ИТ-БЕЗОПАСНОСТЬ
В конце января Банк России ввел в действие вторую версию своего стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2006)*1. В разработке этого нормативного документа приняли участие организации, входящие в состав Подкомитета N 3 "Защита информации в кредитно-финансовой сфере" Технического комитета N 362 "Защита информации" Федерального агентства по техническому регулированию и метрологии (www.techcom3623.ru/show_paper.php?iddiv=2).
_____
*1 Скачать официальную версию стандарта (как первую, так и вторую) можно с сайта Сообщества ABISS (www.abiss.ru).
Сразу после принятия новой версии стандарта ЦБ было образовано Сообщество ABISS (Association for Banking Information Security Standards). В него вошли компании, принимавшие активное участие в разработке нового стандарта: "Андэк", ГНИИИ ПТЗИ ФСТЭК России, KPMG, "Линс-М", НПФ "Кристалл, "Эрнст энд Янг", которые теперь ставят своей целью продвижение этого нормативного документа в российской банковской среде. Заметим, что стандарт Банка России носит рекомендательный характер, т. е. финансовые организации не обязаны реализовывать его положения.
"Наша компания вошла в Сообщество ABISS, - отмечает Андрей Дроздов, старший менеджер KPMG, - поскольку приветствует инициативу Банка России по продвижению и популяризации стандарта информационной безопасности в банковской сфере. Важно, чтобы соответствие его требованиям было подтверждено авторитетным независимым аудитом по информационной безопасности, как это принято в мировой практике".
Общая характеристика стандарта
Со времени выхода первой версии стандарта (СТО БР ИББС-1.0-2004) прошло чуть больше года. В течение этого времени Банк России испытывал новые нормативные положения в своих территориальных отделениях. Проявили инициативу и некоторые коммерческие банки, решившие по собственной воле испробовать стандарт. В результате ряд положений этого документа удалось уточнить.
В целом эксперты в области ИТ-безопасности оценивают его положительно. "На мой взгляд, новый стандарт Банка России представляет собой разумный баланс между практическими и теоретическими положениями, - считает Денис Зенкин, директор по маркетингу компании InfoWatch, уже имеющей опыт выполнения крупных проектов по обеспечению совместимости со стандартом Центробанка и соглашением Basel II в российских финансовых организациях. - Он ясно указывает, что именно нужно сделать, чтобы обеспечить совместимость с нормативными требованиями. Многим другим регулирующим актам до такой ясности еще очень далеко".
Если проанализировать банковский стандарт безопасности в целом, то легко заметить, что он намного шире и жестче положений по ИТ-безопасности и внутреннему контролю таких авторитетных иностранных законов, как SOX (Sarbanes - Oxley Act of 2002) и GLBA (Gramm-Leach-Bliley Act). В нем объединены основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентированы описание жизненного цикла программных средств и критерии соответствующей оценки (ГОСТ Р ИСО/МЭК 15408-1-2-3). Нашли свое место в стандарте технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения британской методологии оценки информационных рисков CRAMM.
Первое внедрение Первым и пока единственным коммерческим банком, завершившим опытное внедрение стандарта СТО БР ИББС-1.0-2004, стал Метробанк. В феврале 2005 г. он вошел в состав подкомитета N 3 "Защита информации в кредитно-финансовой сфере" технического комитета по стандартизации N 362 "Защита информации" (ПК 3/ТК 362), от которого и получил соответствующее предложение. С начала внедрения специалистами банка была пересмотрена имеющаяся документация, разработаны нормативные документы, выделены процессы и технологические цепочки, отлажено взаимодействие между структурными подразделениями банка, определен и установлен контроль над информационными рисками, организована система мониторинга и аудита. Кроме того, в банке опробована "Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации", прилагаемая к первой редакции проекта, разрабатываемого по заказу Банка России стандарта СТО БР ИББС-4.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности". К проверке уровня информационной безопасности ЗАО "Метробанк" были привлечены эксперты ПК 3/ТК 362, участвовавшие в разработке стандартов и методики. Они констатировали высокий текущий уровень ИТ-безопасности банка. |
Среди конкретных положений стандарта ЦБ можно отметить ориентацию на решение проблемы инсайдеров - именно они ставятся во главу угла. Для этого Банк России рекомендует обеспечить контроль над обращением конфиденциальной информации внутри корпоративной среды. Но и внешние угрозы отнюдь не уходят со сцены: стандарт требует, чтобы банки имели антивирусную защиту, фильтровали спам, использовали шифрование для предотвращения несанкционированного доступа и т. п. Отдельным пунктом стоит отметить необходимость создания специального архива электронной корреспонденции. В нем следует реализовать возможности проведения ретроспективного анализа, а соответствующие механизмы безопасности должны поддерживать аутентичность хранимых сообщений.
"При реализации положений того или иного стандарта на практике многие компании допускают одну и ту же ошибку. Они внедряют такие продукты, которые позволяют покрыть часть положений стандарта, но при этом сами создают новые бреши (например, наделяя администратора слишком широкими правами), которые уже ничем не закроешь. Другими словами, специализированные решения должны быть совместимы со стандартом сами по себе, - комментирует Денис Зенкин. - В проекте по обеспечению совместимости с последним стандартом ЦБ по ИТ-безопасности во Внешторгбанке мы особое внимание обратили на то, чтобы в корпоративной сети не было пользователей с суперполномочиями. С такой целью мы применили разделение полномочий и ролей. Между тем это всего лишь один из подводных рифов, подстерегающих организации в решении проблемы совместимости со стандартом ЦБ".
Что обещает новый стандарт
Хотя российские банки не обязаны внедрять положения обновленного стандарта на практике и тратить на это ресурсы, можно выделить по крайне мере пять преимуществ, которые он может дать (см. таблицу).
Что дает реализация стандарта ЦБ по ИТ-безопасности российским банкам?
Особо следует подчеркнуть связь последнего стандарта ЦБ с соглашением Basel II ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы"), к которому Россия намерена присоединиться в 2009 г. Согласно Basel II, банки должны обеспечить достаточный резервный фонд для покрытия кредитных, рыночных и операционных рисков. Причем в понятие операционных рисков входят риски ИТ-безопасности, особенно внутренние угрозы, связанные с умышленными или случайными деструктивными действиями персонала. Реализация же положений нового стандарта позволяет свести к минимуму внешние и внутренние угрозы, что приведет к снижению резервных отчислений и экономии средств на совместимости с Basel II.
"В качестве дополнения к уже указанным преимуществам можно добавить следующее. Практический опыт показывает, что во внедрении стандарта так или иначе участвуют все без исключения подразделения предприятия, равно как и высшее руководство, - пояснил Павел Гениевский, секретарь Сообщества ABISS и исполнительный директор компании Pacifica, внедрившей СТО БР ИББС-1.0-2004 в Метробанке. - Это позволяет в рамках проекта доработать старые нормативные документы и создать новые, выделить процессы и технологические цепочки, отладить взаимодействие между структурными подразделениями банка, определить и установить контроль над информационными рисками, организовать систему мониторинга и аудита. Таким образом, внедрение стандарта СТО БР ИББС-1.0 практически полезно для систематизации и упорядочения деятельности кредитной организации и способствует существенному снижению операционного риска".
Учитывая существующие тенденции рынка (в том числе мирового) по усилению контроля со стороны как государственных, так и отраслевых регуляторов и бизнес-сообществ, можно предположить, что данный стандарт из разряда рекомендательного вскоре может перейти в разряд обязательного для исполнения. В этом случае организации, которые внедрили его заблаговременно, получат конкурентное преимущество.