BIS Journal №4(7)/2012

28 ноября, 2012

Оценить «автооценщика»

Оценка соответствия информационной безопасности организации банковской системы стандартам, включая отраслевой, Банка России, – дело сложное и трудоёмкое. Неудивительно, что появилось много разных решений, программного обеспечения, позволяющего автоматизировать эту процедуру. Они востребованы и компаниями-аудиторами, и теми, кто предпочитает собственными силами проводить самооценку, внутренний аудит информационной безопасности. Сделать правильный выбор системы автоматизированного аудита информационной безопасности поможет проверка наличия официального документа, выданного НП «АБИСС», подтверждающего соответствие заявленной функциональности фактической.

ПОТРЕБНОСТЬ В АВТОМАТИЗАЦИИ

Краткая история требований отраслевого регулятора к информационной безопасности банков такова. В 2004 году была принята первая редакция стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Документ содержал положения о необходимости проведения регулярных мероприятий аудита и самооценки для проверки уровня информационной безопасности. Действительные как для самого Банка России, так и для организаций отечественной банковской системы, принявших требования отраслевого стандарта.

Аудит и самооценка соответствия информационной безопасности организации банковской системы требованиям СТО БР ИББС-1.0 осуществляются в соответствии с методикой оценки, определённой стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» (далее – Методика).

Эта Методика применяется в рамках процессов оценки соответствия и самооценки информационной безопасности, определённых двумя документами:

  • стандартом СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»;
  • документом РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

Мероприятия аудита и самооценки информационной безопасности проводятся либо внешними организациями (аудиторами), либо собственными силами сотрудников банковских организаций (самооценка). И внешний, и внутренний аудит включают две составляющие, организационную (процедурную) итехническую.

Регламентируемая требованиями СТО БР ИББС-1.1 и РС БР ИББС-2.1 организационная составляющая определяет состав и взаимодействие членов проверяющей группы и так далее. Техническая составляющая, регламентируемая требованиями СТО БР ИББС-1.2, содержит состав показателей и способы их оценки.

И внешний, и внутренний аудит (самооценка) информационной безопасности банковской организации сложны и очень трудоёмки, а потому нуждаются в автоматизации и организационной, и технической составляющих.

В идеале средства автоматизации должны как поддерживать процессы самооценки и оценки соответствия (роли, полномочия и пр.), так и реализовывать с предельной точностью все математические модели оценки, определенные методикой.

В первую очередь автоматизации требует техническая составляющая. Сбор и оценивание более 400 частных показателей и уточняющих вопросов требуют значительных усилий многих сотрудников, отнимают много времени. Минимизировать эти затраты могут помочь соответствующие специализированные автоматизированные системы оценки соответствия информационной безопасности – АСОИБ.

«АВТООЦЕНЩИКИ»-ПЕРВОПРОХОДЦЫ

Среди создателей АСОИБ к числу первопроходцев принадлежат компании НПФ «Кристалл» и PACIFIKA. Продукты данных организаций, «Estimate-Tool» и «ExactFlow – оценка соответствия», с 2007 года присутствуют на рынке средств обеспечения информационной безопасности банков.

Оба этих продукта были разработаны с учётом многочисленных и подробных консультаций со специалистами Банка России и постоянно совершенствовались, полностью соответствуя действующим в настоящий момент редакциям стандартов СТО БР ИББС-1.0 и СТО БР ИББС- 1.2. Кроме того, эти программы обеспечивают безусловную реализацию требований РС БР ИББС-2.3 – являющегося фактически обязательным дополнением к основополагающему документу Банка России – СТО БР ИББС-1.0.

Остановимся на функциональных возможностях подобных продуктов. Они предназначены для автоматизации оценки (самооценки) соответствия по требованиям стандартов СТО БР ИББС-1.1, СТО БР ИББС-1.2 и РС БР ИББС-2.1. В том числе – с учётом особенностей защиты персональных данных в информационных системах .

Данные инструменты автоматизации обеспечивают:

  • поддержку использования инструментального средства разграничения прав доступа членов группы оценки согласно их назначенным ролям;
  • поддержку этапности оценки: вначале уточняющих вопросов, а затем, с учётом ответов на них, оценки показателей уровня информационной безопасности;
  • возможность контроля промежуточных результатов оценки/переоценки (заполнение диаграмм, отображающих результаты оценки, пересчёт вычисленных значений частных показателей и др.);
  • вычисление оценок для указания в документе, подтверждающем соответствие банковской организации требованиям стандарта Банка России СТО БР ИББС-1.0.

В составе технических средств продуктов, как правило, поддерживается 2 типа функциональных компонентов: автоматизированное рабочее место оценки (АРМ), одно или несколько, и сервер системы управления базой данных (СУБД). На АРМ выполняется подготовка оценки показателей информационной безопасности, сбора свидетельств оценки и управление этим процессом, а также оценка показателей.

Сервер СУБД предназначен для ведения и хранения базы данных системы информации, необходимой для проведения сбора свидетельств оценки и оценивания показателей информационной безопасности. На рис. 1 приведены типовые оконные формы, определяемые требованиями Методики.

Рис. 1. Типовые экранные формы АСОИБ

Применение автоматизирующего инструментального средства повышает эффективность, оптимизирует ресурсные затраты проведения оценки/переоценки соответствия банковских организаций требованиям стандарта Банка России СТО БР ИББС-1.0. Общий подход к использованию АСОИБ иллюстрирует рис. 2.

 

Рис. 2. Процесс использования АСОИБ

Опыт создания и использования АСОИБ показал: за рамками комплекса стандартов СТО БР ИББС-1.Х остался ряд важных вопросов, выявленных в ходе выполнения российскими банковскими организациями аудита и самооценки информационной безопасности. А именно выход новых нормативных документов – обновлённых редакций существующих стандартов, регламентирующих документов в области информационной безопасности. Появляются существенные новшества и в порядке обработки и анализа полученных результатов аудита и самооценок. Это требует определенного учёта в функциональности инструментальных средств.

С 2008 года на официальном сайте Сообщества ABISS – пользователей стандартов Банка России по обеспечению информационной безопасности организаций отечественной банковской системы, преемником которого является НП «АБИСС», действовал специализированный раздел. В нём содержались сведения об имеющихся на рынке продуктах, отвечающих требованиям стандарта отраслевого регулятора (как процедурным, так и техническим). Многие кредитные организации широко пользовались данной информацией.

В РЕКОМЕНДУЕМО-ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ...

До 2010 года не наблюдалось массового интереса производителей к разработке программного обеспечения, автоматизирующего оценку соответствия. Объяснялось это в основном тем, что, в соответствии с законодательством, требования СТО БР ИББС-1.0 носили рекомендательный характер. Проведение аудита и самооценки информационной безопасности было делом сугубо добровольным, остававшемся на уровне решений руководства банковских организаций.

Ситуация радикально изменилась, когда в очередных редакциях стандартов, СТО БР ИББС-1.0 и СТО БР ИББС-1.2 2010 года, были учтены положения федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных», а также требования ряда подзаконных актов, обязательные для банковских организаций.

Формулировки переработанных требований Банка России были согласованы с регуляторами, что зафиксировало так называемое «Письмо шестерых» от 28 июня 2010 года, подписанное Банком России, ФСБ России, ФСТЭК России, Роскомнадзором, Ассоциацией российских банков и Ассоциацией региональных банков России.

Таким образом, ряд положений отраслевого стандарта информационной безопасности, рекомендательного в целом, стал обязательным для банковских организаций. Требования защиты персональных данных, включённые в стандарт, всё равно надо было выполнять. А принятие стандарта сулило бонус: единую форму отчётности четырём регуляторам – Банку России, ФСБ России, ФСТЭК России и Роскомнадзору. Комплекс СТО БР ИББС как раз и описывал, как формировать такую отчётность по итогам внешнего аудита или самооценки.

Тут-то на рынке и начали появляться разнообразные АСОИБ, их разработчики рекламировали эффективную автоматизацию оценки соответствия и иные преимущества. Однако стоит отметить: далеко не все выведенные на рынок АСОИБ реально соответствовали требованиям СТО БР ИББС-1.1, РС БР ИББС-2.1 и СТО БР ИББС-1.2.

Например, как одно из основных «достоинств» у некоторых АСОИБ подчёркивалась возможность манипуляции значениями оценок частных показателей, чтобы повысить итоговую оценку уровня обеспечения информационной безопасности...

Даже если такие манипуляции введут в заблуждение сотрудников и руководство банковской организации, то всё равно рано или поздно неизбежно наступит неприятный «момент истины». Например, в случае масштабных негативных последствий резонансного инцидента, или же при очередной проверке Банком России или иными контрольно-надзорными органами – ФСБ России, ФСТЭК России или Роскомнадзором.

Такие факты, к сожалению, фиксировались. К середине 2011 года, по мере накопления результатов проверок, недовольство регуляторов стало нарастать. Причина – мягко говоря, неточности отчётности соответствия банков требованиям СТО БР ИББС-1.0.

Например, из отчетности подтверждения соответствия вытекало, что «всё в шоколаде». Но по факту даже не была проведена классификация ИСПДн, не выпущено ни одного приказа и не введена ни одна инструкция персоналу.

Понятно, что средства автоматизации оценки не могут решить все проблемы. Но использование решений, имеющих правильный функционал, не позволит получить недостоверные итоги тем, кому не нужна фальсификация.

НЕОБХОДИМ АРБИТР

Бывает нелегко ориентироваться среди различных разработок программного продукта, ставшего востребованным и даже модным. Результаты автоматизированных аудитов и самооценок информационной безопасности должны быть максимально точными и объективными для банковских организаций и надзора. Для этого требуется добровольное проведение разработчиками АСОИБ независимой проверки соответствия заявленных возможностей – требуемой функциональности. Проверка позволит выявить и документально подтвердить соответствие разработанных продуктов требованиям и положениям документов СТО БР ИББС-1.1, РС БР ИББС-2.1 и СТО БР ИББС-1.2.

