Стандарты цб по it- безопасности призваны снизить риски бизнеса

      Комментарии к записи Стандарты цб по it- безопасности призваны снизить риски бизнеса отключены

Андрей Курило: «Информатизация банка и IT-безопасность не должны подчиняться одному лицу». // Вероника Сошина. Банковское обозрение, №5, май 2008 г.

В 2004 году, а после этого с внесенными поправками в 2006 году банковскому сообществу был предложен стандарт Банка России «Обеспечение информационной безопасности организаций финансовой системы РФ», что призван не допустить происхождение уязвимостей в совокупности информационной безопасности банков и связанных с ними рисков. Сейчас совокупность стандартов насчитывает уже пять документов, включая стандарт аудита, методики оценок соответствия требованиям Стандарта и соответствующие советы. О том, какие конкретно сейчас существуют угрозы, как их избежать и о возможностях применения Стандарта поведал помощник главы защиты управления информации и Главного безопасности Банка России Андрей Курило.

Банки первого, второго и третьего сорта

— Андрей Петрович, Стандарт Банка России по информационной безопасности на сегодня являются рекомендацией. Следуют ли банки предложенным рекомендациям?
Стандарты цб по it- безопасности призваны снизить риски бизнеса— В целом возможно заявить, что да. Десятки банков берут на вооружение Стандарт и следуют главным его положениям. Тех, кто приводит себя в соответствие стандарту, другими словами жестко делает советы и требовательно оценивает собственную безопасность, меньше, но, однако, их количество кроме этого быстро возрастает.

Опрос, что проводился в прошедшем сезоне, продемонстрировал, что 17 % организаций на 2008 год наметили приведение внутреннего устройства в соответствие Стандарту. Согласно данным опроса на начало этого года рекомендациям Стандарта в той либо другой степени уже направляться около 80% банков.

Это хороший показатель. Должно пройти некое время, дабы банк понял собственную проблему и совершил внутреннюю работу. Я считаю, что на подготовительный период, период осознания, требуется порядка двух лет.

И лишь на третий год банк переходит к конкретным действиям, что мы на данный момент именно и замечаем.

В собственной работе мы обращаем внимание высшего менеджмента на то, что приведение банков в соответствие требованиям Стандарта снижает риски главного бизнеса, усиливает управляемость организации в целом, структурирует взаимоотношения в организации, повышает сокровище активов и продажную цену банка. Имеется и конкретные примеры. Так, согласно данным отечественных территориальных учреждений, на протяжении продажи одного банка его цена достаточно заметно возросла по окончании того, как оценщик выяснил, что банк привел себя в соответствие требованиям Стандарта.

— Как реально небольшим банкам реализовать требования Стандарта?

— Стандарт включает комплект требований по безопасности, каковые условно возможно поделить на две группы. Первая несколько относится к обеспечению безопасности платежных их элементов и систем, каковые взаимодействуют с платежной совокупностью банка России.

В этом случае затрагиваются интересы Банка его клиентов и России, а потому эти требования включены в контракты, заключаемые с Банком России, и в техдокументацию на оборудование, которое употребляется для сотрудничества с платежной совокупностью Банка России. Так, практически они уже обязателен .

Опыт говорит о том, что отказ в технических средствах либо программном обеспечении, несущих ответственность за безопасность, — достаточно редкое событие. А вот нарушение регламента в эксплуатации данной техники происходит везде.

Вторая несколько относится к рекомендациям, определяющим вопросы организации управления и эффективного менеджмента совокупностью безопасности. Исполнение этих рекомендаций не требует денежных затрат. Но совершенствование вопросов управления в любой организации — это пожалуй самая тяжелая неприятность, с которой сталкивается менеджмент и руководство.

Отечественный опыт показывает, что неприятности с обеспечением безопасности начинаются с момента начала эксплуатации совокупности, в которой безопасность обязана обеспечиваться. В случае если через некое время по окончании начала эксплуатации совокупности персонал будет бросать носители с ключами электронной подписи где попало, и а также в трудящихся компьютерах, оставлять образцы собственноручной подписи на рабочем столе и передавать собственные пароли для доступа в совокупность друг другу, то все технические средства защиты окажутся ненужными.

И воспользовавшись такими уязвимостями, возможно легко, к примеру, поменять настоящий платежный документ либо изготовить ложный и подписать его легальной (действующей) электронной подписью. Проконтролировать это возможно лишь методом создания сверхсложных технических схем контроля, каковые постоянно имеют конечную надежность.

— Что положено в базу идеологии Стандарта?

— В базу комплекса стандартов положена идеология западного стандарта качества ISO (The International Organization for Standartization) серии 9000. Суть этого стандарта содержится в следующем: в случае если при производстве какого-либо продукта обеспечены и контролируются постоянные условия производства, то уровень качества продукции будет постоянно соответствовать исходным, заблаговременно заданным требованиям. Идеология интернациональной совокупности стандартов серии ISO 9000 была положена в базу идеологии стандартов COBIT, ISO/IES 17799, 15408, а после этого и серии 27000, каковые являются основополагающими стандартами информационной безопасности.

Опыт говорит о том, что отказ технических средств либо ПО, несущих ответственность за безопасность, к примеру, отказ межсетевых экранов, это достаточно редкое событие. В большинстве случаев, техника трудится исправно. А вот нарушение регламента в эксплуатации данной техники происходит значительно чаще, как раз вследствие того что, во-первых, не отработана и четко не прописана совокупность работы, функциональные обязанности сотрудников, а во- вторых, не организован действенный контроль.

И это формирует главные риски. К примеру, эксплуатация базы данных требует необходимого исполнения технологической процедуры резервного копирования базы данных. Эта процедура по определению есть очень страшной с позиций безопасности.

Но, иначе, без нее легко нельзя обойтись. В случае если эта процедура реализуется не регламентированно и бесконтрольно, то реально появляются высокие риски кражи базы данных со стороны персонала. К сожалению, на данный момент эти процессы довольно часто выполняются бесконтрольно.

Для того чтобы допускать запрещено. Казалось бы, я говорю очевидные истины, но как раз они, в большинстве случаев, реализуются самый сложно. Это лишь один пример, а их возможно привести множество.

Исходя из этого в Банке России мы обращаем особенное внимание на наличие таких регламентов.

Следующее, что положено в базу идеологии стандартов безопасности Банка России — риски информационной безопасности, каковые в соответствии с рекомендациями Базель II входят в операционные риски. А операционные риски, со своей стороны, напрямую воздействуют на риски бизнес-процессов. Другими словами, снижая риски информационной безопасности, мы снижаем риски бизнес-процессов.

— Кем разрабатывался Стандарт безопасности? И что легло в его базу?

— К разработке Стандарта были привлечены фактически все заинтересованные структуры. Мы принципиально не желали, дабы он делался и воспринимался лишь как Стандарт Банка России. Первоначально мы совершили изучение зарубежных аналогов, лучших практик национальных стандартов, западных стандартов ISO, выполнили научно-исследовательские работы.

Затем создали некоторый первичный проект документа.

Для организации коллегиальной работы был создан особый подкомитет по стандартизации ПК3/ТК362 Ростехрегулирования. на данный момент он включает семнадцать наибольших кредитных организаций, практически в него входит вся первая десятка, три аудиторские компании из первой четверки «Прайс Вотерхаус», «Эрнст и Янг» и КПМЖ, плюс организации занимающие значимое место на рынке услуг и средств в области информационной безопасности и представители органов регулирования.

Со сменой первого лица, в большинстве случаев, происходит смена кадров. А со сменой кадров происходит обвальное обрушение достигнутого уровня безопасности. Данный момент для банка есть критически страшным.

Помимо этого, мы заметили, что нужно поддерживать процедуру внедрения Стандарта в практической деятельности, с целью этого нами была поддержана инициатива по созданию сообщества ABISS (Сообщества пользователей стандартов Центробанка РФ по обеспечению информационной безопасности организаций финансовой системы РФ).

Зарубежный опыт говорит о том, что вероятны две схемы построения работы при создании Стандарта. Страны, имеющие громадную финансовую систему, в большинстве случаев, не применяют напрямую западные стандарты ISO. Они на базе этих стандартов разрабатывают личные стандарты и внедряют их у себя в центральных банках и в банковской совокупности.

Мелкие государства, имеющие маленькое количество банков, довольно часто напрямую заимствуют западные стандарты. К примеру, по такому принципу действуют отечественные кое-какие бывшие союзные республики. Любой из этих вариантов по-своему действен.

В Российской Федерации мы заключили , что в нашем случае, учитывая специфику законодательства РФ и особенности менталитета, нужно создать личный стандарт. Но методологически, идеологически, терминологически все стандарты совместимы.

— И в чем содержится главное отличие Стандарта Банка России от интернациональных аналогов?

— Стандарт Банка России не только учитывает национальные изюминки, но он еще и более эластичен. В западном стандарте ISO, к примеру, выносится категоричное суждение: банк или соответствует требованиям стандарта, или не соответствует. А Стандарт ЦБ разрешает выяснить, какого именно уровня зрелости достиг банк, позволяет самостоятельно себя проверить посредством особой методики.

Затем возможно создать план совершенствования и список замечаний совокупности безопасности на пара лет. В этом содержится новизна русского Стандарта безопасности.

— А как именно в подкомитет по разработке стандарта смогут попасть представители банков?

— Желающий учавствовать в принятии и обсуждении стандарта пишет письмо в технический комитет ТК362, а тот, со своей стороны, выносит одобрение. Одна просьба к вступающим — деятельно принимать участие, другими словами не сидеть наблюдателем, а просматривать документы, вносить предложения, обсуждать. Само собой разумеется, организации заинтересованы в ярком участии в разработке стандарта, и, вступая в комитет, любой преследует собственный личный интерес.

Я, как глава подкомитета ПК3/ТК362, это вижу и считаю, что это верно, так и должно быть. В случае если Сбербанк высказывает собственные замечания по тексту документа, само собой разумеется, к этому нужно прислушиваться. То же самое справедливо и по отношению к Альфа-Банку, Газпромбанку и каждый кредитной организации.

Но консенсус достигается лишь методом тяжелого, плотного общения, принятия аргументов и выслушивания позиций сторон.

Я уверен, что мы находимся на верном пути. Не просто так форму отечественной работы приняли и в других сферах и отраслях деятельности. Практически по отечественному пути пошли Газпром, РАО ЖД, предприятия Атомэнергопрома.

Структура, в то время, когда работа информационной безопасности и работа информатизации подчиняется одному лицу, полностью неверная

— Стандартом Банка России установлена пятиступенчатая шкала оценки безопасности. Какой точке соответствует большая часть русских банков? Каковы критерии оценки?
— Критерии оценки у нас складываются из трех показателей: уровень технической готовности, направление, в котором движется банк, степень осознания управления собственных неприятностей безопасности. Комбинация из этих трех цифр определяет расположение на шкале зрелости. Технически все банки, в большинстве случаев, оснащены отлично.

Хуже всего, как ни страно, выглядит показатель, который связан с осознанием управлением неприятностей безопасности.

По этим главным направлениям деятельности, к примеру работа с документацией, финансирование, кадровая политика, у нас созданы методики оценки соответствия, сформулированы особые вопросы. По окончании того как организация на них отвечает, делается ясно, как ее управление осознаёт внутренние неприятности.

Неприятности довольно часто появляются по причине того, что со сменой первого лица, в большинстве случаев, происходит смена кадров. А со сменой кадров происходит обвальное обрушение достигнутого уровня безопасности, всех наработок. И данный момент есть для банка критически страшным.

Приходится затевать все с нуля.

— С применением сложных технических средств в совокупности безопасности во многих банках отдела службы и функции безопасности IT смешались. Иногда тяжело разобраться кто каким вопросом занимается и кто за что отвечает. Это естественный процесс либо снова же недоработки внутреннего управления?

— Одна из самых непростых задач в управлении банком — это структурирование деятельности IT. Вправду, довольно часто появляется такая обстановка, в то время, когда работа информационной безопасности и работа информатизации подчиняются одному лицу. Это полностью неправильно. IT довольно часто подавляет безопасность, подчиняет собственной деятельности.

Это не не добрый умысел, легко цели IT и совокупности информационной безопасности различные. Но работа безопасности при таких условиях не имеет возможности полноценно делать собственные функции. При таковой схеме работы появляются высокие риски. Выручает лишь то, что ей везет — инсайдер либо хакер, к примеру, не завелся.

Но в банковском бизнесе нельзя полагаться на везение. Это теорема.

Эти задачи должны быть разведены между менеджментом. на данный момент соотношение банков, придерживающихся схемы с объединенным управлением, и банков, разделяющих менеджмент этих подразделений, 50 на 50. Но тенденция прослеживается верная.

— Как надежно защищены банковские базы?

— Лучший показатель, как надежно защищена банковская база, — ее отсутствие на рынке. Если она представлена на рынке и актуальна, значит, она защищена не хорошо. На данный момент на рынке актуальных баз ЦБ, да и, пожалуй, комбанков, нет.

В случае если что-то появляется, то мы контролируем и в большинстве случаев приходим к выводу, что это подделка. На рынке имеется базы по таможенным расчетам, по физическим лицам, по налогам… И заявляются они, как актуальные. Как это соответствует действительности, не берусь утверждать, поскольку не занимался этим вопросом.

Базы Центробанка презентуются как базы 2003–2005 годов, другими словами они потеряли актуальность . Из этого я делаю вывод, что отечественные настоящие базы защищены достаточно надежно.

Последние случаи — в Лихтенштейне, прокатившаяся в Англии волна с утерей информации о гражданах — показывают, что нужно уделять вопросу защиты баз данных самое внимание. На всех этапах ее создания, эксплуатации, копирования, хранения, уничтожения и пересылки .

Лучший показатель надежности защиты банковской базы — ее присутствие на рынке. Если она представлена и она актуальна, значит, база защищена не хорошо. На данный момент на рынке актуальных баз нет.

Довольно часто появляется неприятность управления доступом, предоставление соответствующих прав и полномочий пользователям. Группой риска в этом случае являются администраторы баз данных и операционных совокупностей. Тут появляется необходимость проведения мониторинга деятельности этих сотрудников.

А это непростая техническая задача, которая лишь на данный момент начинает реализовываться. Для ее реализации требуется много данных, их анализ, интерпретация, а после этого проведение наблюдения и постоянного мониторинга за обстановкой. ЦБ шепетильно отслеживает эту проблему и, в случае если сказать о деятельности в себя, уделяет важное внимание вопросам управления доступа, мониторинга деятельности, отслеживания действий, каковые возможно трактовать как страшные.

— В случае если клиентскую базу банка Лихтенштейна менеджер реализовал налоговому ведомству второй страны за пара миллионов американских долларов, весьма интересно, сколько подобная информация может стоить в Российской Федерации?

— Это, само собой разумеется, нужно задавать вопросы у тех, кто распространяет. Не редкость, что кроме того за разовую данные о состоянии квитанций соперники готовы заплатить тысячи долларов…

— Но как возможно сейчас обезопасисть базу?

— Возможно по-различному решать проблему доступа к базе данных — кодирование, шифрование, защита от НСД, управление доступом, регламентирование действий персонала, мониторинг. Банк, с учетом собственных изюминок, выбирает для себя самый приемлемый вариант. К примеру, шифрование на личных ключах — способ увлекательный.

Но необходимо не забывать о том, что, что при отказа совокупности защиты (а отказы техники, как уже говорилось, к сожалению, время от времени бывают) наступает потеря базы данных, ее нереально будет расшифровать. Тот, кто трудится с громадными базами данных, в большинстве случаев, способы шифрования не использует. Помимо этого, в банке идет постоянная борьба за производительность СУБД — это воздействует на скорость расчетов, а шифрование неминуемо вносит недопустимое замедление.

Обращу ваше внимание на тот факт, что администратор базы данных все равно трудится с открытыми данными, он в противном случае не имеет возможности. Так, угрозу от него способом шифрования данных в базе устранить не удается, необходимо использовать дополнительные защитные меры.

Возможно добиться тех же результатов вторыми методами, а оптимальнее их комбинацией, другими словами комплексностью защиты. К примеру, ответом задач управления доступом и контроля. По эффективности эти способы сопоставимы, но они менее страшны при происхождения ЧС и несложнее в практической эксплуатации.

Шифрование на личных ключах — способ занимательный. Но необходимо не забывать о том, что при отказа совокупности защиты наступает потеря базы данных, ее нереально будет расшифровать

В случае если рассуждать логически, то мошеннику нужно с сервера перекачать базу данных на личный компьютер, дабы после этого вынести данные. Передача для того чтобы файла по почте привлечет внимание работы безопасности. Остается скопировать на носитель громадной емкости. Учитывая данный факт, мы на данный момент проводим линию по исключению возможности подключения к компьютеру накопителей громадной емкости. Другими словами USB порты чтобы не было аналогичных инцидентов должны быть отключены.

На рынке существуют продукты, каковые оказывают помощь это осуществлять контроль. И многие банки на данный момент их покупают.

С отечественной точки зрения, эти меры достаточно действенны.

— Защита платежных документов осуществляется по большей части на уровне криптографии. Эта совокупность не разрешает не допустить все вероятные риски. Какие конкретно средства нужно использовать кредитным организациям, дабы «отбить» атаки?

— Существующих сейчас технических требований, с отечественной точки зрения, не хватает. Технические требования предъявлены по большей части к криптографической защите информации, и были созданы более десяти лет назад для работы на независимых АРМах. В то время, когда АРМы соединили в сеть и включили BBS, то требований лишь к криптографическим совокупностям выяснилось не хватает, исходя из этого нужно требования по безопасности увеличить и добиться исполнения требований к безопасности вычислительных сетей.

Мы стараемся организовать процедуры внутреннего контроля так, дабы возможно было контролировать уровень качества реализации этих требований на местах.

— Как в Российской Федерации распространено, по вашим данным, хищение денежных средств? Как довольно часто совершаются хакерские атаки? Какие конкретно банки по большей части выбирают в «жертву»?

— По отечественным данным, в год происходит одно-два события, которые связаны с кражей денежных средств. Банки, само собой разумеется, их скрывают, поскольку это вопрос репутации. Как правило кражи совершают личные сотрудники.

Хищение денежных средств методом хакерских атак — это, скорее, экзотика и достаточно редкая, поскольку они относятся к категории только высокотехнологичных правонарушений. Хакерские атаки смогут быть действенными лишь в том случае, если в банке, что подвергся нападению, были неотёсанные нарушения требований безопасности, Но, однако, такие прецеденты еще случаются. Происходит это в основном в региональных банках.

К сожалению, обязан заявить, что показались случаи кражи средств клиентов в совокупности интернет-банкинга. Разными способами, среди них и хакерскими, преступники завладевают ключами подписи клиентов, нужными атрибутами аутентификации парольной защиты. И позже деньги.

Меры борьбы с этим злом известны: не оставлять ключ ЭЦП на твёрдом диске, настраивать межсетевой экран и вовремя обновлять противовирусные средства, применять компьютер, на котором установлена совокупность банк-клиент, лишь для связи со своим банком. Но это уже меры безопасности, каковые обязан делать клиент.

— А о каких суммах может идти обращение?

— Суммы смогут быть самыми различными. Все зависит от аппетитов преступника. Был случай, в то время, когда оператор совокупности СВИФТ ЦБ одной суверенной страны, бывшей союзной республики, похитил половину золотовалютного запаса.

Не смотря на то, что, я пологаю, что в том месте действовала целая несколько.

Но хищение денег для банка болезненно в любом случае, независимо от суммы.

Что касается Центробанка, то мы практически отчитываемся за каждую копейку. Исходя из этого принцип работы работы безопасности ЦБ: не допустить. Нам совсем все равно, о чем идет обращение: об одном миллионе либо об одной копейке — серьёзен факт.

В случае если верно выстроены процедуры работы и контроль, и он настоящий, а не формальный, то практически риски кражи денежных средств из совокупности безналичных расчетов понижаются на порядки.

— Как возможно не допустить внутреннее мошенничество?

— С моей точки зрения, на данный момент лишь ищутся подходы защиты от внутреннего мошенничества. Классические средства защиты от несанкционированного доступа на этом уровне не трудятся. Они не различают добросовестного сотрудника и мошенника, поскольку в этом случае разны лишь их цели, а все права и привилегии совпадают. Эта задача не совсем техническая.

Она, во-первых, системная, во-вторых, носит заметный психотерапевтический нюанс. Нужно сотруднику так регламентировать его обязанности, так организовать работу, дабы кроме того возможно он не смог реализовать преступные цели. На сегодня это задача номер один.

В общем, вспоминаем ветхий забытый принцип: принципиально важно не отыскать и наказать виновного, а не допустить правонарушение. И кстати, человек на свободе останется.

— В выступлении на семинаре «Новый уровень операционного сотрудничества с Банком России» вы подчернули, что ЦБ владеет правом контроля совокупности безопасности кредитных организаций, но этим правом пользуется редко. С чем это связано? Планируете ли вы усилить контроль?

— Отечественное право контроля распространяется лишь на диагностику требований по эксплуатации средств криптографической защиты на АРМах, трудящихся с расчетной совокупностью Банка России. Время от времени отечественные эксперты принимают участие в аналогичных испытаниях, действительно, по большей части в регионах. Данный процесс не носит регулярного характера, само собой разумеется, нужно сделать его системным.

Возможно, проверки целесообразно проводить в рамках инспектирования кредитных организаций. Но с реализацией этого проекта появляются определенные сложности. В частности, в подразделении инспектирования нет экспертов, другими словами их необходимо подготовить.

Данный вопрос на данный момент обсуждается. В случае если мы обратимся к опыту центральных банков развитых государств, к примеру, Италии, США, Германии, Франции, Испании, то в том месте подразделение инспектирования контролирует вопросы информационной безопасности в кредитных организациях. Результатом проверки делается то, что для проблемного банка разрабатываются советы. Другими словами подразделение инспектирования осуществляет тут некий патронаж.

Ни за что по распознанным фактам не делаются твёрдые выводы в форме санкций, лишения лицензий и т.д. Это весьма успешная форма работы, которая устраивает обе стороны.

— Но как воспримут это банки?

— В случае если банки заметят, что для них эта процедура не связана ни с какими рисками, кроме того перспективными, то воспримут эту диагностику положительно. Снова же это мероприятие не несет кредитным организациям денежных затрат.

— А как выстраивают собственную работу в Российской Федерации зарубежные банки?

— Зарубежные банки выжидают . Они берут активы и наблюдают, что происходит на отечественном поле. Действительно, кое-какие уже перевели отечественный стандарт на английский и пристально изучают его в центральных конторах. Но в принципе никто не отказывается трудиться по отечественным правилам. Имеется такое понятие «комплаенс» — соответствие деятельности законодательству страны. Они готовы трудиться в режиме комплаенса.

Что касается зарубежных банков из СНГ, то в том месте у нас налажено хорошее сотрудничество, мы прекрасно находим неспециализированный язык.

Лекция Основы информационной безопасности СГУ им.Питирима Сорокина (2015)


Похожие статьи, которые вам, наверника будут интересны:

  • Летний бизнес: прокат гидроциклов и водных лыж

    досуг: и Бизнес Развлечения, инвестиции от 600 000 руб., окупаемость от 3 мес., минимальная площадь от 30 м? Сфера бизнеса: услуги Бизнес на прокате…

  • Николай журавлев: «дайте нам право на честную конкуренцию»

    Глава на данный момент. Досье Bankir.Ru. Николай Журавлев. Появился 1 сентября 1976 года в Москве. Во второй половине 90-ых годов двадцатого века окончил…

  • Сергей горащенко: «самое ценное и в банке и в обществе — умение договариваться»

    Первый вице-президент Бинбанка. Досье Bankir.Ru: Сергей Горащенко. Появился 31 марта 1975 года в Междуреченске. Первый вице-президент Бинбанка. Во второй…

  • Банковские диалоги-2014

    В Сочи завершился 12-й интернациональный банковский форум «Банки России – XXI век». На протяжении совещаний форума выступили представители Банка России,…