· политика информационной безопасности;

· управление информационной безопасностью;

· модель зрелости управления информационной безопасностью;

· аудит и мониторинг информационной безопасности;

· направления развития стандарта.

Парадигма информационной безопасности стандарта основывается на модели, которая отражает концепцию информационного противоборства собственника и злоумышленника Под злоумышленником понимается лицо, которое совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий. за контроль над информационными активами (включают информацию и инфраструктуру) собственника. При этом злоумышленник, как правило, изучает объект нападения, отрабатывая наиболее эффективный способ реализации своих целей. Поэтому собственник должен стремиться к выявлению следов такой активности, для чего он создает уполномоченный орган - службу обеспечения ИБ (подразделения или лица, ответственные за обеспечение ИБ).

Главным инструментом собственника является основанный в первую очередь на его опыте прогноз (разработка модели угроз и модели нарушителя) относительно его информационных активов. При этом злоумышленник для достижения своих целей также формирует (явно или нет) модель возможного поведения объекта нападения. Следовательно, чем точнее сделан прогноз, тем ниже риски нарушения ИБ в кредитной организации при минимальных ресурсных затратах. Таким образом, наиболее эффективный способ добиться минимизации рисков нарушения ИБ собственника - разработка на основе точного прогноза политики информационной безопасности Политика информационной безопасности - одно или несколько правил, процедур, практических приемов и руководящих принципов в области ИБ, которыми руководствуется КО в своей деятельности [20]. и построение в соответствии с ней системы управления ИБ в организации.

При разработке политики ИБ организации должны использоваться положения стандарта, определяющие основные принципы ее обеспечения, включая разработку модели угроз и модели нарушителя. В стандарт включены общие требования (правила) ИБ по восьми областям, которые должны найти отражение в политике ИБ:

· назначение и распределение ролей и доверия к персоналу;

· стадии жизненного цикла АБС;

· защита от НСД, управление доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;

· антивирусная защита;

· использование ресурсов Интернет;

· использование средств криптографической защиты информации;

· защита банковских платежных и информационных технологических процессов.

В то же время политика ИБ может рассматривать и другие области обеспечения ИБ, отвечающие бизнес-целям организации.

В основу принципов управления ИБ организации положены требования регуляторного и процессного характера. Требования регуляторного характера определяют положения организационно-административного свойства, в частности, создание и наделение соответствующими полномочиями службы информационной безопасности. В соответствии со стандартом BS 7799-2 [38], рекомендуется выделять четыре основных процесса управления ИБ: планирование процессов выполнения требований ИБ; реализация и эксплуатация защитных мер; проверка процессов выполнения требований ИБ и защитных мер; совершенствование процессов выполнения требований ИБ и защитных мер. Качество функционирования системы управления ИБ необходимо оценивать по полноте, адекватности и уровню зрелости поддерживаемых ею процессов.

Результаты оценки (аудита) ИБ организации могут быть выражены в терминах уровня зрелости процессов управления ИБ. Стандарт основывается на модели зрелости, определенной стандартом COBIT COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000., которая определяет шесть уровней зрелости организации - с нулевого по пятый. Подчеркивается, что для качественного предоставления основного набора банковских услуг организациям рекомендуется обеспечить уровень зрелости процессов управления ИБ не ниже четвертого.

Разработка и введение рассмотренного стандарта является, безусловно, важным и необходимым шагом в направлении обеспечения ИБ отечественной банковской системы. Банк России намерен продолжать работу в данном направлении совместно с кредитными организациями, принимающими участие в опытном внедрении разработанного стандарта, в рамках которого намечена апробация путей практического внедрения положений стандарта, включая проработку вопроса формирования основ системы оценки ИБ организаций отечественной банковской системы.

3.3 Практика анализа информационных технологий в ходе проверок кредитных организаций

банковский риск информационный управление

Территориальные учреждения Банка России и, в частности, их инспекционные подразделения в процессе своей деятельности обращают определенное внимание на вопросы анализа информационных технологий и управления информационными рисками в кредитных организациях.

В этой связи можно отметить Главное управление Банка России по Свердловской области, в котором проводится работа по определению подходов к оценке рисков, связанных с использованием банками электронных технологий см. Сорвин С.В. Об оценке рисков в деятельности кредитных организаций, связанных с использованием электронных технологий // Деньги и кредит, 2004, №1..

Для сбора сведений о применяемых банками ИТ в Главном управлении был разработан классификатор, объектами которого являются электронные банковские технологии, их системно-техническое, правовое, документационное обеспечение и ряд других факторов.

Перечень информации в классификаторе представлен по различным видам технологий: системы для осуществления платежей и расчетов (с выделением систем расчетов с использованием банковских карт и систем ДБО), системы биржевой торговли, системы обмена документами, системы электронной почты, обеспечивающие информационные системы, различные АБС для автоматизации отдельных видов банковской деятельности, электронные системы обеспечения безопасности информации.

Для получения необходимой информации по указанным вопросам были установлены определенные требования к разделу акта проверки кредитной организации, посвященному анализу применяемых электронных технологий.

Разработанными методическими рекомендациями по оценке рисков в области ИТ используется качественная шкала оценки уровня риска (низкий, средний, высокий) В настоящее время на основании опыта практического применения методик принято решение об увеличении числа классификационных групп риска с трех до пяти в целях увеличения точности оценок. с использованием формализованных оснований для отнесения к той или иной группе риска по результатам оценки ряда показателей в совокупности с применением в случае необходимости экспертных оценок, что позволяет сформулировать мотивированное суждение об уровне риска при использовании определенной технологии, а также системы управления в целом.

