; - контроль доступа пользователей к ресурсам ЭВМ и (или) ЛВС (без комментариев в тексте); - формирование уникальных идентификаторов сообщений и пользователей (здесь уместно было бы сделать дополнение, например в виде примечания, относительно правил выбора, смены, регистрации и хранения идентификаторов и паролей); - регистрацию действий персонала и пользователей в электронном журнале (без пояснений в тексте относительно формы и содержания данного журнала, средств его просмотра, защиты от несанкционированного воздействия, регламента хранения и т.п.). Для всех этих направлений в документе приведены краткие комментарии, относящиеся к организационным вопросам. Что касается общих требований по обеспечению ИБ средствами антивирусной защиты (п. 8.2.5), то в основном рекомендации касаются порядка применения таких средств (только официально приобретенных), порядка их обновления, проверки программного обеспечения кредитной организации, мер по парированию вирусной атаки. Отмечается также, что недопустимо наличие и использование программного обеспечения и данных, не связанных с выполнением конкретных функций в банковских технологических процессах кредитной организации. Не допускается "отключение или необновление антивирусных средств". Обязанности по выполнению мер антивирусной защиты, изложенных в соответствующей инструкции, возлагаются на каждого сотрудника организации, имеющего доступ к ЭВМ и (или) автоматизированной системе. Особое внимание в Стандарте уделено общим требованиям по обеспечению ИБ при использовании ресурсов сети Интернет (п. 8.2.6), причем сразу перечисляются возможные виды деятельности кредитной организации через Сеть и указывается, что использование данной Сети в целях, относительно которых решение руководства кредитной организации отсутствует, считается нарушением ИБ. Указывается на необходимость применения кредитными организациями, осуществляющими ДБО через Интернет, специальных средств защиты информации, как-то: межсетевых экранов, антивирусных средств, средств криптозащиты информации и пр., обеспечивающих прием и передачу информации только в установленном формате и только для конкретной технологии. К сожалению, ничего не говорится о политике настройки брандмауэров, равно как и о применении технологии так называемой виртуальной частной сети <1>, хотя бы в качестве "хорошей практики", позволяющей аутентифицировать и защищать передаваемую информацию. В качестве же хорошей практики рекомендуется "выделение и неподключение" к внутренним сетям ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет, а также отсутствие на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме он-лайн, какой бы то ни было банковской информации (в том числе открытой). Кроме того, постулируется, что в кредитной организации порядок подключения и использования ресурсов сети Интернет должны контролировать подразделения (лица), ответственные за обеспечение ИБ, а любое подключение и использование этой Сети должно санкционироваться руководством функционального подразделения кредитной организации (правда, административный уровень ответственности не уточнен).
————————————————————————————————
<1> Virtual Private Network (VPN).
Что касается почтового обмена через Интернет, то указано лишь, что он "должен осуществляться с использованием защитных мер", а электронная почта должна архивироваться (с ограничениями на доступ к информации). О взаимодействии с сетью Интернет сказано, что при этом "должно обеспечиваться противодействие атакам хакеров и распространению спама". Последние положения явно требуют конкретизации опять-таки хотя бы до уровня "хорошей практики", однако это - задача уже достаточно сложная. В части общих требований по обеспечению ИБ при использовании средств криптографической защиты информации (п. 8.2.7) установлен перечень требований к самим таким средствам, а также требования обеспечения непрерывности протоколирования их работы и целостности программного обеспечения для всех звеньев <2> внутрибанковской автоматизированной системы. Кроме этого, в данном подразделе определено содержание внутреннего порядка применения средств криптозащиты в кредитной организации, регламентирующего ввод в действие, эксплуатацию и снятие с эксплуатации, восстановления работоспособности в аварийных ситуациях, управление ключевой системой и т.д. Отмечается, что каждая кредитная организация должна самостоятельно изготавливать ключи кодов аутентификации и (или) электронной цифровой подписи, в случае же изготовления ключей на стороне согласие организации-заказчика считать некий ключ своим должно быть зафиксировано в договоре с организацией - изготовителем этого ключа. Для полноты данного пункта не хватает положений, регламентирующих порядки генерации, передачи, хранения и замены этих кодов.
