:::::: ЧОУ ДПО «Центр предпринимательских рисков» :::::

О структурированном подходе к обеспечению информационной безопасности кредитной организации

В российской банковской системе усилиями тысяч специалистов в течение последнего десятилетия создана и довольно успешно функционирует система безопасности, включающая в себя элементы как информационной, так и физической и экономической безопасности. В последние годы стало совершенно очевидным следующее.

1. Безопасности не бывает «вообще». Реально она существует только в привязке:

2. Конечные цели безопасности направлены на обеспечение устойчивости и надежности функционирования банка, или как сейчас принято говорить, на «обеспечение выполнения организацией своей «миссии» в условиях воздействия на нее известных и учтенных угроз». В этом смысле следует говорить о безопасности, как о специфическом свойстве, присущему конкретному объекту: зданию, сооружению, вычислительному комплексу, информационной системе, платежной системе, банку как финансовой организации.

3. Чем точнее и яснее политика безопасности сформулирована с учетом ранее изложенного, тем выше реальная эффективность (достигнутый уровень безопасности) и ниже уровень затрат на ее поддержание.

4. Уровень безопасности банковских систем, особенно платежных систем, реально зависит от того, насколько полно учитываются требования безопасности на всех этапах их жизненного цикла, в системно-технических, функциональных и архитектурных решениях обеспечивающего информационного комплекса, административной и кадровой политике администрации в отношении собственного персонала.

5. Объективно присутствует задача «управления безопасностью», цель которой сводится к следующему:

6.Вопросы безопасности должны постоянно находиться в поле зрения высшего руководства банка и не должны замыкаться ни на руководителе IT подразделения, ни на руководителе самой службы безопасности.

В самое последнее время стало понятным, что безопасность, как многомерная комплексная проблема, удачно структурируется не только по горизонтали, на три крупные компоненты (экономическая, физическая и информационная), но и по вертикали. Наибольшую ценность представляет как раз структурирование одной из компонент безопасности – информационной именно по вертикали, по принципам семиуровневой модели, предложенное в [1].

При таком подходе следует признать, что для каждого из семи уровней безопасности существуют свои, присущие исключительно этому уровню наборы триад «угроза-уязвимость-риск», порождающие количественно и качественно отличающиеся друг от друга методы анализа триад, политики безопасности, методы управления рисками, а также требования, нормы и критерии оценки реального уровня безопасности. Из этого следует достаточно грустный вывод: если мы ошибемся в выборе инструмента оценки и используем для этой цели инструменты, присущие более низкому уровню, чем это необходимо, мы получим абсолютно неверное представление о состоянии безопасности системы в целом. Более того, мониторинг безопасности, организованный с более низкого уровня, даже не «увидит» ни инцидента безопасности, ни прямого преступления, так как инцидент происходит на более высоком уровне. Поясню ситуацию на примере. В последнее время стало очень модным создавать системы мониторинга сетевой безопасности с использованием Интернет-сканеров и мониторов. Задача по контролю уровня защиты от сетевых угроз, решаемая этими системами на уровне обеспечения контроля целостности настроек сети и выполнения заданной политики сетевой безопасности, исключительно важна и эффективна. Но эта система не «увидит» и не предотвратит ни передачи на посторонний адрес документа, содержащего банковскую тайну, ни манипуляцию с платежным документом. Естественно, эта задача является необходимой, но недостаточной. Поэтому использование для оценки интегрального уровня безопасности банка результаты работы только Интернет-сканера означают единственное – дезинформацию администрации банка в части реального уровня его безопасности. Это в полной мере относится к любым частным инструментам защиты и методикам оценки.

Следует добавить, что при использовании частных инструментов оценки и частных политик безопасности практически полностью выпадают из рассмотрения важнейшие объективные факторы, вызвавшие радикальные изменения в мировой экономике и финансовой системе [2], а через них – изменение взглядов на суть и смысл проблемы информационной безопасности.

В мировой практике эти факторы учитываются через создание системы эффективного управления рисками и внутреннего контроля.