В такой проверке нет ничего нового и необычного. Любой программный продукт или система при приёмке проходят испытания, объём и содержание которых отвечают программе и методике испытаний соответствия требованиям технического задания или иного подобного документа.

Такова общемировая практика, а по ГОСТ Р ИСО/МЭК 122072010 данные работы именуются процессом валидации. Напомним, что согласно ИСО 9000:2005 валидация (validation) – это подтверждение на основе представления объективных свидетельств того, что выполнены требования, предъявляемые к конкретному использованию или применению.

В соответствие с п. 4.54 ГОСТ Р ИСО/МЭК 12207-2010 валидация в контексте жизненного цикла представляет собой совокупность действий, гарантирующих и обеспечивающих уверенность в том, что система способна реализовать своё предназначение, служить достижению текущих и будущих целей.

Как банкам определиться, какой из продуктов выбрать? Без арбитра, авторитетной и широко признанной организации, трудно. Кто может им быть? Попробуем «вычислить». Сразу нужно оговориться: чтобы не было сомнений в пристрастности, такой арбитр должен проверять только алгоритм работы АСОИБ, но не вводимые в систему значения. Кроме того, арбитру необходимо иметь соответствующую процедурную и методическую базу, а также удовлетворяющие ей испытательные центры или их аналоги.

Далее, для проверки востребованы специально разработанные программа и методика проверочных испытаний (ПМИ), а также наборы контрольных тестов, значений и ожидаемых значений результатов.

Основной целью проведения испытаний АСОИБ является оценка их соответствия требованиям и положениям Комплекса БР ИББС, в том числе:

  • СТО БР ИББС-1.2 - в части методики оценки соответствия ИБ организаций БС РФ;
  • СТО БР ИББС-1.1 и РС БР ИББС-2.1 – в части организации процесса проведения аудита и самооценки ИБ и сбора свидетельств оценки соответствия.

При проведении испытаний могут использоваться следующие основные методы испытаний:

  • экспертно-документальный метод – включает в себя проверку всех представленных документов: их количества, комплектности, содержания, актуальности и полноты представленных в них сведений;
  • экспериментальный метод – включает в себя проведение экспериментов (последовательность действий) над АСОИБ с визуальным контролем результатов.

Процедура проведения испытаний должна состоять из 2 этапов, проведения формальной и функциональной проверок.

В рамках формальной проверки проверяется реализация выполнения требований, предъявляемых к АСОИБ, а также проверяется работоспособность, достаточность эксплуатационной документации для установки и работы с ними.

При этом особо выделяются требования к системам, выполнение которых является обязательным условием успешного прохождения испытаний, а также рекомендуемые, невыполнение которых не может являться основанием для отказа в успешном проведении испытаний.

В ходе функциональной проверки осуществляется оценка соответствия АСОИБ требованиям СТО БР ИББС-1.2 в части методики оценки соответствия информационной безопасности организаций БС РФ требования СТО БР ИББ-1.0-2010, также требованиям СТО БР ИББС-1.1 и СТО БР ИББС-2.1 в части организации процесса проведения аудита и самооценки информационной безопасности.

Дополнительно в ходе испытаний АСОИБ должны оцениваться производительность, степень соответствия возможностей заявленным разработчиком параметрам и т.п.

По результатам проверочных испытаний должно быть принято решение о возможности рекомендации АСОИБ к применению в российских банковских организациях.

Со своей стороны, разработчики должны стремиться к добровольной проверке реальных возможностей АСОИБ, поскольку использование подобных систем крайне востребовано и при реализации требований, определенных положением Банка России №382-П.

Это положение, которое содержит обязательные требования обеспечения защиты информации при осуществлении переводов денежных средств, вступило в силу 1 июля 2012 года (утв. Банком России 9 июня 2012, зарегистрировано в Минюсте России 14 июня 2012 г. № 24575). Требования Положения 382-П Банка России дополняют требования, утвержденные Постановлением Правительства РФ № 584 от 13 июня 2012 года.

Положение 382-П подробно регламентирует, как участники национальной платёжной системы – банковские платежные агенты (субагенты), операторы перевода денежных средств, платежных систем, услуг платежной инфраструктуры – должны обеспечивать защиту информации при осуществлении переводов денежных средств. Кроме того, подробно описаны процедуры контроля соблюдения указанных требований, осуществляемого Банком России в порядке надзора в национальной платёжной системе.

В целом процедуры оценки соответствия требованиям положения 382-П аналогичны аудиту соответствия нормам СТО БР ИББС-1.2: предлагается оценить по специальной методике более 100 показателей – достаточно большое количество. Очевидно, что для снижения трудозатрат оценки соответствия Положению 382-П потребуется применение средств автоматизации, аналогичных АСОИБ.

Смотрите также