17 августа 2012, 16:17
Количество просмотров 198

Диалектика регулирования информационной безопасности

Анализ текущей ситуации нормативного регулирования информационной безопасности на примере систем дистанционного банковского...
Диалектика регулирования информационной безопасности


Сергей Шустиков, руководитель направения менеджмента Digital Security, CISA, PCI QSA
Анализ текущей ситуации нормативного регулирования информационной безопасности на примере систем дистанционного банковского обслуживания, подготовленный автором статьи по мотивам своего доклада на выставке-конференции InfoSecurity Russia 2010.



Любая область деятельности на пути своего развития от оригинальной идеи до глобальной индустрии однажды переживает момент, когда ее значимость в жизни определенного коллектива переходит невидимую границу. Характерным признаком такого перехода является введение уполномоченными органами неких рамок, в пределах которых, по их мнению, должно продолжаться развитие этой деятельности. Проще говоря – это момент разработки на основе устоявшихся неписаных правил корпоративных, отраслевых, национальных и международных писаных норм. Примерами таких формальных рамок являются корпоративные и отраслевые политики, национальное законодательство, международные стандарты.

В последние годы отрасль корпоративной информационной безопасности переживает именно такой период, характеризующийся появлением значительного количества обязательных и рекомендательных норм. Этот процесс наблюдается как на международном уровне (SOX, PCI DSS), так и на национальном (СТО БР ИББС-1.0, 152-ФЗ). Безусловно, тенденция увеличения числа регуляторов и их требований несет определенные риски для бизнеса с точки зрения непосредственно самого факта соответствия или несоответствия таким нормам, что было отмечено, в том числе, в статье «Compliance как угроза»*.

На примере обеспечения информационной безопасности систем дистанционного банковского обслуживания рассмотрим наиболее актуальные требования регуляторов в области информационной безопасности, а также проанализируем основные проблемы, возникающие при их внедрении.

Теория или Utopia

Возьмем за ориентир общепринятую модель обеспечения информационной безопасности, предлагаемую семейством международных стандартов ISO 2700x. Вспомним, что в ее контексте защиту информационных активов следует рассматривать прежде всего как совокупность процесса управления рисками информационной безопасности, выбирающего и поддерживающего оптимальные меры их обработки, и непосредственно набора процессов выполнения выбранных мер на практике. Итак, мы видим два уровня, одинаково важных для обеспечения информационной безопасности.

Возьмем за ориентир общепринятую модель обеспечения информационной безопасности, предлагаемую семейством международных стандартов ISO 2700x. Вспомним, что в ее контексте защиту информационных активов следует рассматривать прежде всего как совокупность процесса управления рисками информационной безопасности, выбирающего и поддерживающего оптимальные меры их обработки, и непосредственно набора процессов выполнения выбранных мер на практике.

Итак, мы видим два уровня, одинаково важных для обеспечения информационной безопасности. Сначала – верхний уровень, на котором выполняется анализ актуальных рисков, выбор конкретных практических методов их снижения, предусматриваются способы оценки их эффективности и совершенствования. Это то, что называется системой менеджмента информационной безопасности. Затем следует нижний уровень, где на практике функционируют те самые выбранные и внедренные в организации методы снижения рисков – турникеты на входе в здание, антивирусные решения, процедуры разграничения доступа, системы обнаружения вторжений, межсетевые экраны ипр. Это то, что называется системой информационной безопасности или ее текущим уровнем, если говорить терминами стандарта Банка России СТО БР ИББС-1.0.

Так, например, стандарт ISO 27001 описывает циклическую, риск-ориентированную систему менеджмента информационной безопасности. Казалось бы, что еще нужно для того, чтобы, вооружившись идеями минимизации рисков, отправиться на защиту информационных активов организации? Однако авторы стандартов предусмотрели, кроме модели управления, еще и перечень конкретных практических мер защиты – стандарт ISO 27002 – и отметили два важных принципа. Первый из них – перечень таких мер не является исчерпывающим, и в каждом конкретном случае следует разрабатывать и внедрять свои собственные способы защиты, соответствующие выявленным рискам. Второй – любые исключения из приведенного в ISO 27002 перечня должны быть обоснованны.