При этом анализ применения ИТ по результатам проверок проводится по четырем основным направлениям:

· определение значимости используемых ИТ путем оценки удельного веса «электронных» операций в их общем объеме, планирование кредитной организации в области расширения и развития использования информационных технологий и т.п.;

· оценка степени правового обеспечения вопросов, связанных с использованием ИТ при осуществлении банковских операций на основании анализа договоров об оказании услуг с использованием ДБО с учетом действующей нормативной базы, а также анализа договоров с поставщиками программного обеспечения, провайдерами услуг и т.п.;

· определение уровня программно-технического обеспечения функционирования процессов, связанных с применением ИТ, на основании полученных данных об использовании прикладной и аппаратной составляющих электронных технологий, включая различные методы и средства защиты от НСД, наличии соответствующих лицензий, применении систем дублирования, архивирования и восстановления информации и т.д.;

· оценка организации применения банком ИТ путем анализа поступившей информации о деятельности кредитной организации по снижению информационных рисков и их мониторинге, в том числе со стороны службы внутреннего контроля, наличии внутренних документов, регламентирующих применение электронных банковских технологий, проведении тестовых испытаний, использовании персонала соответствующей квалификации и т.д.

В инспекционном подразделении Главного управления Банка России по Нижегородской области была разработана методика «Проведение компьютерного аудита в кредитных организациях». На первом этапе проверки кредитной организации данным документом предусмотрено заполнение руководителем подразделения информатизации банка специальных опросных листов, на основе которых инспектор получает информацию следующего характера:

· разработанные в кредитной организации внутренние документы и положения о структурных подразделениях, должностные инструкции, положения о применении программных средств, описания технологических процессов их применения, структурные схемы по составу и взаимодействию программных средств, положения о защите информации, схемы и описания локальных вычислительных сетей и т.п.

· организационная структура подразделения информатизации, состав структурных подразделений, занимающихся внедрением, сопровождением, эксплуатацией и разработкой программных средств;

· список приобретенных программных средств, их разработчиков и поставщиков, порядок их сопровождения;

· список программных средств банка собственной разработки, структурных подразделений - их разработчиков, подразделений банка, использующих данные программные средства;

· характеристики локальных вычислительных сетей, используемых в банке;

· информация по каждому прикладному программному средству, применяемому в банке, включает его назначение, разработчика, состав документации, в каких структурных подразделениях кредитной организации используется, какой отдел ведет сопровождение, язык программирования, применяемая система управления базами данных, количество рабочих мест, частота создания копий баз данных, время хранения копий баз данных, системы контроля обработки информации, системы защиты информации от аппаратных сбоев и НСД.

Следующий этап проверки предусматривает детальное изучение внутренних документов кредитной организации: положения о подразделении информатизации, должностных инструкций его сотрудников, документов, определяющих порядок защиты информации и разграничения прав доступа к информационным ресурсам и т.д. Проведенный анализ позволяет сделать вывод об уровне оснащения и использования программных средств в кредитной организации, распределения полномочий между подразделениями.

Из комплекса программного обеспечения, применяемого в банке, выбираются основные прикладные программные средства, существенно влияющие на функционирование кредитной организации. На основе имеющейся документации по их использованию и эксплуатации производится анализ функционального назначения и возможностей программного комплекса, оценивается применяемая система разграничения уровней доступа и полномочий, а также настройки программных средств защиты информации от аппаратных сбоев и НСД. Для программных средств, приобретенных у сторонних организаций, определяется характер поддержки и сопровождения системы со стороны фирмы - разработчика, рассматривается порядок установки программного обеспечения, оценивается договор на приобретение с точки зрения предоставления банку исходных текстов программных модулей и права на их модификацию, устанавливается, проводилось ли обучение соответствующего персонала кредитной организации навыкам работы с программным обеспечением. Если программное средство было самостоятельно разработано подразделением банка, устанавливается, проводилось ли тестирование программного обеспечения и как оформлены его результаты, рассматривается порядок модификации системы и внесения изменений в эксплуатационную документацию, а также обучения пользователей системы.

На завершающем этапе производится демонстрация функционирования программных средств, во время которой, в частности, рассматривается интерфейс пользователя с точки зрения разграничения полномочий, а также производится оценка обеспечения надежности функционирования серверного и компьютерного оборудования с точки зрения безопасности помещений, в которых оно расположено.

Рассмотренная методика применяется специалистами инспекционного подразделения Главного управления Банка России по Нижегородской области при проведении проверок кредитных организаций. Очевидно, что подобные документы разработаны и в ряде других территориальных учреждений Банка России.

Вместе с тем, следует подчеркнуть, что отсутствие единого подхода к процедуре оценки управления рисками кредитной организации в области ИТ приводит к тому, что, как будет показано ниже, проверки банков в этой области охватывают довольно ограниченный круг вопросов, несколько изменяющийся в зависимости от квалификации проверяющих в том или ином территориальном учреждении Банка России.

