2013. Т. 17, № 7 (60). С. 55–60 http://journal.ugatu.ac.ru
УДК 336.7:004.43
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОЙ СИСТЕМЕ
Р. Х. М АРДАНОВ , И. В. И ЛЬИН bank@ufa.cbr.ru Национальный банк Республики Башкортостан Центрального банка РФ Поступила в редакцию 10.09.2013
Аннотация. Рассматривается применение стандартов информационной безопасности в банковской
системе. Приведен обзор комплекса документов по стандартизации информационной безопасности Банка России. Кратко описаны подходы для построения эффективной системы информационной безо- пасности и изложены принципы оценки и самооценки соответствия информационной безопасности требованиям стандартов. В качестве примера практического применения стандартов информационной безопасности рассматриваются нормативные документы Банка России по регулированию вопросов обеспечения защиты информации в национальной платежной системе. Ключевые слова: Банк России; информационная безопасность; стандарты; ABISS.
На современном этапе развития информаци- «Руководство по самооценке информа-
онных технологий становится очевидным, что ционной безопасности организаций банковской для создания надежных и эффективно рабо- системы Российской Федерации требованиям тающих банковских продуктов существует не- стандарта СТО БР ИББС-1.0» РС БР ИББС-2.1- обходимость в обеспечении высокого уровня их 2007; информационной безопасности. Для этого «Аудит информационной безопасности» должны быть точно оценены риски, внедрены СТО БР ИББС-1.1-2007; необходимые системы защиты. Расширение «Методические рекомендации по доку- спектра и рост объемов банковских услуг тре- ментации в области обеспечения информацион- бует наличие единых подходов, единой терми- ной безопасности в соответствии с требованиям нологии и единых критериев оценки состояния стандарта СТО БР ИББС-1.0» РС БР ИББС-2.0- информационной безопасности банков на уров- 2007; не национальных стандартов – только в этих «Методика оценки рисков информаци- условиях возможно обеспечить необходимый онной безопасности» РС БР ИББС-2.2-2009; уровень устойчивости банковской системы. «Требования по обеспечению безопас- В мировой практике такие стандарты суще- ности персональных данных в информационных ствуют (COBIT, BS 7799 ISO 17799) и успешно системах персональных данных организаций используются, в том числе, и в банковском сек- банковской системы Российской Федерации» торе. РС БР ИББС-2.3-2010; В России существует отраслевой комплекс «Отраслевая частная модель угроз безо- стандартов банка России под общим названием пасности персональных данных при их обработ- «Обеспечение информационной безопасности ке в информационных системах персональных организаций банковской системы Российской данных организаций банковской системы Рос- Федерации», состоящий из 8 документов, а сийской Федерации» РС БР ИББС-2.4-2010. именно: Базовым документом является стандарт «Общие положения» СТО БР ИББС Банка России «Обеспечение информационной 1.0 – 2010; безопасности организаций банковской системы «Методика оценки соответствия ин- Российской Федерации. Общие положения» формационной безопасности организаций бан- СТО БР ИББС 1.0 – 2010, где последовательно ковской системы Российской Федерации требо- реализованы требования международных стан- ваниям стандарта СТО БР ИББС-1.0-20ХХ» дартов в области информационной безопасно- СТО БР ИББС-1.2-2010; сти с учетом условий современной банковской системы России. 56 Э К О Н О М И Ч Е С К А Я Б Е З О П А С Н О С Т Ь : К О Н Ц Е П Ц И Я , С Т АН Д АР Т Ы
Указанный стандарт содержит наиболее Модель зрелости процессов управления ин-
важные рекомендации по организации менедж- формационной безопасностью организации в мента информационной безопасности. настоящем стандарте основывается на модели Логика стандарта заключается в описании зрелости, определенной стандартом COBIT, ко- следующих этапов создания системы обеспече- торая определяет шесть уровней зрелости орга- ния информационной безопасности организа- низации – с нулевого по пятый. ции. Нулевой уровень характеризует полное от- 1. Формирование целей информационной сутствие каких-либо процессов управления ин- безопасности – в данном контексте на основе формационной безопасностью в рамках дея- исходной концептуальной модели (парадигмы), тельности организации. Организация не осозна- принципов информационной безопасности опи- ет существования проблем информационной сывается политика информационной безопасно- безопасности. сти в виде набора требований для областей дея- Первый уровень («начальный») характери- тельности организации (назначение и распреде- зует наличие документально