На первый взгляд, наличие такой «поваренной книги», как стандарт ISO 27002, не имеет никакого смысла, ведь все уязвимые места будут учтены риск-ориентированной системой менеджмента, предусмотренной ISO 27001. Однако если проанализировать ситуацию чуть глубже, станет понятно, что далеко не случайно основой для создания стандартов семейства ISO 2700x стал именно практический опыт британских компаний, кристаллизованный впервые в документе BS 7799, выпущенном в 1995г. Ведь набор базовых мер, с самого начала внедряемых на практике, поможет уберечься от основных угроз, пока система менеджмента информационной безопасности набирает обороты и выходит на заданный уровень эффективности.

Дистанционное банковское обслуживание

Говорить об актуальности такой услуги, как дистанционное банковское обслуживание (ДБО), будет, наверное, излишним. Интернет-банкинг для физических лиц и системы «банк-клиент» для лиц юридических давно вошли в базовые пакеты услуг, предлагаемых коммерческими банками.

Для того чтобы понять, какие требования регуляторов предъявляются к системам дистанционного банковского обслуживания, следует сначала разобраться, какие данные в этих информационных системах обрабатываются.

Исходя из функционального назначения рассматриваемых систем, очевидно, что они обрабатывают платежную информацию и вовлечены в банковский платежный технологический процесс. Это означает, что к ним применимы требования стандарта СТО БР ИББС-1.0. Несмотря на то, что на данный момент этот стандарт носит рекомендательный характер, многие коммерческие банки, работающие в России, делают его обязательным для внутреннего исполнения, выпуская соответствующий внутренний нормативный акт.

Диалектика регулирования информационной безопасности - рис.1

Далее, в соответствии с Положением Банка России от 19.08.2004 №262-П банки обязаны идентифицировать лиц, совершающих платежи, и использовать для этого их паспортные данные. Принимая во внимание то, что система дистанционного банковского обслуживания есть механизм удаленного подписания платежных поручений, мы можем сделать вывод, что в этих системах обрабатываются персональные данные клиентов банка. Следовательно, здесь применимы требования Федерального Закона № 152-ФЗ «О персональных данных». Однако, учитывая изменения в новой версии стандарта СТО БР ИББС-1.0, можно сделать допущение, что требования законодательства о персональных данных инкапсулированы в регулирующие нормы Банка России, и рассматривать их в отрыве друг от друга теперь было бы не совсем корректно. Соответственно, требования Федерального Закона № 152-ФЗ в чистом виде из поля зрения нашего исследования уходят, оставаясь в виде требований стандарта СТО БР ИББС-1.0 и делая его при этом де-факто обязательной нормой.

Кроме того, очень часто системы интернет-банкинга предоставляют клиенту функции по управлению его платежными картами, выпуску виртуальных карт для осуществления расчетов на сайтах электронной коммерции, и прочие. Обработка данных держателей карт автоматически включает такие системы в области применимости требований стандарта PCI DSS. На первый взгляд, казалось бы, при чем тут PCI DSS, когда речь если и идет о карточных данных, то как максимум о данных карт собственных клиентов банка? Это чистая эмиссия – об эквайринговых транзакциях по номерам карт клиентов других банков в данном случае нет и речи. Не стоит, однако, забывать о том, что по правилам международных платежных систем эмиссионная часть платежной инфраструктуры также должна соответствовать стандарту PCI DSS, хотя и не подлежит проверке в ходе внешнего QSAаудита. В принципе, банк может не показывать эмиссионную инфраструктуру аудитору, в которую входят элементы интернет-банкинга, а аудитор, в свою очередь, не будет на нее смотреть, если она находится за рамками согласованной области аудита и надлежащим образом отделена от эквайрингового сегмента.

На практике это часто приводит к тому, что, стремясь достигнуть формального соответствия, сотрудники банков все усилия прикладывают только к эквайринговым системам. В теории же на системы дистанционного банковского обслуживания, в которых циркулируют карточные данные, даже сугубо эмиссионные, распространяются требования PCI DSS.

Помимо перечисленных требований, не будем забывать о том, что механизмы защиты информации, применяемые при удаленном банковском обслуживании, в частности, криптографические, должны иметь сертификаты соответствия требованиям руководящих документов ФСТЭК и ФСБ. Это требование, однако, также включено в стандарт Банка России, что позволяет вынести указанные нормы за скобки нашего исследования, при этом не забывая о них.