Для оценки опыта инспекционной деятельности в области информационных технологий был проведен анализ актов проверок кредитных организаций, проведенных в 2003-2004 гг. в четырнадцати территориальных учреждениях Банка России, расположенных на территории Приволжского федерального округа (Нижегородская область, Кировская область, Самарская область, Оренбургская область, Пензенская область, Пермская область, Саратовская область, Ульяновская область, Республика Башкортостан, Республика Марий Эл, Республика Мордовия, Республика Татарстан, Удмуртская республика, Чувашская республика).

Вопрос проверки применения ИТ и/или обеспечения ИБ кредитной организации рассматривается в отдельном разделе акта проверки в десяти территориальных учреждениях Банка России, в актах других территориальных учреждений данный вопрос также так или иначе затрагивается при оценке системы управления рисками и степени эффективности внутреннего контроля кредитной организации. Это свидетельствует о внимании к данной проблеме, проявляемой надзорными органами территориальных учреждений Банка России.

Информация, содержащаяся в актах проверок, анализировалась с точки зрения перечня и полноты описания проверяемых вопросов, а также оценки основных рисков в области информационных технологий, которым подвержены кредитные организации.

Во-первых, необходимо отметить значительные расхождения при проведении проверок по кругу проверяемых вопросов. В частности, ни один из 45 вопросов составленного перечня не был отражен в актах проверок всех территориальных учреждений.

Во-вторых, информация, представленная в актах, в большинстве случаев охватывает лишь описание отдельных (как правило, технологических) сторон и оценку противодействия угрозам в области ИТ, связанным с нарушениями конфиденциальности (системы защиты информации от НСД) и доступности (процедуры резервного копирования и антивирусной защиты) информации. Вопросам оценки и управления другими видами информационных рисков, в частности, связанным с целостностью и своевременностью предоставления информации, внимания уделяется значительно меньше либо не уделяется вовсе.

В-третьих, серьезным недостатком значительного количества актов проверок является отсутствие полноты описания рассмотренного вопроса с точки зрения существенности отражаемой надзорной информации.

К вопросам, отраженным в актах проверок большинства территориальных учреждений Банка России, относятся:

· наличие средств защиты от компьютерных вирусов, при этом из 8 территориальных учреждений, затронувших данный вопрос, только 2 описали порядок и периодичность обновления указанного программного обеспечения;

· порядок резервного копирования информации;

· данные об используемой кредитной организацией АБС операционного дня, при этом лишь одно территориальное учреждение привело в актах условия сопровождения и поддержки указанной АБС, а также отразило наличие процедуры ведения журнала функционирования АБС;

· сведения о системе допуска сотрудников к информационным ресурсам;

· оснащение вычислительной техники СЗИ от НСД, при этом только 4 территориальных учреждения привели информацию о надлежащей сертификации средств защиты информации.

В актах проверок половины территориальных учреждений Банка России были отражены:

· наличие внутренних документов кредитной организации о назначении администратора ИБ и пользователей электронно-цифровой подписи;

· список используемых в кредитной организации программных средств;

· условия приобретения программных средств, разработанных сторонними организациями (включая случаи незаконного использования), при этом отсутствовала информация об условиях их дальнейшего сопровождения и поддержки, и только одно территориальное учреждение указало на наличие/отсутствие порядка проведения и оформления результатов тестирования указанного программного обеспечения;

· организация доступа с рабочих мест персонала кредитной организации в сеть Интернет, при этом сведения о наличии/отсутствии процедур регистрации и учета работы сотрудников в Интернет привели в актах лишь 3 территориальных учреждения.

Менее половины территориальных учреждений Банка России в актах проверок указали:

· место в организационной структуре кредитной организации подразделения, ответственного за автоматизацию и сопровождение КИС, наличие положения о подразделении автоматизации и должностных инструкций его сотрудников;

· наличие в кредитной организации структурного подразделения или лица, ответственного за информационную безопасность, положения о подразделении ИБ и должностных инструкций его сотрудников;

· наличие и описание программных средств собственной разработки, применяемых в кредитной организации, при этом отсутствовала информация о документировании процесса разработки, модификации и сопровождения данного программного обеспечения;

· порядок плановой смены идентификаторов и паролей пользователей информационных ресурсов кредитной организации;

· наличие в банке разработанного плана действий на случай нештатных и/или чрезвычайных ситуаций;

· сведения о средствах вычислительной техники, применяемых в банке;

· наличие в кредитной организации внутреннего документа, описывающего порядок разграничения прав доступа пользователей к информационным ресурсам, при этом в актах проверок лишь одного территориального учреждения из трех содержались сведения об основных положениях этого документа;

· описание процедур и процессов обмена информацией с другими структурными подразделениями кредитной организации, расположенными вне ее головного офиса;

· наличие паспортов автоматизированных рабочих мест сотрудников банка.

В единичных случаях акты проверок инспекционных подразделений территориальных учреждений Банка России содержали:

· сведения о назначении администраторов информационных ресурсов кредитной организации, в частности, администраторов баз данных и локальных вычислительных сетей;

· сведения о наличии Web-сайта кредитной организации в сети Интернет и организации обновления размещаемой на нем информации;

· информацию о применении банком системы ДБО, описание работы системы;

· основные положения политики информационной безопасности, разработанной и утвержденной в кредитной организации;

· сведения о наличии/отсутствии планов модернизации вычислительной техники и программных средств, применяемых в банке;

· информацию о действующем положении по обеспечении ИБ при функционировании платежных систем, в частности, с применением банковских карт;

· данные о порядке генерации ключей шифрования и ключей электронной цифровой подписи;

· сведения о созданном в кредитной организации фонде алгоритмов и программ - архиве эталонного программного обеспечения.