————————————————————————————————
<2> Понятие "звено" в тексте Стандарта не определено.
Общие требования, касающиеся обеспечения ИБ банковских платежных технологических процессов (п. 8.2.8), охватывают следующие объекты защиты: - банковский платежный технологический процесс; - платежную информацию (которая может включать в себя, как поясняется, "платежные (расчетные) сообщения и информацию, связанную с проведением расчетных, учетных, кассовых и иных операций"; - технологический процесс по управлению ролями и полномочиями сотрудников кредитной организации, задействованных в обеспечении банковского платежного технологического процесса. При этом постулируется ограничение полномочий сотрудников кредитной организации, в том числе администраторов автоматизированных систем и средств защиты информации, которые не должны "обладать всей полнотой полномочий для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения операций по изменению состояния банковских счетов". Порядок обмена платежной информацией полагается зафиксировать в договорах между участниками, осуществляющими обмен этой информацией. Оговаривается необходимость контроля (проверки) и удостоверения результатов технологических операций по обработке платежной информации, независимость друг от друга лиц или автоматизированных процессов, осуществляющих обработку платежной информации и контроль (проверку) результатов обработки, а также авторизации и контроля целостности платежной информации. В данном подразделе указывается также, что обязанности по администрированию средств защиты платежной информации должны возлагаться приказом по кредитной организации на сотрудников, задействованных на данном технологическом участке (администраторов информационной безопасности), а эти функции должны быть отражены в его должностных обязанностях. При этом отмечается, что "хорошей практикой является назначение денежной надбавки администратору информационной безопасности к его должностному окладу". В завершение данного подраздела определяется перечень мер по обеспечению информационной безопасности банковского платежного технологического процесса, обеспечивающих в совокупности целостность, необходимую доступность, контролируемость, аутентификацию и гарантируемую доставку платежных сообщений участникам обмена. В начале завершающего разд. 8 подраздела с общими требованиями относительно обеспечения ИБ банковских информационных технологических процессов (п. 8.2.9) приводится классификация так называемой неплатежной информации в кредитной организации - в основном это деление на информацию открытую, своего рода "внутрибанковскую", ограниченного распространения и содержащую сведения, составляющие государственную тайну. Для каждого из видов информации рекомендуется определять свой необходимый уровень защиты, причем для двух последних видов предлагается изолировать обрабатывающие их автоматизированные системы от прочих систем кредитной организации. Объектами защиты в соответствии с данным пунктом считаются: - информационные ресурсы кредитной организации; - управляющая информация автоматизированных систем кредитной организации; - банковский информационный технологический процесс. Далее определяется условие назначения администратора ИБ в кредитной организации: если в автоматизированной системе кредитной организации обрабатывается информация, требующая по решению [ее] руководства защиты. При этом допускается администрирование одним лицом ИБ нескольких автоматизированных систем, которое может выполнять и какие-либо другие функции, за исключением функций системного администратора (что выделено особо). Еще одним важным постулируемым аспектом организации обеспечения ИБ является наличие у администратора информационной безопасности служебных полномочий и технической возможности контроля действий системного администратора (естественно, без вмешательства в такие действия) и пользователей внутрибанковских систем. Кроме того, необходимо наличие полномочий (а лучше и технических средств) по настройке таких системных параметров для пользователей, которые определяют права доступа к информации <1>.
————————————————————————————————
<1> Можно было бы добавить также и полномочия доступа, то есть действий, совершаемых в отношении разрешенного объекта доступа.
В целом для каждой внутрибанковской автоматизированной системы необходимо определить содержание и порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ. В конце подраздела говорится о необходимости согласования со службой ИБ инструктивных и методических материалов кредитной организации, касающихся процессов подготовки, ввода, обработки и хранения информации, а также порядка установки, настройки, эксплуатации и восстановления технических и программных средств, равно как и документов, регламентирующих процедуры тестирования функций (требований) по обеспечению ИБ (здесь также неоднозначная формулировка).