зафиксированных ление ролей, обеспечение доверия персоналу; свидетельств осознания организацией сущест- обеспечение ИБ на стадиях жизненного цикла вования проблем обеспечения информационной АБС; защита от НСД; антивирусная защита; ис- безопасности. Однако используемые процессы пользование ресурсов Интернета; использова- управления информационной безопасностью ние СКЗИ; защита технологических процессов нестандартизованы, применяются эпизодически и др.). и бессистемно. Общий подход к управлению 2. Реализация целей информационной безо- информационной безопасностью не выработан. пасности – включает разделы стандарта, в кото- Второй уровень («повторяемый») характе- рых приводятся требования к управлению ин- ризует проработанность процессов управления формационной безопасностью, среди которых информационной безопасностью до уровня, ко- требования к организации и функционирова- гда их выполнение обеспечивается различными нию службы ИБ, оценке и обработке рисков ИБ, людьми, решающими одну и ту же задачу. Од- обучению и повышению осведомленности пер- нако отсутствуют регулярное обучение и трени- сонала, обнаружению и реагированию на инци- ровки по стандартным процедурам, а ответст- денты ИБ, обеспечению непрерывности бизнеса венность возложена на исполнителя. Руково- и др. дство организации в значительной степени по- 3. Контроль достижения целей информаци- лагается на знания исполнителей, что влечет за онной безопасности – включает разделы стан- собой высокую вероятность возможных оши- дарта, в которых приводятся требования по ор- бок. ганизации аудита информационной безопасно- Третий уровень («определенный») характе- сти, проведению самооценки информационной ризует то, что процессы стандартизованы, до- безопасности, анализу функционирования сис- кументированы и доведены до персонала по- темы обеспечения информационной безопасно- средством обучения. Однако порядок использо- сти, принятию решений по тактическим и стра- вания данных процессов оставлен на усмотре- тегическим улучшениям системы обеспечения ние самого персонала. Это определяет ИБ. вероятность отклонений от стандартных проце- Стандарт рассматривает менеджмент ин- дур, которые могут быть не выявлены. Приме- формационной безопасности как часть общего няемые процедуры не оптимальны и недоста- корпоративного менеджмента организации. Ме- точно современны, но являются отражением неджмент ИБ должен быть ориентирован на со- практики, используемой в организации. действие достижению целей деятельности орга- Четвертый уровень («управляемый») харак- низации через обеспечение защищенности ее теризует то, что обеспечиваются мониторинг и информационной сферы. оценка соответствия используемых в организа- Для реализации и поддержания ИБ в орга- ции процессов. При выявлении низкой эффек- низации реализуются группы процессов в виде тивности реализуемых процессов управления циклической модели Деминга: «.. – планирова- информационной безопасностью обеспечивает- ние – реализация – проверка – совершенствова- ся их оптимизация. Процессы управления ин- ние – планирование – ..», которая является ос- формационной безопасностью находятся в ста- новой модели менеджмента стандартов качества дии непрерывного совершенствования и осно- ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001-2005. вываются на хорошей практике. Средства авто- Р. Х. Мар да но в, И. В. И ль и н ● СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ … 57
матизации управления информационной безо- документации по обеспечению ИБ и объектив-
пасностью используются частично и в ограни- ных фактов, свидетельствующих о частичном, ченном объеме. полном выполнении или невыполнении уста- Пятый уровень («оптимизированный») ха- новленных требований ИБ. рактеризует разработанность процессов управ- Наряду с аудитом в процессах контроля ления информационной безопасностью до уров- важную роль играет процесс самооценки соот- ня лучшей практики, основанной на результатах ветствия информационной безопасности. Само- непрерывного совершенствования и сравнения оценка – это регулярный процесс, позволяющий уровня зрелости относительно других организа- количественно оценить состояние уровня ИБ ций. Защитные меры в организации использу- организации. В соответствии с «Методикой са- ются комплексно, обеспечивая основу совер- мооценки» уровень информационной безопасно- шенствования процессов управления информа- сти организации складывается из следующих ционной безопасностью. Организация способна компонентов: к быстрой адаптации при изменениях в окруже- текущий уровень ИБ организации; нии и бизнесе. менеджмент ИБ организации; Процессы оценки