Таким образом, сложившуюся на сегодняшний день ситуацию в области управления информационными рисками со стороны кредитных организаций и контроля за их деятельностью со стороны Банка России характеризуют следующие тенденции.

С одной стороны, как и во всем мире, банковский менеджмент подходит к решению проблем в данной области весьма прагматично: информационная безопасность должна либо улучшать бизнес банка, оптимизируя информационный комплекс и снижая операционные риски, либо уменьшать репутационные, правовые и прочие риски банка, повышая его привлекательность для новых клиентов.

Однако, существующая практика зачастую показывает, что руководство кредитных организаций не ставит задачи квалифицированного управления информационными рисками и предпочитает формально выполнять требования действующей нормативной базы, чтобы просто не создавать себе (даже потенциально) дополнительных сложностей во взаимоотношениях с государством в лице его надзорных органов. В результате предписания нормативных документов выполняются, как правило, недостаточно, а проводимые работы финансируются либо по остаточному принципу, либо средства направляются не на то, что необходимо, а на то, что считают нужным руководство и сотрудники служб автоматизации и безопасности банка в соответствии с собственными взглядами и привычками.

С другой стороны, наблюдается значительное различие подходов к проведению проверок, а следовательно и качества проверок применения кредитными организациями ИТ со стороны территориальных учреждений Банка России. В результате отсутствие определенных требований при осуществлении надзорных процедур за деятельностью банков в области использования ИТ, в частности, при проведении проверок кредитных организаций, не позволяет Банку России составить объемную и достоверную картину применения банками информационных технологий и управления возникающими в связи с этим рисками.

Вместе с тем, процесс формирования основополагающих требований в области ИБ для отечественных кредитных организаций уже перешел из дискуссионной в практическую плоскость с введением в действие стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Несмотря на то, что его применение осуществляется на добровольной основе, можно предположить, что большинство российских кредитных организаций предпочтут его внедрить в той или иной степени. Таким образом, перед инспекционными подразделениями Банка России встанет задача проверки соответствия деятельности банков требованиям данного стандарта, что также обуславливает необходимость разработки унифицированного подхода к оценке в процессе проверки эффективности системы управления рисками кредитной организации в области информационных технологий.

Глава 4. Оценка эффективности системы управления рисками в области информационных технологий в ходе проверки кредитной организации

При проверке применения кредитной организацией информационных технологий важно определить цель, которую преследует инспекционная группа. Рассмотренные в главе 3 результаты проверок КО приводят к выводу, что анализ отдельных аспектов используемых ИТ позволяет выявить определенные нарушения и недостатки в деятельности банков. Вместе с тем, остается открытым вопрос, насколько эффективно кредитная организация осуществляет противодействие угрозам, возникающим в связи с применением ИТ.

Указанную задачу призвана решать система управления рисками кредитной организации в области информационных технологий - совокупность взаимосвязанных и взаимодействующих элементов, разрабатывающих и реализующих комплекс мероприятий и процедур, обеспечивающих выявление, анализ, измерение и контроль за основными видами рисков в области ИТ, выработку и применение контрмер по их ограничению. При этом, основной целью и критерием эффективности системы управления рисками КО в области ИТ является обеспечение информационной безопасности кредитной организации.

Для достижения поставленной цели система управления информационными рисками должна удовлетворять определенным требованиям.

Обязательным в системе обеспечения ИБ является четкое определение ролей всего персонала кредитной организации, разделенного на следующие основные группы:

1) Руководство кредитной организации;

2) Уполномоченное лицо либо специалисты подразделения (службы) информационной безопасности;

3) Специалисты подразделения ИТ и других подразделений, обеспечивающие обслуживание и эксплуатацию корпоративной локальной сети и АБС;

4) Пользователи - персонал, использующий услуги ИТ в решении своих функциональных задач.

Отдельно следует остановиться на функциях службы информационной безопасности банка, возглавляемой руководителем (CISO), к которым могут быть отнесены следующие:

· разработка концепции и политики ИБ КО, включая регламенты, корпоративные стандарты, руководства, а также соответствующие разделы должностных инструкций персонала;

· выработка принципов классификации информационных активов КО и оценки их защищенности от угроз ИБ;

· оценка информационных рисков и разработка контрмер по их снижению;

· обучение сотрудников банка методам обеспечения ИБ, проведение инструктажа и периодический контроль знаний и практических навыков исполнения требований политики ИБ кредитной организации;

· консультирование менеджеров КО по вопросам управления рисками в области ИТ;

· согласование и утверждение частных политик и регламентов ИБ среди подразделений КО;

· участие в составе рабочих групп либо экспертных советов для оценки рисков стратегического и текущего развития бизнеса банка;

· контроль за деятельностью подразделения ИТ с правом проверки и согласования внутренних отчетов и документов;

· совместная деятельность со службой физической безопасности в областях, касающихся обоих подразделений;

· взаимодействие со службой персонала банка при проверке личных данных сотрудников, желающих поступить на работу в КО;

· разработка и организация комплекса мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области ИБ в случае их возникновения;

· информационное обеспечение руководства банка регулярными справками и аналитическими обзорами о текущем состоянии ИБ, сведениями о результатах мониторинга и проверки выполнения политики ИБ кредитной организации;

· предоставление менеджерам банка, в частности, руководству подразделения ИТ, информационной поддержки по вопросам обеспечения ИБ, включая сведения об изменениях в законодательстве и нормативной базе в сфере защиты информации, обзоры технических новинок и прочее.