Система менеджмента информационной безопасности
В разд. 9 Стандарта излагаются положения, относящиеся к системе менеджмента информационной безопасности (СМИБ) организации БС РФ (в первоначальной редакции раздел назывался "Управление ИБ организации БС РФ"). В нем содержатся подразделы, относящиеся не только непосредственно к СМИБ в целом, но и к обеспечению непрерывности функционирования кредитной организации и ее службе ИБ. Подраздел 9.1 назван "Планирование СМИБ", однако речь в нем идет по существу об условиях эффективного функционирования этой системы, то есть перечисляются внутрибанковские процессы, которые следует реализовать для достижения такого показателя. Прежде всего, как сказано, следует определить "области действия СМИБ и выбор подходов к оценке риска". Вообще говоря, обычно вначале определяется общий подход к выявлению, оценке, анализу, мониторингу банковских рисков (их все-таки довольно много - не менее десяти), затем определяются внутрибанковские процессы, необходимые для охвата областей риска управляющими и контрольными процедурами, далее - системные компоненты кредитной организации, с помощью которых реализуются эти процедуры, к числу которых относится и СМИБ, и только после этого определяется область ее действия. Это очевидная неточность в изложении. Кстати, в этом же пункте упоминаются операционные риски, а наряду с ними - репутационные и правовые риски, определения которых в Стандарте не приведены, как и обоснование употребления их во множественном числе <2>. Эта неточность не так безобидна, как кажется <3>.
————————————————————————————————
<2> В документах Банка России, посвященных банковским рискам, эти и другие риски фигурируют в единственном числе.<3> Этот вопрос планируется подробно рассмотреть в следующей статье.
Далее в этом и последующих подразделах фигурирует понятие "обработка риска", причем вначале оно употребляется в контексте "варианты обработки рисков ИБ для наиболее критичных информационных активов и бизнес-процессов организации" (получается, что этих рисков тоже много, это какая-то категория рисков?). Если под обработкой рисков понимается нечто реальное, то лучше, вероятно, было бы дать определение этого понятия (термина?) в разд. 3 Стандарта. Тем более что в известной автору отечественной и зарубежной литературе, посвященной банковским рискам (а эта тематика разрабатывается, к примеру, в США порядка 20 лет), данное понятие не встречалось. В этом же подразделе говорится и об определении политики СМИБ организации. Это понятие в тексте документа до подраздела 9.1 не встречалось, и неясно, идет ли речь о политике безопасности кредитной организации или о каком-то ином документе. Тем более что в подразделе 9.5, посвященном "системе документации", о таком документе не сказано. Подраздел 9.2 "Реализация и эксплуатация СМИБ" предлагает кредитной организации реализовать такие процессы, как: - разработка и реализация плана обработки рисков ИБ вместе с реализацией защитных мер, управлением работой и ресурсами, связанными с реализацией СМИБ; - реализация программ по обучению и осведомленности ИБ с учетом требований международного стандарта ISO/IEC IS 17799-2005; - обнаружение и реагирование на инциденты безопасности (со ссылкой на тот же стандарт); - обеспечение непрерывности бизнеса и восстановления после прерываний (с аналогичной ссылкой) и др. При анализе данного подраздела складывается впечатление, что в нем собраны положения, которые относятся к мероприятиям в обеспечение функционирования СМИБ, но не к ее реализации в структуре кредитной организации и уж никак не к ее работе. Это можно отнести и к большей части всего разд. 9. То есть последовательность изложения, безусловно, правильная, поскольку далее в документе идут подраздел 9.3 "Проверка (мониторинг и анализ) СМИБ" и 9.4 "Совершенствование СМИБ", однако их содержание с самой СМИБ можно соотнести с трудом. По-видимому, данный раздел (в котором от предыдущей редакции многого не осталось) требует дальнейшей детальной проработки. Тем более что два последующих подраздела (упоминавшийся 9.5 и 9.6 "Обеспечение непрерывности бизнеса (деятельности) и восстановление после прерываний") даже не содержат аббревиатуры СМИБ. В последнем подразделе, кстати, говорится только о плане обеспечения непрерывности бизнеса (деятельности) и восстановления после прерываний (текстуальное совпадение с названием подраздела), хотя одного плана, как известно, недостаточно. Да и о самом плане сказано только то, что он должен пересматриваться на регулярной основе и своевременно обновляться (что значит регулярно или своевременно? Вероятно, должна быть некая ссылка хотя бы на какие-то внутрибанковские события?), а также что с ним должны быть ознакомлены все сотрудники, отвечающие за его выполнение и вовлеченные в процесс восстановления. Если сопоставить содержание данного пункта, допустим, с рекомендациями Базельского комитета по банковскому надзору (БКБН) <1>, то становится очевидно, что оно существенно неполно, то есть нуждается в серьезной доработке с добавлением целого ряда реально необходимых кредитным организациям понятий, процедур и регламентов.