степени соответствия ин- уровень осознания ИБ организации. формационной безопасности модели зрелости Оценка текущего уровня ИБ организации также стандартизированы. К этим стандартам определяется с помощью групповых и частных относятся «Методика оценки соответствия ин- показателей ИБ, позволяющих оценить степень формационной безопасности организаций бан- выполнения требований ИБ СТО БР ИББС 1.0 в ковской системы Российской Федерации требо- части реализованных мер защиты. ваниям стандарта СТО БР ИББС-1.0-20ХХ», Оценка менеджмента ИБ организации опре- «Руководство по самооценке информационной деляется с помощью групповых и частных пока- безопасности организаций банковской системы зателей ИБ, позволяющих оценить степень вы- Российской Федерации требованиям стандарта полнения требований ИБ СТО БР ИББС 1.0 в СТО БР ИББС-1.0» и «Аудит информационной части управления процессами ИБ. безопасности». Оценка уровня осознания ИБ организации Аудит ИБ организаций банковской системы определяется с помощью групповых и частных позиционируется Банком России как один из показателей ИБ, позволяющих оценить степень важнейших процессов в управлении ИБ органи- выполнения требований ИБ СТО БР ИББС1.0 в зации. Основными целями аудита являются: части деятельности руководства организации по повышение доверия к организациям бан- поддержке системы обеспечения ИБ. ковской системы; При вычислении значения оценки каждого оценка соответствия ИБ организаций бан- уровня используются таблицы, которые запол- ковской системы критериям аудита, установ- няются на основе результатов экспертного ана- ленным основным стандартом СТО БР лиза нормативно-распорядительных документов ИББС-1.0. организации, имеющих отношение к общим В ходе деятельности организации, разви- принципам безопасного функционирования и вающегося бизнеса в условиях изменяющейся специальным принципам обеспечения ИБ, оп- внешней и внутренней среды, важно гибко росов сотрудников организации и наблюдения адаптировать выстроенную систему ИБ к изме- за выполнением процедур ИБ. нениям этих условий. Для этого необходимо Вычисленные значения групповых показа- осознанно и целенаправленно строить прогноз телей по направлениям оценки отображаются изменения среды, своевременно выполнять ана- круговой диаграммой, разбитой на 32 сектора. лиз и вести мониторинг выстроенной системы Для оценивания текущего уровня организации безопасности, а также оперативно вносить в нее отведены с 1 по 8 сектор, отображениям оценки корректировки. Поскольку изменения среды, процессов менеджмента ИБ отводится с 9 по 27 особенно внутренней, носят непрерывный ха- сектор. Сектора с 28 по 32 используются для рактер, данную работу требуется выполнять на оценки уровня осознания ИБ. За единицу рас- постоянной основе с использованием объектив- сматриваемой оценки принято внешнее кольцо но полученной информации, каковой и должна диаграммы. Радиальный отрезок от центра до выступать, в том числе и информация, получен- внешнего кольца разбит на шесть диапазонов: ная в ходе проведения аудита. Аудит должен [0–0.25] – нулевой уровень ИБ, строиться на основе анализа существующей ]0.25–0.5] – первый уровень ИБ, 58 Э К О Н О М И Ч Е С К А Я Б Е З О П А С Н О С Т Ь : К О Н Ц Е П Ц И Я , С Т АН Д АР Т Ы
]0.5–0.7] – второй уровень ИБ, формационных системах персональных данных
]0.7–0.85] – третий уровень ИБ, организаций банковской системы Российской ]0.85 – 0.95] – четвертый уровень ИБ, Федерации». ]0.95 – 1] – пятый уровень ИБ. Применение Стандарта Банка России в ор- Методическими рекомендациями по доку- ганизациях банковской системы в настоящее ментации в области обеспечения информацион- время приобретает особую актуальность в свя- ной безопасности в соответствии с требования- зи с вводом в действие Федерального закона от ми стандарта СТО БР ИББС-1.0 устанавливают- 27 июня 2011 года № 161-ФЗ «О национальной ся требования к составу и структуре докумен- платежной системе». тов, регламентирующих процессы ИБ Обеспечение информационной безопасно- организации. Определяются принципы менедж- сти играет ключевую роль в сфере минимизации мента документации и приводятся примеры операционных рисков и обеспечения беспере- структуры и содержания корпоративных поли- бойности функционирования платежной систе- тик информационной безопасности. мы. Система безопасности должна обеспечивать Одним из подходов к построению эффек- достаточный уровень защиты от возможных тивной системы обеспечения информационной внутренних и внешних угроз, которым могут безопасности, изложенным в Стандарте Банка подвергнуться платежные системы. России, является принцип