Система управления информационными рисками должна обеспечивать защиту от угроз, возникающих в связи с применением кредитной организации ИТ, реализация которых может приводить, в частности,

· к получению НСД к информационным ресурсам, хранящимся на серверах и рабочих станциях корпоративной локальной сети и АБС (угроза конфиденциальности);

· к модификации и разрушению информации (угроза целостности);

· к отказу в обслуживании либо к получению несанкционированного управления элементами АБС (угроза доступности);

· к ограничению возможностей информационной инфраструктуры, не позволяющему должным образом обеспечить текущие бизнес-процессы и/или стратегические направления развития бизнеса КО (угроза своевременности).

К основным источникам угроз информационной инфраструктуры относятся:

· внешние, исходящие от пользователей внешних сетей (атаки из Интернета, злонамеренное использование каналов ДБО и т.п.);

· внутренние преднамеренные, исходящие от персонала (пользователей) КО;

· внутренние непреднамеренные, исходящие от пользователей и специалистов ИТ (системных администраторов) вследствие ошибочных действий;

· внешние и внутренние разрушающие воздействия (недекларированные возможности в программном обеспечении, компьютерные вирусы);

· воздействия окружающей среды, сбои в работе оборудования и программного обеспечения.

Базовый уровень ИБ предполагает, что для нейтрализации типового набора наиболее вероятных угроз обязательно должны быть разработаны и приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости Уязвимость - слабость в системе защиты, которая делает возможной реализацию угрозы. основных информационных активов кредитной организации, к которым относятся:

· информационные ресурсы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим;

· программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты;

· физические ресурсы: компьютеры и коммуникационное оборудование, электронные носители данных, другое техническое оборудование (блоки питания, кондиционеры и т.п.);

· сервисы: вычислительные и коммуникационные (сетевые) сервисы, другие технические сервисы (отопление, освещение, энергоснабжение и пр.).

Повышенные требования к обеспечению ИБ предполагают полный анализ рисков, а также вариантов защиты по критериям «стоимость-эффективность» (см. главу 2).

Процесс определения и выбора контрмер в соответствии с оценкой рисков включает следующие возможные подходы: уменьшение риска, уклонение от риска, изменение характера риска (например, путем страхования актива), принятие риска.

Обязательным в системе управления информационными рисками являются процедуры проверки соответствия выбранных контрмер целям и задачам обеспечения ИБ и, в случае необходимости, разработка мер по оптимизации уровня рисков.

Таким образом, по мнению автора, инспекционной группе необходимо главным образом осуществить оценку эффективности системы управления рисками КО в области ИТ, предполагающую, что

· инспектор должен убедиться в наличии системы управления рисками КО в области ИТ, определяемой действующей политикой информационной безопасности, которая является основным внутренним документом банка в области управления ИР;

· инспектору необходимо оценить эффективность организации процесса управления данными рисками, в том числе, по критически важным направлениям использования (применения) ИТ с точки зрения ИБ КО;

· инспектору следует проверить практические аспекты реализации процесса управления рисками КО в области ИТ;

· особая роль в процессе проверки должна отводиться оценке эффективности контроля за состоянием системы управления рисками в области ИТ.

Для решения поставленной задачи был разработан перечень показателей оценки системы управления рисками кредитной организации в области информационных технологий. При составлении перечня использовалась структура и основные положения международного стандарта ISO 17799 (BS 7799) «Практические правила управления информационной безопасностью» [39], выбор которого был определен рядом причин:

1) ISO 17799 широко применяется во всем мире, кроме того, ожидается его гармонизация и введение в действие в нашей стране;

2) ISO 17799 является документом класса «Good practice», содержащим конкретные практические рекомендации по управлению рисками организации в области информационных технологий;

3) ISO 17799 посвящен не столько вопросам обеспечения защиты информации, сколько надлежащему построению и функционированию в организации системы менеджмента Понятие «менеджмент» определено, например, в [9] как скоординированная деятельность по руководству и управлению организацией. информационной безопасности В частности, сертификация организации по BS 7799 означает уверенность в том, что система менеджмента ИБ функционирует эффективно до даты следующей проверки в рамках надзорной аудиторской деятельности органа по сертификации. Сертификат на соответствие стандарту BS 7799 считается действительным в течение трех лет..

При разработке перечня учитывалась специфика банковской деятельности, в частности, широко использовались положения Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [20].

Перечень состоит из десяти основных показателей первого уровня, каждый из которых включает показатели второго уровня. Показатель второго уровня, в свою очередь, состоит из набора показателей третьего (нижнего) уровня - утверждений, предполагающих положительный либо отрицательный ответ инспектора в ходе проверки. Структура показателей первого и второго уровня приведены в таблице 4.1.

