<<
>>

ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ

Системы принципов обеспечения информационной безопасности в задачах корпоративного управления участников НПС

Принципы осознанного решения задач обеспечения информационной без­опасности (отдельного бизнеса, деятельности организации, взаимодействующих сторон, профессионального сообщества и пр .

) основываются на понимании при­роды факторов рисков (угроз) и структуры рисков, а также подходов по их моди­фикации (переноса, принятия, снижения, ухода). Существенная часть рисков ин­формационной безопасности порождается процессами операционной среды ор­ганизации и среды ее корпоративного управления, а также при взаимодействии сторон как внутри организации, так и вне ее

Рассмотрим данный срез на примере принципов обеспечения информацион­ной безопасности организации и одного из срезов взаимодействия при обслужи­вании клиентов банков

Основными факторами осознанного внимания высшего руководства органи­зации к задачам обеспечения ИБ являются:

■ понимание необходимости наличия прогнозируемой, эффективной и управ­ляемой системы обеспечения информационной безопасности;

■ совершенствование делового климата в организации и повышение эффек­тивности работы с персоналом;

■ стремление к повышению эффективности системы управления операцион­ными и иными специфичными рисками, которые «сопровождают» деятель­ность организации;

■ понимание необходимости соответствия установленным профессиональ­ным нормам контроля рисков, эффективная реализация которых может

быть осуществлена технологиями обеспечениям информационной без­опасности;

■ формирование основ повышения стоимости организации при слияниях и поглощениях, а также повышения рыночной стоимости в глазах рыноч­ных инвесторов;

■ повышение привлекательности для зарубежных инвесторов и партнеров .

В профессиональной среде выделяют два подмножества принципов безопас­ного функционирования: «общие» и «специальные» («настроечные»), формиру­ющие основное концептуальное содержание видов деятельности в данной пред­метной области

В состав общих принципов безопасного функционирования организации входят следующие:

■ своевременность обнаружения проблем .

Организация должна своевремен­но обнаруживать проблемы, потенциально способные повлиять на ее биз­нес-цели;

■ прогнозируемость развития проблем . Организация должна выявлять при­чинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития;

■ оценка влияния проблем на бизнес-цели . Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели;

■ адекватность защитных мер . Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реали­зацию таких мер и объема возможных потерь от выполнения угроз;

■ эффективность защитных мер . Организация должна эффективно реализо­вывать принятые защитные меры;

■ использование опыта при принятии и реализации решений . Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения;

■ непрерывность действия принципов безопасного функционирования . Ор­ганизация должна обеспечивать последовательность в реализации принци­пов безопасного функционирования;

■ контролируемость защитных мер . Организация должна применять только те защитные меры, правильность работы которых может быть проверена При этом организация должна регулярно оценивать адекватность защит­ных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации

Реализация специальных принципов обеспечения ИБ направлена на повы­шение уровня зрелости процессов управления ИБ в организации В состав спе­циальных принципов обеспечения информационной безопасности организации входят следующие:

■ определенность целей . Функциональные цели организации и цели ее си­стемы обеспечения ИБ должны быть явно определены во внутрикорпора­

тивных нормативных актах . Неопределенность приводит к «размыванию» организационной структуры, ролей и обязанностей персонала, некон­структивности политик ИБ и невозможности оценки адекватности приня­тых решений и защитных мер;

■ знание своих клиентов и служащих .

Организация должна обладать инфор­мацией о своих клиентах, тщательно подбирать персонал (служащих), вы­рабатывать и поддерживать корпоративную этику, что создает благопри­ятную доверительную среду для деятельности организации по управлению активами . Знание клиентов в современном мире может иметь различное наполнение (от физической личности до виртуальных (информационных) ее атрибутов). В любом случае степень необходимого и достаточного «зна­ния» должна быть определена;

■ персонификация и адекватное разделение ролей и ответственности . От­ветственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться . Она должна быть адекватной сте­пени влияния должностных лиц на цели организации, фиксироваться в по­литиках, контролироваться и совершенствоваться;

■ адекватность ролей функциям и процедурам и их сопоставимость с крите­риями и системой оценки . Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации . При назна­чении взаимосвязанных ролей должна учитываться необходимая последо­вательность их выполнения Роль должна быть согласована с критериями оценки эффективности ее выполнения Основное содержание и качество ис­полняемой роли реально определяются применяемой к ней системой оценки;

■ доступность услуг и сервисов . Организация должна обеспечить доступ­ность для своих клиентов и контрагентов услуг и сервисов в установлен­ные сроки, определенные соответствующими договорами (соглашениями) и (или) иными документами;

■ наблюдаемость и оцениваемость обеспечения ИБ . Любые предлагаемые за­щитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог бы быть оценен подразделением ор­ганизации, имеющим соответствующие полномочия

«Роль: Заранее определенная совокупность правил, устанавливающих допу­стимое взаимодействие между субъектом и объектом»

Изложенная система принципов безопасного функционирования организа­ции имеет преимущественно отношение к среде корпоративного управления и на практике реализуется в систему взаимосвязанных, как правило, не выраженных явно, но идентифицируемых процессов, осуществляемых в рамках управленче­ской деятельности организации . В «продвинутых» организациях центром компе­тенции данных работ является совет (координационный совет) по информаци­онной безопасности, функционирующий при первом исполнительном лице (его заместителе) организации

Применительно к действиям руководства организации это предполагает ини­циирование и поддержку следующих мероприятий:

■ создание, внедрение и актуализация политики ИБ;

■ внедрение мер, направленных на обеспечение уверенности в том, что цели и планы ИБ установлены и работоспособны;

■ определение ролей и ответственности в области информационной безопас­ности;

■ осведомленность всех сотрудников организации информации о важности достижения целей информационной безопасности и подчинения требова­ниям политики информационной безопасности, об их ответственности пе­ред законом, а также о необходимости непрерывного совершенствования;

■ обеспечение достаточных ресурсов для эксплуатации, анализа и совершен­ствования системы обеспечения ИБ организации;

■ наличие решений о критериях принятия рисков и о приемлемых уровнях риска безопасности;

■ проведение контроля и анализа (самооценки, аудиты, выводы из результа­тов разбора инцидентов и т . п . );

■ обеспечение уверенности в достаточной компетентности персонала, на ко­торый возложены определенные в рамках системы обеспечения ИБ обя­занности

Указанные мероприятия реализуются в рамках следующих процессов дея­тельности на уровне корпоративного управления организации:

■ анализ проблем ИБ и определение потребности организации в обеспечении ИБ;

■ рассмотрение и санкционирование руководством деятельности по плани­рованию мероприятий обеспечения ИБ организации;

■ сопровождение операционной деятельности системы обеспечения ИБ;

■ поддержка и анализ результатов мероприятий по проверке системы обе­спечения ИБ;

■ определение стратегий совершенствования системы обеспечения ИБ .

Анализ проблем ИБ даже на высшем уровне невозможен без охвата общего

контекста бизнеса организации, ее стратегий, целей деятельности и основных по­казателей эффективности существования . Процессы по обеспечению ИБ составля­ют один из видов вспомогательных процессов, реализующих поддержку основной деятельности организации для достижения максимально возможного результата

Здесь должны рассматриваться как факторы целесообразности и эффектив­ности в части соотношений «прибыли» от защищенности критичных активов и расходов на разворачивание системы ИБ, так и комплаенс факторы процессов деятельности организации . Для этих целей должны быть учтены:

■ характеристики информационных активов организации, их размещение, владелец (обладатель), пользователь, важность их для бизнеса организации, категории классификации, уровни защиты и иные необходимые сведения;

■ результаты менеджмента активов организации, выраженные в оценке вли­яния инцидентов ИБ на активы: финансовой восстановительной стоимости, стоимости остановки бизнес-операций в результате потери (повреждения) актива, издержек упущенных возможностей и т . д .;

■ спецификации бизнес-процессов организации;

■ критерии достижения бизнес-целей;

■ отчетность и производственные показатели основной деятельности (бизне­са) организации;

■ данные о потерях, о нанесенном бизнесу ущербе (материальном и ином);

■ информация о среде бизнес-процессов организации, включающая данные о внешних и внутренних угрозах, информацию о персонале, внешних кон­тактах и взаимодействиях, информацию от заинтересованных сторон отно­сительно бизнес-процессов, активов, информационной безопасности и т д ;

■ отчетность об ИБ организации, о текущем состоянии процессов менед­жмента ИБ

Реализация иных процессов деятельности на уровне корпоративного управ­ления организации в контексте принципов безопасного функционирования орга­низации формирует необходимые основы развертывания и совершенствования процессов системы менеджмента ИБ (СМИБ) организации, включая решения:

■ по определению целей ИБ, адекватности и контролируемости защитных мер;

■ по закреплению ответственностей по ИБ, связанных со СМИБ;

■ по адекватности разделения ролей и ответственности;

■ о взаимодействии между структурными подразделениями организации;

■ о выделении необходимых ресурсов для обеспечения ИБ;

■ по критериям оценки эффективности защитных мер, мерам доверия клиен­тов и служащих и обеспечению доступности услуг и сервисов .