В результате мы получили для сравнения два основных регулирующих документа по информационной безопасности, применимые к системам дистанционного банковского обслуживания. Это стандарт Банка России СТО БР ИББС-1.0 и международный стандарт безопасности данных индустрии платежных карт PCI DSS. Принципиальная разница в подходах к защите информации, имеющая место между этими документами, может породить классическую диалектическую триаду: тезис – антитезис – синтез.

Тезис

Стандарт СТО БР ИББС-1.0 предполагает построение комплексной системы защиты информации в банке, не обходит он стороной и системы дистанционного банковского обслуживания, упоминая их в ряде требований. Подход к защите информации, предлагаемый этим документом, является риск-ориентированным, базирующимся на ценности информационных активов. В самом деле, взяв в руки стандарт, мы увидим в нем требования по категорированию информации и выполнению оценки информационных рисков. При этом документ разделяет систему обеспечения безопасности – уровень осознания, уровень управления и текущий уровень.

Уровень осознания – это весьма специфичный элемент, который хорош для аудиторской оценки. Стоит отметить, что он целиком базируется на анализе зрелости системы менеджмента информационной безопасности, и в этом плане является весьма информативным показателем. Непосредственно практических рекомендаций он в себе не несет, так как они все относятся к следующему уровню.

Уровень управления, описанный в разделе 8 стандарта, в общем смысле предполагает построение риск-ориентированной системы менеджмента информационной безопасности. Он содержит ряд практических рекомендаций по этому вопросу и в этом плане не очень существенно отличается от того, что описано в ISO 27001. Также уровень управления включает в себя ряд специфичных требований, касающихся организации подразделения, ответственного за информационную безопасность.

Текущий уровень, описание которого можно найти в разделе 7 изучаемого документа, описывает то, что называется системой информационной безопасности.

То есть содержит набор практических мер обработки рисков и в этом очень похож на стандарт ISO 27002. Однако в отличие от международного стандарта здесь нет явного указания на то, что этот перечень мер не исчерпывающий, и его можно как расширять, так и сужать в зависимости от текущей картины актуальных рисков. Процедура внешнего аудита также предполагает оценку фиксированного набора показателей, что не совсем коррелирует с риск-ориентированной парадигмой, предполагающей динамику количества и качества мер защиты, обеспечивающуюся цикличностью системы менеджмента. Такое противоречие таит в себе опасность того, что банки будут рассматривать приведенный в стандарте СТО БР ИББС-1.0 перечень практических мер текущего уровня как исчерпывающий, а анализ рисков выполнять «для галочки». Стоит также отметить, что практические меры описаны довольно общими словами, из технических деталей есть только жесткое требование наличия системы антивирусной защиты. По глубине погружения в конкретику до уровня практичности PCI DSS тут далеко. Это одновременно и плюс, и минус. Плюс в том, что одни и те же конкретные технические меры не навязываются всем организациям. Минус же в том, что недостаточный уровень детализации низкоуровневых требований в совокупности с невысокой квалификацией отдельных специалистов на местах может сыграть злую шутку – в организациях будут существовать документированные процедуры без их должного практического исполнения в технических системах. В жизни это встречается, к сожалению, довольно часто.

Антитезис

Стандарт PCI DSS, представляющий собой слитые воедино в горниле борьбы с карточным мошенничеством разнородные требования пяти международных платежных систем, предлагает фиксированный набор практических мер по защите данных. Меры настолько подробно описаны, что даже при наличии не самой высокой квалификации в области защиты информации понять и внедрить их большой сложности не представит. В стандарте определены такие низкоуровневые параметры, как минимальная длина пароля, порядок сетевого взаимодействия, период хранения записей регистрации доступа в помещения и прочие.

Диалектика регулирования информационной безопасности - рис.2

Такой принцип является классическим подходом к обеспечению безопасности на основе контрольной карты, наподобие той, что зачитывает пилот перед взлетом или посадкой самолета. То есть это просто перечень параметров, которые надо проверить или установить. Метод хороший, но надо помнить, что для каждого типа воздушного судна такая контрольная карта обычно своя. Кроме того, большинство основных рисков, связанных с воздушным полетом, за добрую сотню лет развития авиации уже идентифицировано, изучено, оценено и обработано. Их природа не меняется, в отличие от информационных технологий, где что ни день – то новый способ нарушения конфиденциальности, целостности и доступности.

Исходя из этих обстоятельств, к разработчикам стандарта PCI DSS в самые первые дни его существования появился ряд вопросов. Эти вопросы не теряют актуальности до сих пор и не потеряют ее, пока регулятор принципиально не изменит подход, пропагандируемый стандартом.