Поэтому перед администрацией банка и встает так остро вопрос соотношения выбранных критериев оценки с задачей оценки, минимизации и управления возникающими в банке рисками, доверия к критериям оценки и через них к службе безопасности, реально решающей задачу обеспечения выполнения банком своих основных функций.

Изменение взглядов на то, что есть безопасность [3] и события 11 сентября 2001 года резко привлекли внимание к понятию «живучесть», которое анонсируется как новая техническая и бизнес-перспектива, ориентированная на защиту масштабных критичных систем. При этом под «живучестью» подразумевается способность системы достигать поставленной перед ней цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий.

Таким образом, следует полагать, что «живучесть» – это целеориентированная совокупность задач обеспечения безопасности и управления рисками.

Иллюстрация иерархии свойств, составляющих понятие «живучести» по мнению Питера Ньюмана [4], приведена на рисунке.

Таким образом, применительно к задаче устойчивого и эффективного функционирования организации безопасность:

При этом система безопасности представляет собой единую систему взаимосвязанных специфических административных, организационных и технических решений, нормативных документов, средств и мер.

Анализ ситуации с помощью предложенного подхода показывает, что, к сожалению, чем более высокого уровня проблема, тем меньше объем какой-либо нормативной базы для решения вопросов оценки безопасности. Нормативные документы Гостехкомиссии России и ФАПСИ распространяются практически только на техническую сторону вопросов защиты, в лучшем случае затрагивая только уровень операционных систем и СУБД. Кроме того, эти документы построены, исходя из модели НСД к ресурсам, и совершенно не охватывают модель легального доступа, характерную для уровня приложений и бизнес-процессов и бизнес-логик.

Новый стандарт ISO 15408, недавно введенный в России с отсрочкой в два года, даже в своем достаточно ограниченном виде породил очень острые споры по существу самой возможности его использования, но при этом он также не покрывает проблему в целом, оставляя за кадром административные и кадровые вопросы обеспечения безопасности.

Сейчас делаются попытки решить проблему защиты конфиденциальной информации с помощью усиления (на практике – ужесточения) законодательства в этой сфере. Многие специалисты испытывают немалый скепсис относительно целесообразности такого пути, так как в нашей повседневной практике мы находим слишком много примеров, когда наличие карательной нормы в законе не предотвращает само противоправное действие. Вспомним, например, борьбу с контрафактной продукцией, взятки на дорогах и т. д. Законодательных норм, устанавливающих ответственность в этой сфере, вполне достаточно, только результатов маловато. Кроме того, нельзя до бесконечности ужесточать законодательство в этой сфере, иначе чем же оно будет отличаться от уголовного преследования за нарушение закона о государственной тайне. Нужны другие подходы, видимо, связанные с созданием таких ситуаций и технологий работы с документами, которые не позволят совершить противоправное действие или мгновенно выявить его.

Однако проблема оценки уровня безопасности объективно существует и очевидно, что эта система должна носить интегральный характер, так как руководство банка интересует не столько конкретный уровень безопасности в одном частном и высоко технологичном вопросе, сколько общий уровень качества функционирования самой организации, который конечно обеспечивается и уровнем безопасности информационных технологий.

В связи с этим руководство банка вынуждено оценивать эффективность работы системы IT-безопасности, используя две группы показателей:

эффективность экономической деятельности организации;
уровень дисциплины персонала;
отсутствие «конфликта интересов» персонала и организации;
отсутствие хищений ценностей и денежных средств в наличной и безналичной формах;
устойчивость работы информационного комплекса организации.

В качестве показателей качества системы IT-безопасности используются результаты оценки уровня информационной безопасности информационной инфраструктуры по имеющимся требованиям и нормам (на основании закона при защите государственной тайны, в других случаях – при условии их применимости).

В международном банковском сообществе становится общепринятым устанавливать такую взаимосвязь через стандарты банковского аудита и управления рисками.

Отрадно отметить, что сейчас в нашей стране наметилась заметная активность ряда уважаемых фирм, таких как «Конфидент», «Микроинформ», «Информзащита», IT, очень серьезно разрабатывающих тему аудита безопасности компьютерных систем. Следует также отметить, что все предлагаемые технологии этого аудита базируются на стандарте ISO 17779 «Управление безопасностью», стандартах банковского аудита COBIT и рекомендациях ассоциации CISA. Следует также отметить, что перечисленные стандарты охватывают «верхний» уровень безопасности и вполне могут гармонировать с нормативными документами Гостехкомиссии России и ФАПСИ.

Применительно к целям руководства банка, которое объективно заинтересовано в обеспечении устойчивого и эффективного функционирования организации, безопасность:

С этой точки зрения наиболее важным свойством безопасности в обеспечении интересов банка оказывается возможность обеспечения прозрачности и контролируемости организации.

Необходимо пояснить, что под прозрачностью следует понимать возможность получения объективной целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации, а под контролируемостью – возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации и внесения соответствующих изменений в действия людей и подразделений в целях получения желаемого результата.

Реализация этих свойств дает руководству организации возможность:

Следует отметить, что эти цели верхнего уровня достигаются через механизмы управления рисками, в электронных расчетах, изложенных в ясной и четкой форме в [5].

Из указанных в данной публикации принципов только семь (то есть половина) имеют отношение к технической стороне вопроса – тому, что мы привыкли называть «защита информации» или «информационная безопасность», хотя эти два понятия тоже не синонимы.

Если обратиться к следующему вопросу – контролю, то основной принцип, активно внедряемый в настоящее время в практику банковского надзора и регулирования и имеющий самое прямое отношение к реализации задачи контролируемости – контроль контроля. На практике это означает следующее: для того чтобы убедиться в том, насколько надежно работает система безопасности, достаточно организовать эффективную процедуру проверки системы контроля этой системы безопасности. Естественно, этот контроль (в терминах информационной безопасности – аудит) должен быть полным, оперативным, достоверным и эффективным. А сама система информационной безопасности должна охватывать все объекты (ресурсы, средства, программы, персонал), способные ослабить достигнутый уровень безопасности.

Учет данных принципов должен быть осуществлен при разработке политики информационной безопасности.

Любой организации требуется понятная и логичная политика безопасности, разработанная предметно для конкретной организации и ресурсов, которые являются для нее критическими. Причем цели деятельности организации определяют этот критический ресурс. Так, например, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет один, а в банках, которые пользуются этой системой, совершенно другой. Естественно, что и политики безопасности в этих организациях должны отличаться и будут включать в первом случае одну группу уровней семиуровневой модели и во втором – другую. Но в этом случае они отличаются и по видам угроз, и по агентам этих угроз, и по методам защиты, и по критериям оценки безопасности. Так, при кажущейся внешней схожести и общей сфере деятельности этих двух организаций, политики информационной безопасности в них разительно отличаются.

В результате анализа и обобщения изложенного напрашивается следующий вывод.

Наверное, нет ничего опасней для конкретной организации в сфере безопасности, как формальное следование предложениям по использованию тех или иных продуктов или сервисов, без разработки качественной и адекватной политики безопасности, разработки и внедрения в повседневную практику комплекса организационных, административных и технических мер, а главное без осознания роли и места в общем комплексе задач организации роли и места службы безопасности.

1. Курило А. П. Информационная безопасность в организации. Взгляд практика. «Открытые системы», 8 августа 2002 г.

2. Курило А. П. О защите банковской тайны. «Защита информации. Конфидент», 2001, № 3.

3. R. J. Ellison, D. A. Fisher, R. C. Linger, H. F. Lipson, T. A.Longstaff, N. R. Mead. «Survivable Sistems: An Emerging Discipline».

4. Peter G. Neumann, «Practical Architectures for Survivable Systems and Networks.

5. Risk Management Principles for Electronic Banking, Basel Committee Publications No. 82 May 2001.