————————————————————————————————
<1> Risk Management Principles for Electronic Banking // BCBS, Basel, May 2003.
Подраздел 9.7 посвящен службе ИБ (уполномоченному лицу) организации БС РФ (о чем уже говорилось ранее, в разд. 5). Здесь сказано о том, что данная служба нужна для "реализации задач" (?) (развертывания и эксплуатации СМИБ организации" (хотя подраздел об эксплуатации СМИБ расположен выше по тексту и в нем служба ИБ не упоминается). С точки зрения автора, правильнее было бы охарактеризовать службу ИБ как ядро СМИБ, от которого принципиально зависит построение всей внутрибанковской системы обеспечения ИБ и, соответственно, системы мониторинга ИБ. Далее в подразделе достаточно полно определены необходимые полномочия указанной службы: - управление планами по обеспечению ИБ, модернизация политики ИБ, принятие соответствующих нормативно-методических документов, выбор средств управления и обеспечения ИБ, а также создание, поддержка и совершенствование системы управления ИБ; - контроль пользователей (в первую очередь имеющих максимальные (?) полномочия), их активности (почему-то по тексту увязанной с "доступом и использованием средств антивирусной защиты"), мониторинг событий, связанных с ИБ, и расследование случаев нарушения ИБ; - участие в восстановлении работоспособности внутрибанковских автоматизированных систем после сбоев и аварий (к сожалению, ничего не сказано об участии в предупреждении таких событий). Также подчеркивается, что хорошей практикой считается наличие специального куратора по ИБ на уровне первого лица в руководстве кредитной организации (или заместителя председателя ее правления и т.п.) <1>. При этом отмечается, что служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора. Данные рекомендации, как показывает практика, имеют принципиальный характер, но, к сожалению, до настоящего времени во многих кредитных организациях управление ИБ организовано без учета принципов такого рода. Нередко в качестве объяснения приводятся такие доводы, что имеющаяся численность и масштабы деятельности не позволяют реализовать эти принципы, - нет средств на выделение специалистов, совмещение обязанностей - вынужденное и т.п. Но такие аргументы, конечно, несопоставимы со значимостью обеспечения безопасности и надежности кредитной организации.
————————————————————————————————
<1> По мнению автора, лучше было бы в двух подпунктах определить права и обязанности для лиц, отвечающих за ИБ в кредитной организации.
Оценка ИБ в кредитной организации с помощью аудита, самооценка и мониторинг ИБ
В разд. 10 рассмотрены проверка и оценка ИБ организации БС РФ. Указано, что они могут быть произведены с помощью аудита, самооценки и мониторинга ИБ (внутренний и внешний аудит; цель аудита ИБ, заключающаяся в проверке и оценке ее соответствия требованиям Стандарта и иных внутренних нормативных актов кредитной организации в части ИБ; принципы проведения аудита ИБ). Собственно данный аудит предлагается проводить с использованием документарной проверки, интервьюирования руководства и персонала кредитной организации, а также, при необходимости, журналов регистрации инцидентов ИБ. Следует отметить, что при определении целей мониторинга ИБ допущены некоторые неточности. В частности, в п. 10.9 сначала сказано о том, что цель мониторинга заключается в обнаружении и регистрации отклонений принятых кредитной организацией защитных мер от требований ИБ (а не политики ИБ) и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации (для последних определений или каких-либо характеристик в предыдущих разделах приведено не было). Сразу после этого об основных целях такого мониторинга говорится, что они заключаются в оперативном и постоянном наблюдении, сборе, анализе и обработке данных под заданные цели, определяемые системой управления ИБ в организации. Два эти положения целесообразно было бы объединить, исключив из состава целей понятия процессов (поскольку в качестве цели обычно принято указывать некий результат). Однако более существенным представляется то, что регламентированные Стандартом процедуры подтверждения при проведении внешнего аудита охватывают все значимые аспекты обеспечения ИБ: от политики ИБ и организационной структуры управления ИБ до состава защитных мер, оценки остаточных рисков (для них, правда, определения не приведены) и последующего контроля реализации рекомендаций аудита.
"Модель зрелости" процессов менеджмента ИБ <1>
————————————————————————————————
<1> В данном случае использована терминология, принятая в международных стандартах, которые учитывались при разработке Стандарта.
Наконец, в разд. 11 Стандарта описывается "модель зрелости процессов менеджмента" ИБ организаций БС РФ. Модель зрелости определяется здесь как мера "оценки полноты, адекватности и эффективности процессов проработанности процессов менеджмента ИБ" в кредитной организации (п. 11.1). Уровень проработанности процессов менеджмента ИБ (п. 11.2) определяется тем, насколько полно и последовательно менеджмент организации руководствуется принципами ИБ, реализует политики и требования ИБ, использует накопленный опыт и совершенствует СМИБ. Оценка зрелости процессов менеджмента ИБ кредитной организации (п. 11.3) основывается на рассмотрении совокупности параметров для каждого из перечисленных процессов. Вводятся 6 уровней: нулевой уровень, характеризующий отсутствие процессов менеджмента ИБ, и пять уровней, характеризующих оценку уровня зрелости (по стандарту CObIT): начальный, повторяемый, определенный, управляемый, оптимизированный. При этом оцениваются такие факторы, как документарное обеспечение и использование руководством кредитной организации принципов ИБ, реализация им политики и требований ИБ, учет накопленного опыта и процедуры совершенствования системы управления ИБ, обучение персонала и т.п. В целом с помощью модели зрелости должны будут определяться текущий статус кредитной организации, рейтинг кредитной организации в рамках БС РФ, направления дальнейшего развития с учетом рекомендаций международных стандартов и перспективных целей кредитной организации в части совершенствования ИБ. Основой для предлагаемой модели зрелости является стандарт CObIT <2>, из которого взяты описания шести уровней зрелости организации. В итоге оценка зрелости каждого из процессов управления ИБ используется при определении так называемого общего итогового рейтинга зрелости кредитной организации (возможно, логичнее здесь было бы сказать о зрелости процесса управления ИБ).
————————————————————————————————
<2> Control objectives for Information and related Technology.
О достоинствах и значимости Стандарта
Уместно добавить несколько слов об основаниях Стандарта. Прежде всего следует отметить полноту содержащихся в нем нормативных ссылок (разд. 2) в части состава документов технического характера, которые изучались и использовались разработчиками Стандарта в процессе подготовки его текста. В то же время обращает на себя внимание отсутствие ссылок на нормативные документы Банка России. Насколько смог оценить автор, причины этого заключаются в том, что до этапа опытного внедрения стандартизованных подходов (завершенного в основном в 2005 г.) к обеспечению информационной безопасности в банковском секторе РФ основной акцент делался на технические и технологические аспекты. В этом отношении желательно было бы прежде всего согласовать понятие риска и трактовки учитываемых рисков, ассоциируемых с недостатками в обеспечении информационной безопасности, с подходами, используемыми Банком России и рекомендуемыми им для кредитных организаций <1>.
————————————————————————————————
<1> См., напр.: Указание оперативного характера Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках".
