Отраслевой стандарт как руководство к действию

Игнорирование или отсутствие должного контроля за ИБ приводит к печальным последствиям для банков

Специфика банковского бизнеса -в том, что его стержнем является доверие клиентов и работа с огромными массивами конфиденциальной информации. Любая ошибка в защите этих данных может привести банк к фатальным последствиям. Поэтому именно в банковском секторе проблема информационной безопасности (ИБ) особенно актуальна.

ВНЕДРИТЬ И ЗАБЫТЬ

В последнее время банки начали создавать в своей структуре подразделения, отвечающие за обеспечение информационной безопасности. Это, безусловно, позитивная тенденция. Кстати, согласно рекомендациям отраслевого стандарта России СТО БР ИББС_1.0_2010 (о котором речь пойдет ниже), информационная безопасность в банке должна выделяться в независимое подразделение, и это заключается в том, что «служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора». Однако подобная структурная независимость вовсе не означает, что данное подразделение имеет самостоятельный бюджет и необходимые материальные ресурсы для решения всех проблем.

По мнению председателя правления «Флексинвест Банка» Марины Мишу-рис, уровень затрат на ИБ (и это особенно характерно для средних и мелких банков) можно охарактеризовать как недостаточный. Причины понятны: подобные решения зачастую требуют значительных начальных инвестиций. Наряду с этим развитие ИБ в банках, по словам эксперта, тормозит отсутствие отраслевых стандартов, дифференцированных в зависимости от размера бизнеса, которые были бы обязательными к исполнению. Это явилось бы хорошим обоснованием затрат на ИБ, говорит Марина Мишурис, повысилась бы планка расходов на ИТ, ниже которой банки просто не смогут работать.

Кроме того, иногда руководство банков, принимающее решения о выделении средств на ИБ, к сожалению, не совсем верно понимает, что же такое информационная безопасность. Возникает иллюзия того, то ИБ - это некий готовый продукт, который можно купить, внедрить и забыть о нем, а значит, и о необходимости его последующего финансирования.

Эксперты подчеркивают, что информационная безопасность - это процесс, который для нормальной жизнедеятельности требует постоянного выделения средств. Хотят этого руководители банков или нет, но как только приостанавливается ресурсная подпитка ИБ, рано или поздно можно ожидать снижения защищенности и повышения уязвимости информационных систем финансово-кредитных учреждений.

Если в банке отсутствуют инциденты в области ИБ, это означает либо достойный уровень проводимых работ в области ИБ, либо временную паузу, после которой можно ожидать неприятных сюрпризов. Последние могут выражаться в возникновении рисков нарушения информационной безопасности.

Основываясь на формулировке упомянутого выше стандарта Банка России, «риски нарушения ИБ выражаются в возможности потери состояния защищенности интересов (целей) организации БС (банковской системы - Прим. ред.) РФ в информационной сфере и возникновения ущерба бизнесу организации БС РФ или убытков. Потеря состояния защищенности интересов (целей) организации БС РФ в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ».

ПРОСТЫЕ ИСТОРИИ

Существует немало примеров, когда игнорирование или отсутствие должного контроля за ИБ приводило к весьма печальным для банков последствиям. Финансово-кредитные организации стараются, конечно,  не  выносить  сор  из  избы, но в некоторых случаях масштабы бедствия столь велики, что скрыть их от общественности не представляется возможным.

В свое время много шума наделала история Генриха Кибера, бывшего сотрудника лихтенштейнского банка LGT - центрального финансового института альпийского княжества. Он имел доступ к базам данных о клиентах банка. Методом обычного копирования на протяжении нескольких лет Кибер собирал информацию о вкладчиках из разных стран. В 2002 году он был уволен. Накануне увольнения Кибер захватил с собой из электронной системы LGT часть базы данных, которая вклюЕНИЕчала в себя сведения о персональных данных более чем двух тысяч клиентов. Впоследствии они были выставлены на продажу спецслужбам целого ряда стран. Известно, что одна из разведслужб ФРГ заплатила более 4 млн евро за эту информацию, которая затем была   передана   налоговым   органам Германии. В результате удалось выявить 600 человек, уклонявшихся от уплаты налогов, причем общая сумма недоплаты в германскую казну составила около 200 млн евро. На 150 клиентов LGT были заведены уголовные дела. Также информация, полученная из Лихтенштейна, использовалась соответствующими органами других европейских стран, Австралии, США и Канады.

Сложно сказать, почему руководство банка допустило такую ситуацию. Может быть, не видело связи между интересами бизнеса и обеспечением информационной безопасности? Однозначно можно констатировать только то, что в банке не было должной системы оценки рисков, необходимого контроля доступа к конфиденциальным данным.

Другая история. В январе 2008 года Societe Generale объявил, что в результате махинаций одного из сотрудников -трейдера Жерома Кервьеля - банк понес убытки в размере около 5 млрд евро.

Причем администрация банка всю вину за аферу возложила исключительно на Кер-вьеля. Якобы благодаря знанию механизмов безопасности банка он воспользовался компьютерными системами компании, чтобы осуществить мошенничество и замести следы. После скандала с Кервьелем Societe Generale был оштрафован на 4 млн евро за недостатки в системе внутреннего управления, которые позволили трейдеру совершать незаконные операции.

ЭКСПЕРТНОЕ МНЕНИЕ

Валерий Аркадьевич КОНЯВСКИЙ, д.т.н., научный руководитель ФГУП ВНИИПВТИ

ЧТО ТОРМОЗИТ РАЗВИТИЕ СФЕРЫ ИБ В БАНКАХ

Все просто: у банков нет мотивации. Они на развитии сферы ИБ не зарабатывают, а зарабатывают на тех услугах, которые предоставляют клиентам. И если у банка возникает альтернатива: ввести новую удобную, но незащищенную услугу или аналогичную услугу в защищенном виде, но неудобную, - банк выбирает первое. Банки не развивают защищенные услуги, потому что мы банкам ничего предложить не можем. Безопасники делают и сертифицируют хорошие, но неудобные средства защиты, а функциональщики в лучшем случае пишут удобные, но незащищенные программы.

Затраты на защиту недопустимо высоки. И для банка, и для клиента. Считается, что затраты на информационную безопасность должны составлять около 20% от всех затрат на информационную систему. Сегодня средства ИБ обходятся банку в сумму, близкую к цене информационной системы, то есть почти в пять раз дороже нормы. Конечно, дело здесь не в том, что вендоры «дерут» за свои средства втридорога. Все в комплексе: и низкая эффективность производства, и неразвитость рынка, и отсутствие достаточной квалификации у интеграторов.

За защиту каждой из функций приходится платить неоднократно. Как результат - затраты банков на ИБ давно превзошли все допустимые пределы, а эффекта банкиры не чувствуют. Не лучше обстоят дела у клиента: чтобы не снизить защищенность банка, компьютер клиента должен быть защищен не хуже, чем банковский. Это правильно, но есть нюансы. Компьютер в банке должен быть доверенным всегда, и поэтому его защита стоит дорого. Компьютер клиента должен быть защищен надежно только на время сеанса связи с банком. Вот и приходится либо переплачивать, либо обходиться без защиты. Банк не может сказать клиенту, что сервис незащищен, и для имитации защиты предлагает клиенту использовать «суррогаты» вроде различных токенов, защитными функциями не обладающих, но денег стоящих.

Фактически клиент остается без защиты, но со всех сторон виноватым. Я надеюсь, защищенность информационного взаимодействия банков и их клиентов будет расти. Условие этого - экономическая оправданность затрат. Это верно и для банка, и для клиента. Видятся три направления развития, и они экономически оправданны. Это:
•  персональные средства криптографической защиты (ПСКЗИ);
•  средства обеспечения доверенного сеанса связи (СоДСС);
•  страхование информационных рисков как экономический метод обеспечения информационной безопасности, в отличие от внеэкономических механизмов принуждения.
Есть над чем поработать.

РЕГУЛЯТОРЫ ИБ

Рынок информационной безопасности в значительной степени зависит от своего основного регулятора - государства. Регуляторов в области ИБ в России три: Центробанк, Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ).

Основным документом, которым руководствуется в своей деятельности служба информационной безопасности банка, является специальный отраслевой стандарт Банка России - «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он содержит ряд рекомендаций по организации служб ИБ, их задач, целей и обязанностей. Данный стандарт носит рекомендательный характер и предоставляет банкам возможность самостоятельного выбора: принимать ли для себя обязательным стандарт Банка России или выполнять требования ФСТЭК и ФСБ России по защите персональных данных. В любом случае банки обязаны соответствовать требованиям законодательства, а разнообразие вариантов проявляется лишь в том, какие именно нормативно-методические документы будут выбраны в качестве руководства при обеспечении безопасности персональных данных.

