Банк России, делая акцент на риск-ориентированные подходы и совершенствование внутреннего контроля, предполагает, что в минимизации информационных рисков должны быть заинтересованы прежде всего сами кредитные организации. Особенно, если их масштабы деятельности значительны и они имеют сложную организационную и территориально распределенную структуру. Ведь международная практика свидетельствует, что именно проблемы внутреннего контроля и управления рисками зачастую приводят к возникновению кризисов в отдельных банках и к угрозе стабильности банковской системы в целом.

Переход от проверки конкретных операций к проверке внутренних систем банков становится стратегическим направлением контактного надзора в лице инспекционных подразделений Банка России. Тем не менее квалификация инспектора должна позволять ему при необходимости осуществлять проверку конкретных операций и направлений деятельности банка.

Кроме того, Банк России ввел в практику проведения проверок новый инструмент - мотивированное суждение инспектора. В соответствии с п.7.5.1 инструкции Банка России от 25.08.2003 № 105-И "О порядке проведения проверок кредитных организаций (их филиалов) уполномоченными представителями Центрального банка Российской Федерации" мотивированное суждение должно основываться на полученных от кредитной организации документах (информации). Таким образом, являясь субъективным, оно одновременно должно представлять из себя совокупность профессиональных выводов, обоснованных документально подтвержденными результатами проверки.

Осуществляя проверку обеспечения ИБ в кредитной организации, следует отметить, что инспектору приходится обрабатывать довольно значительный объем документации. Ниже приводится примерный перечень документов, которые он может затребовать у кредитной организации:

положения о службах информатизации, ИБ (возможно в составе службы безопасности или другого подразделения), внутреннего контроля, управления рисками (возможно в составе службы внутреннего контроля или другого подразделения);

должностные инструкции сотрудников служб информатизации, ИБ, внутреннего контроля, управления рисками;

политика ИБ и/или документы (положения, инструкции, регламенты), касающиеся порядка обеспечения безопасности информационных технологий, в том числе распределения доступа пользователей в автоматизированных банковских системах, организации парольной защиты, антивирусного контроля, обмена электронными платежами по системе "Банк-Клиент", доступа к ресурсам Интернет, организации интернет-бэнкинга и т.п.;

положение по оценке и управлению рисками, связанными с информационными технологиями и защитой информации. Отчеты по оценке данных рисков;

перечень информации, содержащей сведения ограниченного распространения;

регламенты аварийно-восстановительных работ (планы действий) на случай отказа средств вычислительной техники, повреждений телекоммуникаций, возникновения пожара и т.п. Протоколы испытаний данных регламентов. Перечень непредвиденных обстоятельств, в отношении которых разрабатывались планы действий. Регламент проведения учетно-операционных и иных работ по обслуживанию клиентов в условиях чрезвычайных ситуаций;

регламент резервного копирования информации и порядка хранения резервных копий;

годовые планы работ, акты и отчеты службы внутреннего контроля и службы ИБ, касающиеся проверок по вопросам обработки банковской информации и обеспечения ИБ;

акты и отчеты внутреннего и внешнего аудита, касающиеся проверок по вопросам обработки банковской информации и обеспечения ИБ;

материалы служебных расследований по фактам несанкционированного доступа и попыток несанкционированного доступа к банковской информации, сбоев в работе программно-аппаратных средств, иных инцидентов и критических ситуаций;

политика развития информационных систем и внедрения новых информационных технологий. Годовые планы работ службы информатизации и отчеты об их выполнении;

положения об администраторах автоматизированных банковских систем и администраторах информационной безопасности этих систем. Приказы о соответствующих назначениях;

приказы, распоряжения, протоколы совещаний кредитной организации, касающиеся вопросов обработки банковской информации и обеспечения ИБ;

перечень серверов с кратким описанием их функционального назначения и указанием основных технических параметров;

сведения об оснащенности кредитной организации вычислительной техникой (количество рабочих станций и их основные технические параметры);

перечень системного программного обеспечения с соответствующими лицензиями на его использование;

перечень программно-аппаратных комплексов и прикладного программного обеспечения, используемых для обработки банковской информации и обеспечения ИБ (с указанием разработчика, назначения и кратким описанием функций);

приказы на ввод в эксплуатацию автоматизированных банковских систем. Комплект эксплуатационной документации к ним;

договора с фирмами-разработчиками на сопровождение прикладного программного обеспечения, программно-аппаратных комплексов, вычислительной техники;

договора на предоставление услуг провайдерами систем телекоммуникаций (для обеспечения электронных платежей, при использовании банкоматов и торговых терминалов, для доступа в Интернет и т.п.).

