Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 1522

5.1. особенности развития средств и систем автоматизации

Ускоренные темпы развития информационных технологий и достиже­ния в информационной сфере в последние годы способствовали из­влечению организациями огромных прибылей. Но одновременно с этим информационные технологии создали беспрецедентный риск для осуществления своей деятельности государственными и негосудар­ственными организациями. Информационная безопасность, в свою очередь, стала играть очень важную роль, поскольку организации с целью защиты своих интересов в информационной сфере бизнеса применяют меры по обеспечению безопасности информационных си-

стем во избежание случаев злоупотребления информацией, мошенни­чества, срыва важных операций и несанкционированного раскрытия конфиденциальной информации. Подобные риски по предваритель­ным прогнозам будут продолжать расти по мере развития информа­ционных технологий.

На рисунке 29 показана эволюция проблем информационной бе­зопасности организаций в зависимости от степени развития инфор­мационных технологий. От единичных точек доступа в системы, име­ющих к тому же высокоинтеллектуальные барьеры, до многочисленных слабоконтролируемых точек доступа с большими возможностями по изучению защищенности систем и их дальнейшего использования в злоумышленных целях. Такова эволюция проблем ИБ со времени на­чала использования компьютеров в производственной деятельности до сегодняшних дней, когда компьютеры исистемы различного на­значения интегрированы в единую среду поддержки производствен­ных и технологических процессов бизнеса в организациях.

Настоящий период автоматизации информационных технологий с точки зрения ИБ характеризуется изменчивостью информационной сферы бизнеса и, как следствие, появлением новых угроз ИБ и уязви-мостями информационных активов, ростом числа персонала, деятель­ность которого слабо формализована, высокой технической доступ­ностью информационной сферы для атаки.

При этом информатика играет стратегическую роль в кредитных организациях в связи с последствиями, которые могут вызвать сбои информационных систем, как для самих организаций, так и для их клиентов, если в результате возникших проблем пропадают данные или, что еще важнее, становится невозможным осуществлять различ­ные платежи, в частности возврат денег вкладчикам.

Риски, связанные со сбоями информационных систем, более высо­кие в кредитной сфере, чем в любой другой сфере экономики, потому что они могут иметь пагубные последствия для других организаций, с которыми поддерживаются отношения, и даже отражаться на деятель­ности всего финансового сектора экономики, если произошедший сбой способен вызвать «системный кризис».

Для кредитных организаций информатика стала основным и «неза­менимым средством производства»: благодаря ей денежные средства в дематериализованном виде размещаются, хранятся, пересылаются и переоцениваются. Перевод денежных средств или осуществление пла-

ные организации закрыть ей линии рефинансирования или побудить клиентов забрать или не возобновлять свои вклады, что не замедлит вызвать кризис ликвидности.

Поскольку задействованные финансовые средства могут быть очень крупными, а взаимозависимость автоматизированных банковских си­стем чрезвычайно высока, проблема технического порядка, вставшая перед кредитной организацией, может тут же отразиться на его контр­агентах, других организациях и клиентах, а также, в особых случаях, на всей финансовой системе.

Обеспечение безопасности систем сбора, обработки, хранения и передачи информации о кредитно-финансовых потоках является не­пременным условием во взаимозависимых областях экономики, где «потрясения» могут быстро вызвать серьезные последствия и стать одним из возможных факторов распространения рисков, способных в отдельных случаях породить системный кризис.

Эти проблемы присущи и организациям БС РФ, обладающим высо­ким уровнем автоматизации основных технологических процессов. Современное состояние безопасности информационной сферы бизнеса организаций БС РФ характеризуется следующими основными факто­рами (уязвимостями), которые могут быть источниками информаци­онных рисков:

очень большая изменчивость прикладного программного про­дукта, мотивируемая потребностями основных функциональ­ных подразделений организаций. При этом процедура внесе­ния изменений осуществляется практически непрерывно. Очень большое количество изменений связано и с совершенствова­нием самого программного продукта в связи с тем, что продукт или его составные части длительное время имеют статус опыт­ной эксплуатации либо изменение осуществляется уже в ходе промышленной эксплуатации;

