При этом, наличие системы управления информационной безопасностью (Information Security Managment), и, в частности, анализа ИР и управления ими (Risk Management), является обязательным условием организации режима ИБ на предприятии. Многие зарубежные национальные институты стандартов и организации, специализирующиеся на комплексном решении проблем ИБ, предложили похожие концепции управления ИР. Рассмотрим популярные сегодня за рубежом концепции стандарта Великобритании BS 7799 (ISO 17799), стандарта ФРГ BSI и стандарта США NIST. Стандарт ISO 15408, гармонизированный в России, рассматривается в главе 3.

Международный стандарт безопасности информационных систем ISO 17799.

В 1995 г. была принята первая часть Британского стандарта BS 7799 «Практические правила управления информационной безопасностью», а в 1998 г. вышла вторая часть стандарта, относящаяся к вопросам аудита информационной безопасности. Стандарт начали применять на добровольной основе не только в Великобритании, но и в других странах. На сегодняшний день стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO 17799 [39]. В сентябре 2002 г. главные положения BS 7799 (ISO 17799) были пересмотрены и дополнены с учетом развития современных ИТ и требований к организации режима ИБ, в новом варианте стандарта много внимания уделено дальнейшему развитию технологий оценки рисков и управления ими. В настоящее время это наиболее распространенный документ среди организаций, которые пользуются подобными стандартами на добровольной основе, однако, в нем отсутствует раздел, посвященный аудиту (аналог BS 7799, часть 2).

Обзор стандарта BS 7799:

Часть 1: Практические рекомендации. Определяются и рассматриваются следующие аспекты организации режима ИБ:

· политика информационной безопасности;

· организация защиты (инфраструктура ИБ, обеспечение ИБ при доступе сторонних пользователей и организаций);

· классификация информационных ресурсов и управление ими (ответственность за ресурсы, классификация информации по категориям критичности);

· управление персоналом (вопросы безопасности в должностных инструкциях, обучение пользователей, реакция на нарушения режима ИБ);

· физическая безопасность (зоны безопасности, защита оборудования);

· администрирование компьютерных систем и сетей (правила эксплуатации и ответственные за их соблюдение, проектирование и приемка систем, защита от вредоносного программного обеспечения, обслуживание систем, сетевое администрирование, защита носителей информации, обмен данными);

· управление доступом к системам (доступ к служебной информации, доступ и обязанности пользователей, доступ к сети, компьютерам, приложениям, слежение за доступом к системам и их использованием);

· разработка и сопровождение систем (требования к ИБ систем, средства обеспечения ИБ в системах, защита файлов, безопасность при разработке и эксплуатации);

· планирование бесперебойной работы организации;

· проверка системы на соответствие требованиям ИБ (выполнение нормативных требований, проверка соответствия политике ИБ, меры безопасности при тестировании).

Часть 2: Спецификации. Посвящена тем же аспектам, но с точки зрения сертификации режима ИБ на соответствие требованиям стандарта - формальной процедуре, позволяющей убедиться, что декларируемые принципы построения режима ИБ действительно реализованы.

Отметим, что в рассматриваемом стандарте декларируются лишь общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным системам, следовательно, данный документ предполагает довольно высокие требования к квалификации специалистов, осуществляющих его внедрение, а также проверку на соответствие требованиям стандарта.

Стандарт ФРГ BSI.

В Германии в 1998 г. вышло «Руководство по защите информационных технологий для базового уровня защищенности» IT Baseline Protection Manual. Standard security safeguards. - http://www.bsi.bund.de/gshb/english/. Объемный справочник размером около 4 Mb в формате HTML.. Документ содержит следующие блоки:

· методология управления (организация менеджмента) ИБ;

· компоненты информационных технологий:

­ основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);

­ инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);

­ клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);

­ сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);

­ элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и пр.);

­ телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);

­ стандартное программное обеспечение;

­ базы данных.

· каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).

Все каталоги структурированы следующим образом:

· угрозы по классам:

­ форс-мажорные обстоятельства;

­ недостатки организационных мер;

­ ошибки человека;

­ технические неисправности;

­ преднамеренные действия.

· контрмеры по классам:

­ улучшение инфраструктуры;

­ административные контрмеры;

­ процедурные контрмеры;

­ программно-технические контрмеры;

­ уменьшение уязвимости коммуникаций;

­ планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются по следующему плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога безопасности), возможные контрмеры (перечисляются различные контрмеры из каталога контрмер). Таким образом, фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты ИТ с учетом их специфики. Предполагается оперативное пополнение и обновление стандарта по мере появления новых компонентов. Версии стандарта на немецком и английском языках доступны на сайте Германского института стандартов в области ИТ (BSI) http://www.bsi.bund.de/fehler/index.htm.. Данный информационный ресурс заслуживает внимания, поскольку каталоги угроз безопасности и контрмер, содержащие более 600 позиций каждый, являются наиболее подробными из общедоступных и пригодны для самостоятельного использования при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности.

