26/07/2011

Банковский бизнес, как и любой иной, ориентируется на использование имеющихся рыночных продуктов и технологий, адаптируя их под свои потребности. Выбор такой стратегии, как правило, диктуют экономические условия. В целом же, в особенности в последние годы, наша страна ориентируется на экономическую открытость, развитие партнёрства с западным бизнесом. Для модернизации экономики, провозглашённой высшим руководством государства, нужна организационно-методологическая платформа – важное условие взаимодействия, и в направлении её создания сделаны настоящие революционные шаги.

СОВРЕМЕННЫЙ МИР И ПОТРЕБНОСТИ БИЗНЕСА

Отечественный банковский бизнес в силу ряда причин вынужден заимствовать на мировых рынках не только универсальные технологии, например, информационные, но и целиком виды бизнеса (расчетные, платежные, биржевые). Это необходимо для поддержки не только банковских операций внутреннего рынка, но и внешнеэкономических платежно-расчетных и финансовых операций, условиями выхода на рынки капитала.

Один из практических шагов по пути формирования эффективной организационно-методологической платформы стандартизации – широкое использование международных стандартов и лучших зарубежных практик там, где до настоящего времени не удалось создать современных российских регламентов, стандартов и правил. С этой целью приняты соответствующие поправки в Федеральный закон «О техническом регулировании», а также ряд подзаконных актов, предназначенных для сформирования максимально комфортных условий для импорта и адаптации современных технологий.

Применительно к банковской сфере сложилась следующая международная практика подготовки и использования стандартизированных решений, в том числе и для области обеспечения информационной безопасности банков:

  • развитие имеющихся универсальных международных стандартов для области безопасности до уровня максимально возможного покрытия потребностей банков;
  • отработка специализированных отраслевых решений (стандартов), а также издание общеметодологических руководств относительно условий и специфики использования существующих международных стандартов.

Фактически организовано два основных «канала» совершенствования технологий обеспечения информационной безопасности банков. Российская практика последовательно выходит на подобную организацию работ.

В соответствии с решениями (приказами) Росстандарта площадкой для работ по национальной и международной стандартизации в сфере универсальных стандартов обеспечения информационной безопасности должен со временем стать подкомитет (ПК) 127 «Безопасность информационных технологий», образованный в составе технического комитета (ТК) 22 «Информационные технологии».

В сферу деятельности и компетенцию ПК 127 вошли работы и проекты, ведущиеся по линии аналогичной международной структуры – 27 подкомитета СТК1 ИСО/МЭК «Информационные технологии» (за исключением работ по международным стандартам криптографических алгоритмов и функций, поддерживаемых российским комитетом 26). Площадкой для отработки специализированных отраслевых решений (стандартов Банка России) обеспечения информационной безопасности организаций БС РФ, а также издания общеметодологических руководств относительно условий и специфики использования существующих стандартов является технический комитет 122 «Стандарты финансовых операций».

Работы самого ТК 22 «Информационные технологии» были «перезапущены» на новой платформе приказами Росстандарта от декабря 2009 и мая 2010 года под эгидой Межотраслевого совета по информационным технологиям Комитета по техническому регулированию, стандартизации и оценке соответствия Российского союза промышленников и предпринимателей. Функции ведения секретариата ТК были возложены на Институт проблем информатики Российской академии наук.

«ПЕРЕЗАПУСК» ПЛОЩАДКИ ПОДГОТОВКИ ГАРМОНИЗИРОВАННЫХ УНИВЕРСАЛЬНЫХ МЕЖДУНАРОДНЫХ СТАНДАРТОВ

В современных условиях работоспособных отечественных научно-производственных коллективов в области обеспечения информационной безопасности на современном международном уровне немного. В итоге длительных переговоров выбор руководства ТК был сделан в пользу коллектива, принимавшего с 2003 года активное участие в становлении и развитии стандартов Центрального Банка Российской Федерации по обеспечению информационной безопасности организаций банковской системы РФ.

Следует отметить, что решения, отработанные этим коллективом, были воспроизведены с соответствующим специфичным содержанием во многих иных отраслях и нашли отражение в отраслевых документах (стандартах) нефтегазовой, железнодорожной отрасли и иных.

