Управление бизнес-процессами и развитием информационных технологий
38. Построение системы информационной безопасности банка на основе управления рисками
Алексеи Дроздов, Андрей Коптелов Аналитический банковский журнал октябрь 2007 г
ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА НА ОСНОВЕ УПРАВЛЕНИЯ РИСКАМИ
Автор:
Алексеи Дроздов, Андрей Коптелов, Источник: Аналитический банковский
журнал
Дата: 31 октября 2007 г., Город: Москва
Рубрика: Высокие технологии;
Алексеи Дроздов, д. р.н., старший консультант кампании "IDS Scheer
Россия и страны СНГ"
Андрей
Коптелов,
эксперт компании "IDS Scheer Россия и страны СНГ"
Сегодня банки все чаще сталкиваются с широким спектром существующих
угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом
компьютерных систем, отказ в обслуживании и т. д. При этом высокая
зависимость кредитных организаций от информационных ресурсов,
объединение корпоративных сетей и сетей общего доступа, совместное
использование информационных ресурсов повышают их уязвимость. Поскольку
многие существующие в банках информационные системы изначально не
проектировались с необходимым уровнем защищенности, часто возможности
обеспечения информационной безопасности ограниченны. Поэтому сегодня для
банков жизненно необходима комплексная система информационной
безопасности, которая задействует не только технические, но и
организационные ресурсы, и ее создание может обойтись для банка
значительно дешевле, чем ликвидация последствий угроз информационной
безопасности.
***
Общие принципы обеспечения информационной безопасности
Информационная безопасность - это состояние защищенности интересов
организации в условиях угроз в информационной сфере. Информационная
безопасность предполагает, что, какую бы форму ни принимала информация
(бумажная, электронная, видео- и ау-диопредставление), она должна быть
адекватно защищена. Защищенность информации достигается обеспечением
совокупности таких свойств информационной безопасности, как
конфиденциальность (обеспечение доступа к информации только для
авторизованных пользователей); целостность (обеспечение полноты и
точности информации и методов ее обработки); доступность (обеспечение
доступа к информации и смежным ресурсам авторизованных пользователей в
любой необходимый момент времени).
Аля создания эффективной системы ИБ необходимо определить требования
своей организации к уровню информационной безопасности. Известны три
основных источника таких требований. Это результаты оценки рисков
организации, на основании которых затем определяются ресурсы,
оцениваются угрозы, уязвимости и вероятность их возникновения, а также
величина возможного ущерба; требования законодательства, подзаконных
актов и договоров, которые должна соблюдать организация, ее партнеры и
поставщики; принципы и требования к обработке информации, разработанные
внутри организации для обеспечения ее деятельности.
Требования к информационной безопасности определяются путем
систематической оценки рисков нарушения информационной безопасности, при
этом оценка рисков позволяет привести расходы на средства контроля в
соответствие с размером ущерба, наносимого организации в результате
реализации рисков нарушения информационной безопасности. Оценка рисков
предполагает определение вероятного ущерба для бизнеса в результате
реализации риска нарушения информационной безопасности и оценку
вероятности наступления рискового события.
Результаты оценки позволяют определять необходимые действия и приоритеты
для управления рисками нарушения информационной безопасности, а также
объем внедрения средств и механизмов контроля и минимизации этих рисков.
Оценка рисков нарушения информационной безопасности должна проводиться
периодически, для того чтобы учитывать изменения требований и
приоритетов, рассматривать новые угрозы и уязвимости, подтверждать
эффективность и актуальность используемых в организации механизмов
контроля. При этом проверки должны проводиться с различным уровнем
глубины, в зависимости от результатов предыдущей оценки и изменения
уровня риска, который руководство готово принять.
Необходимо отметить, что управление всеми рисками нарушения
информационной безопасности может оказаться экономически невыгодным,
поскольку для части рисков проще согласиться с убытками, чем создавать и
внедрять необходимую контрольную процедуру. Поэтому на начальном этапе
оценки рисков обычно применяется метод качественных оценок, позволяющий
ранжировать риски по критериям "вероятность" и "убытки" на основании
экспертного мнения. И только потом производится уточнение качественных
оценок в рамках количественной (стоимостной) оценки рисков, требующей
больших временных затрат. Поэтому ключевой задачей качественной оценки,
помимо определения значимости рисков, является "отсечение" тех рисков,
которые с высокой степенью вероятности не оправдают дальнейших затрат на
их минимизацию или не повлияют на критичную информацию.
Механизмы контроля2, существенные для организации с юридической точки
зрения, включают защиту данных и тайну персональной информации, охрану
документов организации, права на интеллектуальную собственность.
Механизмы контроля, рассматриваемые в качестве лучших практических
примеров в области обеспечения информационной безопасности, включают
политику информационной безопасности, распределение ответственности за
обеспечение информационной безопасности, обучение и тренинги по
информационной безопасности, информирование об инцидентах безопасности,
управление непрерывностью бизнеса.
В качестве критических факторов успеха построения в организации системы
информационной безопасности можно рассматривать следующее: политика
информационной безопасности организации; принципы обеспечения
информационной безопасности; поддержка со стороны руководства; анализ и
управление рисками в организации; информирование по проблемам
безопасности руководителей и сотрудников; распространение разъяснений к
стандартам и политике информационной безопасности организации среди
сотрудников и контрагентов; проведение обучения и тренингов;
сбалансированная система измерения эффективности и совершенствования
системы менеджмента информационной безопасности.
В качестве основных компонентов системы ИБ, присущих любым организациям,
стандарт ISO/1EC 177993 рассматривает следующие: организационную
безопасность (инфраструктура, безопасность доступа третьих сторон,
аутсорсинг); контроль ресурсов; безопасность персонала (в должностных
инструкциях и при найме на работу, обучение пользователей, реагирование
на инциденты информационной безопасности); физическая безопасность (в
том числе безопасность оборудования); управление коммуникациями и
операциями (включая операционные процедуры и распределение
ответственности);
контроль доступа; разработка и сопровождение систем.
***
Принципы построения системы менеджмента информационной безопасности
банка
Основным нормативным актом Центрального банка России, регламентирующим
создание системы информационной безопасности, является стандарт
"Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Общие положения" (СТО БР ИБ Б С-1.0-2006, далее -
стандарт Банка России4), введенный в действие в январе 2006 года и
заменивший собой стандарт Центробанка СТО БР ИББС-1.0-2004.
На сегодняшний день стандарт Банка России носит рекомендательный
характер: его положения применяются на добровольной основе, и российские
банки пока не обязаны обеспечивать совместимость с данным нормативным
актом. Тем не менее в настоящее время в России и других странах
наблюдается тенденция к ужесточению законодательного бремени, поэтому со
временем стандарт Банка России может стать обязательным для исполнения.
Стандарт Банка России со ссылкой на ISO/IEC IS 27001 определяет систему
менеджмента информационной безопасности (СМИБ) организации банковской
системы РФ как часть общей системы менеджмента организации банковской
системы, основанную на подходе бизнес-риска и предназначенную для
создания, реализации, эксплуатации, мониторинга, анализа, поддержки и
повышения информационной безопасности организации.
Стандарт содержит 12 глав, основной из которых является гл. 5 "Исходная
концептуальная схема (парадигма) обеспечения информационной безопасности
организаций БС РФ". Система менеджмента информационной безопасности (СМИБ)
банка должна основываться на постоянном стремлении собственника
информационных ресурсов к выявлению следов активности злоумышленника и
превентивном противодействии им путем разработки моделей угроз и
нарушителей.
В соответствии со стандартом Банка России, обеспечение информационной
безопасности банковских организаций должно строиться с использованием
процессного подхода. Процессный подход применительно к информационной
безопасности - это представление деятельности по обеспечению
информационной безопасности в виде системы процессов организации вместе
с их идентификацией, координацией и управлением. Согласно стандарту
Банка России, процессный подход к обеспечению информационной
безопасности банков требует: понимания требований информационной
безопасности бизнеса и потребности устанавливать политику и цели для
информационной безопасности; реализации и надлежащей эксплуатации
необходимых защитных мер (средств менеджмента информационной
безопасности) в контексте управления общим риском бизнеса организации;
проведения мониторинга и анализа работы и эффективности СМИБ;
непрерывного совершенствования СМИБ на основе объективных измерений.
В соответствии со стандартом ISO/IEC IS 27001 Банк России предлагает
модель непрерывного циклического процесса менеджмента организации,
построенную в соответствии с моделью Аеминга.
Стандарт Банка России рассматривает следующие общие принципы обеспечения
ИБ банковских организаций: своевременность обнаружения проблем;
прогнозируемость развития проблем; оценка влияния проблем на бизнес-цели;
адекватность защитных мер; эффективность защитных мер; использование
опыта при принятии и реализации решений; непрерывность реализации
принципов безопасного функционирования; адекватность и контролируемость
защитных мер.
В дополнение к перечисленным стандарт Банка России рассматривает такие
специальные принципы обеспечения информационной безопасности банка,
направленные на повышение уровня зрелости процессов менеджмента
информационной безопасности в организации, как определенность
функциональных целей и целей информационной безопасности (с их фиксацией
в специальном внутрибанковском документе); знание своих клиентов и
служащих, персонификация и адекватное разделение ролей и
ответственности; адекватность ролей функциям и процедурам и их
сопоставимость с критериями и системой оценки; доступность услуг и
сервисов клиентов и контрагентов в установленные сроки с их определением
в соответствующих документах (соглашениях); наблюдаемость и
оцениваемость обеспечения информационной безопасности.
Фундаментальным документом СМИБ является политика информационной
безопасности. В этом документе должны быть описаны цели и задачи СМИБ, а
также сформулированы правила, требования и руководящие принципы в
области информационной безопасности, которыми банковская организация
руководствуется в своей деятельности. В частности, политика
информационной безопасности должна включать требования по обеспечению
информационной безопасности по следующим направлениям: назначение и
распределение ролей и обеспечение доверия к персоналу; стадии жизненного
цикла автоматизированных банковских систем; управление доступом
персонала и клиентов к активам банка; средства антивирусной защиты;
использование ресурсов Интернет; средств криптографической защиты
информации; банковские платежные/информационные технологические
процессы.
***
Система менеджмента информационной безопасности банка, закон
Сарбейнса-Оксли и соглашение Базель II
Стандарт Банка России содержит большое число нормативных ссылок. В
частности, он объединяет в себе основные требования стандартов по
менеджменту ИТ-безопасности (ISO 13335, 17799, 27001), регламентирует
описание жизненного цикла автоматизированных банковских систем и
критерии оценки ИТ-безопасности в рамках ГОСТ Р ИСО/МЭК 15408,
использует некоторые положения британской методологии оценки рисков
CRAMM
Прослеживается связь стандарта Банка России с секцией 404 американского
закона Сарбейнса-Оксли о средствах внутреннего контроля5. Так, в
соответствии с п. 5.10 стандарта Банка России, "...все точки в
банковских технологических процессах, где осуществляется взаимодействие
персонала со средствами и системами автоматизации, должны тщательно
контролироваться", что соответствует требованиям закона Сарбейнса-Оксли
(правда, Комитет по надзору за отчетностью открытых акционерных компаний
(РСАОВ), созданный в США для контроля над исполнением закона
Сарбейнса-Оксли, конкретизирует требования секции 404 в стандартах по
аудиту механизмов внутреннего контроля, а в стандарте Банка России
данное положение не детализировано).
Другим важным международным документом, связанным со стандартом LIB,
является соглашение Базель II, согласно которому финансовые организации
обязаны рассчитывать кредитные, рыночные и операционные риски с целью
обеспечения величины резервного капитала, достаточной для их покрытия.
Важная особенность Базеля II - требование учета операционного риска,
определяемого как "риск потерь в результате неадекватности или ошибок
(сбоев) внутренних процессов, людей и (или) систем, или в результате
внешних событий". Согласно этому определению, в операционные риски
попадают прежде всего действия инсайдеров (кража конфиденциальной
информации, мошенничество, халатность и т. д.) и компьютерные угрозы
(несанкционированный доступ, вредоносные коды и т. д.).
Очевидно, что угрозы ИТ-безопасности (и прежде всего действия инсайдеров)
не только являются неотъемлемой частью, но и представляют собой основной
компонент операционных рисков. Поэтому стандарт Банка России,
позволяющий минимизировать риски ИТ-безопасности, дает банкам
возможность организовать эффективную систему управления операционными
рисками. Кроме того, реализация положений стандарта Банка России сегодня
позволит банкам упростить процесс перехода на соответствие требованиям
Базеля II завтра и сделать этот переход менее сложным и дорогостоящим
(Россия планирует присоединиться к Базелю II в 2009 году). Помимо
названных выше (эффективная система ИТ-безопасности, эффективное
управление операционными рисками, совместимость с Базель II), существует
еще один стимул к внедрению стандарта Банка России - защита репутации
банка. Дело в том, что при реализации любой из угроз ИТ-безопасности
может пострадать репутация финансовой компании, что, в свою очередь,
негативно скажется на ее клиентской базе. Поэтому не случайно, что
сегодня подавляющее число российских банков (78%)5 высказываются за
необходимость использования стандарта LIB кредитно-финансовыми
организациями России.
***
Уровни зрелости процессов менеджмента информационной безопасности
Для оценки зрелости процессов СМИБ стандарт LIB рекомендует использовать
модель, основанную на универсальной модели зрелости процессов,
определенной стандартом CobiT.
Модель зрелости процессов менеджмента информационной безопасности
включает шесть уровней.
Нулевой уровень характеризует полное отсутствие каких-либо процессов
менеджмента ИБ в организации.
Первый уровень ("начальный") №8. характеризует наличие документально
зафиксированных свидетельств осознания организацией существования
проблем обеспечения информационной безопасности. Однако используемые
процессы менеджмента информационной безопасности не стандартизованы,
применяются эпизодически и бессистемно. Общий подход к управлению
информационной безопасности не выработан.
Второй уровень ("повторяемый") характеризует проработанность менеджмента
ИБ до уровня периодически повторяемых процессов ИБ. Однако отсутствуют
регулярное обучение и тренировки по стандартным процедурам, а вся
ответственность за их выполнение возложена на исполнителя.
Третий уровень ("определенный") характеризует то, что процессы
менеджмента информационной безопасности стандартизованы, документированы
и доведены до персонала посредством обучения. Однако применяемые
процедуры не оптимальны, а порядок их выполнения оставлен на усмотрение
персонала, что сохраняет возможность отклонений от существующих
регламентов.
Четвертый уровень ("управляемый") характеризует то, что выполняются
мониторинг и оценка соответствия процессов менеджмента информационной
безопасности, в результате чего эти процессы находятся в состоянии
непрерывного совершенствования и основываются на хорошей практике.
Однако средства автоматизации менеджмента информационной безопасности
используются в ограниченном объеме.
Пятый уровень ("оптимизированный") характеризует проработанность
процессов менеджмента информационной безопасности до уровня лучшей
практики, основанной на результатах непрерывного совершенствования и
сравнения уровня зрелости относительно других организаций. В результате
организация может быстро адаптироваться при изменениях в окружении и
бизнесе.
***
Содержание проекта по созданию системы менеджмента информационной
безопасности
Проект по созданию СМИБ в банковской организации, в соответствии со
стандартом ЦБ, включает ряд этапов.
На первом этапе определяются области действия СМИБ и выбираются подходы
к оценке рисков информационной безопасности; выполняется анализ и оценка
рисков информационной безопасности, определяются варианты обработки
рисков информационной безопасности для наиболее критичных информационных
активов и бизнес-процессов организации; определяются или уточняются
политики СМИБ; производится выбор целей информационной безопасности и
обоснование необходимых защитных мер; принимается решение о построении и
эксплуатации (совершенствовании) СМИБ.
На втором этапе реализуется план создания СМИБ: производятся управление
необходимыми работами и ресурсами; реализация программ по обучению и
осведомленности персонала в части информационной безопасности;
обнаружение и реагирование на инциденты безопасности; обеспечение
непрерывности бизнеса и восстановления после прерываний (обеспечение
непрерывности бизнеса должно производиться с учетом требований раздела
14 международного стандарта ISO/IEC IS 17799).
На третьем этапе осуществляются мониторинг и контроль защитных мер,
включая регистрацию действий и событий, связанных со СМИБ; анализ
эффективности СМИБ; внутренний аудит СМИБ; анализ СМИБ со стороны
высшего руководства; проведение периодического внешнего аудита СМИБ.
На этапе совершенствования системы производятся реализация
стратегических и тактических улучшений в СМИБ (при этом стратегические
улучшение требуют соответствующих решений на уровне руководства
организации); информирование обо всех изменениях и их согласование с
заинтересованными сторонами (с клиентами, партнерами организации);
оценка достижения поставленных целей и потребностей в дальнейшем
развитии СМИБ.
***
Использование платформы ARIS при создании системы информационной
безопасности
В качестве инструментального средства поддержки проектов по созданию
СМИБ и повышению уровня зрелости процессов менедже-мента информационной
безопасности может использоваться программный продукт ARIS Process Risk
Scout6, входящий в состав блока контроллинга платформы ARIS и
предназначенный для разработки, внедрения и поддержания в рабочем
состоянии системы управления операционными рисками (СУОР).
Process Risk Scout включает два основных компонента.
Risk Assistant представляет собой развернутое описание технологий,
методик, этапов построения СУОР и используется на этапе создания
системы.
Risk Portal - портал операционных рисков компании, используемый на этапе
контроля рисков в качестве основного инструментального средства СУОР.
Портал рисков дает возможность посмотреть на риски организации с четырех
различных точек зрения: процессов (какие риски связаны с процессами
организации); категорий рисков, созданных в ходе их классификации;
ответственных за риски; индикаторов рисков, используемых при их
контроллинге.
Построению СУОР с использованием ARIS Process Risk Scout должны
предшествовать описание процессов и классификация операционных рисков
банка с использованием методологии и инструментария ARIS, например
программного продукта ARIS
Business Architect. По окончании описания производится взаимная
верификация моделей процессов и дерева рисков, в ходе которой, с одной
стороны, риски из дерева позиционируются на моделях процессов, а с
другой - новые операционные риски, выявленные в ходе анализа процессов,
размещаются на дереве рисков. В результате получают: модели процессов с
рисками, связанными с функциями; скорректированное дерево рисков; модели
описания рисков, а также заполненные атрибуты рисков (объемы убытков и
частоты возникновения), как текущие, так и целевые (уменьшенные в
результате проведения необходимых корректирующих мероприятий). Атрибуты
рисков заполняются по информации, полученной в ходе изучения нормативной
документации банка и проведения интервью с ключевыми сотрудниками.
Вся собранная таким образом информация далее используется для генерации
портала рисков с использованием ARIS Process Risk Scout. Дальнейшее
использование портала дает возможность получать актуальную информацию о
состоянии операционных рисков, в том числе в графической форме.
Таким образом, использование стандарта Банка России СТО БР
ИББС-1.0-2006, процессного подхода и инструментария ARIS может служить
основой для создания в банке эффективной системы менеджмента
информационной безопасности.
***
Платформа ARIS представляет собой единый методологический и
инструментальный комплекс, применяемый в течение всего жизненного цикла
систем управления. Разработчик платформы - компания IDS Scheer AG -
является признанным мировым лидером в области разработки
инструментальных средств для описания, анализа, совершенствования и
управления бизнес-процессами. Платформа ARIS объединяет более 20
программных продуктов, относящихся, в соответствии со своим
предназначением и областью использования, к одной из четырех платформ:
стратегической, разработки, внедрения и контроллинга.
***
Стандарт "Цели контроля при использовании информационных технологий" (Control
Objectives for Information and Related Technology - CobiT) посвящен
вопросам аудита соответствия используемых информационных технологий
существующим бизнес-процессам и является основой для создания общих
правил надежности и механизма контроля эффективности использования
информационных систем. Использование CobiT позволяет использовать лучшую
практику в области управления ИТ, определять зрелость ИТ-процессов и
быть уверенным в существовании адекватного уровня надежности и контроля
при использовании информационных технологий. Аля аудиторов в области ИТ
CobiT является основой для формирования мнения об эффективности
внутреннего контроля. CobiT создается ISACF (Фонд аудита и контроля
информационных систем), но продвигается и поддерживается ассоциацией
ISACA (Ассоциация аудита и контроля информационных систем).
***
1 BS ISO/1EC 17799:2000 BS 7799-1:2000. Информационные технологии -
практические правила управления информационной безопасностью.
2 Там же.
3 BS ISO/IEC 17799:2000 BS 7799-1:2000. Информационные технологии -
практические правила управления информационной безопасностью.
4 Стандарт Банка России СТО БР ИББО-1.0-2006. "Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации. Общие положения". М., 2006.
5 А. Доля. Стандарт, ориентированный на консолидацию // Директор ИС,
2006.
6 http://www.ids-scheer.com/en/Software/ARIS_Software/ARIS_Process_Risk_Scout/3753.html
[Электронный ресурс].
Контактная информация:
koptelovak@yandex.ru
