Управление информационными рисками в кредитных организациях: нормативные требования и опыт проверок на современном этапе

Особенности отечественного законодательства и нормативной базы

Исторически вопросами информационной безопасности отечественные банкиры начали серьезно интересоваться в середине 90-х годов, когда стало понятно, что без систематического внимания к этим проблемам невозможно дальнейшее развитие и укрепление отечественной банковской системы. К этому времени в крупных кредитных организациях появляются специалисты и подразделения, занимающиеся вопросами ИБ. Банк России при проведении проверок коммерческих банков начал все более активно и углубленно включать в проверки вопросы защиты информации. Крупные аудиторские фирмы при проведении ежегодного аудита российских банков также стали серьезно интересоваться вопросами ИБ, создавать у себя соответствующие структурные подразделения.

Постепенно увеличивалась глубина рассматриваемых проблем, начали применяться отечественные и международные требования и стандарты по защите информации. Однако при более детальном рассмотрении сути вопросов применительно именно к банковской тематике стали все более четко вырисовываться недостатки требований и стандартов, а также имеющейся законодательной базы.

Базовым документом для службы ИБ любого российского предприятия, в том числе кредитной организации, является Федеральный закон «Об информации, информатизации и защите информации» [4], который.

• · определяет принципы защиты конфиденциальной информации банка, права и обязанности банка в сфере обеспечения безопасности информационных процессов при применении информационных систем, технологий и средств их обеспечения (ст. 1);
• · служит принципиальной основой для разработки законодательных норм, иных нормативных, в том числе локальных, актов банка, регулирующих отношения, связанные с созданием, использованием и защитой информации (ст. 3);
• · вводит понятие конфиденциальной информации, разновидностью которой является банковская тайна, и устанавливает основания для правомерного ограничения доступа к ее составляющим от посторонних (ст. 2);
• · устанавливает в качестве основания защиты документированной информации возможность нанесения ущерба ее собственнику (банку) в случае неправомерного обращения с нею (п. 1 ст. 21);
• · предоставляет собственнику информационных ресурсов право осуществлять контроль за выполнением требований по защите информации (п. 5 ст. 21);
• · возлагает на собственника конфиденциальной информации обязанность обеспечивать уровень защиты информации в соответствии с законодательством Российской Федерации (п. 2 ст. 22).

Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [1], с одной стороны, применим в информационной безопасности с точки зрения обеспечения защиты интеллектуальной собственности, а с другой стороны, создает основу для защиты от обвинений в использовании пиратских программ.

Соблюдение требований Федерального закона «Об электронной цифровой подписи» [5] придает электронным документам юридически значимый статус, эквивалентный документам на бумажных носителях с соответствующими подписями и печатями. Вместе с тем, по мнению специалистов, практика применения данного закона не только не облегчила использования в банковской деятельности этого средства защиты информации, а наоборот — создала значительное количество проблем См., напр.: Левашов М. В. Об использовании электронной цифровой подписи в банке // Расчеты и операционная работа в коммерческом банке, 2002, № 3, с. 49−55; Шамраев А. Б. Электронная (цифровая) подпись и режим ее использования // Расчеты и операционная работа в коммерческом банке, 2002, № 10, с. 57−65; 2002, № 11, с. 89−95; 2002, № 12, с. 84−92. В частности, особенно сложная ситуация сложилась вокруг использования криптографических средств защиты информации Мартынова Т. IT-защита в банках в обход закона // Банковское обозрение, 2004, № 10, с. 36−38.

Содержащиеся в Руководящих документах Гостехкомиссии при Президенте РФ ведомственные (государственные) требования по защите информации определяют конкретные мероприятия по противодействию большому количеству угроз. При этом, большинство документов Гостехкомиссии РФ в области защиты информации датируются 1992 годом и относятся к ИТ на базе уже устаревших аппаратных средств. Кроме того, документы отражают «военную» точку зрения на проблемы ИБ, в соответствии с которой основные усилия направлены на обеспечение конфиденциальности (защищенности от НСД) информации, являющейся государственной или военной тайной. Другим аспектам — сохранению целостности и доступности — уделено гораздо меньше внимания. Таким образом, рассматриваемые в документах угрозы далеко не исчерпывают весь перечень угроз, которым подвержены банковская информация и банковские информационные технологии.

Требования к безопасности автоматизированных систем в указанных материалах сформулированы по подсистемам, при этом устанавливается 9 классов защищенности от НСД к информации. Каждый класс характеризуется некоторой минимальной совокупностью требований к защите. Классы подразделяются на три группы в зависимости от специфики обработки информации, в пределах каждой группы соблюдается иерархия требований к защите. Представление об этих требованиях дает таблица из документа «Классификация автоматизированных систем и требования по защите информации» [11].

