16 июня, 2015, BIS Journal №1(16)/2015

Экспертиза: польза консолидации специалистов


Ермаченков Алексей

кандидат технических наук, начальник отдела информационной безопасности (АКБ МОСОБЛБАНК ОАО)

Об опыте работы Межбанковской рабочей группы по моделированию рисков информационной безопасности

В обеспечении информационной безопасности банков важную роль играют межбанковские экспертные сообщества, члены которых являются сотрудниками профильных подразделений кредитных организаций. Они знают свою проблематику «изнутри», и объединение их усилий, при соблюдении принципов широкого представительства, является ценным методологическим фактором повышения эффективности работы отрасли.


МЕТОДОЛОГИЯ ИССЛЕДОВАНИЙ

Межбанковская рабочая группа по моделированию рисков (ранее угроз) – как раз такое профессиональное экспертное объединение, которое действует уже 2 года. Целями деятельности группы является разработка и поддержка в актуальном состоянии модели рисков, привязанной к банковским бизнес-процессам, понятной и руководителям, и сотрудникам.

Входящие в Межбанковскую рабочую группу специалисты работают в различных банках и регулярно принимают участие в исследованиях, выступая экспертами при проведении опросов. Так, в исследовании, посвящённом угрозам персональным данным, приняли участие 40 экспертов из 34 банков. В некоторых банках на вопросы отвечали несколько специалистов, но присылали групповое мнение, которое засчитывалось как один «голос».

Методологическая основа проведения исследований – целостная оценка рисков, без разделения на угрозы и уязвимости. Методика опроса требует сбора обобщённых оценок, взгляда сотрудников разных банков на проблемы банковской отрасли в целом. Таким образом, мы никого не просим раскрывать информацию о тех или иных трудностях, инцидентах в своих банках. Используются условные показатели угроз и балльные критерии оценки. Официальных документов от банков не требуется, поскольку окончательные результаты опросов обезличиваются. Результаты подсчитываются чисто математически.
 

Таблица 1.  Оценка рисков для каждого банковского актива

Кроме того, необходимо учитывать, что в России существуют сотни разных банков: действующие на всей территории страны и в отдельных регионах, крупные, средние и малые, отраслевые и другим образом специализированные. Поэтому нам всегда интересно мнение максимально широкого круга экспертов, чтобы полученные результаты моделирования были применимы к отрасли в целом. В результате удаётся уйти от субъективизма и узкой частной проблематики.

Рабочая группа собирает, консолидирует экспертное мнение о рисках информационной безопасности банков как таковой. Наша задача – понять, какие из рисков наиболее актуальны. Структура Межбанковской рабочей группы по моделированию угроз достаточно гибкая: как и состав модераторов, она меняется в зависимости от поставленных задач. Например, когда для Банка России проводилось исследование с целью моделирования угроз банкам в сфере персональных данных, специализированная рабочая группа была сформирована на совместном заседании Ассоциации российских банков и НП «Национальных платёжный совет».

В ходе своей работы мы пришли к следующей методике проведения опросов. В зависимости от темы исследования модераторы формируют списки вопросов, которые рассылаются экспертам. На начальном этапе опроса, т. е. до выхода первых результатов моделирования, эксперты имеют возможность внесения дополнений и уточнений в списки предлагаемых вопросов. Далее эксперты проводят свою собственную оценку рисков и заполняют опросники. В качестве примера работу наших экспертов можно описать следующим образом. Эксперту представляется перечень угроз банковским активам. Он оценивает их опасность по 10-балльной шкале, где «10» является максимальной, а «0» минимальной оценкой. Шкала оценки должна быть линейной. 

Итоговые данные опросов сводятся воедино и пересчитываются в процентах, в соответствии с рекомендациями специалистов по математической статистике, – чтобы результаты получались сходящимися, сопоставимыми.

Ниже приведена оценка рисков, то есть величин, учитывающих вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы, для каждого банковского актива (средств клиентов, целостности АБС и т. д.). Экспертная группа – 20 человек, которые работают в банках с совокупными активами 12,5 трлн рублей.

На втором этапе мы проводим декомпозицию полученных оценок рисков по основным банковским бизнес-процессам. В настоящее время мы рассматриваем иерархию бизнес-процессов. После проведения исследования у банков появится возможность уточнять отраслевую модель рисков путем учета важности каждого бизнес-процесса в каждом конкретном банке.
 

Таблица 2. Декомпозиция полученных оценок рисков по банковским бизнес-процессам

Пример: пусть по результатам моделирования отраслевой риск нарушения целостности бизнес-процесса «обслуживание банкоматов» составляет 1,7%. Из статистики, представленной на сайте ЦБ известно, что всего на территории Российской Федерации функционирует 269 500 банкоматов, а общий капитал банков составляет 6,9 трлн рублей. Т.е. в среднем по отрасли один банкомат приходится на 25,6 млн рублей капитала банка. 

Зная капитал и число банкоматов в своём конкретном банке, можно уточнить отраслевой риск. Так, если у банка капитал 2,6 млрд рублей и число банкоматов равно 100, то оцениваемый банковский риск будет совпадать с отраслевым. Если у банка при том же капитале всего 50 банкоматов, то банковский риск будет составлять только половину от отраслевого (0,65%).

ПРАКТИЧЕСКИЕ РЕЗУЛЬТАТЫ

В активе группы – проведение трёх крупных исследований, посвящённых разным актуальным аспектам информационной безопасности банков. Первое посвящено безопасности дистанционного банковского обслуживания (ДБО), второе – обслуживанию пластиковых карт, третье – угрозам защите персональных данных. Каждое из исследований заканчивается результатами, которые практически используются теми или иными участниками отрасли.
Так, результаты моделирования угроз и оценки эффективности различных защитных мер, обеспечивающих безопасность систем ДБО, были использованы в 4 банках для обоснования финансовых затрат на внедрение защитных мер.
 

Таблица 3. Практические результаты

Кроме того, результаты нашего исследования оказались востребованы и разработчиками систем ДБО: особое внимание они начали уделять тем защитным мерам, которые были выявлены как приоритетные. Производители решений начинают обращать внимание на чётко сформулированные требования банков. Уже сейчас на рынке появились продукты, в которых предусмотрены высокоэффективные защитные меры, опирающиеся на результаты проведённого нами исследования.

Интерес к результатам нашей работы проявляют и государственные регуляторы отрасли, в первую очередь профильные подразделения Банка России. Мы предоставляем им итоговые выводы исследований, которые учитываются при развитии нормативной базы. Также важно, что наши исследования представляют консолидированную оценку банковскими специалистами по информационной безопасности, среди прочего, эффективности требований нормативных документов.

Эти оценки бывают и позитивными, и негативными, но в любом случае служат механизмом обратной связи для государственных регуляторов. Взять хотя бы подготовку изменений в Положение Банка России № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств от 9 июня 2012 года. В числе замечаний нашей группы – оценка некоторых норм обеспечения безопасности банкоматов как избыточных.

Бывает и наоборот: консолидированное экспертное мнение банковских специалистов по информационной безопасности оценивает как недостаточные нормы, действующие или предлагаемые. Право учитывать это мнение остаётся, конечно, за государственным регулятором. Мы видим, что часть наших рекомендаций получает воплощение в развитии нормативной базы.

ПРОДУКТИВНОСТЬ ДИСКУССИЙ

Результаты наших исследований не могут и не должны лишь подтверждать действующие нормативные документы – требования и рекомендации. В чём-то мы можем оказаться правы, в чём-то ошибаться. Наличие различных точек зрения – предпосылка для предметных, продуктивных дискуссий, в которых рождается истина. Предметом одной из таких дискуссий стало моделирование угроз банкам в сфере персональных данных, ставшее темой третьего крупного исследования, проведённого нашей Межбанковской рабочей группой.

21 июня 2010 года вступили в действие рекомендации Банка России по моделированию угроз безопасности персональных данных при их обработке в информационных системах российских банков. Из четырёх десятков угроз, перечисленных в этом документе, наша экспертная группа сочла актуальными только несколько. Результаты исследования были переданы в Банк России.

Во введённом в силу Банком России 1 июня 2014 года документе «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» содержатся скорректированные положения, посвящённые моделированию угроз в сфере персональных данных. Готовится проект новой модели угроз банкам в этой сфере.
 

Рисунок 1. Модель классов актуальных угроз ПДн (взгляд экспертов)

В рамках работы над этой моделью угроз Банк России активно взаимодействует с нашей рабочей группой – так, в конце 2014 года были проведены встречи, посвящённые  улучшению этой модели. Мы надеемся, что высказанные нами замечания будут должным образом учтены при выпуске финальной версии документа.

Многие дискуссии между представителями банковского сообщества, государственных регуляторов и других участников отрасли во многом вызваны недостатком унифицированной терминологии. Причина этого в том, что в стране существуют различные научные школы информационной безопасности, и её вопросами в нашей отрасли занимаются разные ведомства – Банк России, ФСБ России, ФСТЭК России и другие.

УТОЧНЕНИЕ ТЕРМИНОВ – ПУТЬ К ВЗАИМОПОНИМАНИЮ

Обрабатывая результаты опросов наших экспертов, мы обнаружили: оказывается, многие термины часто трактуются разными специалистами по-своему. Различно понимание того, что такое угроза, риск, защитные меры и на что они направлены. Из-за этого порой получаются достаточно большие расхождения в конечных оценках.

По нашему мнению, заслуживают уточнения и ключевые понятия, которые используются в отраслевом стандарте безопасности Банка России. Например, используется понятие «активы», но не определяется критерий их ценности. Конфиденциальность, целостность и доступность являются составляющими информационной безопасности. Тем самым, защищаемым активом оказываются не различные банковские ресурсы – АБС, системы ДБО, средства клиентов или самого банка и т. п., – а сама информационная безопасность.

В результате затрудняется понимание того, что из себя представляют инциденты, а их предупреждение сводится, главным образом, к поиску и устранению уязвимостей. Но для успешного снижения рисков информационной безопасности нужно учитывать содержательные моменты: то, что величина риска определяется степенью угрозы, вероятностью её реализации и размерами возможного ущерба. В свою очередь, степень угрозы определяется сопоставлением параметров её источника и наличия соответствующих уязвимостей у банка.

Чтобы снизить риск, нужно работать по трём направлениям:
  • постараться изолировать источник угрозы;
  • закрыть существующую уязвимость;
  • приложить усилия для минимизации последствий возможного инцидента.

Например, страхование рисков, которое предлагает Банк России, не попадает под определение защитных мер в отраслевом стандарте. Ведь оно не закрывает ни одну из уязвимостей, а только снижает тяжесть последствий! Резервное копирование данных, установление лимитов сумм операций, которые банк проводит для клиентов – эти меры также должны относиться к третьему направлению, к снижению тяжести последствий. Такая классификация защитных мер приводит к изменению порядков их применения.

Меняется видение путей обеспечения информационной безопасности, комплексов мер и последовательности их применения. Если удаётся изолировать источник угрозы, то уже нет разницы, через какой риск она могла бы реализоваться. Если удалось ограничить до приемлемого уровня ущерб, – скажем, финансовые потери, то, в известной степени, риск становится допустимым.

Создание унифицированной отраслевой терминологии – важная, перспективная задача. Решение данной задачи позволит всем государственным регуляторам одинаково понимать, формулировать и употреблять в нормативных документах такие понятия, как угроза, риск, уязвимость и другие. Пока что они зачастую используются если и не как тождественные, то как взаимозаменяемые. На наш взгляд, улучшение взаимопонимания в результате унификации терминологии повысит эффективность общей работы.

РАБОТА НА ПЕРСПЕКТИВУ

Одно из перспективных направлений работы группы – моделирование угроз банковским активам. Цель исследования – достичь понимания, что именно и как нужно защищать в банках, чтобы обеспечить комплексную информационную безопасность. Это новый, более высокий уровень нашей работы. Потому что предыдущие исследования рассматривали отдельные аспекты и объекты защиты – ДБО, пластиковые карты, персональные данные. На этот раз мы стараемся рассмотреть активы банка как целостность.

Чтобы провести такое комплексное моделирование угроз, мы структурировали банковские активы «сверху вниз». Далее, мы разделили банковские активы, защита которых относится к компетенции специалистов по информационной безопасности, на 4 большие группы:
  1. Финансовые средства;
  2. Информация;
  3. Собственная информация банка и денежные средства, которыми он распоряжается от своего лица;
  4. Клиентская информация (деньги на счетах и информация, предоставляемая банку клиентами).
Наши эксперты оценивают опасность для банка нарушения конфиденциальности, целостности и доступности каждого из этих активов. Завершение этого исследования, подведение его итогов позволит моделировать информационные угрозы банковским активам в целом.

Другое направление работы Межбанковской рабочей группы по моделированию угроз информационной безопасности, рассчитанное на более отдалённую перспективу, – взаимодействие с молодыми специалистами по информационной безопасности. В первую очередь со студентами профильных специализаций вузов. В этой работе мы преследуем 2 цели: с одной стороны, расширить количество наших активных помощников, с другой – распространять содержательное понимание терминологии, применяемой в моделировании рисков информационной безопасности банков.

Проводятся встречи представителей нашей Межбанковской рабочей группы со студентами вузов, на которых ведётся обучение специальностям в сфере информационной безопасности и защиты информации. Представители группы ведут мастер-классы моделирования угроз, разъясняют, как правильно использовать терминологию и как это может поспособствовать эффективности применяемых защитных мер.

Кроме того, в работе с молодёжью у нас есть и сиюминутная «корысть». Работая над курсовыми, дипломными работами, диссертационными исследованиями, проходя практику, молодые люди могут выбирать тематику, тесно связанную с нашей деятельностью. При этом у них есть возможность брать на себя часть технической работы при проведении исследований Межбанковской рабочей группы, а потом использовать результаты в своих научных и практических работах.

Потом многие из этих студентов, закончив вузы, могут пойти работать по профилю в кредитно-финансовую отрасль: кто в банки, кто в компании-интеграторы, а кто и в государственные регуляторы. Мы стараемся, чтобы из них сформировались специалисты, не понаслышке знакомые с практической работой со студенческой скамьи. И, что важно, говорящие на унифицированном терминологическом языке, облегчающем взаимопонимание и взаимодействие.
 

 

Смотрите также

Подпишись на новости!
Подписаться