К числу достоинств стандарта BSI можно отнести учет специфики различных элементов, а также гипертекстовую структуру документа, позволяющую оперативно вносить изменения и корректировать связи между частями стандарта. Недостаток - невозможность объять необъятное: для всего множества элементов современных ИТ сохранить одинаковый уровень детализации, в связи с чем неизбежно приходится вводить раздел «Прочее», в котором в общем виде описываются менее распространенные элементы.

Стандарт США NIST 800-30.

Разработанный институтом стандартов США документ Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30. подробно рассматривает вопросы управления информационными рисками, поскольку считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием ИТ, и обеспечить достижение основных бизнес-целей предприятия. Для этого система управления ИР интегрируется в систему управления жизненным циклом информационных технологий компании (см. таблицу 2.1).

Таблица 2.1. Управление рисками на различных стадиях жизненного цикла ИТ

Фаза жизненного цикла информационной технологии	Соответствие фазе управления рисками
1. Предпроектная стадия (концепция данной КИС: определение целей и задач и их документирование)	Выявление основных классов рисков для данной КИС, вытекающих из целей и задач, концепция обеспечения ИБ
2. Проектирование КИС	Выявление рисков, специфичных для данной КИС, вытекающих из особенностей ее архитектуры
3. Создание КИС: поставка элементов, монтаж, настройка и конфигурирование	До начала функционирования КИС должны быть идентифицированы и приняты во внимание все классы рисков
4. Функционирование КИС	Периодическая переоценка рисков, связанная с изменениями внешних условий и конфигурации КИС
5. Прекращение функционирования КИС (информационные и вычислительные ресурсы более не используются и утилизируются)	Соблюдение требований ИБ по отношению к выводимым информационным ресурсам

Рассмотрим основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления информационными рисками.

Описание корпоративной информационной системы. На данном шаге описываются цели КИС, ее границы, информационные ресурсы, требования в области ИБ, компоненты управления информационной системой и режимом ИБ.

Описание рекомендуется проводить в соответствии со следующим планом:

· аппаратные средства КИС, их конфигурация;

· используемое программное обеспечение;

· интерфейсы системы, то есть внешние и внутренние связи с позиции ИТ;

· типы данных и информации;

· обязанности персонала, использующего КИС;

· миссия данной КИС (основные цели);

· критичные типы данных и информационные процессы;

· функциональные требования к информационной системе;

· категории пользователей и обслуживающего персонала системы;

· формальные требования в области ИБ, применимые к данной КИС (законодательные акты, ведомственные стандарты и т.п.);

· архитектура подсистемы ИБ;

· топология локальной сети;

· программно-технические средства обеспечения ИБ;

· входные и выходные данные;

· система управления в рассматриваемой КИС (должностные инструкции, система планирования в сфере обеспечения ИБ);

· существующая система управления в области ИБ (резервное копирование, процедуры реагирования на внештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т.д.);

· организация физической безопасности;

· управление и контроль над внешней по отношению к КИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и пр.).

Для получения указанной информации на практике рекомендуется использовать:

· разнообразные вопросники (check-lists), которые могут быть адресованы различным группам управленческого и обслуживающего персонала;

· интервью внешних аналитиков, которые проводят неформальные беседы с персоналом и затем готовят формализованное описание;

· анализ формальных документов и различной документации организации;

· специализированный инструментарий, то есть существующее разнообразное программное обеспечение, благодаря которому удается частично автоматизировать и формализовать процесс описания (сканеры для составления схемы КИС, программы для структурированного описания информационных систем).

Идентификация угроз и уязвимостей. Применяются следующие понятия:

· источник угрозы - событие либо ситуация и способ, который может привести к реализации угрозы в результате использования потенциальной уязвимости;

· угроза - потенциал либо мера возможности реализации источника угрозы;

· уязвимость - слабость в защите.

При составлении перечня угроз и оценке их уровня обращаются к спискам классов угроз различных организаций и информации об их рейтингах либо к средним значениям вероятности реализации данной угрозы.

Также формируется список потенциальных уязвимостей КИС и возможных результатов их реализации. Для уже существующей информационной системы при составлении списка прибегают к ряду источников, в частности, используют сетевые сканеры уязвимостей, каталоги уязвимостей различных организаций (например, база данных по уязвимостям института стандартов США http://icat.nist.gov), специализированные методы анализа рисков. При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима ИБ, данные внутреннего аудита и результаты анализа имевших место инцидентов.

Если КИС находится в стадии проектирования, учитываются планируемые процедуры обеспечения ИБ, статистика по уязвимостям, данные производителей средств защиты информации.

Некоторые технологии оценки угроз и уязвимостей рассмотрены в параграфе 2.3.

Формирование списка управляющих воздействий организации на режим ИБ, структурированного по уровням или областям ответственности, пример которого приведен в приложении 1.

Подробно средства управления ИБ предприятия описываются в различных руководствах, например, в NIST SP 800-26.

Анализ системы управления КИС с позиции возможного воздействия на выявленные угрозы и уязвимости. Обычно рассматриваются две категории методов управления: технического и нетехнического уровня.

Методы технического уровня, в свою очередь, подразделяются на:

· обеспечение требований базового уровня (идентификация, управление системой распределения ключей, администрирование, способы защиты программно-технических элементов системы);

· упреждающие меры (авторизация, обеспечение безотказности, контроль доступа, сохранение конфиденциальности трансакций);

· обнаружение нарушений в области ИБ и процедуры восстановления (аудит, выявление вторжений, антивирусная защита, проверка целостности программного обеспечения и данных).

К методам нетехнического уровня относятся различные методы управления организационного и процедурного характера.

Анализ возможных последствий нарушения режима ИБ проводится с целью определить действительную цену таких нарушений. Последствия нарушения режима ИБ могут быть разноплановыми, в частности, прямые финансовые убытки, потеря репутации, различные санкции со стороны официальных структур и т.д. На данном шаге производится выбор системы критериев для оценки последствий нарушения режима ИБ и принимается интегрированная шкала для оценки тяжести последствий, подобная приведенной в приложении 1.

Оценка рисков. На этом шаге измеряется уровень рисков нарушения целостности, конфиденциальности и доступности информационных ресурсов. Уровень риска определяется уровнями угроз, уязвимостей и ценой возможных последствий нарушения ИБ. Существуют различные методики измерения информационных рисков, ряд которых рассматривается в параграфе 2.3.

Если применяются качественные методы измерения, возможные риски нарушения ИБ ранжируются по степени их опасности с учетом таких факторов, как цена возможных потерь, степень угрозы и уязвимости.

Если риски оцениваются с помощью количественных шкал, это дает возможность упростить последующий анализ предлагаемых контрмер по критерию «стоимость-эффективность». Однако, в этом случае предъявляются более строгие требования к шкалам измерения исходных данных и проверке адекватности принятой модели.

Выработка рекомендаций по управлению рисками, то есть снижению рисков до допустимого уровня, является необходимым этапом на основе проведенного анализа. Указывается, что рекомендации должны быть комплексными и предусматривать возможные меры различных уровней, например:

· коррективы и дополнения в политику ИБ;

· изменения в регламентах обслуживания и должностных инструкциях;

· дополнительные программно-технические средства и т.п.

Разработка итоговых отчетных документов, удовлетворяющих определенным требованиям к их содержанию. В частности, обязательно наличие следующих разделов: цели работы, принятая методология, описание информационной системы с позиции ИБ, угрозы, уязвимости, риски, предлагаемые контрмеры.

Представляется очевидным, что следование требованиям рассмотренного стандарта предполагает значительные трудозатраты и соответствующую квалификацию специалистов. Вместе с тем, всесторонний анализ информационных рисков, которые принимает на себя организация, существенно облегчает и в конечном итоге удешевляет построение системы управления ИР и обеспечения ИБ компании.

2.3 Технологии анализа информационных рисков

Опубликованные в настоящее время документы различных организаций и положения ряда стандартов в области защиты информации, посвященные вопросам анализа ИР и управления ими, безусловно, не содержат многих существенных деталей, которые требуется обязательно конкретизировать при разработке применимых на практике методик. Степень конкретизации этих деталей зависит от уровня зрелости организации, специфики ее деятельности и ряда других факторов. Таким образом, невозможно предложить какую-либо единую, приемлемую для всех отечественных кредитных организаций универсальную методику, соответствующую определенной концепции управления рисками. В каждом частном случае приходится адаптировать некую общую методику анализа рисков и управления ими под конкретные нужды организации с учетом специфики ее функционирования и ведения бизнеса.

Идентификация рисков. В любой методике необходимо идентифицировать риски, как вариант - их составляющие - угрозы и уязвимости. Естественным при этом является требование полноты списка. Однако, сложность задачи составления списка и доказательства его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности специальные требования к детализации классов, как правило, отсутствуют, так что вполне достаточно воспользоваться каким-либо подходящим в данном случае стандартным списком классов рисков. Оценка величины рисков не рассматривается, что приемлемо для методик базового уровня. Списки классов рисков содержатся в ряде руководств, а также в специализированном программном обеспечении для анализа рисков. Пример - германский стандарт BSI, в котором имеется каталог угроз применительно к различным элементам информационных технологий. Достоинством подобных списков является их полнота: классов, как правило, немного (десятки), они достаточно широкие и заведомо покрывают все существующее множество рисков. Недостаток - сложность оценки уровня риска и эффективности контрмер для широкого класса, поскольку подобные расчеты удобнее проводить по более узким (конкретным) классам рисков.

Оценивание рисков, при котором рассматриваются следующие аспекты:

· шкалы и критерии, по которым можно измерять риски;

· оценка вероятности событий;

· технологии измерения рисков.

Для измерения какого-либо свойства необходимо выбрать шкалу. Шкалы могут быть прямыми (естественными) и косвенными (производными). В ряде случаев прямых шкал не существует, приходится использовать либо прямые шкалы других свойств, связанных с интересующими нас, либо определять новые шкалы. Пример - шкала для измерения субъективного свойства «ценность информационного ресурса». Эта ценность может измеряться в единицах измерения производных шкал, таких как стоимость или время восстановления ресурса и пр. Другой вариант - определить шкалу для получения экспертной оценки, например, имеющую три значения: малоценный информационный ресурс, ресурс средней ценности, ценный ресурс.

Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным либо субъективным критериям. Примером объективного критерия является вероятность выхода из строя какого-либо оборудования, в частности, персонального компьютера (ПК) за определенный промежуток времени. Пример субъективного критерия - оценка владельцем информационного ресурса риска выхода из строя ПК. В последнем случае обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровень. В методиках анализа рисков, как правило, используются субъективные критерии, измеряемые в качественных единицах, поскольку:

· оценка должна отражать субъективную точку зрения владельца информационного ресурса;

· следует учитывать различные аспекты - не только технические, но и организационные, психологические и т.д.

Субъективные шкалы бывают количественными и качественными, но на практике, как правило, применяются качественные шкалы с 3-7 градациями.

На сегодняшний день существует ряд подходов к измерению рисков. Остановимся на наиболее распространенных из них - оценке рисков по двум и по трем факторам.

Оценка рисков по двум факторам представляет собой простейший случай оценки исходя из вероятности происшествия и тяжести возможных последствий, общая идея которого выражается формулой:

РИСК = Р_{происшествия} x Цена потери.

Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь. В случае, когда переменные - качественные величины, то метрическая операция умножения не определена, и в явном виде формула, очевидно, не применима.

Рассмотрим наиболее распространенный вариант использования качественных величин. При этом сначала необходимо определить шкалы. Например, субъективная шкала вероятностей событий может быть построена следующим образом:

A - событие практически никогда не происходит;

B - событие случается редко;

C - вероятность события за рассматриваемый промежуток времени порядка 0,5;

D - скорее всего, событие произойдет;

E - событие произойдет почти обязательно.

Далее устанавливается субъективная шкала серьезности происшествий (с точки зрения причиняемого ущерба и ликвидации последствий), например, в следующем виде:

N (Negligible) - воздействием можно пренебречь;

Mi (Minor) - незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на ИТ незначительно;

Mo (Moderate) - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на ИТ небольшое и не затрагивает критически важные задачи;

S (Serious) - происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на ИТ ощутимо, влияет на выполнение критически важных задач;

C (Critical) - происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется шкала из трех значений:

· низкий риск;

· средний риск;

· высокий риск.

Таким образом, риск, связанный с конкретным событием, принимается зависящим от двух факторов и может быть определен на основе таблицы 2.2.

Таблица 2.2. Определение риска в зависимости от двух факторов

Шкала	Negligible	Minor	Moderate	Serious	Critical
A	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
B	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
C	Низкий риск	Средний риск	Средний риск	Средний риск	Высокий риск
D	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
E	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

При использовании подобных методик оценки рисков необходимо придерживаться определенных требований для достижения максимально корректного результата, поскольку измерение рисков обычно производится путем опроса группы экспертов.

Оценка рисков по трем факторам применяется в зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень безопасности, и оперирующих следующими понятиями:

· угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, конфиденциальности, доступности информации;

· уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия (объективная либо субъективная величина) зависит, таким образом, от уровней (вероятностей) угроз и уязвимостей.

Соответственно, риск может быть рассчитан следующим образом:

РИСК = Р _угрозы x Р _{уязвимости} x Цена потери.

Данное выражение опять можно рассматривать как математическую формулу при использовании количественных шкал либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае обычно применяются различного рода табличные методы для расчета риска в зависимости от трех факторов.

Например, показатель риска измеряется по 8-балльной шкале следующим образом:

1 - риск практически отсутствует. Теоретически возможны ситуации, при которых событие наступает, однако, на практике это случается крайне редко, а потенциальный ущерб весьма мал;

8 - риск крайне велик. Событие, скорее всего, наступит, и последствия будут чрезвычайно тяжелыми.

При условии обозначения уровней уязвимости через H, C и B (низкий, средний и высокий соответственно) матрица может выглядеть подобно представленной в табл. 2.3.

Таблица 2.3. Определение риска в зависимости от трех факторов

Степень серьезности происшествия (цена потери)	Уровень угрозы
	низкий	средний	высокий
	уровни уязвимостей	уровни уязвимостей	уровни уязвимостей
	H	C	B	H	C	B	H	C	B
Negligible	0	1	2	1	2	3	2	3	4
Minor	1	2	3	2	3	4	3	4	5
Moderate	2	3	4	3	4	5	4	5	6
Serious	3	4	5	4	5	6	5	6	7
Critical	4	5	6	5	6	7	6	7	8

Подобные таблицы используются как в руководствах по методическому обеспечению оценки рисков, так и в различного рода инструментальных средствах - программном обеспечении анализа рисков как базового, так и повышенного (полного) уровня, к которым относятся COBRA http://www.pcorp.u-net.com/risk.htm., RA Software Tool http://www.aexis.de., CRAMM http://www.insight.co.uk/cramm/index.htm., отечественное прикладное средство «Авангард» и ряд других.

Технологии оценки угроз и уязвимостей применяют различные методы, в основе которых могут лежать:

· экспертные оценки;

· статистические данные;

· анализ факторов, влияющих на уровни угроз и уязвимостей.

Накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят, может позволить оценить угрозы и уязвимости в других информационных системах. Однако, для надежных оценок должен быть доступен весьма обширный статистический материал о происшествиях в рассматриваемой области, кроме того, для новейших элементов технологии, как правило, сравнительно долго отсутствует достоверная статистика.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. В частности, в методе CRAMM оценка угроз и уязвимостей для каждого класса рисков выполняется на основе выбранных косвенных факторов, по которым предлагаются соответствующие вопросы и несколько фиксированных вариантов ответов, «стоящих» определенное количество баллов. Итоговая оценка угрозы и уязвимости данного класса определяется путем суммирования набранных баллов. К недостаткам указанного подхода относится то, что косвенные факторы и их вес существенно зависят от сферы деятельности организации и ряда других обстоятельств, поэтому методика всегда требует подстройки под конкретный объект.

Выбор допустимого вида риска всегда связан с затратами на подсистему ИБ. Первый подход типичен для базового уровня безопасности, когда уровень остаточных рисков не принимается во внимание. Затраты на мероприятия, необходимые для соответствия КИС спецификациям базового уровня (антивирусные средства, межсетевые экраны, системы резервного копирования, средства контроля доступа) являются обязательными. Дополнительные затраты, выделяемые по результатам аудита ИБ либо по инициативе службы безопасности, находятся в разумных пределах и не превышают 5-15% средств, выделяемых на ИТ в целом. Второй подход применяется для обеспечения повышенного уровня безопасности. Наиболее распространенным является анализ по критерию «стоимость-эффективность», при котором ставятся определенные оптимизационные задачи и важно правильно выбрать комплекс контрмер из возможных вариантов, оценив его эффективность. Для облегчения выбора комплекса контрмер в ряде методик (например, CRAMM) используются таблицы, в которых классам угроз ставится в соответствие список возможных контрмер. Далее производится оценка эффективности выбранных контрмер на основе таблиц типичных ориентировочных оценок эффективности вложений в различные классы мероприятий в области ИБ.

В заключение подчеркнем, что на сегодняшний день в экономически развитых странах существует довольно обширный и детально проработанный инструментарий управления информационными рисками, применение которого способствует эффективному обеспечению информационной безопасности организаций, в частности, банковского сектора.

Глава 3. Управление информационными рисками в кредитных организациях: нормативные требования и опыт проверок на современном этапе

3.1 Особенности отечественного законодательства и нормативной базы

Исторически вопросами информационной безопасности отечественные банкиры начали серьезно интересоваться в середине 90-х годов, когда стало понятно, что без систематического внимания к этим проблемам невозможно дальнейшее развитие и укрепление отечественной банковской системы. К этому времени в крупных кредитных организациях появляются специалисты и подразделения, занимающиеся вопросами ИБ. Банк России при проведении проверок коммерческих банков начал все более активно и углубленно включать в проверки вопросы защиты информации. Крупные аудиторские фирмы при проведении ежегодного аудита российских банков также стали серьезно интересоваться вопросами ИБ, создавать у себя соответствующие структурные подразделения.

Постепенно увеличивалась глубина рассматриваемых проблем, начали применяться отечественные и международные требования и стандарты по защите информации. Однако при более детальном рассмотрении сути вопросов применительно именно к банковской тематике стали все более четко вырисовываться недостатки требований и стандартов, а также имеющейся законодательной базы.

Базовым документом для службы ИБ любого российского предприятия, в том числе кредитной организации, является Федеральный закон «Об информации, информатизации и защите информации» [4], который

· определяет принципы защиты конфиденциальной информации банка, права и обязанности банка в сфере обеспечения безопасности информационных процессов при применении информационных систем, технологий и средств их обеспечения (ст. 1);

· служит принципиальной основой для разработки законодательных норм, иных нормативных, в том числе локальных, актов банка, регулирующих отношения, связанные с созданием, использованием и защитой информации (ст. 3);

· вводит понятие конфиденциальной информации, разновидностью которой является банковская тайна, и устанавливает основания для правомерного ограничения доступа к ее составляющим от посторонних (ст. 2);

· устанавливает в качестве основания защиты документированной информации возможность нанесения ущерба ее собственнику (банку) в случае неправомерного обращения с нею (п. 1 ст. 21);

· предоставляет собственнику информационных ресурсов право осуществлять контроль за выполнением требований по защите информации (п. 5 ст. 21);

· возлагает на собственника конфиденциальной информации обязанность обеспечивать уровень защиты информации в соответствии с законодательством Российской Федерации (п. 2 ст. 22).

Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [1], с одной стороны, применим в информационной безопасности с точки зрения обеспечения защиты интеллектуальной собственности, а с другой стороны, создает основу для защиты от обвинений в использовании пиратских программ.

Соблюдение требований Федерального закона «Об электронной цифровой подписи» [5] придает электронным документам юридически значимый статус, эквивалентный документам на бумажных носителях с соответствующими подписями и печатями. Вместе с тем, по мнению специалистов, практика применения данного закона не только не облегчила использования в банковской деятельности этого средства защиты информации, а наоборот - создала значительное количество проблем См., напр.: Левашов М.В. Об использовании электронной цифровой подписи в банке // Расчеты и операционная работа в коммерческом банке, 2002, №3, с. 49-55; Шамраев А.Б. Электронная (цифровая) подпись и режим ее использования // Расчеты и операционная работа в коммерческом банке, 2002, №10, с. 57-65; 2002, №11, с. 89-95; 2002, №12, с. 84-92.. В частности, особенно сложная ситуация сложилась вокруг использования криптографических средств защиты информации Мартынова Т. IT-защита в банках в обход закона // Банковское обозрение, 2004, №10, с. 36-38..

Содержащиеся в Руководящих документах Гостехкомиссии при Президенте РФ ведомственные (государственные) требования по защите информации определяют конкретные мероприятия по противодействию большому количеству угроз. При этом, большинство документов Гостехкомиссии РФ в области защиты информации датируются 1992 годом и относятся к ИТ на базе уже устаревших аппаратных средств. Кроме того, документы отражают «военную» точку зрения на проблемы ИБ, в соответствии с которой основные усилия направлены на обеспечение конфиденциальности (защищенности от НСД) информации, являющейся государственной или военной тайной. Другим аспектам - сохранению целостности и доступности - уделено гораздо меньше внимания. Таким образом, рассматриваемые в документах угрозы далеко не исчерпывают весь перечень угроз, которым подвержены банковская информация и банковские информационные технологии.

Требования к безопасности автоматизированных систем в указанных материалах сформулированы по подсистемам, при этом устанавливается 9 классов защищенности от НСД к информации. Каждый класс характеризуется некоторой минимальной совокупностью требований к защите. Классы подразделяются на три группы в зависимости от специфики обработки информации, в пределах каждой группы соблюдается иерархия требований к защите. Представление об этих требованиях дает таблица из документа «Классификация автоматизированных систем и требования по защите информации» [11].

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» [13] представляет определенный интерес в качестве основы построения кредитной организацией собственных документов, определяющих режим ИБ, в частности, при разработке модели нарушителя (раздел 4 Концепции), описании способов организации НСД (раздел 5), проектировании основных направлений защиты от НСД (раздел 6).

Очевидно, что разработанная в начале 90-х годов нормативная база в области ИБ уже не в полной мере соответствует уровню развития ИТ и не обеспечивает адекватной защиты информационных ресурсов. В связи с этим были предприняты шаги в направлении совершенствования нормативной базы на основе развития отечественной науки и использования опыта передовых мировых держав, в частности, принятых в настоящее время в Европе «Общих критериев». В международном стандарте ISO 15408 «Общие критерии оценки безопасности информационных технологий» ISO 15408. The Common Criteria for Information Technology Security Evaluation. обобщен опыт использования «Оранжевой книги» (Европейских критериев ITSEC) и подробно рассмотрены общие подходы, методы и функции обеспечения защиты корпоративной информации. На сегодняшний день ISO 15408 является одним из наиболее распространенных стандартов в области безопасности ИТ. В его создании принимали участие организации из США, Канады, Англии, Франции, Германии, Голландии.

В рамках работы по гармонизации российских и международных стандартов в области ИБ по инициативе Гостехкомиссии РФ на основе адаптации ISO 15408 в 2002 году был предложен и введен в действие с 01.01.2004 российский ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который можно применять в качестве альтернативы действующим Руководящим документам Гостехкомиссии РФ при обеспечении ИБ в КИС, не содержащих сведения, относящиеся к государственной тайне. Требования по ИБ хорошо структурированы и сформулированы для большого числа классов информационных систем. Стандартом можно пользоваться как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.

Документ состоит из следующих основных частей:

Часть 1. «Введение и общая модель» [6]. Определяются общая концепция формирования требований безопасности продуктов и систем ИТ, принципы и цели оценки уровня безопасности, основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности. Требования безопасности системы определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения системы и условий среды ее использования (угроз, предположений, политики безопасности).

Часть 2. «Функциональные требования безопасности» [7]. Приведены требования к функциям безопасности и систематизированный каталог показателей для оценки ИБ с возможностью их детализации и расширения по определенным правилам.

Часть 3. «Требования доверия к безопасности» [8]. Перечислены требования к гарантиям безопасности, определяющие меры, которые должны быть предприняты на всех этапах жизненного цикла системы ИТ. Устанавливаются критерии оценки, определяющие шкалу требований, которые позволяют сделать заключение об уровне доверия к безопасности системы.

Перечислим основные особенности ISO 15408 по сравнению с другими стандартами в области ИБ:

· стандарт позволяет определить полный перечень требований к средствам безопасности, а также критерии их оценки (показатели защищенности информации);

· стандарт определяет полный перечень объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и оценки системы ИБ;

· стандарт позволяет оценить полноту системы информационной безопасности с технической точки зрения, не рассматривая при этом комплекс организационных мер по обеспечению защиты информации;

· стандарт формулирует критерии оценки и не содержит методики ее проведения.

Отметим, что принятие и ввод в действие в России международного стандарта ISO 15408 «Общие критерии» - безусловно, нужный шаг. Вместе с тем, по мнению специалистов, на апробацию и практическое внедрение стандарта уйдет несколько лет. В целом же в России сегодня мало известны документы класса «Good practice» «Good practice» (англ.) - хорошая практика. - многочисленные зарубежные стандарты и рекомендации, в частности, ISO 17799 (BS 7799), BSI, которые отвечают на вопрос, как обеспечить режим ИБ организации на практике.

Кроме того, действующие стандарты не содержат четких и ясных рекомендаций по разработке политики безопасности и инструментов оценки эффективности работы собственных подразделений ИБ кредитных организаций.

Существующая сегодня в России нормативная база, которой руководствуются банки, к сожалению, не адаптирована к особенностям кредитно-финансовой сферы, к тем угрозам, которые в ней присутствуют. Фактически она охватывает только технические стороны вопроса защиты информации. Что же касается управления, аудита и оценки информационной безопасности, то эти аспекты в документах не рассматриваются. Более того, развивается нормативная база в том же направлении - в русле совершенствования и усиления требований по технической защите информации и не учитывает реальные модели нарушителя и модели угроз, которые свойственны для кредитно-финансовой сферы.

Таким образом, действующие документы не содержат требований и понятных инструментов эффективного построения кредитными организациями систем информационной безопасности, соответствующих реалиям сегодняшнего дня, отраженным в ряде международных стандартов в области безопасности ИТ.

3.2 Деятельность Банка России в области управления информационными рисками кредитных организаций

Сложившаяся ситуация в области информационной безопасности банковской системы находит понимание в Банке России, свидетельством чему является ряд нормативных документов, разработанных Банком России либо при его участии в 2003-2004 гг.

В соответствии с общепринятой международной практикой, в частности, рекомендациями Базельского комитета по банковскому надзору, Банк России уделяет особое внимание роли внутреннего контроля кредитной организации в обеспечении ее безопасности в информационной сфере, что нашло свое отражение в Положении Банка России, посвященном организации внутреннего контроля в кредитных организациях и банковских группах [14], вступившем в силу в феврале 2004 года.

Согласно данному Положению, внутренний контроль в кредитной организации (КО) осуществляется, в том числе, в целях обеспечения информационной безопасности, то есть защищенности интересов и целей КО в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений (п.п. 1.2.2).

При этом, система внутреннего контроля должна включать контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности (п. 3.1), а порядок контроля за управлением информационными потоками и обеспечением ИБ должен быть установлен внутренними документами КО и распространяться на все направления ее деятельности (п.п. 3.5.1).

Вслед за рекомендациями Базельского комитета по банковскому надзору [22], Банк России устанавливает, что внутренний контроль за автоматизированными информационными системами и техническими средствами должен состоять из общего контроля и программного контроля (п.п. 3.5.2).

Общий контроль проводится с целью обеспечения бесперебойной и непрерывной работы и состоит из процедур резервирования данных, процедур восстановления функций информационных систем, осуществления поддержки в течение жизненного цикла системы, порядка контроля за безопасностью физического доступа (п.п. 3.5.3).

Программный контроль осуществляется встроенными автоматизированными, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (п.п. 3.5.4).

Кредитной организации следует разработать правила управления информационной деятельностью, в том числе порядок защиты от НСД и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях (п.п. 3.5.5).

КО должна иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием резервных автоматизированных систем, включая восстановление критических для деятельности КО систем, поддерживаемых внешним поставщиком (провайдером) услуг, при этом должен быть определен порядок проверки этих планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также разработан перечень таких непредвиденных обстоятельств (п. 3.7).

Кредитной организации наряду с другими основными документами, связанными с осуществлением внутреннего контроля, следует разработать и принять политику информационной безопасности (п. 14 Приложения №2 к Положению).

Таким образом, Положением закреплен ряд обязательных организационных и других мер в области обеспечения и контроля за информационной безопасностью банков.

В настоящее время все большее распространение среди технологий предоставления банковских услуг отечественными банками получают разнообразные способы дистанционного банковского обслуживания (ДБО, или, по международной терминологии, е-банкинга), в частности, интернет-банкинг. В 2001 г. Банком России проводилось сплошное, а в 2003 г. - выборочное анкетирование кредитных организаций по тематике интернет-банкинга в шести регионах РФ. По результатам обработки полученных данных было установлено, что в этой группе регионов за два года количество юридических лиц, пользующихся доступом к банковским услугам через Интернет, выросло в 3 раза, причем счет перешел с тысяч на десятки тысяч, количество физических лиц увеличилось в два раза, достигнув нескольких тысяч человек, при этом количество самих банков, предоставляющих такие услуги, выросло в среднем в 2,5 раза. Кроме того, данные, полученные уже в 2004 г. еще по одной группе регионов, свидетельствуют о том, что такое направление ДБО, как интернет-банкинг, получило развитие как минимум в двух десятках регионов России, и этот процесс продолжается Лямин Л.В. Электронный банкинг: направления банковского регулирования и надзора // Деньги и кредит, 2004, №6.. Эти явления обусловили необходимость введения специализированного банковского надзора в области е-банкинга.

В феврале 2004 г. Банком России были опубликованы рекомендации по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет [18], содержащие основные понятия, состав сведений, подлежащих размещению на информационных Web-сайтах КО, а также некоторые особенности организации банковских операционных Web-сайтов.

С 1 июля 2004 г. был введен в действие нормативный акт Банка России, устанавливающий порядок информирования кредитными организациями Банка России об использовании в своей деятельности интернет-технологий [17]. В этом документе предусмотрен сбор определенных сведений и о самих интернет-технологиях, и об их организационном и документарном обеспечении, и об условиях применения. Причем последнее считается наиболее важным вопросом в международной практике банковского надзора в данной области, поскольку в большинстве случаев именно от конкретных условий применения современных банковских технологий зависит и наличие тех или иных связанных с ними источников или факторов риска, равно как и уровни рисков и степень их влияния на показатели состояния и характеристики функционирования кредитных организаций. Планируется, что обработка сведений, которые будут поступать в Банк России в соответствии с данным нормативным документом, позволит сформировать общую картину распространения в банковском секторе России интернет-обслуживания, оценивать развитие технологии интернет-банкинга, а также осуществлять мониторинг условий применения банками интернет-технологий в целом, одновременно выявляя возможные проблемы, требующие регулирующих воздействий со стороны Банка России. Эта информация необходима также и для выработки Банком России в перспективе типовых рекомендаций по внедрению и обеспечению необходимых условий для применения таких технологий, то есть таких условий, которые в наивысшей возможной степени гарантировали бы эффективность и надежность их применения одновременно с обеспечением защищенности банковских операций Лямин Л.В. Принципы банковского надзора в области интернет-банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке, 2003, №3..

Во взаимодействии с банковским сообществом Центральным банком РФ были предприняты шаги для решения, пожалуй, основной проблемы в области банковской информационной безопасности - отсутствия стандартизации применительно к финансово-кредитной сфере. В резолюции V Всероссийского форума «Банковская безопасность: состояние и перспективы развития», проходившего в октябре 2002 года, отмечалось: «Поддержать намерение ЦБ РФ разработать стандарты обеспечения банковской безопасности и предложить создать соответствующую рабочую группу с участием специалистов коммерческих банков».

Банк России возглавил процесс создания стандартов информационной безопасности банков. В конце января 2003 года в ЦБ РФ состоялось совещание, посвященное вопросам стандартизации деятельности банков по защите информации и информационных технологий. Кроме представителей Банка России в совещании приняли участие большая группа специалистов коммерческих банков, представители Ассоциации российских банков, Гостехкомиссии РФ, научно-исследовательских институтов и фирм-разработчиков. На совещании были рассмотрены актуальные вопросы обеспечения информационной безопасности банков, итоги работы фирм-разработчиков над выработкой элементов стандарта информационной безопасности, задачи на будущее. Итогом совещания явился Протокол Протокол совещания по вопросам создания проекта корпоративного стандарта информационной безопасности банковской системы России от 24.01.2003., в котором был поддержан курс на разработку корпоративного банковского стандарта информационной безопасности, а также выработан ряд важных требований к будущему стандарту:

ь простота и понятность;

ь непротиворечивость терминов и определений;

ь открытость (под открытостью понимается как возможность развития данного стандарта, так и возможность последующей разработки и интеграции в стандарт документов более низкого уровня - уточняющих, дополняющих и детализирующих положения базового стандарта);

ь прямое действие стандарта (стандарт не должен требовать для своего применения дополнительных нормативных или распорядительных документов). Требования стандарта должны распространяться на организацию в целом и быть лаконично изложены в виде наилучших практик и опыта решения проблем безопасности;

ь гармонизация стандарта с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) область ИБ ИТ;

ь наличие механизмов актуализации стандарта.

В конце ноября 2003 года на базе научно-производственной фирмы «Кристалл» (г. Пенза) прошло первое заседание подкомитета 3 «Защита информации в кредитно-финансовой сфере», входящего в состав технического комитета 362 «Защита информации» Госстандарта России Адрес официального Web-сайта подкомитета: http://www.techcom3623.ru.. Этот подкомитет был образован по инициативе Банка России в целях общенационального нормативного регулирования процессов обеспечения и аудита информационной безопасности в отечественных кредитно-финансовых организациях. Прошедшее в конце апреля 2004 г. очередное заседание подкомитета рассмотрело представленный текст проекта стандарта, который после внесения редакционных правок был рекомендован Банку России для принятия Курило А., Голованов В. Национальные стандарты информационной безопасности для кредитно-финансовой сферы // Банковское дело в Москве, 2004, №6, с. 61-63..

Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [20] был принят и введен в действие с 1 декабря 2004 г. Он рекомендован для применения (на добровольной основе) в отечественных кредитных организациях путем включения ссылок на него и использования его положений во внутренних нормативных и методических разработках, а также в договорах.

Структура документа включает следующие основные функциональные разделы:

· исходная концептуальная схема (парадигма) информационной безопасности;

· основные принципы обеспечения информационной безопасности;

· модели угроз и нарушителей информационной безопасности;

...