Таблица 4.1. Основные показатели оценки системы управления рисками КО в области ИТ

№ п/п	Наименование показателя	Характеристика (цель управления)
1.	ПП Политика информационной безопасности (ПИБ)	Сформулировать цели, задачи и требования, а также обеспечить реализацию и поддержку мер обеспечения информационной безопасности со стороны руководства кредитной организации.
1.1	ПП1 Основные положения ПИБ
1.2	ПП2 Административные меры реализации ПИБ
1.3	ПП3 Организационные меры актуализации ПИБ
2.	ПО Организация управления ИБ	Организовать управление информационной безопасностью, в том числе, по критически важным направлениям использования (применения) информационных технологий.
2.1	ПО1 Инфраструктура ИБ
2.2	ПО2 Обеспечение ИБ при использовании ресурсов сети Интернет
2.3	ПО3 Обеспечение ИБ при использовании услуг внешних организаций
2.4	ПО4 Обеспечение ИБ при использовании СКЗИ
3.	ПК Классификация и контроль ресурсов и процессов	Обеспечить надлежащий уровень защиты информационных ресурсов и технологических процессов кредитной организации.
3.1	ПК1 Ответственность за ресурсы
3.2	ПК2 Классификация информации
3.3	ПК3 Обеспечение ИБ банковских платежных технологических процессов
3.4	ПК4 Обеспечение ИБ банковских информационных технологических процессов
4.	ПУ Управление персоналом	Уменьшить риск ошибок персонала, краж, мошенничества или незаконного доступа к ресурсам, а также минимизировать ущерб от нарушений режима ИБ и не допускать повторения инцидентов в области ИБ.
4.1	ПУ1 Определение требований к сотрудникам
4.2	ПУ2 Компетентность персонала
4.3	ПУ3 Реагирование на инциденты в области ИБ
5.	ПБ Физическая безопасность	Предотвратить НСД, потерю, повреждение и компрометацию информационных ресурсов.
5.1	ПБ1 Организация защищенных областей
5.2	ПБ2 Защита оборудования
6.	ПА Администрирование автоматизированных систем	Обеспечить правильную и надежную работу информационных систем, целостность и доступность данных, программного обеспечения и информационных сервисов.
6.1	ПА1 Операционные процедуры и обязанности
6.2	ПА2 Защита от вредоносного программного обеспечения
6.3	ПА3 Обслуживание систем
7.	ПД Управление доступом	Предотвратить НСД, в том числе пользователей, к информационным ресурсам и сервисам кредитной организации.
7.1	ПД1 Управление доступом пользователей
7.2	ПД2 Управление доступом к информационным ресурсам
7.3	ПД3 Управление удаленным доступом
8.	ПЖ Обеспечение ИБ на стадиях жизненного цикла АБС	Минимизировать информационные риски на всех стадиях жизненного цикла автоматизированных систем, обеспечить развитие ИТ кредитной организации.
8.1	ПЖ1 Проектирование и приемка систем
8.2	ПЖ2 Эксплуатация, сопровождение и снятие систем с эксплуатации
9.	ПР Управление бесперебойной работой КО	Регулярно осуществлять планирование предотвращения перебоев в работе кредитной организации.
9.1	ПР1 Планирование обеспечения бесперебойной работы КО
9.2	ПР2 Актуализация планов бесперебойной работы КО
10.	ПС Контроль соответствия требованиям ИБ	Избегать нарушений требований действующего законодательства и договорных обязательств, обеспечить соответствие режима ИБ политике и требованиям ИБ, принятым в кредитной организации.
10.1	ПС1 Выполнение требований действующего законодательства
10.2	ПС2 Мониторинг и аудит ИБ
10.3	ПС3 Внутренний контроль за обеспечением ИБ

В ходе проверки инспекционная группа заполняет перечень показателей оценки системы управления рисками КО в области ИТ, относящихся к третьему уровню, при необходимости приводя информацию, обосновывающую ответ, в акте проверки.

Показатели третьего уровня, представленные в приложении 2, содержат утверждения, на которые в процессе проверки инспектором могут быть даны ответы «Да», «Частично», «Нет» с более детальным описанием в акте проверки. При этом в соответствующей графе перечня напротив данного показателя проставляется ответ в баллах:

«Да» соответствует значение 0 Нулевой балл устанавливается также в случае, если в деятельности КО отсутствуют процессы, описываемые показателем, например, для показателей группы ПД3 устанавливается нулевое значение, если банком не осуществляется ДБО и не предоставляется удаленный доступ к информационным ресурсам.,

«Частично» соответствует значение 1,

«Нет» соответствует значение 2.

Балльная оценка показателя второго уровня рассчитывается по формуле:

Для показателя второго уровня предлагается качественная оценка на основании таблицы 4.2.

Таблица 4.2. Качественная оценка показателя 2-го уровня

Интервал балльных значений показателя второго уровня	Качественная оценка показателя второго уровня
0 … 0,5	высокий
0,5 … 1,5	средний
1,5 … 2	низкий

Балльная оценка показателей первого уровня рассчитывается аналогично:

Качественная оценка показателей первого уровня может быть произведена на основании таблицы 4.3, при этом рекомендуется учитывать следующие ограничения:

­ если хотя бы один показатель второго уровня качественно оценен как «низкий», соответствующий показатель первого уровня следует оценить как «неудовлетворительный»;

­ если половина и более показателей второго уровня качественно оценены как «средние», соответствующий показатель первого уровня не может быть признан «удовлетворительным».

Таблица 4.3. Качественная оценка уровня управления рисками в области ИТ

Интервал балльных значений показателя первого уровня	Качественная оценка уровня управления рисками в области ИТ
0 … 0,5	удовлетворительный
0,5 … 1,5	недостаточный
1,5 … 2	неудовлетворительный

Итоговая оценка системы управления рисками КО в области ИТ производится на основании мотивированного суждения инспектора с учетом качественных значений десяти показателей первого уровня представленного перечня. Представляется нецелесообразным то или иное суммирование балльных значений показателей первого уровня, поскольку они могут быть тематически сгруппированы следующим образом:

1) наличие системы управления рисками в области ИТ, определяемой политикой информационной безопасности КО (показатель ПП);

2) организация процесса управления ИР, в том числе, по критически важным направлениям применения ИТ с точки зрения ИБ (показатель ПО);

3) практические аспекты отдельных направлений функционирования системы управления рисками в области ИТ с учетом отечественных и международных стандартов, представляющих «лучшие практики» (показатели ПК, ПУ, ПБ, ПА, ПД, ПЖ, ПР);

4) контроль за состоянием системы управления рисками КО в области ИТ (показатель ПС).

Учитывая самостоятельную значимость показателей каждой группы, итоговая оценка эффективности системы управления рисками в области ИТ, по всей видимости, не может превышать среднего значения показателей первого уровня какой-либо из групп.

По итогам проверки, уровень эффективности системы управления рисками кредитной организации в области информационных технологий может быть оценен как:

· Высокий - система управления рисками в области ИТ обеспечивает информационную безопасность кредитной организации, при этом система менеджмента ИБ в настоящее время удовлетворяет требованиям международного либо отечественного стандарта в области ИБ Например, ISO 17799 [39], Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [20]., что соответствующим образом подтверждено сертифицирующей организацией и/или результатами независимой аудиторской проверки системы обеспечения информационной безопасности кредитной организации.

· Удовлетворительный - система управления рисками в области ИТ в целом обеспечивает информационную безопасность кредитной организации. Разработанные и реализованные в кредитной организации контрмеры ограничивают уровень основных информационных рисков. Отмеченные в ходе проверки отдельные недостатки не представляют существенной угрозы ИБ и могут быть исправлены без вмешательства надзорных органов.

Рекомендуется изложить в материалах проверки планы руководства кредитной организации по исправлению отмеченных недостатков. В задание на проведение следующей плановой проверки кредитной организации необходимо включить вопрос проверки степени реализации указанных планов.

· Недостаточный - система управления рисками в области ИТ не в полной мере обеспечивает достижение целей информационной безопасности кредитной организации. Выявлен ряд недостатков в системе обеспечения ИБ, отрицательно влияющих на ее эффективность и требующих повышенного внимания и контроля со стороны руководства КО. Существует угроза финансовых потерь, связанных с операционным (правовым, репутационным, стратегическим и др.) риском, принимаемым на себя кредитной организацией, требующая контроля со стороны органов банковского надзора.

Рекомендуется запросить и приложить к материалам проверки план действий кредитной организации по устранению отмеченных недостатков и повышению эффективности системы обеспечения ИБ КО. Надзорным органам следует осуществлять контроль за реализацией плана действий КО. В задание на проведение следующей плановой проверки кредитной организации необходимо включить вопрос проверки устранения выявленных недостатков.

· Неудовлетворительный - система управления рисками в области ИТ в должной мере не обеспечивает достижение целей информационной безопасности кредитной организации. Выявленные недостатки в вопросах обеспечения ИБ носят системный характер и обуславливают необходимость неотложных мер со стороны руководства КО по исправлению ситуации. Существует высокая вероятность финансовых потерь, связанных с повышенным уровнем операционного/правового/репутационного/ стратегического и прочих рисков, принятых на себя кредитной организацией, что требует вмешательства со стороны органов банковского надзора.

Рекомендуется в докладной записке по материалам проверки внести предложение о проведении совещания с руководством кредитной организации для обсуждения плана мероприятий по исправлению ситуации в области обеспечения ИБ КО, а также разработать меры контроля за реализацией плана со стороны надзорных органов. В случае нарушения требований нормативных актов Банка России предусмотреть применение соответствующих санкций к кредитной организации. Внести предложение о проведении плановой проверки КО в следующем отчетном периоде, в частности, по вопросу оценки эффективности реализованных кредитной организацией мероприятий в области обеспечения информационной безопасности.

К достоинствам предлагаемого подхода можно отнести следующее:

1) Разработанный перечень содержит основные направления проведения проверки и критерии оценки эффективности системы управления рисками КО в области ИТ;

2) Состав показателей, применяемых для оценки, аккумулирует требования законодательства Российской Федерации и нормативных актов Банка России, а также отечественных и международных стандартов в области обеспечения информационной безопасности, представляющих «лучшие практики» - общепринятые подходы к вопросам управления рисками в области информационных технологий;

3) Показатели третьего уровня представляют собой утверждения, предполагающие утвердительный, частично утвердительный либо отрицательный ответ, который может быть сформулирован инспектором на основе изучения внутренних документов кредитной организации, анкетирования и/или собеседования с представителями КО, ответственными за разработку политики и обеспечение режима информационной безопасности банка, а также представителями службы внутреннего контроля кредитной организации;

4) Перечень может быть заполнен членом инспекционной группы, обладающим минимальным (базовым) набором познаний в области информационных технологий;

5) Представленные в качестве приложений к актам проверок кредитных организаций перечни показателей в формате электронных таблиц легко поддаются статистической обработке в целях получения сводных данных, позволяющих проводить анализ различных аспектов управления информационной безопасностью банковской системы отдельного региона либо страны в целом.