Кроме того, в Стандарте пока еще не отражено необходимое взаимодействие службы ИБ с другими подразделениями кредитной организации в составе его организационной структуры, например со службой внутреннего контроля (в тексте документа имеются лишь несколько разрозненных упоминаний на эту тему, в основном касающихся подразделения информационных технологий). В то же время в материалах зарубежных органов банковского надзора (к примеру, БКБН) необходимость такого взаимодействия подчеркивается, и, вероятно, можно было бы дополнить текст Стандарта несколькими положениями о роли руководства кредитной организации в организации такого взаимодействия и о содержании соответствующих внутрибанковских процедур, учитывая, что большинство кредитных организаций имеют преимущественно типовую структуру <2>.
————————————————————————————————
<2> Об этих аспектах обеспечения ИБ в кредитных организациях планируется рассказать в следующей статье.
Говоря о достоинствах и значимости Стандарта, нельзя не отметить трудности, связанные с его практическим воплощением. Прежде всего, если говорить о формальной стороне вопроса, в соответствии с определением, данным в Федеральном законе от 27.12.2002 N 184-ФЗ "О техническом регулировании", Стандарт определяется как "документ, в котором в целях добровольного многократного использования устанавливаются <...> правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг". Поэтому, строго говоря, содержание Стандарта, посвященного по существу определению и описанию одного из условий осуществления банковской деятельности, не полностью соответствует указанному Закону. Однако это, скорее, недостаток Закона, который охватывает явно не все возможные и тем более желательные направления стандартизации. Кстати, в этом Законе нет и понятия корпоративного стандарта, которое, может быть, целесообразно было бы включить в ст. 13 ("Документы в области стандартизации"). Но, учитывая в данном случае значимость первого "общебанковского" стандарта, это не столь важно. В целом необходимо отметить, что хотя один из принципов стандартизации, приведенных в тексте упомянутого выше Федерального закона (ст. 12), устанавливает добровольность применения стандартов, нет сомнений в том, что использование кредитными организациями положений Стандарта в своей работе послужит заметному повышению их надежности в целом вследствие достижения более совершенной защищенности банковских операций и данных. В современных условиях пренебрежение вопросами обеспечения ИБ чревато очень серьезными неприятностями практически для любого бизнеса, не говоря уже о деятельности разного рода финансовых учреждений, тем более банковских. Это, к сожалению, одна из аксиом современного компьютеризованного мира. Более того, в последние годы стало очевидно, что практически любой современный бизнес находится под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру в виде среды для передачи информации о тех или иных активах и действиях, которые с этими активами осуществляются. Поэтому рассмотренный Стандарт и представляется одним из документов первоочередной важности для кредитных организаций БС РФ. Вместе с тем он вполне может быть использован и другими финансовыми учреждениями России, которым небезразлична собственная информационная безопасность, а следовательно, и безопасность своих акционеров и клиентов в целом. Таким образом, можно сказать, что проведенной работой по подготовке Стандарта заложен первый "краеугольный камень", а именно: регламентирована внутренняя ИБ кредитных организаций - это первая составная часть ИБ в целом, а стандарты Банка России и политика ИБ кредитных организаций вместе с проводимыми ими практическими мероприятиями в данной области - первый источник ИБ. Можно без преувеличения сказать, что этим обеспечивается решение назревшей за последние несколько лет проблемы формирования организационно-методического обеспечения проектирования, разработки, эксплуатации, сопровождения и модернизации системы обеспечения информационной безопасности и защиты информации в кредитных организациях. Одновременно положено начало созданию полноценной базы организационно-методических документов по построению систем защиты информации в кредитных организациях банковской системы Российской Федерации. Тем самым создается основа и для координации работ Банка России, банковского сектора страны, российских банковских ассоциаций и других заинтересованных организаций в области защиты банковского обслуживания, основанного на современных банковских автоматизированных системах.
Л.В.Лямин Начальник отдела интернет-банкинга Управление методологии рисков внутрибанковских систем Департамента банковского регулирования и надзора Банка России Подписано в печать 22.05.2006
——————————————————————————————————————————————————————————————————
————————————————————
——
(C) Buhi.ru. Некоторые материалы этого сайта могут предназначаться только для совершеннолетних. |
Бухгалтерская пресса и публикации