Приняв решение использовать отраслевой стандарт, банки должны будут руководствоваться комплексом документов в области стандартизации Банка России. В состав документов входят СТО БР ИББС-1.0-2010, СТО БР ИББС-1.2-2010, PC БР ИББС-2.4, РС БР ИББС-2.3, а также «Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации».

ПРАКТИЧЕСКИЕ ШАГИ

В качестве конкретных практических действий, выполнение которых необходимо в целях обеспечения соответствия требованиям законодательства, перед банками, использующими отраслевой стандарт, встают шесть последовательных задач, рассказывает руководитель отдела технической защиты информации компании ReignVox Юрий Черкас. Во-первых, выделение в составе ИТ-инфра-структуры информационных систем персональных данных (ИСПДн). Во-вторых, проведение классификации. В-третьих, разработка пакета необходимых организационно-распорядительных документов. При этом следует учитывать, что перечень документов не ограничивается «Методическими рекомендациями по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации».

В соответствии с Методикой СТО БР ИББС-1.2 и с целью повышения оценки всех частных показателей, попадающих в область оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных (ПДн), в случае, когда для оцениваемого частного показателя ИБ установлено требование по документированию, также должны быть разработаны дополнительные документы.

Четвертая задача, отмечает Юрий Черкас, - настройка должным образом существующих средств защиты или внедрение дополнительных (в случае необходимости) средств и разработка технической и эксплуатационной документации. Наконец, нужно провести оценку соответствия банка требованиям стандарта, оформить результаты оценки и предоставить их Банку России и регуляторам.

ПРЕИУЩЕСТВА ОТРАСЛЕВОГО СТАНДАРТА

По мнению экспертов, весь комплекс документов по отраслевому стандарту разработан на основе международных стан дартов в области информационной безопасности. И требования этого стандарта вполне выполнимы, как, впрочем, и требования нормативно-методических документов ФСТЭК России.

При выборе того или иного варианта встает лишь вопрос цены реализации системы защиты персональных данных, отмечает руководитель отдела технической защиты информации компании ReignVox:
«В стандарте использованы процессный и риск-ориентированный подходы при формировании требований, позволяющие выполнять эти требования путем реализации различных процедур и мероприятий, в том числе по технической защите информации. Требования же ФСТЭК, напротив, максимально детализированы, что затрудняет их выполнение какими-либо «компенсационными» мерами и предусматривает их формальное выполнение».

Кроме того, стандарт не содержит требования по обязательному использованию сертифицированных средств за-
щиты информации. Это облегчает построение системы защиты персональных данных с учетом имеющихся в наличии средств защиты, применяемых для защиты банковской и коммерческой тайн.

В соответствии с методическими рекомендациями по выполнению законодательных требований при обработке персональных данных в банках оформленные результаты оценки должны быть представлены Центробанку и территориальным органам регуляторов не позднее 31 декабря 2010 года. Далее данный документ должен направляться тем же адресатам не реже одного раза в три года.

По мнению руководителя отдела технической защиты информации компании ReignVox Юрия Черкаса, использование стандарта как комплекса отраслевых документов имеет некоторые преимущества перед реализацией типового проекта по защите ПДн в соответствии с требованиями закона «О персональных данных».

Эксперт привел следующий пример. «Ни в коей мере не противореча отечественному законодательству в сфере защиты ПДн, стандарт предоставляет методики оценки и самооценки, что позволяет наглядно оценить не только степень выполнения требований, регламентирующих обработку ПДн, но и степень выполнения требований по таким важным направлениям, как текущий уровень ИБ, менеджмент ИБ и уровень осознания ИБ. Также в пользу стандарта говорит и учет им таких международных положений, как ISO/IEC IS 27001-2005 Information technology, Security techniques, Information security management systems, Requirements и ISO/IEC 17799-2005 Information technology - Security techniques - Code of practice for information security management».

Учитывая стремление России к интеграции в мировое информационное сообщество, использование международного опыта положительно скажется на практике применения стандарта.