Данные процессы, являясь фактически частью основной управленческой де­ятельности организации, имеют отношение ко всей организации . Они «работа­ют» со сведениями, имеющими отношение к результатам основной деятельности организации, но необходимы для принятия адекватных потребностям решений относительно ИБ и осуществления менеджмента ИБ организации в целом

По результатам этой деятельности вырабатываются ключевые решения от­носительно всех областей обеспечения ИБ организации, реализуемые в среде ор­ганизации — участника НПС .

принципы обеспечения информационной безопасности при дистанционном банковском обслуживании

Отдельные сферы в основной деятельности организации могут быть сопря­жены со специфичными, типичными и чувствительными рисками для ее деятель­ности Применительно к финансовой индустрии одной из таких сфер является интерфейс на стыке взаимодействия «банк — клиент» . Все более широкое ис­

пользование электронных (дистанционных) средств и технологий доступа к фи­нансовым услугам, включая и платежные операции, сопряжено с существенными специфичными рисками . Здесь затрагиваются интересы не только принимающей «заказ» на финансовую услугу (операцию) организации, но и иных участников системы . Это в свою очередь и определяет потребность в целевом рассмотрении данной области

Российская практика в данной области пока еще не столь систематизирова­на для выработки унифицированных рецептов лучших практик . В то же время в ряде стран и сообществ подобные решения предложены и они достаточно рабо­тоспособны в соответствующей среде . Среди них можно выделить Рекомендации EPC1, предлагающие руководствоваться 12 принципами, отражающими хорошую практику обеспечения безопасности при дистанционном банковском обслужи­вании . Данные Рекомендации развивают ранее изданные Европейским комите­том по банковским стандартам рекомендации, нашедшие отражение в TR 411v2 «Руководство по обеспечению безопасности для электронных банковских услуг» (Security guidelines for e-banking: application of basel risk management principles) применительно к взаимодействию «клиент — банк» .

В рекомендациях ЕРС представлены принципы и руководства по хорошим практическим приемам обеспечения безопасности во взаимодействиях «кли­ент — банк» по отношению к дистанционному инициированию электронных операций для схем прямого дебетового и кредитного трансферта в едином евро­пейском платежном пространстве Данные принципы по мнению EPC примени­мы для решений по электронным или мобильным платежным каналам в Европе, а также могут применяться для участников системы электронного выставления счетов-фактур . Эти принципы рекомендуются для использования в качестве ин­струментальных средств банками, поставщиками электронных банковских услуг или любой стороной, действующей от их имени . Они направлены на установле­ние общего базового уровня безопасности для всех удаленных операций «кли­ент — банк» единого европейского платежного пространства

Принцип 1. Совет директоров и высшее руководство финансовых институ­тов, предоставляющих электронные банковские услуги, должны установить эф­фективный надзор руководства за рисками, связанными с этой деятельностью, включая конкретную ответственность, политики и меры и средства контроля и управления для осуществления действий в отношении информации о рисках . Например, до начала трансграничной электронной банковской деятельности они должны провести соответствующую оценку риска и должную проверку

Принцип 2 . Финансовые институты, предоставляющие электронные бан­ковские услуги, должны принимать соответствующие меры для идентификации и регистрации клиентов, с которыми они осуществляют дистанционное взаимо­действие

Принцип 3 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны принимать соответствующие меры для обеспечения взаим­ной аутентификации, осуществляемой между ними и клиентами, с которыми они осуществляют дистанционное взаимодействие

Принцип 4 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны принимать соответствующие меры для обеспечения мето­дов аутентификации транзакций, способствующих неотказуемости и учетности электронных банковских транзакций

Принцип 5 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны принимать соответствующие меры для обеспечения защиты чувствительных данных в электронных банковских транзакциях

Принцип 6 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны обеспечить наличие соответствующих мер и средств кон­троля и управления санкционированием(-я) и привилегий доступа для систем, баз данных и приложений электронных банковских услуг

Принцип 7 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны обеспечить наличие соответствующих мер для защиты дан­ных электронных банковских транзакций, регистрационных данных и информа­ции

Принцип 8 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны обеспечить наличие подробных контрольных журналов для всех электронных банковских транзакций

Принцип 9 . Финансовые институты, предоставляющие электронные банков­ские услуги, должны иметь эффективные процессы планирования мощностей, обеспечения непрерывности бизнеса и действий в чрезвычайных ситуациях для содействия обеспечению доступности электронных банковских систем и услуг Принцип 10 . Финансовые институты, предоставляющие электронные бан­ковские услуги, должны разработать соответствующие планы реагирования для осуществления менеджмента, сдерживания и минимизации проблем, возникаю­щих из-за неожиданных событий, включая внутренние и внешние атаки, кото­рые могут препятствовать обеспечению электронных банковских услуг и работе систем

Принцип 11 Финансовые институты, предоставляющие электронные бан­ковские услуги, должны обеспечить предоставление достаточного количества информации на своих web-сайтах, чтобы дать возможность потенциальным кли­ентам принять взвешенное решение до инициирования электронных банков­ских транзакций . Например, финансовые институты, намеревающиеся занять­ся трансграничной деятельностью, должны раскрыть на своем web-сайте доста­точный объем сведений, чтобы позволить потенциальным клиентам определить страну его расположения и тип выданной лицензии

Принцип 12 . Финансовые институты, предоставляющие электронные бан­ковские услуги, должны принять соответствующие меры для обеспечения стро­

гого соблюдения требований законодательства страны, где они предоставляют электронные банковские услуги и продукты .

В качестве хорошей отправной точки для реализации указанных принци­пов обеспечения (информационной) безопасности для удаленных операций «клиент — банк» ЕРС рекомендуется рассматривать ряд мер и средств контроля и управления, проистекающих из норм законодательства и иных практик, в том числе нашедших отражение в международных стандартах, таких как стандарты серии ISO/IEC 270ХХ .

Меры и средства контроля и управления, считающиеся важными для органи­зации с законодательной точки зрения, включают:

а) обеспечение защиты данных и приватности персональной информации;

б) обеспечение безопасности регистрационных данных в организации;

в) права на интеллектуальную собственность

Меры и средства контроля и управления, считающиеся установившейся практикой для обеспечения информационной безопасности, включают:

а) документацию политики информационной безопасности;

б) классификацию данных по уровню чувствительности;

в) распределение обязанностей по обеспечению информационной безопас­ности;

г) осведомленность, образование и обучение в сфере информационной без­опасности;

д) безопасную разработку, тестирование (безопасности) и поддержку ИТ- инфраструктуры, устройств, приложений и процессов;

е) менеджмент уязвимостей;

ж) менеджмент непрерывности бизнеса;

з) менеджмент инцидентов информационной безопасности

Нижеследующая таблица иллюстрирует рекомендации EPC по поддержке

реализации принципов теми или иными категориями мер и средств контроля и управления безопасности из стандарта ISO/IEC 27002 .

В национальной платежной системе практически все из изложенных принци­пов в определенной степени применимы для соответствующих видов деятельно­сти . Конкретные решения подлежат определению органом регулирования и над­зора (наблюдения) за деятельностью участников НПС в установленном порядке .

Использование лучших практик корпоративного управления и контроля, включая практику управления и контроля в информационной сфере, существен­ным образом снижает стохастическую составляющую в деятельности организа­ции, что качественным образом влияет на эффективность мер обеспечения ин­формационной безопасности . Это также обеспечивает базу для «сходимости» различных форм и методов контроля, используемых как для целей управления, так и для надзора и наблюдения за деятельностью участников НПС .

К лучшим практикам корпоративного управления и контроля в информаци­онной сфере относятся как отдельные модельные решения, подобно рекоменда­циям СОБО, Базельского комитета и его структур, так и стандарты обеспечения информационной безопасности , включая уже отмеченные и иные международ­ные и отраслевые стандарты

<< | >>

Еще по теме ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ:

  1. ПАРАДИГМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
  2. 5. Обеспечение информационной безопасности
  3. ГЛАВА 3 НАЦИОНАЛЬНЫЕ ПЛАТЕЖНЫЕ СИСТЕМЫ И МЕЖДУНАРОДНЫЕ КАРТОЧНЫЕ ПЛАТЕЖНЫЕ СИСТЕМЫ
  4. 2. Национальные интересы РФ в информационной сфере и их обеспечение
  5. 3. Обеспечение безопасности в глобальном информационном пространстве
  6. МОДЕЛЬНЫЕ РЕШЕНИЯ И СТАНДАРТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  7. ИСПОЛЬЗОВАНИЕ SWIFT В НАЦИОНАЛЬНЫХ ПЛАТЕЖНЫХ СИСТЕМАХ
  8. понятие и структура национальной платежной системы
  9. термин «национальная платежная система»
  10. Глава 5. НАДЗоР и НАБАЮДЕНиЕ В Национальной платежной системе
  11. глава 1 банк международных расчетов о национальных платежных системах
  12. глава 11 развитие национальной платежной системы в долгосрочной перспективе
  13. развитие национальных платежных систем