неадекватная сложность операционной среды относительно решаемой задачи. Например, за последние 10 лет количество обрабатываемых платежей клиентов в среднем увеличилось в несколько раз, в то время как установленная вычислительная и телекоммуникационная мощность увеличились в сотни и ты­сячи раз, и при этом ощущается дефицит ресурса не меньший, чем он был ранее. Кроме объективных причин, связанных с технологическим прогрессом информатики, существуют силь-

ные субъективные причины. Они приводят к тому, что вместо специализированных систем, ориентированных на специфику решаемых задач, автоматизированные банковские системы (АБС) развиваются, наоборот, как суперуниверсальные систе­мы. Среди множества причин этого явления одной из основ­ных является необходимость поддержки свойства изменчивос­ти. Для этого нужна избыточность, и не только ресурсная, но и функциональная, и чем больше изменчивость, тем большая из­быточность требуется. Избыточность также связана и со вре­менем. Чем меньше времени отводится на реализацию измен­чивости (что и есть в практике!), тем большая избыточность информационных ресурсов требуется. С точки зрения ИБ лю­бая избыточность опасна, но наиболее опасна избыточность функциональная, так как, будучи внутри системы, она практи­чески не поддается блокированию и контролю. В настоящее время уже сложилась ситуация, когда функциональная избы­точность АБС многократно превышает реальные потребности со всеми вытекающими последствиями.

5.1.2. Направления обеспечения и оценки информационной безопасности

Развитие существующих и появление новых информационных тех­нологий в организациях БС РФ требуют совершенствования дей­ствующей нормативной базы по ИБ и разработки новых докумен­тов, увязанных в единую систему. Первым таким документом в банковской системе Российской Федерации стал стандарт Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопас­ности организаций банковской системы Российской Федерации. Общие положения». Стандарт разработан на основе существующей в стране и Банке России нормативной базы по обеспечению ИБ, международных стандартов по ИБ, рекомендаций Базельского ко­митета с учетом банковских бизнес-процессов и используемых ин­формационных технологий. Основными целями стандарта являют­ся определение общих требований ИБ для организаций БС РФ и формирование в организациях единого (рекомендуемого) подхода к менеджменту ИБ. В связи с этим возрастает значение проверки и контроля ИБ в организациях БС РФ.

Практика применения действующих стандартов указывает на не­обходимость внедрения требуемых процедур и правил и создания системы проверки и оценки соответствия ИБ организаций требовани­ям стандарта. Некоторые аспекты обеспечения ИБ оцениваются при проведении внутреннего контроля специализированными департамен­тами и службами организаций БС РФ. Однако такие проверки отража­ют только текущий уровень ИБ в некоторых областях ИБ (например, защищенное взаимодействие в автоматизированных банковских сис­темах, доступ к определенным информационным активам).

Определяется это и тем, что отмеченная специфика развития средств и технологий информатизации не в полной мере «видима» для руководства организаций, где весь вопрос сводится к стоимости приобретаемых АБС и их функциональности для поддержки бизнеса, а не к тому, чем и какими средствами эта функциональность обеспе­чивается. Только «продвинутые» руководители организаций (это, как правило, «выходцы» из среды «информатизаторов») представляют себе, что кроется за современными ИТ-системами и с чем сопряжена их эксплуатация. В этой связи далеко не все организации (их руко­водство) осознают потребность в целевом и целостном рассмотрении вопросов обеспечения ИБ (область осознания ИБ) и поддержании соответствующих деятельностей, обеспечиваемых как основными фун­кциональными подразделениями, так и выделенной структурой — службой (департаментом, управлением, отделом или иной уполномо­ченной структурой) ИБ организации.

В то же время, отслеживая ситуацию, следует констатировать, что осознание со временем все-таки приходит наряду с пониманием и знаниями, получаемыми либо из общения с финансовыми аудитора­ми, либо по результатам произошедших инцидентов ИБ, либо наряду с требованиями национальных и международных регуляторов. Зару­бежная практика уже давно подтвердила необходимость активной пропаганды и просвещения руководства организаций в части пробле­матики обеспечения защищенности информационных активов, для чего издаются и принимаются соответствующие нормативные документы и руководства, обобщающие лучшие практики ИБ (раздел 3.1.2). Стан­дарт Банка России СТО БР ИББС-1.0 — один из серии подобных доку­ментов, ориентированных на организации национальной банковской системы. Наряду с формализованными требованиями к текущему уров­ню ИБ стандарт Банка России СТО БР ИББС-1.0 определяет требова-

ния, касающиеся фактически «осознания ИБ», выраженные в виде принципов обеспечения информационной безопасности организаций БС РФ.

Ну и последней (по порядку, но отнюдь не по значимости) являет­ся проблема управления (менеджмента) ИБ, определяющая тенден­цию, вектор развития системы обеспечения ИБ организации. Неадек­ватная сложность АБС резко повышает сложность задач управления ИБ и требования к качеству управления. Если специализированную систему нужно администрировать, то универсальной системой нужно уметь эффективно управлять. В результате количество системных ад­министраторов резко растет, согласованность их действий в системе, наоборот, уменьшается. В настоящее время, как правило, деятельность администраторов АБС очень слабо формализована либо не формали­зована вовсе. Вследствие этого осуществить контроль за их деятель­ностью очень трудно.

Отсутствие регламентов действий администраторов ничем не огра­ничивает их в создании собственных технологий деятельности. Как правило, администраторы разделяются на две условные группы: ад­министраторов, склонных к анализу действий (сначала думают, потом делают), и администраторов, склонных к эксперименту (сделаем, а там посмотрим что получилось). Последние наиболее опасны, так как кроме угроз устойчивости системы они в ходе своей деятельности выявляют коллизии и скрытые уязвимости в приложениях и платформах, кото­рые могут потом использоваться при возникновении мотиваций.

В ситуации, когда АБС оказались одним из центров коллизий, кор­поративное управление ими не может быть эффективным. Оно распа­дается и направлено не на общий результат, а на достижение отдель­ных частных целей, слабо увязанных и скоординированных как друг с другом, так и с заявленной целью системы. Тем более это проявляет­ся, когда речь идет об управлении (менеджменте) ИБ как составной части общего корпоративного менеджмента.

Таким образом, содержательная часть и направленность требова­ний по обеспечению ИБ организаций БС РФ сформировалась в рам­ках стандарта Банка России СТО БР ИББС-1.0 в составе трех основ­ных направлений: осознание ИБ, менеджмент ИБ и текущий уровень ИБ. Это предопределило и содержание направлений оценочной дея­тельности в рамках аудита ИБ организаций БС РФ, что иллюстрирует структура, которая представлена на рисунке 30.

Рис. 30. Структура оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0

5.1.3. Размерность и значимость объектов оценки при проведении аудита информационной безопасности

Специфика аудита ИБ организаций БС РФ определяется тем, что объек­тами оценки соответствия ИБ могут быть как компактные кредитные организации (например, в границах одного здания), так и организа­ции, имеющие развитую филиальную сеть, дополнительные офисы, число которых может составлять несколько сотен. Совершенно оче­видно, что процедуры оценки соответствия и сами подходы к оценке соответствия должны исходить из значимости организации для наци-

ональной экономики, а также сложности и размерности организации. При оценках крупной организации на стадии планирования аудита ИБ при подготовке плана его проведения должны быть соответствующим образом рассмотрены и учтены вопросы оценки соответствия ИБ фи­лиалов, исходя из минимизации стоимости такой оценки и обеспече­ния необходимого качества и точности оценок.

Фактически речь должна идти о некотором дифференцированном подходе к оценкам соответствия ИБ в зависимости от типа и размера организации, что не является чем-то уникальным. Например, в прак­тике налоговой службы уже давно используется дифференцирован­ный подход, который предусматривает раздельное обслуживание так называемых крупных налогоплательщиков, других юридических, част­ных предпринимателей и физических лиц. Такое раздельное обслу­живание учитывает как различие в требованиях для различных кате­горий, так и различие в процедурах такого обслуживания. Подобным образом кредитные организации также должны быть отнесены к оп­ределенным группам, где критериями такого отнесения могут быть размер активов кредитной организации, развитость филиальной сети, наличие трансграничных бизнес-операций (обслуживание экспортно-импортных операций), специфика бизнеса.

В национальном банковском сообществе уже достаточно давно обсуждаются прогнозы, касающиеся того, что в ходе развития на­циональной банковской системы неминуемо наступит потребность в группировании на основе бизнес-критериев кредитных органи­заций, где:

30-40 банков составят основу банковского обслуживания нацио­нальной экономики, включая обслуживание экспортно-импортных опе­раций, крупного бизнеса и т.п. (это уже явно просматривается в раз­личных рейтинговых оценках банков по активам и пассивам). Данной категории банков должны быть обеспечены государственные гаран­тии, что должно сопровождаться жестким контролем со стороны регу­ляторов;

100-200 банков обеспечат основу региональной составляющей банковской системы — финансирование региональных проектов, про­мышленности и населения;

остальные кредитные организации в силу их малого влияния на экономику должны составить последнюю группу, их деятельность дол­жна регулироваться минимальным образом, а для защиты населения

будут использоваться сформированные уже в настоящее время меха­низмы страхования вкладов.

Оценки соответствия ИБ также должны поддерживать как учет сущ­ности и особенностей объекта оценки, так и банковскую специфику.

Учет банковской специфики при оценке ИБ показан в документе Банковской комиссии Франции (Белая книга: «О безопасности инфор­мационных систем кредитных учреждений», январь 1995 г.). Оцени­вание с помощью метода «Марион» проводилось среди пяти следую­щих категорий финансовых учреждений:

категория 1: крупные и средние универсальные банки;

категория 2: местные банки;

категория 3: специализированные учреждения;

категория 4: банки, оперирующие на рынке, в составе группы;

категория 5: иностранные банки.

В части учета банковской специфики объектом оценки соответствия ИБ могут быть обособленное подразделение организации (головная организация, филиал) или бизнес-подразделение со всем своим фун­кционалом. Международные стандарты, например IS0/IEC 27001, до­пускают любой тип объекта оценки соответствия ИБ, что на практике приводит к решениям о сертификации ИБ второстепенных объектов в организации, чье влияние на бизнес организации ничтожно или пре­небрежимо мало. Объектами оценки соответствия ИБ в банках могут быть такие бизнесы банка (включая персонал, ИТ-системы, реализуе­мые технологии), как:

банковское обслуживание физических лиц;

банковское обслуживание юридических лиц;

осуществление платежей и расчетов;

агентские услуги;

операции и сделки на рынке ценных бумаг и срочных финан­совых инструментов;

оказание услуг корпоративным клиентам, органам государствен­ной власти и местного самоуправления на рынке капиталов;

управление активами;

брокерская деятельность.

При этом вопросы оценки соответствия ИБ организации БС РФ тре­бованиям стандарта Банка России СТО БР ИББС-1.0 в целом, включая филиальную сеть и другие обособленные объекты организации, со­пряжены с определенными процедурными и иными фундаментальны-

ми проблемами, которые и по настоящее время не полностью решены в рамках действующих национальных систем лицензирования на дея­тельность в области защиты информации. Например, лицензии, выда­ваемые головной организации, как правило, имеют силу и для субъек­тов филиальной сети организации (засчитываются им в актив), что на практике бывает далеко от действительного положения дел.

5.1.4. Работы по созданию системы оценки ИБ организаций банковской системы

Российской Федерации

Важным шагом в направлении создания системы оценки ИБ, учитываю­щей ее особенности, является разработка Банком России нормативных документов по аудиту ИБ организаций БС РФ, в частности стандарта Банка России СТО БР ИББС-4.0 «Обеспечение информационной безо­пасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и методики оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0.

В документах указывается, что проверка ИБ может проводиться с помощью аудита и самооценки ИБ. Аудит ИБ организации БС РФ может быть внутренним или внешним. Цель, порядок и периодичность прове­дения аудитов и самооценки ИБ организации в целом (или ее отдель­ных структурных подразделений) или автоматизированных банковских систем определяются руководством организации на основе потребнос­тей в такой деятельности. Внутренний аудит ИБ может проводиться соб­ственными силами (например, силами службы внутреннего контроля организации) или с помощью привлеченных аудиторов (экспертов). Самооценка ИБ проводится силами службы ИБ организации.

Цель аудита и самооценки ИБ организации состоит в проверке и оценке соответствия процессов осознания и менеджмента ИБ орга­низации БС РФ, установленных политик, практик и процедур требова­ниям стандарта СТО БР ИББС-1.0.

Проверка и оценка проводятся по трем направлениям ИБ: теку­щий уровень ИБ, менеджмент ИБ и осознание ИБ. При проведении аудита и самооценки ИБ организации используются стандартные про­цедуры документальной проверки и опрос руководства и персонала организации. При самооценке ИБ должны использоваться журналы регистрации инцидентов ИБ, формируемые на основе данных монито-

ринга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок.

Заключение по результатам проведения аудита ИБ и результаты самооценки ИБ организации должны показывать:

текущий уровень ИБ организации;

уровень процессов менеджмента ИБ организации;

уровень процессов осознания ИБ организации.

Проект стандарта СТО БР ИББС-4.0 «Обеспечение информацион­ной безопасности организаций банковской системы Российской Фе­дерации. Аудит информационной безопасности» устанавливает поло­жения, принципы и требования к проведению аудита ИБ организаций БС РФ и содержит следующие основные разделы:

исходная концептуальная схема (парадигма) аудита ИБ организа­ций БС РФ, показывающая цели собственников и аудиторов, характе­ристику рекомендуемого Банком России уровня ИБ, место аудита в СМИБ организации, способ оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0;

основные принципы проведения аудита ИБ организаций БС РФ, к которым относятся независимость и полнота аудита ИБ, оценка на основе свидетельств аудита ИБ, достоверность свидетельств аудита ИБ, компетентность аудитора и этичность поведения;

менеджмент программы аудита информационной безопасности, где показаны структура процессов менеджмента программы аудита ИБ и содержание процессов планирования, контроля и совершенствова­нию программы аудита ИБ;

требования к взаимоотношениям аудиторской организации с пред­ставителями проверяемой организации БС РФ при заключении дого­вора на проведение аудита ИБ, во время сбора и анализа свидетельств аудита ИБ и при обсуждении отчета и заключения по результатам про­ведения аудита ИБ;

требования к этапам проведения аудита ИБ организаций БС РФ, а именно: требования к подготовке проведения аудита ИБ, к анализу документов, проведению аудита ИБ на месте и завершению аудита ИБ;

проведение самооценки информационной безопасности, где пред­ставлены общие положения по проведению самооценки ИБ организа­ций БС РФ.

Проект документа «Методика оценки соответствия информацион­ной безопасности организаций банковской системы Российской Фе-

дерации требованиям стандарта СТО БР ИББС-1.0» устанавливает тре­бования по оценке соответствия ИБ организаций БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 при проведении аудита ИБ в организациях БС РФ и содержит следующие основные разделы:

показатели ИБ. Способы оценивания показателей и уровней ИБ. Указано назначение частных и групповых показателей ИБ: с помощью частных показателей оценивается уровень выполнения требований стандарта Банка России, групповые показатели формируются в виде совокупности оценок частных показателей, с помощью групповых по­казателей ИБ оценивается соответствие установленных практик и про­цедур, процессов менеджмента, процессов осознания требованиям стандарта СТО БР ИББС-1.0;

определение текущего уровня ИБ организации БС РФ. Показан спо­соб формирования значений частных и групповых показателей теку­щего уровня ИБ;

определение уровня процессов менеджмента И Б организации БС РФ. Показан способ формирования значений частных и групповых пока­зателей уровня процессов менеджмента ИБ;

определение уровня процессов осознания ИБ организации БС РФ. Показан способ формирования значений частных и групповых пока­зателей уровня осознания ИБ организации БС РФ;

формирование уровня соответствия ИБ организации БС РФ тре­бованиям стандарта СТО БР ИББС-1.0.