Анализируя вышеперечисленные документы, представленные кредитной организацией для проверки, инспектору необходимо убедиться в их достоверности в том числе и практическими действиями - собеседованием с сотрудниками проверяемой кредитной организации, а также непосредственным контролем исполнения положений указанных документов.

Инспектор, формируя свое мотивированное суждение об эффективности обеспечения ИБ, должен сопоставить требования федеральных законов и нормативных актов Банка России с фактическим положением дел в кредитной организации, т.е. удостовериться в их соблюдении. Если происходит выявление нарушений этих требований, то, помимо фиксации нарушений в индивидуальном отчете, инспектор отмечает возможное повышение операционного, правового или репутационного риска и снижает оценку организации внутреннего контроля по данному направлению деятельности кредитной организации (в соответствии с письмом Банка России от 24.03.2005 № 47-Т "О Методических рекомендациях по проведению проверки и оценки организации внутреннего контроля в кредитных организациях").

Ниже приведены требования федеральных законов и нормативных актов Банка России, обязательные для исполнения кредитной организацией:

1. Закон Российской Федерации от 23.09.1992 № 3523-1 "О правовой охране программ для электронных вычислительных машин и баз данных" запрещает использование программного обеспечения с нарушением авторских прав.

2. Федеральный закон от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации" определяет, что защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Целями защиты являются:

предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

3. Положение Банка России от 05.12.2002 № 205-П "О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации" обязывает руководителя кредитной организации при применении технических средств обеспечить:

ограничение доступа к совершению операций;

конфиденциальность применяемых кодов и паролей;

невозможность использования аналога собственноручной подписи другим лицом;

применение программного обеспечения, позволяющего своевременно устранять попытки несанкционированного доступа.

4. Положение Банка России от 16.12.2003 № 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" обязывает службу внутреннего контроля кредитной организации осуществлять контроль:

за управлением информационными потоками (получением и передачей информации) и обеспечением ИБ, причем порядок контроля за управлением информационными потоками и обеспечением ИБ должен быть установлен внутренними документами кредитной организации;

за компьютерными системами (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы;

за процедурами резервирования (копирования) данных и процедурами восстановления функций автоматизированных информационных систем;

за осуществлением поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения;

за безопасностью физического доступа.

Кроме того, кредитная организация должна:

устанавливать правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях;

иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием дублирующих (резервных) автоматизированных систем и (или) устройств, включая восстановление критических для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг;

определять внутренними документами порядок проверки планов действий в части их выполнимости в случаях возникновения непредвиденных обстоятельств;

иметь перечень непредвиденных обстоятельств, в отношении которых разрабатываются планы действий.

Выполнение требований вышеперечисленных документов кредитными организациями минимизирует риски, связанные с информационными технологиями, но во-первых, эти требования не всегда детализированы, что затрудняет их применение, а во-вторых, охватывают не все аспекты деятельности кредитных организаций в области обеспечения ИБ. Поэтому кредитным организациям приходится разрабатывать свои собственные правила и требования для защиты банковской информации. В результате этого часто возникает следующая коллизия: кредитную организацию удовлетворяют разработанные ею требования, она считает их действенными, а инспектор, выражая свое мнение, находит эти меры недостаточно эффективными или недостаточно строгими. Кроме того, кредитная организация может вообще не регламентировать отдельные направления по обеспечению ИБ, что также вызывает разногласия между нею и инспектором ввиду отсутствия нормативной базы, регулирующей эти вопросы. Имея соответствующую квалификацию в области информационных технологий и ИБ, а также опираясь на опыт предыдущих проверок, инспектор может отметить в своем индивидуальном отчете повышенные риски в кредитной организации, на что в свою очередь кредитная организация, как правило, выдвигает возражения к акту проверки. И такие конфликтные ситуации не редки.

Недавно утвержденный Банком России стандарт по обеспечению ИБ, учитывающий особенности кредитно-финансовой сферы, может существенно снизить количество возникающих между кредитными организациями и инспекцией конфликтов. Стандартом Банка России продекларировано, что его положения применяются организациями банковской системы Российской Федерации на добровольной основе, но если кредитные организации будут применять рекомендации стандарта и брать на вооружение "лучшие и хорошие практики", описанные в стандарте, а проверяющий инспектор будет использовать стандарт как эталон для оценки эффективности ИБ в кредитной организации, то задача регулирования и надзора в этой области значительно упростится.

В соответствии с требованиями стандарта Банка России кредитной организации рекомендуется:

провести идентификацию активов, подлежащих защите;

разработать политику в области ИБ на основе моделей угроз и нарушителей;

оценить риски, связанные с нарушениями ИБ;

обеспечить управление информационными рисками;

разработать нормативно-методические документы обеспечения ИБ;

создать административное и кадровое обеспечение комплекса средств управления ИБ;

обеспечить штатное функционирование комплекса средств ИБ;

осуществлять контроль функционирования системы управления ИБ;

проводить обучение персонала.

Стандарт также формулирует требования как минимум для следующих направлений:

назначение и распределение ролей и доверия к персоналу;

обеспечение ИБ на всех стадиях жизненного цикла автоматизированных банковских систем;

защита от несанкционированного доступа, управление доступом и регистрацией в автоматизированных банковских системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;

антивирусная защита;

использование ресурсов Интернет;

использование средств криптографической защиты информации;

защита банковских платежных и информационных технологических процессов.

Кроме того политика ИБ кредитной организации может учитывать и другие направления, отвечающие ее бизнес-целям, такие как обеспечение непрерывности электронной обработки данных, физическая безопасность и т.д.

Анализируя в контексте стандарта предпринятые кредитной организацией меры по обеспечению и управлению ИБ, инспектор должен оценить их эффективность и полноту, соответствие рекомендациям стандарта, а также выявить остаточные риски. Стандартом Банка России вводится понятие модели зрелости процессов управления ИБ кредитной организации. Данная модель может служить для инспектора мерой проработанности этих процессов в проверяемом банке. Рекомендуемыми стандартом уровнями зрелости процессов управления ИБ являются уровни не ниже четвертого.

Зная типичные ошибки, допускаемые банками при внедрении информационных технологий, инспектор может эффективно их обнаруживать. Вот лишь несколько примеров уязвимостей, которые реально могут привести к краху управления всей информационной системой кредитной организации, если ими воспользуется злоумышленник:

сервера и рабочие станции пользователей (включая рабочие станции топ-менеджеров) могут иметь незащищенное удаленное управление и доступ к системному реестру;

на серверах и рабочих станциях пользователей отключены системы аудита безопасности;

число привилегированных пользователей (пользователей с правами администраторов) в автоматизированных банковских системах кредитной организаций может в несколько раз превышать необходимое количество.

При проверке обеспечения ИБ инспектор также должен учитывать тенденции, складывающиеся в области ИБ в банковской сфере, обращать внимание на то, как в кредитной организации защищаются от наиболее распространенных угроз. Как было показано во второй главе, действия инсайдеров в настоящее время являются одной из самых больших угроз для банков. Поэтому анализируя, например, распределение обязанностей между подразделениями кредитной организации, инспектор должен обратить внимание руководства банка на высокий уровень операционного риска, если обеспечением ИБ занимается служба информатизации. Это может привести к следующему. В каждой кредитной организации есть пользователи, обладающие практически неограниченными правами в корпоративной банковской сети и автоматизированных банковских системах, - системные администраторы и администраторы автоматизированных банковских систем, являющиеся в основном сотрудниками службы информатизации. В рассматриваемом случае они становятся никому неподконтрольны и могут делать в сети и банковских системах практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представим на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы своими действиями приводили банки к очень серьезному ущербу.

Учитывая все вышеизложенное, можно предложить следующий порядок действий инспектора. Инспектор, осуществляющий проверку обеспечения ИБ в кредитной организации, должен:

провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий;

оценить политику ИБ;

удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению ИБ и непрерывности электронной обработки данных;

убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ;

выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения ИБ.

Выполнив вышеприведенные действия, инспектор в итоговом заключении своего индивидуального отчета дает с учетом выявленных нарушений и недостатков оценку уровня рисков, которые, по его мнению, принимает на себя кредитная организация. Кроме того, помимо выявления нарушений конкретных требований федеральных законов и нормативных актов Банка России, инспектор выносит мотивированное суждение по таким особенно важным вопросам как действенность системы внутреннего контроля и эффективность управления рисками в банке применительно к области обеспечения ИБ.

Завершая четвертую главу, следует отметить, что внедрение новых информационных технологий в банковском бизнесе носит прогрессирующий характер и создает дополнительные риски. Следовательно надзор за деятельностью кредитных организаций в этой области должен быть адекватным. Задачей органов надзора является необходимость постоянного мониторинга (в том числе в виде инспекционных проверок) использования кредитными организациями информационных технологий и обеспечения ИБ. Практические действия Банка России в этом направлении - введение в действие стандарта обеспечения ИБ - позволяют инспектору, осуществляющему проверку, формировать мотивированное суждение на более качественном уровне.

Заключение