Обеспечение информационной безопасности кредитных организаций на основе использования стандартов ЦБ РФ (А. Велигура, "Бухгалтерия и банки", N 7, июль 2006 г.)

Обеспечение информационной безопасности
кредитных организаций на основе использования
стандартов ЦБ РФ

Обеспечение информационной безопасности банка - это обеспечение выполнения на заданном уровне его бизнес-процессов в условиях угроз, воздействующих на эти процессы через информационно-технологическую среду. В настоящее время общепризнанно, что организация этой работы является отдельной и очень важной сферой деятельности, что это задача руководства организации. Для ее решения требуется использование обобщенного опыта и лучших практик, сконцентрированных в стандартах, посвященных организационным вопросам информационной безопасности.

В России примером такого стандарта в настоящее время служит стандарт ЦБ РФ "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".

Организационные вопросы обеспечения
информационной безопасности. Стандарт ЦБ РФ

Одной из главнейших задач развития отечественной банковской системы в нынешних условиях является обеспечение ее конкурентоспособности. Необходимость этого диктует и интеграция страны в мировые экономические процессы, в частности планируемое вступление в ВТО.

Важнейшим средством повышения эффективности работы банков является постоянное развитие информационных технологий. Процесс информатизации, расширяя возможности ведения бизнеса, вместе с тем усиливает его зависимость от работы информационных систем и требует соответствующего обеспечения информационной безопасности. Если в государственном секторе экономики и управления имеется нормативная база и опыт подобной работы, то коммерческий сектор отечественной экономики нуждается в системной организации информационной безопасности, как одного из важнейших средств обеспечения основной деятельности кредитной организации в условиях реализации определенных угроз - угроз, реализующихся с использованием информационно-технологической среды.

Острота вопросов информационной безопасности именно для банков связана с тем, что от бесперебойной и защищенной работы автоматизированных банковских систем в настоящее время зависит сама возможность банка обслуживать клиентов, работать на финансовых рынках и обеспечивать надлежащий учет проводимых операций. Обеспечение информационной безопасности в банках и других кредитных организациях играет особую роль ввиду того, что в современных условиях именно информационно-технологическая среда определяет возможности этих организаций по выполнению своих задач.

Среди специфических проблем, которые должны решаться в сфере информационной безопасности в ответ на увеличение числа угроз и усложнение средств и способов проникновения в информационные системы, можно указать такие как потребность в разработке методик оценки рисков в зависимости от применяемых мер защиты, обеспечение комплексного подхода, учитывающего технологические, организационные, юридические меры защиты информации.

Мировая практика решения подобных вопросов привела к пониманию необходимости использования стандартов по организации обеспечения информационной безопасности. В качестве примера можно привести ряд стандартов, принятых Международной организацией по стандартизации, - ISO. Наличие подобных российских стандартов информационной безопасности существенно облегчило бы решение этих проблем в банковском сообществе. Однако действующий Федеральный закон "О техническом регулировании" в явном виде не предполагает регламентации требований по информационной безопасности, в то же время допуская решение этих вопросов отраслевыми структурами и их объединениями. В этих условиях инициативу в разработке соответствующих нормативно-методических документов взял на себя Банк России, что получило поддержку банковского сообщества.

В настоящее время разработан и введен в действие стандарт Банка России СТО БР ИББС 1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". Первая редакция этого стандарта была принята в ноябре 2004 года. Распоряжением ЦБ РФ от 26 июня 2006 г. N Р-27 принята вторая редакция стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2006 (далее - стандарт). В обсуждении проекта стандарта приняли участие специалисты по информационной безопасности многих организаций, в том числе из банков - членов Комитета по информационной безопасности Ассоциации российских банков*(1).

Стандарт относится к так называемым стандартам деятельности и призван направлять работу по организации процесса обеспечения информационной безопасности в кредитных организациях.

Развитие и внедрение системы стандартов ИБ для банков.
Сообщество ABISS

В настоящее время разрабатывается ряд дополнительных стандартов, которые будут образовывать систему, определяющую общие требования информационной безопасности в организациях кредитно-финансовой сферы России. В частности, в ближайшее время ожидается принятие нового стандарта Банка России, посвященного вопросам аудита, т.е. оценки соответствия состояния информационной безопасности организации требованиям стандарта ИББС 1.0.

Для упорядочения деятельности, связанной с внедрением упомянутых стандартов Банка России, а также повышения уровня информационной безопасности организаций финансового сектора было создано сообщество ABISS (Association for Banking Information Security Standards)*(2), основателями которого выступили такие организации, как "Андэк", ГНИИИ ПТЗИ ФСТЭК России, "КПМГ", "Линс-М", НПФ "Кристалл", "Эрнст энд Янг", которые участвовали в разработке и обсуждении как первой, так и второй версий стандарта, а также других стандартов в области информационной безопасности, утверждение которых готовится Банком России.

Банк России считает возможным публиковать результаты аудита информационной безопасности, проводимого в кредитных организациях членами ABISS по документам Банка России*(3).

На проведенном ABISS 18 мая 2006 года семинаре "Система управления информационной безопасностью в кредитно-финансовых организациях. Внедрение, применение и оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-2006" рассматривались вопросы внедрения стандарта, а также перспективы развития системы стандартов информационной безопасности ЦБ РФ.

Разработка политики информационной безопасности
и связанные с этим задачи

Одним из наиболее значимых практических шагов, с выполнения которых начинается "настройка" системы обеспечения информационной безопасности банка, является разработка политики информационной безопасности кредитной организации - документа верхнего уровня, определяющего стратегию и тактику обеспечения информационной безопасности банка.

Важность вопросов разработки политики информационной безопасности, реализация которой и составляет повседневную практическую деятельность по обеспечению информационной безопасности, очевидна и подчеркнута в стандарте. Для создания политики информационной безопасности сначала необходимо провести анализ и описание основных бизнес-процессов банка с оценкой их зависимости от информационно-технологической среды и влияния на них состояния информационной безопасности, а также выполнить классификацию информационных активов кредитных организаций, используемых в рамках выделенных бизнес-процессов.

Результаты этой работы будут отражать специфику как самого банковского бизнеса, так и характера его зависимости от информационно-телекоммуникационной среды.

Нужно также располагать структурированным перечнем угроз, моделью угроз, включающей в себя как модель агента угрозы (нарушителя), так и метод реализации угрозы, используемые уязвимости системы, активы, подвергаемые действию угрозы, вид воздействия и нарушаемое свойство безопасности. Например, агентом угрозы может быть внешний злоумышленник, пользователь, уполномоченный администратор, методом реализации - перехват информации, проникновение в сеть и т.д., используемой уязвимостью - отсутствие некоторого средства защиты или непринятие организационных мер, подверженными угрозе активами - данные, видом воздействия - разрушение, раскрытие, модификация и т.д., нарушаемым свойством - конфиденциальность, целостность, непрерывность работы.

Необходимо также оценить последствия реализации угроз, т.е. влияние их осуществления на реализацию бизнес-функций.

Разработка политики информационной безопасности на основе всего вышеперечисленного может быть выполнена с применением ряда методических подходов, однако эта тема требует отдельного разговора.

А. Велигура,

к. ф.-м. н.,

председатель Комитета по информационной безопасности

Ассоциации российских банков, заместитель

генерального директора ЗАО "Андэк"

"Бухгалтерия и банки", N 7, июль 2006 г.

-------------------------------------------------------------------------

*(1) http://www.arb.ru/site/comitets/?comcode=19&page=2.

*(2) www.abiss.ru.

*(3) www.cbr.ru/credit/gubzi_docs/index.htm.