Дополнительным мотивом решению ТК о выборе коллектива под руководством Банка России послужило и то, что данный коллектив – инициатор и самый активный участник подготовки целого ряда гармонизированных международных стандартов, которые способствуют внедрению и использованию стандартов Банка России. Участие в течение пяти лет в работах по программам национальной стандартизации позволило накопить определенный опыт специфики данных работ (процедур, терминологии, практики). В частности были подготовлены:

  • ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий;
  • ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий;
  • ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер;
  • ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети;
  • ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология.  Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
  • ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью;
  • ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности;
  • ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности;
  • ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности;
  • ГОСТ Р ИСО/МЭК 24762-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения;
  • ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности;
  • ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности;
  • ГОСТ Р ИСО/МЭК 27004-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения;
  • ГОСТ Р ИСО/МЭК 27033-1-2010 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции.

Все из перечисленных стандартов за исключением двух последних (готовятся к публикации) доступны для приобретения у официальных распространителей национальных стандартов.

Однако перечисленный блок стандартов составляет лишь малую часть того, чем пользуются на практике наши зарубежные коллеги. Под юрисдикцией международного подкомитета 27 «Методы и средства обеспечения безопасности» СТК1 ИСО/МЭК «Информационные технологии» принято свыше 100 стандартов. Отдельные из них будут отмечены далее. При этом в рамках международных процедур идут активные процессы по пересмотру действующих стандартов (подобную практику использует и Банк России). Согласно регламенту ИСО любой действующий стандарт один раз в 3–5 лет выставляется на процедуру пересмотра в той структуре, что его подготовила.

Имеющая система организации работ в рамках национальной системы стандартизации не вполне позволяет обеспечить на национальном уровне должную поддержку (гармонизацию) результатов работ международного уровня. К сожалению, пока что здесь мы катастрофически отстаем, и отставание только нарастает. Усугубляется это и безответственным поведением отечественных органов по сертификации услуг в сфере систем менеджмента информационной безопасности (СМИБ), выпускающих сертификаты соответствия, используя при этом фрагментарную нормативную и методическую базу, игнорируя при этом международные нормы аккредитации оценщиков и органов по сертификации СМИБ (ГОСТ Р ИСО/МЭК 27006-2008).

В то же время с выходом работ российского 127 подкомитета «Безопасность информационных технологий» на «проектную мощность» ожидается, что постепенно ситуация будет выправляться в лучшую сторону.

Что касается сферы работ международного подкомитета 27, то она составляет динамичную многогранную область, охватывающую множество вопросов, включая:

  • системы менеджмента информационной безопасности (модели, критерии, руководства);
  • корпоративное управление информационной безопасностью (дополнения и расширения к требованиям к СМИБ);
  • безопасность сетей информационных технологий;
  • системы обнаружения вторжения;
  • менеджмент доступа к информационным активам и компонентам среды их обработки;
  • менеджмент инцидентов информационной безопасности;
  • обеспечение приватности;
  • менеджмент идентификационных атрибутов и многие другие.

ТЕХНОЛОГИИ, ВОСТРЕБОВАННЫЕ БАНКАМИ

Из всего спектра работ международного подкомитета 27 российскими банками наиболее востребованными являются:

  • управленческие технологии и стандарты (данное направление работ лежит в сфере компетенции специализированной рабочей группы (РГ) 1 международного подкомитета 27);
  • технологии и стандарты защиты личности в «электронном» мире и управление идентификационными атрибутами людей при их работе в виртуальном пространстве (сфера деятельности РГ 5 международного подкомитета 27);
  • специализированные широко применяемые в банковском деле механизмы и протоколы, базирующиеся на криптографических преобразованиях (работы в данной сфере ведутся РГ 2 международного подкомитета 27).

Первые два направления чрезвычайно актуальны в банковской деятельности, как в области корпоративного управления, так и при предоставлении банковских услуг клиентам (например, при предоставлении услуг по дистанционному банковскому обслуживанию физических и юридических лиц, реализации платежно-расчетных операций, работе на зарубежных рынках).

Управленческие технологии и стандарты, поддерживаемые и развиваемые в рамках работ первой специализированной рабочей группы международного подкомитета 27, составляют отдельную серию взаимосвязанных стандартов СМИБ (см. рисунок 1).

Часть стандартов данной серии уже принята и опубликована, другая же часть находится на различных стадиях пересмотра или разработки.

Положения документов серии 270ХХ, несмотря на их определенную специфику (содержат фактически лишь те положения, по которым удалось достичь консенсуса на международном уровне), оказываются востребованными как при работах, связанных с реализацией требований стандартов Банка России, так и в решении иных задач.

Например, в среде специалистов по защите информации зачастую бытует мнение, что, внедрив в организации широко известный сертификационный стандарт ISO/IEC 27001, мы получим эффективную систему управления информационными рисками и надежную систему управления  ИБ.

Однако это не совсем так. Положения стандарта ISO/IEC 27001 не затрагивают, а где-то и касаются, но не раскрывают ряд фундаментальных категорий, например, таких, как интеграция задач обеспечения ИБ в корпоративный менеджмент. За фразой «требования и процессы СМИБ должны быть согласованы и отвечать требованиям бизнеса организации» лежит глубокий пласт задач, предопределяющий фактический успех всех усилий.

Для ответа на подобные вопросы и/или отражения лучших международных практик по подобным темам и готовятся стандарты статуса «общие руководства» для ISO/IEC 27001 (см. рисунок 1). Другие документы серии 270ХХ также представляют определенный интерес, например, для совершенствования и развития внутрикорпоративных процедур.

Например, в стандарте ISO/IEC 27014 (см. рисунок 1) выделяются следующие пять основных областей охвата системы корпоративного управления ИБ: согласованность стратегии ИБ и бизнеса, оценка эффективности, менеджмент рисков, управление ресурсами и увеличение стоимости. Возможное взаимодействие областей бизнеса и информационной безопасности для этих задач рассмотрено в отмеченном стандарте (общая схема представлена на рисунке 2).

Суть данных процедур аналогична соответствующему блоку требований стандарта Банка России СТО БР ИББС-1.0, нашедшему отражение в разделе 5 «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ». В рамках каждой из пяти задач системы корпоративного управления ИБ стандарта ISO/IEC 27014 сформулированы следующие руководства:

  • согласование стратегии ИБ и бизнеса. В рамках данной задачи системы корпоративного управления ИБ рассматриваются вопросы, необходимые для согласования на стратегическом уровне информационной безопасности с целями бизнеса;
  • увеличение стоимости. В рамках данной задачи стандартом ISO/IEC 27014 рассматриваются вопросы системы корпоративного управления ИБ, касающиеся инвестиций в информационную безопасность и их «возврата» в абсолютных или условных значениях, согласованности СМИБ организации с международными стандартами и другие вопросы. При рассмотрении данных вопросов организацией определяется, как добиться эффективности для бизнеса от инвестиций в обеспечение информационной безопасности;
  • управление рисками. Решение вопросов, рассмотренных в рамках данной задачи системы корпоративного управления ИБ, предназначено для обеспечения снижения влияния от инцидентов информационной безопасности до приемлемого уровня;
  • управление ресурсами. В данной задаче рассматриваются вопросы системы корпоративного управления ИБ, связанные с выделением необходимых ресурсов для обеспечения информационной безопасности, определением затрат и выгод от технологий информационной безопасности;
  • оценка эффективности. В рамках данной области рассматриваются вопросы системы корпоративного управления ИБ, связанные с мониторингом и оценкой эффективности информационной безопасности организации. Оценка эффективности информационной безопасности должна проводиться с учетом потребностей бизнеса.

Общий подход к реализации требований СТО БР ИББС-1.0 с учетом положений отдельных международных стандартов представлен на рисунке 3.

Для приведенных на рисунке 3 стандартов из документов серии 270ХХ это может включать:

  • упорядочение и развитие взаимодействия со смежными подразделениями банка и порядными организациями при работах в сфере информатизации и защиты информации с учетом положений ISO/IC 27013 «Руководство по совместному использованию стандартов ISO/IEC 20000-1 и ISO/IEC 27001»;

  • совершенствование нормативной базы и соответствующих видов деятельности в сфере проверок СОИБ и развития СИБ с учетом положений ISO/IEC 27007 «Руководства по аудиту систем менеджмента информационной безопасности», ISO/IEC 27008 «Руководства для аудиторов по аудиту средств контроля СМИБ» и ISO/IEC 27015 «Руководства по менеджменту информационной безопасности для финансового сектора»;

  • развитие норм и видов отчетности высшему руководству банка с учетом положений ISO/IEC 27014 «Корпоративное управление информационной безопасностью»;

  • развитие системы документационного обеспечения действий по регистрации свидетельств и сопутствующих сведений об инцидентах в сфере ИБ (ИТ), представленных в цифровой форме, в процедурах и виде, обеспечивающих определенные основания для их признания при внешнем использовании (следственными органами и т.п.).

Технологии и стандарты защиты личности в «электронном» мире и управление идентификационными атрибутами людей при их работе в виртуальном пространстве, развиваемые в рамках работ пятой специализированной рабочей группы международного подкомитета 27, со временем помогут сформировать ряд серий профильных стандартов.

Разрабатываемые в рамках работ пятой специализированной рабочей группы международного подкомитета 27 стандарты, а также будущие решения (как стандарты, так рекомендации) в области обеспечения приватности приведены на рисунке 4.

Ещё одним крупным направлением работ пятой специализированной рабочей группы международного подкомитета 27 являются вопросы менеджмента идентификационных атрибутов. В современных условиях непрерывной эволюции информационных технологий и все большего «погружения» общественной жизни и бизнеса в электронный мир вопросы идентификации и аутентификации приобретают чрезвычайно важное и ощутимое значение. Общую структуру данного направления работ иллюстрирует рисунок 5.

Специализированные широко применяемые в банковском деле механизмы и протоколы, базирующиеся на криптографических преобразованиях, развиваемые в рамках работ второй специализированной рабочей группы международного подкомитета 27, включает более 30 стандартов. Работы данного направления поддерживаются российским техническим комитетом по стандартизации № 26 «Криптографическая защита информации», взаимодействие с которым является приоритетным направлением работ для российского 127 подкомитета «Безопасность информационных технологий».

В международном банковском сообществе (ТК 68 ИСО «Финансовые услуги») разработан ряд прикладных стандартов, положения которых базируются на универсальных стандартах СКЗИ, подготовленных в рамках работ второй специализированной рабочей группы международного подкомитета 27. В связи с этим отработка для российской практики универсальных криптографических стандартов является неотъемлемым шагом на пути к использованию прикладных стандартов криптографических операций.

ПРОДВИЖЕНИЕ РОССИЙСКИХ ИНТЕРЕСОВ

С 2010 года возросло российское участие в работах на международном уровне. Произошло это и как следствие смены платформы работ российского 127 подкомитета «Безопасность информационных технологий». В рамках прошедшего в первой половине апреля текущего года в Сингапуре заседания международного подкомитета 27 обсуждались российские предложения, вошедшие в официальные сводки предложений и замечаний по следующим стандартам:

  • ISO/IEC 27001 «Information technology Security techniques. Information security management разрабатывается вторая редакция стандарта, предыдущая принята в России как ГОСТ Р ИСО/МЭК 27001-2006);
  • ISO/IEC 27014 «Information technology. Security techniques. Information security governance framework» (Информационныетехнологии. Методы и средства обеспечения безопасности. Корпоративное управление информационной безопасностью);
  • ISO/IEC 27015 «Information technology. Security techniques. Information security management guidelines for financial services» (Информационныетехнологии. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для финансовых услуг).

Предложения по последнему из них были подготовлены с учетом требований Стандарта Банка России и опыта его использования и развития. Предложения по всем перечисленным международным стандартам были подготовлены в рамках действующих процедур российского 127 подкомитета «Безопасность информационных технологий».

Российские делегаты, принявшие участие в заседании международного подкомитета 27, дали исчерпывающие комментарии по всему блоку представленных предложений.

Активно изучается международный опыт в сфере «Privacy&Security», нашедший отражение в том числе в следующих стандартах ISO:

  • ISO/IEC 29100 «Information technology. Security techniques. Privacyframework» (Информационные технологии. Методы и средства обеспечения безопасности. Основы обеспечения приватности);
  • ISO/IEC 29101 «Information technology. Security techniques. Privacy reference architecture» (Информационныетехнологии. Методы и средства обеспечения безопасности. Эталон архитектуры обеспечения приватности);
  • ISO/IEC 29190 «Information technology Security techniques. Privacy Capability Maturity Model» (Информационныетехнологии. Методы и средства обеспечения безопасности. Модель зрелости возможностей обеспечения приватности);
  • ISO/IEC 29191 «Information technology. Security techniques. Requirements for partially anonymous, partially unlinkable authentication» (Информационныетехнологии. Методы и средства обеспечения безопасности. Требования по частичной анонимности, частичной непрослеживаемой аутентификации).

Применительно к потребностям банковской деятельности работы российского 127 подкомитета направлены на необходимое, максимально возможное отражение универсальных международных стандартов в национальной системе стандартов.

Авторы статьи являются руководителями подкомитета по стандартизации 127 ТК22 «Безопасность информационных технологий»:
А.П. Курило − заместителем председателя, а В.Б. Голованов − ответственным секретарём.