Название: Аудит информационной безопасности - Курило А.П. Жанр: Аудит Рейтинг: Просмотров: 1522 |
5.1. особенности развития средств и систем автоматизацииУскоренные темпы развития информационных технологий и достижения в информационной сфере в последние годы способствовали извлечению организациями огромных прибылей. Но одновременно с этим информационные технологии создали беспрецедентный риск для осуществления своей деятельности государственными и негосударственными организациями. Информационная безопасность, в свою очередь, стала играть очень важную роль, поскольку организации с целью защиты своих интересов в информационной сфере бизнеса применяют меры по обеспечению безопасности информационных си-
стем во избежание случаев злоупотребления информацией, мошенничества, срыва важных операций и несанкционированного раскрытия конфиденциальной информации. Подобные риски по предварительным прогнозам будут продолжать расти по мере развития информационных технологий. На рисунке 29 показана эволюция проблем информационной безопасности организаций в зависимости от степени развития информационных технологий. От единичных точек доступа в системы, имеющих к тому же высокоинтеллектуальные барьеры, до многочисленных слабоконтролируемых точек доступа с большими возможностями по изучению защищенности систем и их дальнейшего использования в злоумышленных целях. Такова эволюция проблем ИБ со времени начала использования компьютеров в производственной деятельности до сегодняшних дней, когда компьютеры исистемы различного назначения интегрированы в единую среду поддержки производственных и технологических процессов бизнеса в организациях. Настоящий период автоматизации информационных технологий с точки зрения ИБ характеризуется изменчивостью информационной сферы бизнеса и, как следствие, появлением новых угроз ИБ и уязви-мостями информационных активов, ростом числа персонала, деятельность которого слабо формализована, высокой технической доступностью информационной сферы для атаки. При этом информатика играет стратегическую роль в кредитных организациях в связи с последствиями, которые могут вызвать сбои информационных систем, как для самих организаций, так и для их клиентов, если в результате возникших проблем пропадают данные или, что еще важнее, становится невозможным осуществлять различные платежи, в частности возврат денег вкладчикам. Риски, связанные со сбоями информационных систем, более высокие в кредитной сфере, чем в любой другой сфере экономики, потому что они могут иметь пагубные последствия для других организаций, с которыми поддерживаются отношения, и даже отражаться на деятельности всего финансового сектора экономики, если произошедший сбой способен вызвать «системный кризис». Для кредитных организаций информатика стала основным и «незаменимым средством производства»: благодаря ей денежные средства в дематериализованном виде размещаются, хранятся, пересылаются и переоцениваются. Перевод денежных средств или осуществление пла-
ные организации закрыть ей линии рефинансирования или побудить клиентов забрать или не возобновлять свои вклады, что не замедлит вызвать кризис ликвидности. Поскольку задействованные финансовые средства могут быть очень крупными, а взаимозависимость автоматизированных банковских систем чрезвычайно высока, проблема технического порядка, вставшая перед кредитной организацией, может тут же отразиться на его контрагентах, других организациях и клиентах, а также, в особых случаях, на всей финансовой системе. Обеспечение безопасности систем сбора, обработки, хранения и передачи информации о кредитно-финансовых потоках является непременным условием во взаимозависимых областях экономики, где «потрясения» могут быстро вызвать серьезные последствия и стать одним из возможных факторов распространения рисков, способных в отдельных случаях породить системный кризис. Эти проблемы присущи и организациям БС РФ, обладающим высоким уровнем автоматизации основных технологических процессов. Современное состояние безопасности информационной сферы бизнеса организаций БС РФ характеризуется следующими основными факторами (уязвимостями), которые могут быть источниками информационных рисков: очень большая изменчивость прикладного программного продукта, мотивируемая потребностями основных функциональных подразделений организаций. При этом процедура внесения изменений осуществляется практически непрерывно. Очень большое количество изменений связано и с совершенствованием самого программного продукта в связи с тем, что продукт или его составные части длительное время имеют статус опытной эксплуатации либо изменение осуществляется уже в ходе промышленной эксплуатации; неадекватная сложность операционной среды относительно решаемой задачи. Например, за последние 10 лет количество обрабатываемых платежей клиентов в среднем увеличилось в несколько раз, в то время как установленная вычислительная и телекоммуникационная мощность увеличились в сотни и тысячи раз, и при этом ощущается дефицит ресурса не меньший, чем он был ранее. Кроме объективных причин, связанных с технологическим прогрессом информатики, существуют силь-
ные субъективные причины. Они приводят к тому, что вместо специализированных систем, ориентированных на специфику решаемых задач, автоматизированные банковские системы (АБС) развиваются, наоборот, как суперуниверсальные системы. Среди множества причин этого явления одной из основных является необходимость поддержки свойства изменчивости. Для этого нужна избыточность, и не только ресурсная, но и функциональная, и чем больше изменчивость, тем большая избыточность требуется. Избыточность также связана и со временем. Чем меньше времени отводится на реализацию изменчивости (что и есть в практике!), тем большая избыточность информационных ресурсов требуется. С точки зрения ИБ любая избыточность опасна, но наиболее опасна избыточность функциональная, так как, будучи внутри системы, она практически не поддается блокированию и контролю. В настоящее время уже сложилась ситуация, когда функциональная избыточность АБС многократно превышает реальные потребности со всеми вытекающими последствиями.
5.1.2. Направления обеспечения и оценки информационной безопасности Развитие существующих и появление новых информационных технологий в организациях БС РФ требуют совершенствования действующей нормативной базы по ИБ и разработки новых документов, увязанных в единую систему. Первым таким документом в банковской системе Российской Федерации стал стандарт Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Стандарт разработан на основе существующей в стране и Банке России нормативной базы по обеспечению ИБ, международных стандартов по ИБ, рекомендаций Базельского комитета с учетом банковских бизнес-процессов и используемых информационных технологий. Основными целями стандарта являются определение общих требований ИБ для организаций БС РФ и формирование в организациях единого (рекомендуемого) подхода к менеджменту ИБ. В связи с этим возрастает значение проверки и контроля ИБ в организациях БС РФ.
Практика применения действующих стандартов указывает на необходимость внедрения требуемых процедур и правил и создания системы проверки и оценки соответствия ИБ организаций требованиям стандарта. Некоторые аспекты обеспечения ИБ оцениваются при проведении внутреннего контроля специализированными департаментами и службами организаций БС РФ. Однако такие проверки отражают только текущий уровень ИБ в некоторых областях ИБ (например, защищенное взаимодействие в автоматизированных банковских системах, доступ к определенным информационным активам). Определяется это и тем, что отмеченная специфика развития средств и технологий информатизации не в полной мере «видима» для руководства организаций, где весь вопрос сводится к стоимости приобретаемых АБС и их функциональности для поддержки бизнеса, а не к тому, чем и какими средствами эта функциональность обеспечивается. Только «продвинутые» руководители организаций (это, как правило, «выходцы» из среды «информатизаторов») представляют себе, что кроется за современными ИТ-системами и с чем сопряжена их эксплуатация. В этой связи далеко не все организации (их руководство) осознают потребность в целевом и целостном рассмотрении вопросов обеспечения ИБ (область осознания ИБ) и поддержании соответствующих деятельностей, обеспечиваемых как основными функциональными подразделениями, так и выделенной структурой — службой (департаментом, управлением, отделом или иной уполномоченной структурой) ИБ организации. В то же время, отслеживая ситуацию, следует констатировать, что осознание со временем все-таки приходит наряду с пониманием и знаниями, получаемыми либо из общения с финансовыми аудиторами, либо по результатам произошедших инцидентов ИБ, либо наряду с требованиями национальных и международных регуляторов. Зарубежная практика уже давно подтвердила необходимость активной пропаганды и просвещения руководства организаций в части проблематики обеспечения защищенности информационных активов, для чего издаются и принимаются соответствующие нормативные документы и руководства, обобщающие лучшие практики ИБ (раздел 3.1.2). Стандарт Банка России СТО БР ИББС-1.0 — один из серии подобных документов, ориентированных на организации национальной банковской системы. Наряду с формализованными требованиями к текущему уровню ИБ стандарт Банка России СТО БР ИББС-1.0 определяет требова-
ния, касающиеся фактически «осознания ИБ», выраженные в виде принципов обеспечения информационной безопасности организаций БС РФ. Ну и последней (по порядку, но отнюдь не по значимости) является проблема управления (менеджмента) ИБ, определяющая тенденцию, вектор развития системы обеспечения ИБ организации. Неадекватная сложность АБС резко повышает сложность задач управления ИБ и требования к качеству управления. Если специализированную систему нужно администрировать, то универсальной системой нужно уметь эффективно управлять. В результате количество системных администраторов резко растет, согласованность их действий в системе, наоборот, уменьшается. В настоящее время, как правило, деятельность администраторов АБС очень слабо формализована либо не формализована вовсе. Вследствие этого осуществить контроль за их деятельностью очень трудно. Отсутствие регламентов действий администраторов ничем не ограничивает их в создании собственных технологий деятельности. Как правило, администраторы разделяются на две условные группы: администраторов, склонных к анализу действий (сначала думают, потом делают), и администраторов, склонных к эксперименту (сделаем, а там посмотрим что получилось). Последние наиболее опасны, так как кроме угроз устойчивости системы они в ходе своей деятельности выявляют коллизии и скрытые уязвимости в приложениях и платформах, которые могут потом использоваться при возникновении мотиваций. В ситуации, когда АБС оказались одним из центров коллизий, корпоративное управление ими не может быть эффективным. Оно распадается и направлено не на общий результат, а на достижение отдельных частных целей, слабо увязанных и скоординированных как друг с другом, так и с заявленной целью системы. Тем более это проявляется, когда речь идет об управлении (менеджменте) ИБ как составной части общего корпоративного менеджмента. Таким образом, содержательная часть и направленность требований по обеспечению ИБ организаций БС РФ сформировалась в рамках стандарта Банка России СТО БР ИББС-1.0 в составе трех основных направлений: осознание ИБ, менеджмент ИБ и текущий уровень ИБ. Это предопределило и содержание направлений оценочной деятельности в рамках аудита ИБ организаций БС РФ, что иллюстрирует структура, которая представлена на рисунке 30.
Рис. 30. Структура оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0
5.1.3. Размерность и значимость объектов оценки при проведении аудита информационной безопасности Специфика аудита ИБ организаций БС РФ определяется тем, что объектами оценки соответствия ИБ могут быть как компактные кредитные организации (например, в границах одного здания), так и организации, имеющие развитую филиальную сеть, дополнительные офисы, число которых может составлять несколько сотен. Совершенно очевидно, что процедуры оценки соответствия и сами подходы к оценке соответствия должны исходить из значимости организации для наци-
ональной экономики, а также сложности и размерности организации. При оценках крупной организации на стадии планирования аудита ИБ при подготовке плана его проведения должны быть соответствующим образом рассмотрены и учтены вопросы оценки соответствия ИБ филиалов, исходя из минимизации стоимости такой оценки и обеспечения необходимого качества и точности оценок. Фактически речь должна идти о некотором дифференцированном подходе к оценкам соответствия ИБ в зависимости от типа и размера организации, что не является чем-то уникальным. Например, в практике налоговой службы уже давно используется дифференцированный подход, который предусматривает раздельное обслуживание так называемых крупных налогоплательщиков, других юридических, частных предпринимателей и физических лиц. Такое раздельное обслуживание учитывает как различие в требованиях для различных категорий, так и различие в процедурах такого обслуживания. Подобным образом кредитные организации также должны быть отнесены к определенным группам, где критериями такого отнесения могут быть размер активов кредитной организации, развитость филиальной сети, наличие трансграничных бизнес-операций (обслуживание экспортно-импортных операций), специфика бизнеса. В национальном банковском сообществе уже достаточно давно обсуждаются прогнозы, касающиеся того, что в ходе развития национальной банковской системы неминуемо наступит потребность в группировании на основе бизнес-критериев кредитных организаций, где: 30-40 банков составят основу банковского обслуживания национальной экономики, включая обслуживание экспортно-импортных операций, крупного бизнеса и т.п. (это уже явно просматривается в различных рейтинговых оценках банков по активам и пассивам). Данной категории банков должны быть обеспечены государственные гарантии, что должно сопровождаться жестким контролем со стороны регуляторов; 100-200 банков обеспечат основу региональной составляющей банковской системы — финансирование региональных проектов, промышленности и населения; остальные кредитные организации в силу их малого влияния на экономику должны составить последнюю группу, их деятельность должна регулироваться минимальным образом, а для защиты населения
будут использоваться сформированные уже в настоящее время механизмы страхования вкладов. Оценки соответствия ИБ также должны поддерживать как учет сущности и особенностей объекта оценки, так и банковскую специфику. Учет банковской специфики при оценке ИБ показан в документе Банковской комиссии Франции (Белая книга: «О безопасности информационных систем кредитных учреждений», январь 1995 г.). Оценивание с помощью метода «Марион» проводилось среди пяти следующих категорий финансовых учреждений: категория 1: крупные и средние универсальные банки; категория 2: местные банки; категория 3: специализированные учреждения; категория 4: банки, оперирующие на рынке, в составе группы; категория 5: иностранные банки. В части учета банковской специфики объектом оценки соответствия ИБ могут быть обособленное подразделение организации (головная организация, филиал) или бизнес-подразделение со всем своим функционалом. Международные стандарты, например IS0/IEC 27001, допускают любой тип объекта оценки соответствия ИБ, что на практике приводит к решениям о сертификации ИБ второстепенных объектов в организации, чье влияние на бизнес организации ничтожно или пренебрежимо мало. Объектами оценки соответствия ИБ в банках могут быть такие бизнесы банка (включая персонал, ИТ-системы, реализуемые технологии), как: банковское обслуживание физических лиц; банковское обслуживание юридических лиц; осуществление платежей и расчетов; агентские услуги; операции и сделки на рынке ценных бумаг и срочных финансовых инструментов; оказание услуг корпоративным клиентам, органам государственной власти и местного самоуправления на рынке капиталов; управление активами; брокерская деятельность. При этом вопросы оценки соответствия ИБ организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 в целом, включая филиальную сеть и другие обособленные объекты организации, сопряжены с определенными процедурными и иными фундаментальны-
ми проблемами, которые и по настоящее время не полностью решены в рамках действующих национальных систем лицензирования на деятельность в области защиты информации. Например, лицензии, выдаваемые головной организации, как правило, имеют силу и для субъектов филиальной сети организации (засчитываются им в актив), что на практике бывает далеко от действительного положения дел.
5.1.4. Работы по созданию системы оценки ИБ организаций банковской системы Российской Федерации Важным шагом в направлении создания системы оценки ИБ, учитывающей ее особенности, является разработка Банком России нормативных документов по аудиту ИБ организаций БС РФ, в частности стандарта Банка России СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и методики оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0. В документах указывается, что проверка ИБ может проводиться с помощью аудита и самооценки ИБ. Аудит ИБ организации БС РФ может быть внутренним или внешним. Цель, порядок и периодичность проведения аудитов и самооценки ИБ организации в целом (или ее отдельных структурных подразделений) или автоматизированных банковских систем определяются руководством организации на основе потребностей в такой деятельности. Внутренний аудит ИБ может проводиться собственными силами (например, силами службы внутреннего контроля организации) или с помощью привлеченных аудиторов (экспертов). Самооценка ИБ проводится силами службы ИБ организации. Цель аудита и самооценки ИБ организации состоит в проверке и оценке соответствия процессов осознания и менеджмента ИБ организации БС РФ, установленных политик, практик и процедур требованиям стандарта СТО БР ИББС-1.0. Проверка и оценка проводятся по трем направлениям ИБ: текущий уровень ИБ, менеджмент ИБ и осознание ИБ. При проведении аудита и самооценки ИБ организации используются стандартные процедуры документальной проверки и опрос руководства и персонала организации. При самооценке ИБ должны использоваться журналы регистрации инцидентов ИБ, формируемые на основе данных монито-
ринга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок. Заключение по результатам проведения аудита ИБ и результаты самооценки ИБ организации должны показывать: текущий уровень ИБ организации; уровень процессов менеджмента ИБ организации; уровень процессов осознания ИБ организации. Проект стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» устанавливает положения, принципы и требования к проведению аудита ИБ организаций БС РФ и содержит следующие основные разделы: исходная концептуальная схема (парадигма) аудита ИБ организаций БС РФ, показывающая цели собственников и аудиторов, характеристику рекомендуемого Банком России уровня ИБ, место аудита в СМИБ организации, способ оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0; основные принципы проведения аудита ИБ организаций БС РФ, к которым относятся независимость и полнота аудита ИБ, оценка на основе свидетельств аудита ИБ, достоверность свидетельств аудита ИБ, компетентность аудитора и этичность поведения; менеджмент программы аудита информационной безопасности, где показаны структура процессов менеджмента программы аудита ИБ и содержание процессов планирования, контроля и совершенствованию программы аудита ИБ; требования к взаимоотношениям аудиторской организации с представителями проверяемой организации БС РФ при заключении договора на проведение аудита ИБ, во время сбора и анализа свидетельств аудита ИБ и при обсуждении отчета и заключения по результатам проведения аудита ИБ; требования к этапам проведения аудита ИБ организаций БС РФ, а именно: требования к подготовке проведения аудита ИБ, к анализу документов, проведению аудита ИБ на месте и завершению аудита ИБ; проведение самооценки информационной безопасности, где представлены общие положения по проведению самооценки ИБ организаций БС РФ. Проект документа «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Фе-
дерации требованиям стандарта СТО БР ИББС-1.0» устанавливает требования по оценке соответствия ИБ организаций БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 при проведении аудита ИБ в организациях БС РФ и содержит следующие основные разделы: показатели ИБ. Способы оценивания показателей и уровней ИБ. Указано назначение частных и групповых показателей ИБ: с помощью частных показателей оценивается уровень выполнения требований стандарта Банка России, групповые показатели формируются в виде совокупности оценок частных показателей, с помощью групповых показателей ИБ оценивается соответствие установленных практик и процедур, процессов менеджмента, процессов осознания требованиям стандарта СТО БР ИББС-1.0; определение текущего уровня ИБ организации БС РФ. Показан способ формирования значений частных и групповых показателей текущего уровня ИБ; определение уровня процессов менеджмента И Б организации БС РФ. Показан способ формирования значений частных и групповых показателей уровня процессов менеджмента ИБ; определение уровня процессов осознания ИБ организации БС РФ. Показан способ формирования значений частных и групповых показателей уровня осознания ИБ организации БС РФ; формирование уровня соответствия ИБ организации БС РФ требованиям стандарта СТО БР ИББС-1.0.
|
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения