ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
Принципы осознанного решения задач обеспечения информационной безопасности (отдельного бизнеса, деятельности организации, взаимодействующих сторон, профессионального сообщества и пр .
) основываются на понимании природы факторов рисков (угроз) и структуры рисков, а также подходов по их модификации (переноса, принятия, снижения, ухода). Существенная часть рисков информационной безопасности порождается процессами операционной среды организации и среды ее корпоративного управления, а также при взаимодействии сторон как внутри организации, так и вне ееРассмотрим данный срез на примере принципов обеспечения информационной безопасности организации и одного из срезов взаимодействия при обслуживании клиентов банков
Основными факторами осознанного внимания высшего руководства организации к задачам обеспечения ИБ являются:
■ понимание необходимости наличия прогнозируемой, эффективной и управляемой системы обеспечения информационной безопасности;
■ совершенствование делового климата в организации и повышение эффективности работы с персоналом;
■ стремление к повышению эффективности системы управления операционными и иными специфичными рисками, которые «сопровождают» деятельность организации;
■ понимание необходимости соответствия установленным профессиональным нормам контроля рисков, эффективная реализация которых может
| быть осуществлена технологиями обеспечениям информационной безопасности; ■ формирование основ повышения стоимости организации при слияниях и поглощениях, а также повышения рыночной стоимости в глазах рыночных инвесторов; ■ повышение привлекательности для зарубежных инвесторов и партнеров . В профессиональной среде выделяют два подмножества принципов безопасного функционирования: «общие» и «специальные» («настроечные»), формирующие основное концептуальное содержание видов деятельности в данной предметной области В состав общих принципов безопасного функционирования организации входят следующие: ■ своевременность обнаружения проблем . Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели;■ прогнозируемость развития проблем . Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития; ■ оценка влияния проблем на бизнес-цели . Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели; ■ адекватность защитных мер . Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз; ■ эффективность защитных мер . Организация должна эффективно реализовывать принятые защитные меры; ■ использование опыта при принятии и реализации решений . Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения; ■ непрерывность действия принципов безопасного функционирования . Организация должна обеспечивать последовательность в реализации принципов безопасного функционирования; ■ контролируемость защитных мер . Организация должна применять только те защитные меры, правильность работы которых может быть проверена При этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации В состав специальных принципов обеспечения информационной безопасности организации входят следующие: ■ определенность целей . Функциональные цели организации и цели ее системы обеспечения ИБ должны быть явно определены во внутрикорпора |
| тивных нормативных актах . Неопределенность приводит к «размыванию» организационной структуры, ролей и обязанностей персонала, неконструктивности политик ИБ и невозможности оценки адекватности принятых решений и защитных мер; ■ знание своих клиентов и служащих . Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами . Знание клиентов в современном мире может иметь различное наполнение (от физической личности до виртуальных (информационных) ее атрибутов). В любом случае степень необходимого и достаточного «знания» должна быть определена;■ персонификация и адекватное разделение ролей и ответственности . Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться . Она должна быть адекватной степени влияния должностных лиц на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться; ■ адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки . Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации . При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения Роль должна быть согласована с критериями оценки эффективности ее выполнения Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки; ■ доступность услуг и сервисов . Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и (или) иными документами; ■ наблюдаемость и оцениваемость обеспечения ИБ . Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог бы быть оценен подразделением организации, имеющим соответствующие полномочия «Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом» Изложенная система принципов безопасного функционирования организации имеет преимущественно отношение к среде корпоративного управления и на практике реализуется в систему взаимосвязанных, как правило, не выраженных явно, но идентифицируемых процессов, осуществляемых в рамках управленческой деятельности организации . В «продвинутых» организациях центром компетенции данных работ является совет (координационный совет) по информационной безопасности, функционирующий при первом исполнительном лице (его заместителе) организации |
| Применительно к действиям руководства организации это предполагает инициирование и поддержку следующих мероприятий: ■ создание, внедрение и актуализация политики ИБ; ■ внедрение мер, направленных на обеспечение уверенности в том, что цели и планы ИБ установлены и работоспособны; ■ определение ролей и ответственности в области информационной безопасности; ■ осведомленность всех сотрудников организации информации о важности достижения целей информационной безопасности и подчинения требованиям политики информационной безопасности, об их ответственности перед законом, а также о необходимости непрерывного совершенствования; ■ обеспечение достаточных ресурсов для эксплуатации, анализа и совершенствования системы обеспечения ИБ организации; ■ наличие решений о критериях принятия рисков и о приемлемых уровнях риска безопасности; ■ проведение контроля и анализа (самооценки, аудиты, выводы из результатов разбора инцидентов и т . п . ); ■ обеспечение уверенности в достаточной компетентности персонала, на который возложены определенные в рамках системы обеспечения ИБ обязанности Указанные мероприятия реализуются в рамках следующих процессов деятельности на уровне корпоративного управления организации: ■ анализ проблем ИБ и определение потребности организации в обеспечении ИБ; ■ рассмотрение и санкционирование руководством деятельности по планированию мероприятий обеспечения ИБ организации; ■ сопровождение операционной деятельности системы обеспечения ИБ; ■ поддержка и анализ результатов мероприятий по проверке системы обеспечения ИБ; ■ определение стратегий совершенствования системы обеспечения ИБ . Анализ проблем ИБ даже на высшем уровне невозможен без охвата общего контекста бизнеса организации, ее стратегий, целей деятельности и основных показателей эффективности существования . Процессы по обеспечению ИБ составляют один из видов вспомогательных процессов, реализующих поддержку основной деятельности организации для достижения максимально возможного результата Здесь должны рассматриваться как факторы целесообразности и эффективности в части соотношений «прибыли» от защищенности критичных активов и расходов на разворачивание системы ИБ, так и комплаенс факторы процессов деятельности организации . Для этих целей должны быть учтены: ■ характеристики информационных активов организации, их размещение, владелец (обладатель), пользователь, важность их для бизнеса организации, категории классификации, уровни защиты и иные необходимые сведения; |
| ■ результаты менеджмента активов организации, выраженные в оценке влияния инцидентов ИБ на активы: финансовой восстановительной стоимости, стоимости остановки бизнес-операций в результате потери (повреждения) актива, издержек упущенных возможностей и т . д .; ■ спецификации бизнес-процессов организации; ■ критерии достижения бизнес-целей; ■ отчетность и производственные показатели основной деятельности (бизнеса) организации; ■ данные о потерях, о нанесенном бизнесу ущербе (материальном и ином); ■ информация о среде бизнес-процессов организации, включающая данные о внешних и внутренних угрозах, информацию о персонале, внешних контактах и взаимодействиях, информацию от заинтересованных сторон относительно бизнес-процессов, активов, информационной безопасности и т д ; ■ отчетность об ИБ организации, о текущем состоянии процессов менеджмента ИБ Реализация иных процессов деятельности на уровне корпоративного управления организации в контексте принципов безопасного функционирования организации формирует необходимые основы развертывания и совершенствования процессов системы менеджмента ИБ (СМИБ) организации, включая решения: ■ по определению целей ИБ, адекватности и контролируемости защитных мер; ■ по закреплению ответственностей по ИБ, связанных со СМИБ; ■ по адекватности разделения ролей и ответственности; ■ о взаимодействии между структурными подразделениями организации; ■ о выделении необходимых ресурсов для обеспечения ИБ; ■ по критериям оценки эффективности защитных мер, мерам доверия клиентов и служащих и обеспечению доступности услуг и сервисов . Данные процессы, являясь фактически частью основной управленческой деятельности организации, имеют отношение ко всей организации . Они «работают» со сведениями, имеющими отношение к результатам основной деятельности организации, но необходимы для принятия адекватных потребностям решений относительно ИБ и осуществления менеджмента ИБ организации в целом По результатам этой деятельности вырабатываются ключевые решения относительно всех областей обеспечения ИБ организации, реализуемые в среде организации — участника НПС . принципы обеспечения информационной безопасности при дистанционном банковском обслуживании Отдельные сферы в основной деятельности организации могут быть сопряжены со специфичными, типичными и чувствительными рисками для ее деятельности Применительно к финансовой индустрии одной из таких сфер является интерфейс на стыке взаимодействия «банк — клиент» . Все более широкое ис |
| пользование электронных (дистанционных) средств и технологий доступа к финансовым услугам, включая и платежные операции, сопряжено с существенными специфичными рисками . Здесь затрагиваются интересы не только принимающей «заказ» на финансовую услугу (операцию) организации, но и иных участников системы . Это в свою очередь и определяет потребность в целевом рассмотрении данной области Российская практика в данной области пока еще не столь систематизирована для выработки унифицированных рецептов лучших практик . В то же время в ряде стран и сообществ подобные решения предложены и они достаточно работоспособны в соответствующей среде . Среди них можно выделить Рекомендации EPC1, предлагающие руководствоваться 12 принципами, отражающими хорошую практику обеспечения безопасности при дистанционном банковском обслуживании . Данные Рекомендации развивают ранее изданные Европейским комитетом по банковским стандартам рекомендации, нашедшие отражение в TR 411v2 «Руководство по обеспечению безопасности для электронных банковских услуг» (Security guidelines for e-banking: application of basel risk management principles) применительно к взаимодействию «клиент — банк» . В рекомендациях ЕРС представлены принципы и руководства по хорошим практическим приемам обеспечения безопасности во взаимодействиях «клиент — банк» по отношению к дистанционному инициированию электронных операций для схем прямого дебетового и кредитного трансферта в едином европейском платежном пространстве Данные принципы по мнению EPC применимы для решений по электронным или мобильным платежным каналам в Европе, а также могут применяться для участников системы электронного выставления счетов-фактур . Эти принципы рекомендуются для использования в качестве инструментальных средств банками, поставщиками электронных банковских услуг или любой стороной, действующей от их имени . Они направлены на установление общего базового уровня безопасности для всех удаленных операций «клиент — банк» единого европейского платежного пространства Принцип 1. Совет директоров и высшее руководство финансовых институтов, предоставляющих электронные банковские услуги, должны установить эффективный надзор руководства за рисками, связанными с этой деятельностью, включая конкретную ответственность, политики и меры и средства контроля и управления для осуществления действий в отношении информации о рисках . Например, до начала трансграничной электронной банковской деятельности они должны провести соответствующую оценку риска и должную проверку Принцип 2 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для идентификации и регистрации клиентов, с которыми они осуществляют дистанционное взаимодействие |
| Принцип 3 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения взаимной аутентификации, осуществляемой между ними и клиентами, с которыми они осуществляют дистанционное взаимодействие Принцип 4 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения методов аутентификации транзакций, способствующих неотказуемости и учетности электронных банковских транзакций Принцип 5 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения защиты чувствительных данных в электронных банковских транзакциях Принцип 6 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер и средств контроля и управления санкционированием(-я) и привилегий доступа для систем, баз данных и приложений электронных банковских услуг Принцип 7 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер для защиты данных электронных банковских транзакций, регистрационных данных и информации Принцип 8 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие подробных контрольных журналов для всех электронных банковских транзакций Принцип 9 . Финансовые институты, предоставляющие электронные банковские услуги, должны иметь эффективные процессы планирования мощностей, обеспечения непрерывности бизнеса и действий в чрезвычайных ситуациях для содействия обеспечению доступности электронных банковских систем и услуг Принцип 10 . Финансовые институты, предоставляющие электронные банковские услуги, должны разработать соответствующие планы реагирования для осуществления менеджмента, сдерживания и минимизации проблем, возникающих из-за неожиданных событий, включая внутренние и внешние атаки, которые могут препятствовать обеспечению электронных банковских услуг и работе систем Принцип 11 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить предоставление достаточного количества информации на своих web-сайтах, чтобы дать возможность потенциальным клиентам принять взвешенное решение до инициирования электронных банковских транзакций . Например, финансовые институты, намеревающиеся заняться трансграничной деятельностью, должны раскрыть на своем web-сайте достаточный объем сведений, чтобы позволить потенциальным клиентам определить страну его расположения и тип выданной лицензии Принцип 12 . Финансовые институты, предоставляющие электронные банковские услуги, должны принять соответствующие меры для обеспечения стро |
| гого соблюдения требований законодательства страны, где они предоставляют электронные банковские услуги и продукты . В качестве хорошей отправной точки для реализации указанных принципов обеспечения (информационной) безопасности для удаленных операций «клиент — банк» ЕРС рекомендуется рассматривать ряд мер и средств контроля и управления, проистекающих из норм законодательства и иных практик, в том числе нашедших отражение в международных стандартах, таких как стандарты серии ISO/IEC 270ХХ . Меры и средства контроля и управления, считающиеся важными для организации с законодательной точки зрения, включают: а) обеспечение защиты данных и приватности персональной информации; б) обеспечение безопасности регистрационных данных в организации; в) права на интеллектуальную собственность Меры и средства контроля и управления, считающиеся установившейся практикой для обеспечения информационной безопасности, включают: а) документацию политики информационной безопасности; б) классификацию данных по уровню чувствительности; в) распределение обязанностей по обеспечению информационной безопасности; г) осведомленность, образование и обучение в сфере информационной безопасности; д) безопасную разработку, тестирование (безопасности) и поддержку ИТ- инфраструктуры, устройств, приложений и процессов; е) менеджмент уязвимостей; ж) менеджмент непрерывности бизнеса; з) менеджмент инцидентов информационной безопасности Нижеследующая таблица иллюстрирует рекомендации EPC по поддержке реализации принципов теми или иными категориями мер и средств контроля и управления безопасности из стандарта ISO/IEC 27002 .
|
 В национальной платежной системе практически все из изложенных принципов в определенной степени применимы для соответствующих видов деятельности . Конкретные решения подлежат определению органом регулирования и надзора (наблюдения) за деятельностью участников НПС в установленном порядке . Использование лучших практик корпоративного управления и контроля, включая практику управления и контроля в информационной сфере, существенным образом снижает стохастическую составляющую в деятельности организации, что качественным образом влияет на эффективность мер обеспечения информационной безопасности . Это также обеспечивает базу для «сходимости» различных форм и методов контроля, используемых как для целей управления, так и для надзора и наблюдения за деятельностью участников НПС . К лучшим практикам корпоративного управления и контроля в информационной сфере относятся как отдельные модельные решения, подобно рекомендациям СОБО, Базельского комитета и его структур, так и стандарты обеспечения информационной безопасности , включая уже отмеченные и иные международные и отраслевые стандарты |