Из недостатков представленного подхода остановимся на двух.

Во-первых, структура использованного стандарта BS 7799 соответствует так называемому «базовому» уровню ИБ, предъявляющему минимальный набор требований к обеспечению режима ИБ (см. главу 2). Однако, согласно исследованию международной аудиторской фирмы KPMG, даже в развитых зарубежных странах более половины коммерческих организаций не используют даже стандартные подходы к оценке системы ИБ и не проводят анализ рисков в области ИТ [29]. Организации, использующие «углубленные» методики полного анализа рисков, составляют в настоящее время не более 7% от их общего числа. В России доля таких организаций, по оценке экспертов, еще меньше (в банковском секторе их насчитываются единицы). Таким образом, разработанный перечень в настоящее время вполне пригоден для проведения оценки управления информационными рисками кредитных организаций в качестве первого шага к определенной унификации этого процесса. Кроме того, если система менеджмента ИБ банка удовлетворяет требованиям какого-либо стандарта в области ИБ, что соответствующим образом подтверждено сертифицирующей организацией и/или результатами внешнего аудита ИБ КО, то это позволит сократить время проведения проверки и послужит одним из оснований оценить степень эффективности системы управления рисками кредитной организации в области ИТ как «высокую».

Во-вторых, в перечне отсутствуют весовые коэффициенты, определяющие относительную значимость того или иного показателя. Это объясняется, с одной стороны, отсутствием четких нормативных требований к обеспечению информационной безопасности отечественных банков, а с другой стороны, неопределенностью текущей ситуации в сфере практического управления рисками КО в области ИТ. Поскольку автор намерен продолжить начатое исследование, в перспективе систему таких коэффициентов планируется разработать на основе практического опыта применения методики, а также отечественных и международных рекомендаций оценки эффективности системы обеспечения информационной безопасности организаций.

Опыт инспекционной деятельности, рассмотренный в главе 3, показывает, что на сегодняшний день в актах проверок территориальных учреждений Банка России описывается не более чем пятая часть показателей, представленных в рамках предлагаемого подхода. При этом, вопросы содержания и реализации политики информационной безопасности, а также контроля обеспечения требований ИБ в той или иной степени затрагиваются при проведении проверок кредитных организаций не более чем в половине территориальных учреждений Банка России. Незначительной части вопросов организации управления ИБ касаются порядка 80% инспекционных подразделений территориальных учреждений. В подавляющем большинстве актов проверок описываются те или иные практические аспекты реализации управления рисками в области ИТ, главным образом, управление доступом к информационным ресурсам, организация работы пользователей в сети Интернет, наличие плана действий в чрезвычайных ситуациях и ряд других, при этом значительная часть материала касается программно-технических сторон информационных технологий, применяемых в кредитных организациях.

Следует подчеркнуть, что такие важные с точки зрения обеспечения ИБ КО вопросы, как управление персоналом и физическая безопасность информационных активов банка, практически не рассматриваются в актах проверок кредитных организаций.

Таким образом, актуальность выработки единого подхода к рассматриваемой проблеме представляется достаточно очевидной. В этой связи, практическое применение предлагаемых рекомендаций предоставит в распоряжение инспекционной группы единообразный и достаточно полный инструментарий для решения задачи оценки эффективности системы управления рисками проверяемой КО в области информационных технологий.

Отдельно следует рассмотреть требования к соответствующей квалификации специалистов, осуществляющих в ходе проверки оценку системы управления рисками КО в области ИТ. Как показывает анализ актов проверок, описанных в главе 3, вопросы, связанные с применением кредитными организациями информационных технологий, рассматривают как сотрудники инспекционных подразделений Банка России, так и включаемые в состав рабочих групп по проведению проверок сотрудники подразделений информатизации или информационной безопасности. Исходя из содержания актов проверок, можно сделать вывод, что квалификация проверяющих является вполне достаточной для заполнения разработанного перечня показателей, поскольку для получения ответов на представленные в нем вопросы необходимо обладание членом инспекционной группы базовым набором знаний в области ИТ и ИБ.

Отметим, что нормативным актом Банка России, устанавливающим порядок организации инспекционной деятельности [16], предусмотрено привлечение к проведению проверки иных служащих Банка России помимо тех, кто непосредственно осуществляет инспекционную деятельность.

Таким образом, в случае отсутствия в составе инспекционного подразделения специалистов, имеющих необходимый (базовый) набор познаний в области ИТ и ИБ, по решению должностного лица Банка России, обладающего правом поручать проведение проверки, в частности, руководителя территориального учреждения Банка России, к проведению проверки, включающей вопрос оценки эффективности системы управления рисками КО в области ИТ, могут быть привлечены сотрудники соответствующей квалификации из состава подразделений, обеспечивающих информатизацию либо информационную безопасность территориального учреждения Банка России.

В определенной перспективе представляется возможной разработка Главной инспекцией кредитных организаций Банка России совместно со специалистами Департамента информационных систем и Главного управления безопасности и защиты информации Банка России методической базы, касающейся проведения проверок КО по рассматриваемому вопросу и предусматривающей, в том числе, включение в состав инспекционной группы при необходимости сотрудников подразделений информатизации либо информационной безопасности Банка России, а также предоставление консультаций и/или обучение специалистов инспекционных подразделений Банка России по вопросам, связанным с применением информационных технологий и обеспечением информационной безопасности кредитных организаций.

...