BIS Journal №4(7)/2012

27 декабря, 2012

Под прикрытием СТО БР

Сумма в $ 4,5 млрд – показатель объёма рынка компьютерных преступлений в России в 2011 году. Из них около $ 942 млн похищено путем мошенничеств в системах электронных денег, дистанционного банковского обслуживания ( Данные отчета «Русский рынок компьютерных преступлений. Состояние и тенденции. 2011» (http://www.group-ib.ru/images/media/Group-IB_Report_2011_RUS.pdf). Почему с каждым годом злоумышленникам удаётся похищать всё большие суммы? Чтобы лишить их таких возможностей, нужно оптимизировать действующие подходы к информационной защите финансовых сервисов. А для этого первым делом определить существующие узкие места.

 «Тот, кто понимает, как использовать большие и малые силы, одержит победу»
Сунь Цзы, «Искусство войны».

ТЕХНИКА РЕШАЕТ НЕ ВСЁ

В обеспечении информационной безопасности есть ряд узких мест, которые не могут не бросаться в глаза практикам. Например, некоторые специалисты по информационной безопасности банков не уделяют должного внимания отраслевому стандарту СТО БР ИБСС, чрезмерно увлекаясь чисто «технократическими» решениями. Такой подход чаще встречается среди людей с высшим инженерным образованием.

Психологически технические средства защиты нагляднее, понятнее и проще для восприятия, чем организационные меры – анализ рисков, бизнес-процессов, создание и выполнение регламентов ИБ. Легче переложить ответственность на технические средства, которые «работают сами», чем постоянно самостоятельно проводить мероприятия по обеспечению информационной безопасности.

Ярким примером такого подхода является увлечение DLP или антифрод-системами. Использование таких технических средств, непосредственно направленных на выявление попыток несанкционированного доступа, повышает вероятность своевременного обнаружения вредоносной активности. Надёжную защиту от информационных атак обеспечивает межсетевой экран.

Но только до поры до времени. Потому что для тех или иных производственных потребностей время от времени приходится открывать то один, то другой порт. В результате ACL (Access Control List – списки контроля доступа) разрастается, а сокращать или убирать неактуальные записи никто не спешит. Все думают, что от атак из сети интернет они защищены: «У нас же есть межсетевой экран!».

Но приходит «день икс», возникает реальная угроза, и служба ИБ получает сообщение об успешной атаке... После разбора ситуации ответственные лица говорят: «Нынешняя модель не справляется с атаками. Нужна новая модель межсетевого экрана, более мощная, более совершенная и более дорогая!».

На самом деле, спустя немного времени, история повторится. Потому что и при действующем межсетевом экране достаточно было ввести процедуры периодического контроля настроек и своевременного удаления ненужных записей из ACL. Разработка регламента межсетевого взаимодействия потребовала бы меньше времени и денег, чем замена старого межсетевого экрана новым. Однако процедуры нужно не только регламентировать, но и выполнять, чем и должны заниматься ответственные сотрудники.

Специалистам с таким подходом больше нравится разворачивать и настраивать систему DLP за $ 1 млн, чем инструктировать сотрудников операционного отдела банка о правилах информационной безопасности. Манипулировать кнопками на корпусе средства защиты информации привычно и приятно. Правда, после очередного острого инцидента в сфере информационной безопасности ощущения приходится испытывать куда как менее приятные.

ТАБЛИЦА. Соответствие требований СТО БР ИББС 1.0-2010 и №382-П 

 

СТО БР ИББС 1.0 (пп.)

 

382-П (пп.)

7.2

Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу

2.4

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей (далее – ролей) лиц, связанных с осуществлением переводов денежных средств

7.3

Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла

2.5

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры

7.4

Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации

2.6

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа

7.5

Общие требования по обеспечению информационной безопасности средствами антивирусной защиты

2.7

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее – вредоносный код)

7.6

Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет

2.8

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании информационно-телекоммуникационной сети Интернет (далее – сеть Интернет) при осуществлении переводов денежных средств

7.7

Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации

2.9

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ

7.8

Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов

2.10

Требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств (далее – технологические меры защиты информации)

8.2

Требования к организации и функционированию службы информационной безопасности организации банковской системы РФ

2.11

Требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее – служба ин формационной безопасности)

8.9

Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности

2.12

Требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов (да лее – повышение осведомленности) в области обеспечения защиты информации

8.10

Требования к организации обнаружения и реагирования на инциденты информационной безопасности

2.13

Требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них

8.13

Требования к проведению самооценки информационной безопасности

2.15

Требования к оценке выполнения оператором платежной системы, оператором по переводу де нежных средств, оператором услуг платежной инфраструктуры требований к обеспечению за щиты информации при осуществлении переводов денежных средств

8.17

Требования к принятию решения по тактическим улучшениям системы обеспечения информационной безопасности

2.17

Требования к совершенствованию оператором платежной системы, оператором по переводу де нежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств

8.18

Требования к принятию решении по стратегическим улучшениям системы обеспечения информационной безопасности

 
«ОРГАНИЗАЦИОННОЕ ОРУЖИЕ»

Отраслевой стандарт по информационной безопасности СТО БР ИББС не является техническим в собственном смысле слова. Он направлен на развитие целостной системы обеспечения информационной безопасности банка, включает не только технические меры, но и организационные. СТО БР ИБСС стал особо привлекателен для банков, когда выяснилось, что соответствие ему означает выполнение норм федерального закона «О персональных данных» ФЗ-152.

Известный блоггер А.В. Лукацкий (член подкомитета №1 технического комитета №122 Рос– стандарта, занимающегося стандартизацией информационной безопасности финансовых операций) верно подметил: «Выполнение требований защиты персональных данных осуществляются в рамках одного проекта, разово. Выполнение же требований СТО БР ИББС носит постепенный характер. То есть вы не обязаны сразу тратить солидную сумму денег на выполнение всех требований стандарта».

Таким образом, не нужно закладывать большую сумму в бюджет, чтобы за один год достичь невозможного – 5 уровня соответствия требованиям стандарта. Напротив, применение СТО БР ИБСС в банке позволяет добиться планомерного развития основных направлений защиты информации, оптимизировать затраты. Удобство отраслевого стандарта и в том, что он не требует пересмотра абсолютно всех мер, уже применяемых в банке. В нём содержится самый минимум требований, выполнение которых необходимо и достаточно для обеспечения информационной безопасности.

1 июля 2012 года вступило в силу утвержденное постановлением Правительства России положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 382-П).

Этот документ содержит основные требования к защите информации субъектами национальной платёжной системы России. Если изучить требования данного постановления более детально, можно сделать вывод: СТО БР ИБСС, среди прочих пунктов, включает в себя почти все требования информационной защиты для НПС (см. таблицу).

Получается, что те, кто соответствует нормам СТО БР ИБСС, автоматически выполняют большинство требований 382-П. Ещё один интересный факт относительно 382-П: в нём явно прописано, по каким критериям необходимо производить оценку того или иного показателя – по степени документированности, по степени выполнения или по обоим показателям.

С СТО БР о таком мы могли только догадываться. Те, кто не успел этого сделать раньше, планируют принять стандарт сейчас, чтобы не оказаться в таком же цейтноте, как при вступлении в силу ФЗ-152.

АВТОМАТИЗАЦИЯ САМООЦЕНКИ

Оценку соответствия требованиям СТО БР ИББС-1.0 провели 358 организаций БС РФ, из них 80% составляет самооценка, – сообщил в феврале 2012 года, на IV Межбанковской конференции представитель Банка России А.П. Курило. Но выяснилось, что многие банки завышают самооценки соответствия. Причина неверных результатов зачастую кроется в том, что сотрудники организации, зная требования закона, не всегда их правильно трактуют и выполняют.

Так, в одном из банков при помощи привлеченной компании была проведена самооценка. Самооценка показала, что итоговый уровень соответствия ИБ R = 2. Проверка расчёта на основании содержавшихся в отчёте частных показателей выявила: на самом деле R = 1. И сотрудникам, и привлечённым исполнителям оказалось нелегко разобраться в методике расчёта показателей выполнения требования стандарта по формулам СТО БР ИББС 1.2.

Возможен соблазн использовать для расчета оценки подручные средства типа электронных таблиц: вроде просто и недорого, нужно только потратить некоторое время на создание форм расчётов значений. Однако практика показала низкую точность и сложность такого способа суммирования результатов. Составление итогового отчёта превращается в рутину, требующую большого «ручного» труда.

Вовремя осознав проблему, специалисты компании «СиТек» разработали программное обеспечение, которое помогает минимизировать риск неверного расчёта значений оценок по направлениям и автоматизировать процесс проведения самооценки.

Этот продукт открывает ряд дополнительных возможностей:

  • осуществлять оценку показателей с учетом требований документированности и выполнения П-382;
  • создать единую базу нормативно-распорядительных документов, действующих в организации, и реестр сотрудников, привлеченных к аудиту;
  • генерировать для руководителей службы информационной безопасности отчёты по различным показателям – структурированную информацию о результатах оценки (с учетом заданных шаблонов оформления);
  • учитывать трудовые, временные, финансовые и другие затраты на совершенствование и поддержание СОИБ.

СТО БР ИББС содержит минимально необходимый комплекс мер, корректное и своевременное выполнение которых позволит свести к минимуму возможность компьютерных преступлений. Заложенная в отраслевой стандарт модель приведет к повышению качества процесса обеспечения информационной безопасности. Когда работа на всех уровнях организации ведётся в соответствии с требованиями СТО БР ИББС, можно с уверенностью говорить о повышении уровня обеспечения информационной безопасности финансовых IT-сервисов и уменьшении количества инцидентов.

Смотрите также