17 августа 2012, 16:17
Количество просмотров 245

Стандарт ЦБ РФ по обеспечению информационной безопасности

Стандарт ЦБ РФ по обеспечению информационной безопасности

Прошло не так много времени с тех пор, когда российские банки при решении вопросов построения системы информационной безопасности основывались на опыте специалистов своих подразделений информационной безопасности. Зачастую такой подход был слабо систематизирован, и, как следствие, реализованная традиционная система информационной безопасности оказывалась малоэффективной.

Исправить данную ситуацию могло применение международного стандарта ISO 27001, однако при построении российскими банками систем информационной безопасности его внедрение столкнулось с рядом трудностей и ограничений, поскольку ISO 27001 не учитывал российскую отраслевую специфику и больше соответствовал задачам тех кредитных организаций, которые имели выход на международный рынок, а также филиальную сеть и представительства за пределами Российской Федерации.

В связи с этим в 2004г. Банком России с целью повышения уровня информационной безопасности как самого ЦБ РФ, так и коммерческих российских банков, была разработана и введена в действие первая редакция стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В течение 2005–2006гг. в ряде территориальных учреждений Банка России и коммерческих банках проводились работы по опытному внедрению данного стандарта, по итогам которых стандарт был доработан. В результате распоряжением ЦБ РФ от 26.01.2006 №Р-27 была введена в действие вторая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006 (в дальнейшем в рамках данной статьи мы будем называть ее Стандартом). Кроме того, в настоящее время Банком России готовится ввод в действие с 01.04.2009г. новой, третьей версии Стандарта, претерпевшей дополнительные доработки со стороны ЦБ РФ.

По сути, в данном Стандарте объединены основные положения международных стандартов по управлению информационной безопасностью. Так, в части построения системы менеджмента информационной безопасности Стандарт выступает развитием стандарта ISO 27001, а риск-ориентированный подход он унаследовал из стандартов управления операционными рисками в рамках соглашения Basel II, а также ISO 27001. При построении системы управления информационной безопасностью применение данного стандарта отечественными банками, работающими исключительно на территории Российской Федерации, позволит реализовать некий компромисс между реалиями российского рынка и необходимостью более тесной интеграции его участников в международное банковское сообщество. Стандартом определена стратегическая цель обеспечения информационной безопасности российских банков, которая заключается в развертывании, эксплуатации и совершенствовании системы менеджмента информационной безопасности банка (далее – СМИБ), включающей в себя процессы менеджмента ИБ, стимулируемые и управляемые процессами осознания ИБ. Следует отметить, что источниками наибольших рисков в области информационной безопасности, согласно Стандарту, признаны действия сотрудников банков (инсайдеров). Для минимизации рисков утечки данных и обеспечения возможности расследований такого рода инцидентов Стандарт выдвигает ряд требований как организационного, так и технического характера. Однако, учитывая риск-ориентированный подход, используемый в Стандарте, вопрос выбора конкретных мер, методов, а также аппаратных или программных средств обеспечения информационной безопасности остается за собственником конкретной кредитной организации.

В основе положений Стандарта лежат: • Описание общих принципов безопасного функционирования организаций банковской сферы; • Разработка политики информационной безопасности, основанной на принципах обеспечения ИБ, построения моделей угроз и нарушителей ИБ, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересов собственника; • Описание общих (основных) требований по обеспечению информационной безопасности, отображаемых в политиках информационной безопасности, а также требований по документированию; • Реализация процесса функционирования циклической модели СМИБ, основанной на «процессном подходе»; • Порядок и методика проведения аудита, а также оценки и самооценки соответствия информационной безопасности банков требованиям Стандарта.

В настоящее время российский банковский сектор достиг такого уровня своего развития, когда клиентов и партнеров банка волнуют не только количественные, но и качественные показатели кредитной организации, например, способность банка обеспечить безопасность и сохранить конфиденциальность обрабатываемой и доверяемой ему информации.

Как показывает практика, банки в последнее время все чаще выражают недовольство эффективностью существующей системы управления рисками и процессами информационной безопасности и все больше интересуются положениями Стандарта, а также планируют внедрять их на практике либо уже частично внедрили. Реализация основных положений Стандарта предполагает комплексный подход к его внедрению, которое должно начинаться с проведения работ по анализу рисков, включающих в себя построение моделей угроз и нарушителей ИБ, идентификации активов, подлежащих защите, и оценку рисков ИБ с учетом особенностей бизнеса и технологий конкретной кредитной организации. Далее, на основе точного прогноза, базирующегося на анализе и оценке рисков ИБ, необходимо разработать политику информационной безопасности банка и пакет нормативных документов по вопросам ИБ, в соответствии с которым банк в дальнейшем станет реализовать, эксплуатировать и совершенствовать свою СМИБ.

Таким образом, на первоначальном этапе подготовки банка к соответствию требованиям Стандарта могут быть реализованы проведение исследования текущего состояния ИБ, идентификация информационных активов, разработка моделей угроз и нарушителей ИБ, а также проведение работ по анализу и оценке рисков ИБ. На следующем этапе имеет смысл разработать политику информационной безопасности банка, а также пакет нормативных документов (частные политики, регламенты), регламентирующих вопросы информационной безопасности с учетом результатов проведенного анализа рисков, а также процессного подхода к функционированию СМИБ банка.

Как показывает практический опыт, при внедрении положений Стандарта наибольшие сложности у банков возникают именно с методической частью Стандарта. Банки испытывают трудности при разработке пакета документов, рекомендованных Стандартом, отражающих все тонкости и нюансы процессного подхода к управлению безопасностью.

Стандарт рекомендует разработку конкретной структуры документов по обеспечению информационной безопасности. Важно, чтобы положения документов по обеспечению ИБ отвечали следующим требованиям: • Носили не рекомендательный, а обязательный характер; • Были выполнимыми и контролируемыми; • Были адекватны требованиям и условиям ведения деятельности, в том числе в условиях их постоянного изменения; • Не противоречили друг другу. Все это делает услугу по разработке пакета нормативных документов, соответствующих Стандарту, востребованной уже на этапе подготовки банка к соответствию Стандарту.

На заключительном этапе подготовки банка к соответствию Стандарту, согласно разработанной методической базе нормативных документов, будет проводиться внедрение и отладка разработанных процедур СМИБ банка, обучение персонала новым должностным обязанностям в рамках СМИБ, отрабатываться внутренние и внешние взаимодействия, а также осуществляться внедрение необходимых программно-технических средств обеспечения информационной безопасности.

В настоящее время Стандарт носит рекомендательный характер и может применяться только на добровольной основе. Однако, несмотря на это, практика показывает, что эффективное решение вопроса обеспечения информационной безопасности в российских банках без его использования уже практически невозможно.

Компания «Информзащита» с 2006 г. оказывает услуги как по оценке соответствия требованиям Стандарта, так и по подготовке системы обеспечения ИБ к соответствию положениям Стандарта. За это время специалисты компании накопили уникальный опыт работы с российскими банками по обеспечению соответствия их систем информационной безопасности требованиям Стандарта и дальнейшего прохождения аудита согласно рекомендованной методике.

Текст статьи читайте в журнале "ПЛАС" 7 (137) ’2008 сс. 56-60

 

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube