обеспечения информационной безопасности
advertisement
Конференции. Совещания. Семинары Первая межбанковская конференция «Вопросы обеспечения информационной безопасности организаций банковской системы Российской Федерации» состоялась 10 – 14 февраля 2009 г. в Республике Башкортостан. В работе конференции приняли участие почти 200 представителей банков, специализированных фирм и структур по информационным технологиям, а также сотрудников правоохранительных органов из многих регионов России и стран СНГ. Конференция организована Ассоциацией российских банков и Сообществом пользователей стандартов Банка России ABISS при поддержке Банка России. Конференцию открыл глава Национального банка Республики Башкортостан Банка России Р. Х. Марданов. Он подчеркнул, что интерес к форуму и широкое участие в нем представителей банковского сообщества свидетельствуют о востребованности и важности вынесенных на обсуждение проблем и задач. Выступивший с приветственным словом президент Ассоциации российских банков Г. А. Тосунян рассказал участникам об актуальных проблемах в финансовой сфере России. С докладами по главным темам форума выступали секретарь Совета безопасности Республики Башкортостан А. И. Шабрин, первый заместитель начальника Центра ФСБ России А. П. Баранов, заместитель Председателя Банка России М. Ю. Сенаторов, начальник главного управления безопасности и защиты информации (ГУБЗИ) Банка России А. И. Лахтиков, заместитель начальника ГУБЗИ А. П. Курило и другие представители банковского сообщества. В рамках Конференции обсуждались актуальные на сегодняшний день проблемы информационной безопасности (ИБ) в банковской сфере, а также практический опыт их решения. Вопросы, рассмотренные на Конференции, можно разделить по четырем основным аспектам. Первый аспект: • проблемы обеспечения ИБ при развитии услуг и сервисов дистанционного банковского обслуживания; • вопросы практического применения средств криптографической защиты информации (СКЗИ); • вопросы лицензирования деятельности в сфере СКЗИ. Проблематика. Весь спектр угроз ИБ (DDoSатаки, спам, вирусы, «трояны» и пр.), реализуемых сегодня преступными элементами, направлен на извлечение финансовой выгоды. Как следствие, возросло и количество атак на системы интернет-банкинга. Сюда входят и попытки взлома подобных систем, и кража учетных данных (логинов, паролей) пользователей с использованием вредоносного кода, фишинга и т. д. Данная проблема многогранна и сложна. Простое или, по крайней мере, однозначное и быстрое решение проблемы на сегодняшний день отсутствует. Мнения, высказанные на Конференции, сводились к осуществлению работ по двум направлениям. Первое – реализация средств технической защиты, второе – создание системы сертификации программного обеспечения. Техническая часть решения проблемы снижения рисков хищения информации включает разработку и внедрение программных продуктов, в которых криптографические ключи и процесс криптопреобразова- 58 ний (электронной подписи и, если требуется, шифрования) находятся в замкнутой среде, недоступной для проникновения извне по телекоммуникационным каналам. В свою очередь сами каналы, по которым производится передача информации, должны дополнительно защищаться. Другое направление работ предполагает создание системы добровольной сертификации программного обеспечения. Целью данной сертификации будет являться проведение работ по проверке корректности встраивания элементов СКЗИ в программные продукты. Возможные решения. По мнению участников Конференции, для эффективного противодействия противоправным посягательствам в сфере электронного обслуживания клиентов банков необходимо объединить усилия всех заинтересованных сторон – правоохранительных органов, Банка России, кредитных организаций, разработчиков прикладных программных продуктов и, наконец, самих пользователей этих продуктов – клиентов интернет-банкинга. Дополнительные мероприятия и рекомендации могут быть выработаны в рамках отдельной специализированной конференции, посвященной вопросам применения электронной цифровой подписи и шифрования, а также связанным с ними проблемам законодательства в сфере электронного документооборота. Второй аспект: • практические вопросы реализации требований Федерального закона Российской Федерации № 152 «О персональных данных» в кредитных организациях; • аттестация автоматизированных банковских систем по требованиям информационной безопасности. Проблематика. В связи с приближением 1 января 2010 г. кредитные организации особую озабоченность ДЕНЬГИ И КРЕДИТ • 4/2009 Конференции. Совещания. Семинары проявляют в отношении выполнения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Мнения. Реализация в организациях банковской системы Российской Федерации требований закона сопровождается следующими трудностями: – бюджетными ограничениями; – нехваткой квалифицированных специалистов; – сложностью реализации на практике требований нормативно-методических документов ФСТЭК; – временными ограничениями; – сложностью проведения классификации информационных систем ПДн. Как отметили участники Конференции, особую важность имеет возможность диалога с регуляторами, в том числе с представителями Россвязькомнадзора, ФСБ и ФСТЭК. Возможные решения. В рамках Конференции были сформулированы и предложены следующие пути решения проблемы и минимизации рисков невыполнения требований Федерального закона: 1. Разместить руководящие документы ФСТЭК в открытых источниках. 2. Опубликовать порядок проведения контроля и вопросы, на основе которых будет осуществляться контроль реализации требований Федерального закона «О персональных данных» (полномочия Россвязькомнадзора) и контроль обеспечения безопасности ПДн (полномочия ФСТЭК и ФСБ) для того, чтобы операторы могли в оставшийся срок подготовиться к проверкам. Тем не менее в данной ситуации возникают риски подготовки к проверкам безотносительно самого процесса защиты ПДн. 3. Уточнить положения Порядка проведения классификации информационных систем персональных данных, утвержденных совместным Приказом Федеральной службы по техническому и экспортному контролю, ФСБ Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20. 4. Организовать обсуждение особенностей реализации документов по обеспечению безопасности ПДн на практике. 5. При участии экспертов определить особенности обработки и обеспечения безопасности ПДн в организациях банковской системы с учетом практического опыта обеспечения информационной безопасности банков, актуальных угроз, требований регуляторов и возможностей операторов. 6. Перенести срок, к которому информационные системы, хранящие и обрабатывающие ПДн, должны быть приведены в соответствие с требованиями закона (1 января 2010 года). 7. Уточнить положения Федерального закона «О персональных данных» в части того, какая информация может быть отнесена к персональным данным. Третий аспект: • вопросы внедрения Стандарта Банка России СТО БР ИББС–1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» в кредитных организациях; • операционные риски и риски ИБ; • опыт взаимодействия специалистов по ИБ, риск-менеджеров и сотрудников служб внутреннего контроля; • пути решения проблемы признания результатов аудита, выполненных по разным системам стандартов, в том числе из зарубежной практики. Проблематика. Необязательный статус стандарта Банка России СТО БР ИББС–1.0, а также ряд естественных трудностей (см. ниже) обусловили невысокий уровень внедрения Стандарта. Другой проблемой является применение различных международных стандартов качества и отраслевых стандартов как ориентира для российских кредитных организаций. По мнению участников Конференции, внедрение стандарта Банка России СТО БР ИББС–1.0 в кредитных организациях сопровождается следующими трудностями: – отсутствием поддержки высшего руководства; – отсутствием выделенного подразделения ИБ; – отсутствием шаблонов документов; – отсутствием методики оценки рисков; – нехваткой квалифицированного персонала; – сопротивлением ИТ-подразделения; – экономическим кризисом. Стандарт необязателен, однако выполнение требований стандарта показывает зрелость банка и тем самым увеличивает его привлекательность как со стороны клиентов, так и со стороны инвесторов. По поводу международных стандартов участники Конференции пришли к следующему мнению. Существуют различные международные стандарты и регуляторные требования, в той или иной степени связанные с управлением рисками и средой контроля в области информационной безопасности и информационных технологий. Среди наиболее известных – Закон Сарбейнса–Оксли, BASEL, Cobit, SAS 70, ISO 27XXX, ISO 20000, PCI DSS. Упомянутые документы имеют специфику, связанную с уровнем охвата системы контроля (например, общекорпоративный уровень или только ИБ), а также с особенностями отдельных отраслей (например, сфера эквайринга). В то же время все эти документы имеют общую пересекающуюся область, связанную необходимостью оценки рисков и мерами контроля на уровне корпоративных политик, затрагивающих в том числе и ИБ. Возможные решения. Поскольку внедрение Стандарта Банка России повышает привлекательность банка, необходимо доводить до ключевых звеньев (владельцы бизнеса, руководство кредитных органи- ДЕНЬГИ И КРЕДИТ • 4/2009 59 Конференции. Совещания. Семинары 4. Обеспечение непрерывности бизнеса кредитных организаций, применение отказоустойчивых решений, восстановление бизнеса после прерываний. 5. Проблемы взаимоотношения с руководством при построении СОИБ и СУИБ – вопросы эффективности СОИБ/СУИБ и целевого финансирования информационной безопасности. Наибольший интерес участников Конференции вызвали выступления, посвященные опыту построения СОИБ/СУИБ в Банке России и крупнейших коммерческих банках – Сберегательном банке и Газпромбанке. Возможные решения. Ключевым моментом при построении СОИБ/СУИБ является опора на сложившийся опыт, который находит выражение в стандартах, и на обмен опытом с другими организациями банковской системы. Таким образом, целесообразно: 1. Опираться на опыт и сложившуюся практику, выраженную в стандартах, в частности в документах Комплекса БР ИББС. 2. Чаще организовывать встречи с целью обмена опытом по построению СОИБ/СУИБ. Привлекать к обсуждению крупнейшие и успешные банки. заций, ИТ-директора) важность работ по внедрению Стандарта и преимущества от его реализации. В части, касающейся использования общепринятых международных стандартов, а также методов проведения аудита, важно уделять внимание согласованности требований различных нормативных документов, включая российские требования. Это позволит избежать противоречий и сократить ресурсы. В частности, если кредитная организация в России внедряет международные стандарты, то разумно на начальном этапе учесть требования Стандарта Банка России в области ИБ, тем более что необходимость учета национальных требований прямо указана в международных стандартах. Четвертый аспект: • опыт построения систем обеспечения информационной безопасности (СОИБ) и систем управления информационной безопасностью (СУИБ). Проблематика. Уровни соответствия рекомендациям СТО БР ИББС–1.0 банков очень отличаются, соответственно перед ними стоят разные задачи по развитию своих СУИБ и СОИБ. Опыт ведущих банков, а также опыт проведения оценок соответствия показывает, что достижение соответствия Стандарту – дело необходимое, но обеспечение ИБ им далеко не завершается. Мнения. В рамках Конференции были выделены следующие актуальные вопросы, которые возникают при построении СОИБ и СУИБ: 1. Значимость поэтапного построения СОИБ/СУИБ. Опора на стандарты при построении СОИБ/СУИБ. Построение СОИБ/СУИБ на основе комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». 2. Особая роль оценки рисков информационной безопасности. Качественная трансформация рисков – выход на первый план рисков, связанных с централизацией, работой онлайн-сервисов, автоматизацией банковской деятельности. 3. Особенности проведения контроля информационной безопасности – оценка соответствия стандартам, мониторинг, внутренние проверки, аудит. * Итоги Конференции Наиболее актуальным на сегодняшний день вопросом для кредитных организаций является выполнение требований Федерального закона «О персональных данных». В первую очередь это связано с ограниченным сроком (до 1 января 2010 г.), в течение которого банки должны привести свои системы хранения и обработки ПДн в соответствие с законом. Как показывает практика, данный вопрос кредитные организации не готовы решить самостоятельно, а потому необходимо координировать усилия и привлекать к работе все заинтересованные стороны, прежде всего сами банки и регуляторов (Банк России, Россвязькомнадзор, ФСБ, ФСТЭК). Ведущую роль, а также функции координатора в данном объединении целесообразно возложить на Ассоциацию российских банков. По итогам Конференции составлено заявление оргкомитета о продолжении проведения ежегодных межбанковских конференций по вопросам обеспечения ИБ с повышением статуса мероприятия и выдачей соответствующих удостоверений государственного образца. * * Подробную информацию о Первой межбанковской конференции «Вопросы обеспечения информационной безопасности организаций банковской системы Российской Федерации» можно получить на официальном web-сайте конференции по адресу: http:/www.ib-bank.ru. 60 ДЕНЬГИ И КРЕДИТ • 4/2009
