Нормативы и банковская безопасность

Нормативы и банковская безопасность

Б. И. Скородумов, исполнительный директор
Института банковского дела Ассоциации российских банков,
кандидат технических наук

В мире накоплен довольно большой практический опыт в области защиты информационных технологий, который нашел свое отражение в ряде международных стандартов, активно используемых многими центральными банками ведущих стран, таких как США, Германия и Франция. К этому движению сейчас активно подключается Великобритания, а также практически все экономически развитые страны. Не осталась в стороне и Россия.

В целях координации работ

Для обеспечения на государственном уровне разработки, согласования, подготовки к утверждению и экспертизе документов в области стандартизации по защите информации и обеспечению информационной безопасности (И Б) в кредитно-финансовой сфере Российской Федерации был создан подкомитет № 3 "Защита информации в кредитно-финансовой сфере" Технического комитета № 362 "Защита информации" (ТК 362) (www.tech-com3623.ru).

В проведенном Ассоциацией российских банков (АРБ) осенью 2003 г. опросе, в котором приняли участие до 200 представителей кредитно-финансовой сферы, страховых компаний и компаний-интеграторов, изучалась заинтересованность коммерческих банков в решении проблем ИБ. Полученные данные позволяют говорить о том, что решение проблем в сфере ИБ 69% банков связывают с решением нормативно-правовых вопросов, 82% заинтересованы в учебно-методических разработках по выбору решений для защиты информации, 89% — в необходимости оценки экономической эффективности решений по защите информации. Именно для обеспечения решения этих задач и был создан банковский подкомитет.

В подкомитет № 3 первоначально вошли два департамента ЦБ РФ, АРБ, ассоциация "Россия", Сбербанк, Альфа-банк, Россельхозбанк, ММВБ, НВА, ФСТЭК и ее научный институт — ГНИИ ПТЗИ, ГТК и два разработчика (ООО НПФ "Кристалл" и ООО "Линс-М"), а затем также Институт банковского дела АРБ, банк "Российский кредит", ЗАО КПМГ, банк "Петрокоммерц", банк "Русский стандарт".

Состав подкомитета прежде всего ориентирован на пользователя и открыт для приема новых членов. Для работы в подкомитете активно привлекаются коммерческие банки. Функции секретариата подкомитета выполняет НПФ "Кристалл" (г. Пенза).

Начало положено

В конце 2004 г. был утвержден, а 1 декабря вступил в силу созданный под руководством подкомитета системообразующий стандарт Банка России СТО БР ИББС-1.0-2004 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", созданный в рамках подкомитета № 3 ТК 362.

Это лишь первый из серии стандартов по ИБ, которые предполагается принять в кредитно-финансовой сфере, с опорой на стандарты управления безопасностью и аудитом (ISO 17799, BS 7799, ISO 13335, ISO 9000, COBIT, OCTAVE, 15408-2002 ГОСТ Р ИСО/ МЭК) и на основе лучших мировых практик управления рисками и персоналом. В 2005 г. запланировано разработать еще три стандарта: СТО БР ИББС-0.1 (по терминологии), СТО БР ИББС-2.0 (по нормативному обеспечению ИБ), СТО БР ИББС-4.0 (по аудиту И Б).

До этого в России не существовало соответствующих документов, адаптированных для российской банковской системы. До сих пор в нашей стране действуют выпущенные Гостехкомиссией (ФСТЭК России) документы, носящие технический характер. Они регламентируют вопросы защиты от несанкционированного доступа к информации, блокировки каналов ее утечки, угрозы и прочее. Эти документы предназначены для всех организаций и не учитывают существующую в банковской сфере специфику бизнеса, угроз и нарушителя.

Стандарт, например, становится серьезным подспорьем для контроля выполнения требований положения ЦБ РФ № 242-П от 16.12.2003 "Об организации внутреннего контроля в кредитных организациях и банковских группах".

По мнению председателя подкомитета № 3 А.П. Курило, заместителя начальника Главного управления безопасности и защиты информации Банка России, стандарт СТО БР ИББС-1.0-2004 по-своему уникален. Он впервые создан в нашей стране и является вторым банковским стандартом в мире. Аналогичный стандарт был ранее создан Банком Франции, и в настоящее время подобная работа по созданию национального банковского стандарта ИБ ведется в Германии. На сегодняшний день только в одной стране мира, а именно во Франции, требования к ИБ носят обязательный характер для банковского сообщества. Сейчас об этом очень серьезно думают и в Европейском центральном банке, и в Германии, и в США, и в Англии. У нас работа по составлению национального банковского стандарта ИБ развернется в полном объеме где-то к 2007 году.