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» [13] представляет определенный интерес в качестве основы построения кредитной организацией собственных документов, определяющих режим ИБ, в частности, при разработке модели нарушителя (раздел 4 Концепции), описании способов организации НСД (раздел 5), проектировании основных направлений защиты от НСД (раздел 6).

Очевидно, что разработанная в начале 90-х годов нормативная база в области ИБ уже не в полной мере соответствует уровню развития ИТ и не обеспечивает адекватной защиты информационных ресурсов. В связи с этим были предприняты шаги в направлении совершенствования нормативной базы на основе развития отечественной науки и использования опыта передовых мировых держав, в частности, принятых в настоящее время в Европе «Общих критериев». В международном стандарте ISO 15 408 «Общие критерии оценки безопасности информационных технологий» ISO 15 408. The Common Criteria for Information Technology Security Evaluation. обобщен опыт использования «Оранжевой книги» (Европейских критериев ITSEC) и подробно рассмотрены общие подходы, методы и функции обеспечения защиты корпоративной информации. На сегодняшний день ISO 15 408 является одним из наиболее распространенных стандартов в области безопасности ИТ. В его создании принимали участие организации из США, Канады, Англии, Франции, Германии, Голландии.

В рамках работы по гармонизации российских и международных стандартов в области ИБ по инициативе Гостехкомиссии РФ на основе адаптации ISO 15 408 в 2002 году был предложен и введен в действие с 01.01.2004 российский ГОСТ Р ИСО/МЭК 15 408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который можно применять в качестве альтернативы действующим Руководящим документам Гостехкомиссии РФ при обеспечении ИБ в КИС, не содержащих сведения, относящиеся к государственной тайне. Требования по ИБ хорошо структурированы и сформулированы для большого числа классов информационных систем. Стандартом можно пользоваться как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.

Документ состоит из следующих основных частей:

Часть 1. «Введение и общая модель» [6]. Определяются общая концепция формирования требований безопасности продуктов и систем ИТ, принципы и цели оценки уровня безопасности, основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности. Требования безопасности системы определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения системы и условий среды ее использования (угроз, предположений, политики безопасности).

Часть 2. «Функциональные требования безопасности» [7]. Приведены требования к функциям безопасности и систематизированный каталог показателей для оценки ИБ с возможностью их детализации и расширения по определенным правилам.

Часть 3. «Требования доверия к безопасности» [8]. Перечислены требования к гарантиям безопасности, определяющие меры, которые должны быть предприняты на всех этапах жизненного цикла системы ИТ. Устанавливаются критерии оценки, определяющие шкалу требований, которые позволяют сделать заключение об уровне доверия к безопасности системы.

Перечислим основные особенности ISO 15 408 по сравнению с другими стандартами в области ИБ:

• · стандарт позволяет определить полный перечень требований к средствам безопасности, а также критерии их оценки (показатели защищенности информации);
• · стандарт определяет полный перечень объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и оценки системы ИБ;
• · стандарт позволяет оценить полноту системы информационной безопасности с технической точки зрения, не рассматривая при этом комплекс организационных мер по обеспечению защиты информации;
• · стандарт формулирует критерии оценки и не содержит методики ее проведения.

Отметим, что принятие и ввод в действие в России международного стандарта ISO 15 408 «Общие критерии» — безусловно, нужный шаг. Вместе с тем, по мнению специалистов, на апробацию и практическое внедрение стандарта уйдет несколько лет. В целом же в России сегодня мало известны документы класса «Good practice» «Good practice» (англ.) — хорошая практика. — многочисленные зарубежные стандарты и рекомендации, в частности, ISO 17 799 (BS 7799), BSI, которые отвечают на вопрос, как обеспечить режим ИБ организации на практике.

Кроме того, действующие стандарты не содержат четких и ясных рекомендаций по разработке политики безопасности и инструментов оценки эффективности работы собственных подразделений ИБ кредитных организаций.

Существующая сегодня в России нормативная база, которой руководствуются банки, к сожалению, не адаптирована к особенностям кредитно-финансовой сферы, к тем угрозам, которые в ней присутствуют. Фактически она охватывает только технические стороны вопроса защиты информации. Что же касается управления, аудита и оценки информационной безопасности, то эти аспекты в документах не рассматриваются. Более того, развивается нормативная база в том же направлении — в русле совершенствования и усиления требований по технической защите информации и не учитывает реальные модели нарушителя и модели угроз, которые свойственны для кредитно-финансовой сферы.

Таким образом, действующие документы не содержат требований и понятных инструментов эффективного построения кредитными организациями систем информационной безопасности, соответствующих реалиям сегодняшнего дня, отраженным в ряде международных стандартов в области безопасности ИТ.