определения защи- С принятием закона «О национальной пла- щенности по величине остаточных рисков. В тежной системе» законодательное регулирова- реальности риски не всегда можно исключить ние сферы функционирования платежных сис- полностью, а можно понизить лишь до опреде- тем, обеспечения бесперебойности их функцио- ленного уровня. Остаточная часть риска должна нирования и, в том числе информационной быть признана приемлемой и принята, либо от- безопасности выходит на принципиально новый клонена. В последнем случае от риска следует уровень. уклониться (изменить деятельность), либо пере- Закон о НПС дает четкое представление о вести на другой объект (например, застрахо- структуре национальной платежной системы, ее вать). субъектах (операторах). В соответствии с зако- Процесс оценки рисков описан в документе ном под национальной платежной системой по- «Рекомендации в области стандартизации Банка нимается совокупность: России. Обеспечение информационной безо- операторов по переводу денежных пасности организаций банковской системы Рос- средств (включая операторов электронных де- сийской Федерации. Методика оценки рисков нежных средств); нарушения информационной безопасности». банковских платежных агентов (суб- Суть процесса заключается в определении и агентов); классификации информационных активов, вы- платежных агентов; явлении объектов среды, составляющих инфор- организаций федеральной почтовой свя- мационные активы, определении степени воз- зи при оказании ими платежных услуг в соот- можности реализации угроз и определении сте- ветствии с законодательством Российской Фе- пени тяжести последствий от реализации угроз дерации; для каждого актива. Далее, на основе качест- операторов платежных систем, операто- венного сопоставления возможности реализа- ров услуг платежной инфраструктуры. ции и возможной тяжести последствий от реа- Учитывая, что национальная платежная сис- лизации угроз определяются значения допусти- тема представляет собой совокупность различ- мого и недопустимого риска для каждого ин- ных организаций, безопасность ее функциони- формационного актива. рования должна обеспечиваться путем налажи- Организации защиты информации в соот- вания наиболее эффективных инструментов и ветствии с Федеральным законом от 27.07.2006 методов взаимодействия данных организаций. № 152-ФЗ «О персональных данных» посвяще- Указанным законом расширены полномочия ны «Требования по обеспечению безопасности и ответственность Банка России в сфере НПС персональных данных в информационных сис- посредством определения новой цели деятель- темах персональных данных организаций бан- ности Банка России – обеспечение стабильности ковской системы Российской Федерации» и и развитие национальной платежной системы. «Отраслевая частная модель угроз безопасности При этом стабильность национальной платеж- персональных данных при их обработке в ин- ной системы определяется бесперебойностью ее Р. Х. Мар да но в, И. В. И ль и н ● СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ … 59
функционирования, важным компонентом кото- – доведения информации об обеспечении
рой является обеспечение информационной защиты информации; безопасности. – совершенствования защиты информации. В целях реализации требований 161-ФЗ Положение предусматривает проведение Банком России выпущено Положение «О требо- периодической оценки выполнения требований ваниях к обеспечению защиты информации при информационной безопасности при осуществ- осуществлении переводов денежных средств и о лении переводов денежных средств оператора- порядке осуществления Банком России контро- ми платежных систем, операторами по переводу ля за соблюдением требований к обеспечению денежных средств, операторами услуг платеж- защиты информации при осуществлении пере- ной инфраструктуры и устанавливает формы водов денежных средств» от 09 июня 2012 года контроля со стороны Банка России № 382-П. Положение устанавливает требования, Также Банк России Указанием №2831-У от в соответствии с которыми операторы по пере- 09.06.2012 г. устанавливает формы отчетности воду денежных средств, банковские платежные по обеспечению защиты информации при осу- агенты (субагенты), операторы платежных сис- ществлении переводов денежных средств, в том тем, операторы услуг платежной инфраструкту- числе отчетность по выявлению инцидентов, ры обеспечивают защиту информации при осу- связанных с нарушений требований к обеспече- ществлении переводов денежных средств, а нию защиты информации при осуществлении также устанавливает порядок осуществления перевода денежных средств. Банком России контроля за соблюдением требо- Указанием предусмотрено две формы от- ваний к обеспечению защиты информации при четности, направляемые в Банк России, а также осуществлении переводов денежных средств в приведены методики составления отчетности, рамках осуществляемого Банком России надзо- позволяющие формировать количественную ра в национальной платежной системе. оценку показателей выполнения требований к Требования по защите информации, изло- обеспечению защиты информации при осуще- женные в 382-П, базируются на требованиях ствлении переводов денежных средств. Стандарта Банка России СТО БР ИББС 1.0-2010 В заключение следует отметить, что в на- и устанавливаются в части: стоящее время стандарты информационной – назначения и распределения функцио- безопасности Банка России широко использу- нальных прав; ются в кредитных организациях, существует – жизненного цикла – создания, эксплуата- сообщество пользователей стандартов инфор- ции, модернизации, снятия с эксплуатации объ- мационной безопасности ABISS, целью которо- ектов информационной инфраструктуры; го является продвижение стандартов в органи- – осуществления доступа к объектам ин- зациях – участниках национальной платежной формационной инфраструктуры; системы Российской Федерации. – защиты информации от воздействия вре- Начиная с 2009 года в Республике Башкор- доносного кода; тостан на базе санатория «Юбилейный» еже- – использования информационно-телеком- годно проводится межбанковская конференция муникационной сети Интернет; «Информационная безопасность банков», орга- – использования средств криптографиче- низованная Ассоциацией российских банков ской защиты информации; совместно с Сообществом пользователей стан- – использования технологических мер за- дартов Банка России (ABISS) при официальной щиты информации; поддержке Банка России. В конференции тра- – организации и функционирования службы диционно принимают участие руководители информационной безопасности; банков и кредитных организаций, специалисты – повышения осведомленности работников в в области информационной безопасности, риск- области обеспечения защиты информации; менеджеры, специалисты службы внутреннего – выявления инцидентов и реагирования на контроля, внутренних и внешних аудиторов ин- них; формационных технологий и информационной – определения и реализации порядка обес- безопасности, руководители процессинговых печения защиты информации; центров. В программу конференции неизменно – оценки выполнения требований к обеспе- входит тематическое заседание, посвященное чению защиты информации; вопросам стандартизации информационной безопасности. 60 Э К О Н О М И Ч Е С К А Я Б Е З О П А С Н О С Т Ь : К О Н Ц Е П Ц И Я , С Т АН Д АР Т Ы
ОБ АВТОРАХ Abstract: Article is devoted to application of standards of in-
МАРДАНОВ Рустэм Хабибович, председатель Националь- formation security in a banking system. The review of a ного банка Республики Башкортостан. Дипл. инж.- complex of documents on standardization of information экономист (УАИ, 1986). Канд. экон. наук (Баш. филиала АН security of Bank of Russia is provided. In article approach- СССР, 1992), доцент. es for creation of effective system of information security are briefly described and the principles of an assessment ИЛЬИН Игорь Владимирович, зам. нач. управления безо- and a self-assessment of compliance of information securi- пасности и защиты информации Национального банка ty are stated to requirements of standards. As an example Республики Башкортостан. of practical application of standards of information securi- ty the authors consider normative documents of Bank of METADATA Russia on regulation of questions of ensuring information security in national payment system. This article is intend- Title: Information security standards in the banking system. ed for a wide audience. Authors: R. Kh. Mardanov, I. V. Ilyin Key words: Bank of Russia; information security; standards; Affiliation: The National Bank of the Republic of Bashkorto- ABISS. stan Bank of Russia. About authors: Email: bank@ufa.cbr.ru MARDANOV, Rustem Khabibovich, dipl. of engineer- Language: Russian. economist (UAI, 1986). Cand. of Econ. Sci (Bashkir Branch Source: Vestnik UGATU (Scientific journal of Ufa State Aviation of the Academy of Sciences of the USSR, 1992), docent, Technical University), vol. 17, no. 7 (60), pp. 55-60, 2013. сhairman of the National Bank of the Republic of Bashkor- ISSN 2225-2789 (Online), ISSN 1992-6502 (Print). tostan Bank of Russia, Ufa. ILYIN, Igor Vladimirovich, Deputy Head of the Security and Information Protection of National Bank of the Republic of Bashkortostan Bank of Russia, Ufa.