Как отметил в ходе заседаний подкомитета № 3 начальник отдела Интернет-банкинга Департамента банковского регулирования и надзора ЦБ РФ Л.В. Лямин, стандарт станет отправной точкой в деле создания рабочих нормативно-методических документов, необходимых для совершенствования работы департамента. Стандарт послужит базой при написании соответствующих нормативно-методических материалов службами внутреннего контроля коммерческих банков.

"Опытная эксплуатация" стандарта

Руководство ЦБ РФ запланировало опытное внедрение стандарта СТО БР ИББС-1.0-2004 в десяти регионах нашей страны. Его введение осу-ществляют региональные управления Банка России в течение 2005 г. в нескольких разнотипных кредитных организациях.

ЗАО "Метробанк" стал первым коммерческим банком в России, который был выбран для опытного внедрения стандарта СТО БР ИББС-1.0-2004. Результаты внедрения будут использованы при дальнейшем усовершенствовании основных положений стандарта, а также при разработке методик аудита и формирования системы аттестации в области ИБ для национальной банковской системы. ЗАО "Метро-банк" планирует принять активное участие в данном проекте, направленном на повышение доверия к национальной банковской системе и стабилизации функционирования кредитных организаций. С момента внедрения специалистами банка проделана огромная работа, в рамках которой была пересмотрена имеющаяся документация банка, разработаны нормативные документы, определены процессы и технологические цепочки, отлажено взаимодействие между структурными подразделениями банка, определен и установлен контроль над информационными рисками, организована система мониторинга и аудита. На сегодняшний день ЗАО "Метробанк" является первым коммерческим банком, в котором завершено опытное внедрение положений стандарта СТО БР ИББС-1.0-2004, а также апробирована "Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации", прилагаемая к первой редакции проекта разрабатываемого по заказу Банка России стандарта СТО БР ИББС-4.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности".

Анализ рисков и специфика коммерческих банков

В настоящее время считается общепринятым, что количественная оценка ИБ посредством оценки информационного риска позволяет оптимизировать издержки защиты информации. В частности, главным нововведением последних документов Базельского комитета по банковскому надзору за кредитными операциями является учет операционных рисков. Базельский комитет рекомендовал органам надзора следующее:

• углублять и развивать количественные оценки компьютерных рисков;
• применять аналитические методы оценки операционных рисков;
• проверяемой организации не снижать осторожности при практической оценке риска в случае использования сертифицированных средств и систем.

Использованию метрики информационного риска при оценке эффективности мер защиты информации способствует стандарт СТО БР И Б БС-1.0-2004, в котором чуть ли не на каждой странице присутствует слово "риск". Следует подчеркнуть, что в ранее принятых документах Гостехко-миссии это понятие вообще отсутствует. Первым отечественным документом об ИБ, в котором появилось понятие "риск", является гармонизированный ГОСТ Р ИСО/МЭК 15408-2002 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Госстандарт России".

При анализе риска ИБ коммерческого банка целесообразно учитывать следующие особенности условий защиты информации, а именно:

• наличие частной собственности;
• повышение экономической эффективности;
• наличие своеобразной модели угроз и нарушителя;
• работа в открытых системах;
• особая необходимость обеспечения юридической силы электронных документов;
• возможность страхования информационных рисков;
• неоднородность коммерческих организаций;
• повышенная важность определения ценности информации;
• динамичность условий защиты информации;
• присутствие открытых (на рынке) средств защиты и т.д.

Поэтому целесообразно в соответствии с положениями ГОСТ Р ИСО/МЭК 15408-2002 создать специальный стандарт (профиль) защиты, который будет учитывать перечисленные особенности коммерческих банков. Требования профиля ИБ коммерческой организации позволят:

• оптимизировать расходы на защиту информации;
• обеспечить качественный аудит автоматизированных банковских систем;
• решить вопросы внутреннего контроля организации.

В подкрепление этого предложения следует отметить, что в настоящее время Европейская ассоциация производителей компьютерной техники ЕСМА разрабатывает специализированный стандарт "Расширенный коммерческий функциональный класс оценки безопасности (E-COFC)".

Другим аналогичным примером может служить известный метод обеспечения ИБ систем CRAMM, в основе которого лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа (http://www.cramm.com). Метод является универсальным и подходит как для больших, так и для малых организаций и правительственного, и коммерческого сектора.