Перспективы развития отраслевого стандарта
Информационная безопасность – одна из основных составляющих систем общей безопасности организаций банковской системы Российской Федерации. Роль и значение защиты информационных ресурсов в условиях активного внедрения новейших информационных технологий постоянно растёт.
ПОЛИТИКА СОВЕРШЕНСТВОВАНИЯ
В современных условиях обеспечение должного уровня информационной безопасности в организациях банковской системы Российской Федерации невозможно реализовать без использования актуальной методологической базы. Банком России выполняется работа, направленная на совершенствование комплекса документов в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее – Комплекс).
К основным направлениям данной работы относятся:
- совершенствование документов Комплекса в части обеспечения защиты персональных данных;
- менеджмент инцидентов, в том числе в системах ДБО;
- предоставление ресурсов для деятельности по обеспечению информационной безопасности.
О совершенствовании документов Комплекса в части реализации требований законодательства Российской Федерации по вопросам обеспечения защиты персональных данных. Будет продолжена политика, предоставляющая возможность организациям банковской системы Российской Федерации использовать требования Комплекса для исполнения законодательства Российской Федерации в области защиты персональных данных. В этих целях предполагается проведение следующих мероприятий.
- Используя полномочия Банка России, установленные в ч. 5 ст. 19 федерального закона «О персональных данных», определить отраслевую модель актуальных угроз безопасности персональных данных для организаций банковской системы Российской Федерации. Для этого планируется организовать работу с банковским экспертным сообществом, провести согласование модели угроз с ФСТЭК России и ФСБ России и ввести модель в действие нормативным актом Банка России.
- После ввода в действие документов регуляторов в области обеспечения безопасности персональных данных, предусмотренных ч. 4 ст. 19 федерального закона «О персональных данных» (в первую очередь обновленной редакции Приказа ФСТЭК России № 58) провести актуализацию рекомендаций в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации», включенных в состав Комплекса.
- Провести работу по переподписанию Письма-обращения в кредитные организации об использовании организациями банковской системы Российской Федерации документов Комплекса для выполнения законодательства в области персональных данных (переподписание «Письма шестерых»).
На 2013 год запланировано продолжение других работ по выполнению требований Комплекса. Необходимость проведения указанных работ определяется наличием ряда чрезвычайно актуальных для организаций банковской системы Российской Федерации направлений деятельности по обеспечению информационной безопасности. Но требования к ним и рекомендации практически полностью отсутствуют в отечественной нормативно-методической базе.
К указанным актуальным направлениям, среди прочего, относятся:
- менеджмент инцидентов информационной безопасности, в том числе инцидентов информационной безопасности, возникающих в системах дистанционного банковского обслуживания (ДБО);
- предоставление ресурсов для деятельности по обеспечению информационной безопасности.
Для каждого из указанных направлений планируется разработка отдельного документа в составе Комплекса.
Статус документов Комплекса, в соответствии с законодательством Российской Федерации о техническом регулировании, – рекомендательный. Решение об использовании документов Комплекса принимается кредитной организацией самостоятельно. В тоже время, принятие кредитной организацией решения выполнять требования указанных документов показывает, по нашему мнению, определенный уровень зрелости кредитной организации в вопросах обеспечения информационной безопасности и повышает доверие к её деятельности со стороны Банка России.
ЭВОЛЮЦИЯ ПОДХОДОВ
Развитие информационных технологий, применяемых в банковской системе Российской Федерации, требует качественного пересмотра подходов к обеспечению информационной безопасности. Принципы и подходы к организации деятельности подразделений защиты информации, а также к обеспечению информационной безопасности будут эволюционировать практически на каждом из этапов жизненного цикла автоматизированных банковских систем.
Основной целью указанных изменений является повышение эффективности деятельности по обеспечению защиты информации. Что позволит сохранить существующий уровень обеспечения информационной безопасности с учётом ресурсных ограничений подразделений защиты информации в условиях опережающего развития информационных технологий.
К числу основных факторов, способствующих повышению эффективности обеспечения информационной безопасности, относятся:
- оптимизация деятельности подразделений защиты информации на этапе создания и ввода в эксплуатацию автоматизированных банковских систем;
- внедрение автоматизированных технологий контроля обеспечения информационной безопасности на этапе эксплуатации автоматизированных банковских систем;
- оптимизация организационных процедур деятельности подразделений защиты информации по контролю состояния обеспечения информационной безопасности в структурных подразделениях организаций банковской системы Российской Федерации.
В части оптимизации деятельности подразделений защиты информации на этапе создания и ввода в эксплуатацию автоматизированных систем полагаю целесообразным отметить следующие направления:
- поэтапный переход от концепции обеспечения защиты информации в автоматизированных банковских системах, реализуемый путем создания подсистем информационной безопасности автоматизированных банковских систем, к реализации концепции комплексного и согласованного применения систем и средств защиты информации и организации процессов управления ими. Преимущественно – по инфраструктурному (объектовому) принципу, на уровне обеспечивающей компоненты информационно-телекоммуникационной системы структурных подразделений организаций банковской системы Российской Федерации;
- переориентация на сопровождение работ по созданию типовых комплексных решений для реализации концепции защищённой среды информационно-телекоммуникационной системы структурных подразделений организаций банковской системы Российской Федерации;
- постепенная унификация систем и средств защиты информации, применяемых и внедряемых в структурных подразделениях организаций банковской системы Российской Федерации;
- постепенный отказ от сопровождения работ по созданию отдельных подсистем обеспечения информационной безопасности автоматизированных банковских систем и переориентация на деятельность по интеграции разрабатываемых прикладных программных комплексов в создаваемую защищённую среду информационно-телекоммуникационной системы структурных подразделений организаций банковской системы Российской Федерации.
В части внедрения автоматизированных технологий контроля обеспечения информационной безопасности на этапе эксплуатации автоматизированных банковских систем полагаю целесообразным выделить следующие направления:
- внедрение автоматизированного мониторинга действий администраторов и пользователей автоматизированных банковских систем и выявление нарушений регламентов эксплуатации автоматизированных банковских систем;
- автоматизация контроля эксплуатации применяемых средств и систем защиты информации, в том числе контроль настроек указанных средств и систем;
- контроль использования электронной почты и ресурсов сети интернет;
- предотвращение утечек конфиденциальной информации.
Средства и системы, реализующие автоматизированные технологии контроля обеспечения защиты информации, по нашему мнению, должны внедряться в структурных подразделениях организаций банковской системы Российской Федерации в централизованном порядке и основываться на типовых решениях.
ОПТИМИЗАЦИЯ ТРЕБОВАНИЙ
В части оптимизации деятельности подразделений защиты информации по выполнению процедур контроля обеспечения информационной безопасности необходимо отметить следующее. В настоящее время объём требований к обеспечению защиты информации, подлежащих проверке, и область проверок в большинстве организаций банковской системы Российской Федерации существенно превышают ресурсные возможности подразделений защиты информации.
В такой ситуации перспективной для совершенствования данного направления деятельности представляется следующая схема:
- специально назначенные работники структурных подразделений организаций банковской системы Российской Федерации – администраторы информационной безопасности осуществляют полный контроль в зоне своей ответственности, с установленной периодичностью и использованием методических документов, разработанных подразделениями защиты информации;
- деятельность подразделений защиты информации в основном фокусируется на контроле деятельности администраторов информационной безопасности, при этом осуществляется выборочная перепроверка деятельности администраторов информационной безопасности.
Подразделения защиты информации при такой организации процедур, фактически осуществляют контроль выполнения контрольных мероприятий («контроль контроля»), минимизируя трудозатраты.
Отдельное внимание следует уделить вопросам обеспечения безопасности электронных расчётов. Развитие инфраструктуры платёжных банковских технологий, переход на централизованные формы обработки платёжной информации требуют принятия дополнительных мер, направленных на исключение результативных проводок фиктивных платежей.
Проводимые в настоящее время мероприятия по совершенствованию платежной системы Банка России определены, в том числе, принятием федерального закона от 27 июня 2011 года № ФЗ-161 «О национальной платёжной системе». Проведение этих мероприятий неминуемо потребует совершенствования обеспечения информационной безопасности в платёжной системе Банка России, и эта работа обязательно будет проведена.
* * *
В заключение следует отметить, что, по нашему мнению, проведение комплекса указанных мероприятий позволит повысить эффективность и качество обеспечения информационной безопасности в банковской системе Российской Федерации. На этапе их проведения потребуется скоординированная и интенсивная работа как Банка России, так и организаций отечественной банковской системы, в первую очередь – подразделений обеспечения информационной безопасности. Это – необходимое условие стабильного и надежного функционирования банковской системы России.