Вопросы очень простые и в конечном итоге сводятся к следующему: почему перечень мер снижения рисков информационной безопасности именно такой и почему для всех организаций он одинаковый? С одной стороны, ответы очевидны. Совет PCI SSC находится не в самой простой политической ситуации, координируя требования к безопасности пяти независимых конкурирующих между собой влиятельных структур – Visa, MasterCard, JCB, American Express и Discovery. Это подтверждается тем, что на любой вопрос, выходящий за рамки базового толкования того или иного требования, сотрудники Совета в кулуарной обстановке дают один и тот же ответ: «За детальными разъяснениями обращайтесь к представителям международных платежных систем». Хорошо, что в этих условиях получилось сделать хотя бы удовлетворяющую все пять структур контрольную карту.

Внятного требования о наличии системы менеджмента информационной безопасности в стандарте, увы, нет. Авторы ограничились словами о том, что нужен документ под названием «Политика информационной безопасности» и еще ряд частных политик. Также требуется наличие методики формальной оценки рисков, выполняемой ежегодно. Зачем нужна методика анализа рисков при наличии жестко определенного перечня из двухсот сорока шести мер безопасности? Тем более отступ от него хоть на шаг в любую сторону карается необходимостью разрабатывать и отдельно согласовывать компенсирующую меру. Что делать с вновь выявленными рисками? Стандарт не поясняет.

Да и не может контрольная карта пояснить то, что находится за ее пределами.

Конечно же, Совет PCI SSC прислушивается к мнению сообщества, и не случайно авторы стандарта включили в версию 2.0 требование о классификации выявляемых уязвимостей приложений по уровню критичности. Но это все же совсем не то, что подразумевает под собой риск-ориентированный подход, которого в PCI DSS просто нет.

В итоге на практике мы часто видим ситуацию, когда все усилия сотрудников организаций, внедряющих PCI DSS, сводятся к стремлению построить соответствие пунктам таблицы, а не обеспечить безопасность. Ход прогресса в проектах по защите карточных данных зачастую измеряется количеством оставшихся невыполненными требований, а не уровнем остаточного риска. Менеджеры этих проектов выходят на финишную прямую со словами: «…двести сорок три, двести сорок четыре, двести сорок пять… И еще одно, последнее усилие… Ура! Мы получили сертификат!» На следующий день ASV-сканер безопасности находит новую уязвимость периметра, карточный домик достигнутой «безопасности» рассыпается, а менеджер воспринимает это событие как личную трагедию. При таком подходе оценить комплексный уровень защищенности организации можно только по одному критерию – количеству выполненных требований стандарта. Объективной оценкой этот параметр назвать сложно, а других регулятором не предусмотрено.

При этом сильной стороной стандарта PCI DSS является наличие в нем требования о тестировании на проникновение. Оно хоть и не устраняет фундаментальных недостатков стандарта, но обеспечивает привязку к реальным угрозам и замечательно отрезвляет многих специалистов, считающих свои системы неуязвимыми по факту выполнения всех требований PCI DSS.

Синтез

Итак, неизбежно встает вопрос: как подойти к построению защиты системы дистанционного банковского обслуживания при наличии двух принципиально разных подходов регуляторов отрасли? Если искать ответ на этот вопрос в выборе между двумя стандартами, то, безусловно, стоит выбрать стандарт СТО БР ИББС-1.0. Его риск-ориентированная система менеджмента рано или поздно позволит построить на практике зрелый эффективный набор процессов защиты, если, конечно, отнестись к ней серьезно.

Однако до этого момента должно пройти не менее трех циклов «планирование – внедрение – анализ – совершенствование», а на это нужно время. Становится понятно, зачем разработчики стандарта ISO 27001 оставили при нем перечень конкретных мер, внедряемых с самого начала ее функционирования, а именно стандарт ISO 27002. У стандарта Банка России такой перечень тоже есть, он описан в разделе 7, посвященном текущему уровню информационной безопасности.

Однако описание практических мер текущего уровня, имеющееся в СТО БР ИББС-1.0, в реальности оказывается слишком общим, чтобы провести корреляцию с их реализацией «в железе». Как раз этого недостатка начисто лишен стандарт PCI DSS.

Для сравнения рассмотрим, что предлагают оба документа в части, касающейся, например, аутентификации пользователей. Требование 7.4.3 стандарта Банка России гласит: «В организации банковской системы РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий». В отсутствие более детальных требований специалисту, ориентированному на достижение соответствия, открывается обширное поле для фантазий на тему аутентификации. Вплоть до того, что требование дословно переносится в какой-либо внутренний нормативный документ, а на практике применяется стандартная Windows-аутентификация с настройками домена по умолчанию, простыми паролями, использующимися в течение бесконечного периода времени.

И здесь было бы полезно обратиться к сугубо практическим рекомендациям стандарта PCI DSS и его недвусмысленным положениям о минимальной длине и стойкости пароля, максимальном сроке его действия, периоде блокировки сессии и двухфакторной аутентификации удаленного доступа. То есть в этом стандарте, в отличие от стандарта Банка России, предусмотрено все то, что может быть внедрено в качестве мер по снижению риска несанкционированного доступа через слабую систему аутентификации. Причем внедрено после идентификации и адекватного анализа этого риска, то есть в результате работы эффективной системы менеджмента информационной безопасности, при условии наличия таковой.

Таким образом, мы получаем ситуацию, когда при внедрении только требований PCI DSS, в отсутствие системы менеджмента, мы не будем иметь реальной картины рисков информационной безопасности. Наоборот, при внедрении только требований СТО БР ИББС-1.0 мы будем вынуждены ждать достижения этой системой уровня зрелости, необходимого для детальной проработки всех рисков. Следовательно, имеет смысл найти метод, сочетающий в себе достоинства обоих подходов и исключающий их врожденные недостатки, проявляющиеся в недостаточно зрелой среде, имеющей место в реальности.

Рекомендации

Для того чтобы обеспечить безопасность систем дистанционного банковского обслуживания на уровне, требуемом текущей реальностью, вспомним модель, о которой говорилось в начале статьи. Стоит внедрить риск-ориентированную систему менеджмента информационной безопасности и при этом предусмотреть некий, не являющийся исчерпывающим, перечень мер, внедряемых с самого начала ее функционирования, исключения из которого могут быть обоснованы лишь отсутствием соответствующего риска.

Тогда напрашивается решение – внедрить стандарт Банка России, раздел 8 которого предусматривает наличие такой системы менеджмента, а в качестве исходного перечня мер защиты использовать его раздел 7, дополненный и детализированный требованиями стандарта PCI DSS. При этом не стоит забывать, что внедряемые изначально меры не являются гарантией защиты от всех будущих угроз, их нельзя признавать исчерпывающими, и поэтому следует регулярно пересматривать их в рамках каждого цикла управления рисками информационной безопасности.

Мысли о будущем

Регулирование информационной безопасности, безусловно, должно исключать ситуации, когда ко всем организациям предъявляются одинаковые требования.

Практика внедрения PCI DSS показала, что требования, пусть даже касающиеся одного предмета – защиты данных о держателях карт, одинаковые для таких разных участников рынка, как банк, магазин, платежный шлюз, оператор мобильной связи, видятся глазами каждого из них совсем по-разному. Даже внутри одной, достаточно узкой области – индустрии платежных карт – появляются разнотолки и нюансы внедрения. Что же тогда говорить о той ситуации, когда возникает норма, обязательная для всех? Чем конкретнее такая норма, тем большей палкой в колеса индустрии она оказывается на практике. Все помнят о том, какой шквал эмоций вызвал появившийся в своем первоначальном виде набор нормативных документов по защите персональных данных.

В этом контексте кажется вполне уместной идея о том, что в коммерческой среде имеет смысл децентрализация регулирования и контроля над обеспечением информационной безопасности, высказанная в свое время в статье «Рынок ИБ. Курс на виртуализацию»**. Создание отраслевых стандартов защиты данных поможет учесть специфику отдельных видов деятельности. Взяв за основу выводы настоящего исследования, можно предположить, что общей для всего рынка может быть максимум декларация приверженности риск-ориентированной модели управления информационной безопасностью, но даже ориентировочный перечень конкретных функциональных мер защиты для каждой отрасли должен быть свой. Своей должна быть и система контроля исполнения требуемых правил.

И стандарт Банка России может оказаться хорошим примером реализации такого отраслевого подхода, поскольку из всего многообразия отечественных нормативов в области информационной безопасности он наиболее близок такой концепции.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube