СОВРЕМЕННЫЙ МИР И ПОТРЕБНОСТИ БИЗНЕСА
Отечественный банковский бизнес в силу ряда причин вынужден заимствовать на мировых рынках не только универсальные технологии, например, информационные, но и целиком виды бизнеса (расчетные, платежные, биржевые). Это необходимо для поддержки не только банковских операций внутреннего рынка, но и внешнеэкономических платежно-расчетных и финансовых операций, условиями выхода на рынки капитала.
Один из практических шагов по пути формирования эффективной организационно-методологической платформы стандартизации – широкое использование международных стандартов и лучших зарубежных практик там, где до настоящего времени не удалось создать современных российских регламентов, стандартов и правил. С этой целью приняты соответствующие поправки в Федеральный закон «О техническом регулировании», а также ряд подзаконных актов, предназначенных для сформирования максимально комфортных условий для импорта и адаптации современных технологий.
Применительно к банковской сфере сложилась следующая международная практика подготовки и использования стандартизированных решений, в том числе и для области обеспечения информационной безопасности банков:
Фактически организовано два основных «канала» совершенствования технологий обеспечения информационной безопасности банков. Российская практика последовательно выходит на подобную организацию работ.
В соответствии с решениями (приказами) Росстандарта площадкой для работ по национальной и международной стандартизации в сфере универсальных стандартов обеспечения информационной безопасности должен со временем стать подкомитет (ПК) 127 «Безопасность информационных технологий», образованный в составе технического комитета (ТК) 22 «Информационные технологии».
В сферу деятельности и компетенцию ПК 127 вошли работы и проекты, ведущиеся по линии аналогичной международной структуры – 27 подкомитета СТК1 ИСО/МЭК «Информационные технологии» (за исключением работ по международным стандартам криптографических алгоритмов и функций, поддерживаемых российским комитетом 26). Площадкой для отработки специализированных отраслевых решений (стандартов Банка России) обеспечения информационной безопасности организаций БС РФ, а также издания общеметодологических руководств относительно условий и специфики использования существующих стандартов является технический комитет 122 «Стандарты финансовых операций».
Работы самого ТК 22 «Информационные технологии» были «перезапущены» на новой платформе приказами Росстандарта от декабря 2009 и мая 2010 года под эгидой Межотраслевого совета по информационным технологиям Комитета по техническому регулированию, стандартизации и оценке соответствия Российского союза промышленников и предпринимателей. Функции ведения секретариата ТК были возложены на Институт проблем информатики Российской академии наук.
«ПЕРЕЗАПУСК» ПЛОЩАДКИ ПОДГОТОВКИ ГАРМОНИЗИРОВАННЫХ УНИВЕРСАЛЬНЫХ МЕЖДУНАРОДНЫХ СТАНДАРТОВ
В современных условиях работоспособных отечественных научно-производственных коллективов в области обеспечения информационной безопасности на современном международном уровне немного. В итоге длительных переговоров выбор руководства ТК был сделан в пользу коллектива, принимавшего с 2003 года активное участие в становлении и развитии стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы РФ.
Следует отметить, что решения, отработанные этим коллективом, были воспроизведены с соответствующим специфичным содержанием во многих иных отраслях и нашли отражение в отраслевых документах (стандартах) нефтегазовой, железнодорожной отрасли и иных.
Дополнительным мотивом решению ТК о выборе коллектива под руководством Банка России послужило и то, что данный коллектив – инициатор и самый активный участник подготовки целого ряда гармонизированных международных стандартов, которые способствуют внедрению и использованию стандартов Банка России. Участие в течение пяти лет в работах по программам национальной стандартизации позволило накопить определенный опыт специфики данных работ (процедур, терминологии, практики). В частности были подготовлены:
Все из перечисленных стандартов за исключением двух последних (готовятся к публикации) доступны для приобретения у официальных распространителей национальных стандартов.
Однако перечисленный блок стандартов составляет лишь малую часть того, чем пользуются на практике наши зарубежные коллеги. Под юрисдикцией международного подкомитета 27 «Методы и средства обеспечения безопасности» СТК1 ИСО/МЭК «Информационные технологии» принято свыше 100 стандартов. Отдельные из них будут отмечены далее. При этом в рамках международных процедур идут активные процессы по пересмотру действующих стандартов (подобную практику использует и Банк России). Согласно регламенту ИСО любой действующий стандарт один раз в 3–5 лет выставляется на процедуру пересмотра в той структуре, что его подготовила.
Имеющая система организации работ в рамках национальной системы стандартизации не вполне позволяет обеспечить на национальном уровне должную поддержку (гармонизацию) результатов работ международного уровня. К сожалению, пока что здесь мы катастрофически отстаем, и отставание только нарастает. Усугубляется это и безответственным поведением отечественных органов по сертификации услуг в сфере систем менеджмента информационной безопасности (СМИБ), выпускающих сертификаты соответствия, используя при этом фрагментарную нормативную и методическую базу, игнорируя при этом международные нормы аккредитации оценщиков и органов по сертификации СМИБ (ГОСТ Р ИСО/МЭК 27006-2008).
В то же время с выходом работ российского 127 подкомитета «Безопасность информационных технологий» на «проектную мощность» ожидается, что постепенно ситуация будет выправляться в лучшую сторону.
Что касается сферы работ международного подкомитета 27, то она составляет динамичную многогранную область, охватывающую множество вопросов, включая:
ТЕХНОЛОГИИ, ВОСТРЕБОВАННЫЕ БАНКАМИ
Из всего спектра работ международного подкомитета 27 российскими банками наиболее востребованными являются:
Первые два направления чрезвычайно актуальны в банковской деятельности, как в области корпоративного управления, так и при предоставлении банковских услуг клиентам (например, при предоставлении услуг по дистанционному банковскому обслуживанию физических и юридических лиц, реализации платежно-расчетных операций, работе на зарубежных рынках).
Управленческие технологии и стандарты, поддерживаемые и развиваемые в рамках работ первой специализированной рабочей группы международного подкомитета 27, составляют отдельную серию взаимосвязанных стандартов СМИБ (см. рисунок 1).
Часть стандартов данной серии уже принята и опубликована, другая же часть находится на различных стадиях пересмотра или разработки.
Положения документов серии 270ХХ, несмотря на их определенную специфику (содержат фактически лишь те положения, по которым удалось достичь консенсуса на международном уровне), оказываются востребованными как при работах, связанных с реализацией требований стандартов Банка России, так и в решении иных задач.
Например, в среде специалистов по защите информации зачастую бытует мнение, что, внедрив в организации широко известный сертификационный стандарт ISO/IEC 27001, мы получим эффективную систему управления информационными рисками и надежную систему управления ИБ.
Однако это не совсем так. Положения стандарта ISO/IEC 27001 не затрагивают, а где-то и касаются, но не раскрывают ряд фундаментальных категорий, например, таких, как интеграция задач обеспечения ИБ в корпоративный менеджмент. За фразой «требования и процессы СМИБ должны быть согласованы и отвечать требованиям бизнеса организации» лежит глубокий пласт задач, предопределяющий фактический успех всех усилий.
Для ответа на подобные вопросы и/или отражения лучших международных практик по подобным темам и готовятся стандарты статуса «общие руководства» для ISO/IEC 27001 (см. рисунок 1). Другие документы серии 270ХХ также представляют определенный интерес, например, для совершенствования и развития внутрикорпоративных процедур.
Например, в стандарте ISO/IEC 27014 (см. рисунок 1) выделяются следующие пять основных областей охвата системы корпоративного управления ИБ: согласованность стратегии ИБ и бизнеса, оценка эффективности, менеджмент рисков, управление ресурсами и увеличение стоимости. Возможное взаимодействие областей бизнеса и информационной безопасности для этих задач рассмотрено в отмеченном стандарте (общая схема представлена на рисунке 2).
Суть данных процедур аналогична соответствующему блоку требований стандарта Банка России СТО БР ИББС-1.0, нашедшему отражение в разделе 5 «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ». В рамках каждой из пяти задач системы корпоративного управления ИБ стандарта ISO/IEC 27014 сформулированы следующие руководства:
Общий подход к реализации требований СТО БР ИББС-1.0 с учетом положений отдельных международных стандартов представлен на рисунке 3.
Для приведенных на рисунке 3 стандартов из документов серии 270ХХ это может включать:
упорядочение и развитие взаимодействия со смежными подразделениями банка и порядными организациями при работах в сфере информатизации и защиты информации с учетом положений ISO/IC 27013 «Руководство по совместному использованию стандартов ISO/IEC 20000-1 и ISO/IEC 27001»;
совершенствование нормативной базы и соответствующих видов деятельности в сфере проверок СОИБ и развития СИБ с учетом положений ISO/IEC 27007 «Руководства по аудиту систем менеджмента информационной безопасности», ISO/IEC 27008 «Руководства для аудиторов по аудиту средств контроля СМИБ» и ISO/IEC 27015 «Руководства по менеджменту информационной безопасности для финансового сектора»;
развитие норм и видов отчетности высшему руководству банка с учетом положений ISO/IEC 27014 «Корпоративное управление информационной безопасностью»;
Технологии и стандарты защиты личности в «электронном» мире и управление идентификационными атрибутами людей при их работе в виртуальном пространстве, развиваемые в рамках работ пятой специализированной рабочей группы международного подкомитета 27, со временем помогут сформировать ряд серий профильных стандартов.
Разрабатываемые в рамках работ пятой специализированной рабочей группы международного подкомитета 27 стандарты, а также будущие решения (как стандарты, так рекомендации) в области обеспечения приватности приведены на рисунке 4.
Ещё одним крупным направлением работ пятой специализированной рабочей группы международного подкомитета 27 являются вопросы менеджмента идентификационных атрибутов. В современных условиях непрерывной эволюции информационных технологий и все большего «погружения» общественной жизни и бизнеса в электронный мир вопросы идентификации и аутентификации приобретают чрезвычайно важное и ощутимое значение. Общую структуру данного направления работ иллюстрирует рисунок 5.
Специализированные широко применяемые в банковском деле механизмы и протоколы, базирующиеся на криптографических преобразованиях, развиваемые в рамках работ второй специализированной рабочей группы международного подкомитета 27, включает более 30 стандартов. Работы данного направления поддерживаются российским техническим комитетом по стандартизации № 26 «Криптографическая защита информации», взаимодействие с которым является приоритетным направлением работ для российского 127 подкомитета «Безопасность информационных технологий».
В международном банковском сообществе (ТК 68 ИСО «Финансовые услуги») разработан ряд прикладных стандартов, положения которых базируются на универсальных стандартах СКЗИ, подготовленных в рамках работ второй специализированной рабочей группы международного подкомитета 27. В связи с этим отработка для российской практики универсальных криптографических стандартов является неотъемлемым шагом на пути к использованию прикладных стандартов криптографических операций.
ПРОДВИЖЕНИЕ РОССИЙСКИХ ИНТЕРЕСОВ
С 2010 года возросло российское участие в работах на международном уровне. Произошло это и как следствие смены платформы работ российского 127 подкомитета «Безопасность информационных технологий». В рамках прошедшего в первой половине апреля текущего года в Сингапуре заседания международного подкомитета 27 обсуждались российские предложения, вошедшие в официальные сводки предложений и замечаний по следующим стандартам:
Предложения по последнему из них были подготовлены с учетом требований Стандарта Банка России и опыта его использования и развития. Предложения по всем перечисленным международным стандартам были подготовлены в рамках действующих процедур российского 127 подкомитета «Безопасность информационных технологий».
Российские делегаты, принявшие участие в заседании международного подкомитета 27, дали исчерпывающие комментарии по всему блоку представленных предложений.
Активно изучается международный опыт в сфере «Privacy&Security», нашедший отражение в том числе в следующих стандартах ISO:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных