УПРАВЛЯТЬ ОСОЗНАННО

Информационная безопасность (ИБ) организаций банковской системы Российской Федерации (БС РФ) способствует достижению целей деятельности организации через обеспечение защищенности ее информационной сферы. Необходимый уровень защищенности может быть достигнут в организации только при осознании руководством организации необходимости обеспечения ИБ и значения ИБ для деятельности организации, что приведет к инициированию, реализации и поддержке системы менеджмента ИБ (СМИБ) организации. СМИБ, являясь частью общего корпоративного менеджмента организации БС РФ, включает политики, обязанности, практики, процедуры и ресурсы, определяющие текущий уровень ИБ и полноту процессов менеджмента ИБ, а также сами процессы планирования, реализации, проверки и совершенствования СМИБ организации.

Таким образом, стратегия обеспечения информационной безопасности организаций БС РФ заключается в реализации и поддержке процессов по развертыванию, эксплуатации и совершенствованию системы менеджмента информационной безопасности. Стимулирование, контроль и управление этими процессами должно происходить на уровне руководства организацией.

КОНТРОЛИРОВАТЬ И ПРОВЕРЯТЬ

Среди процессов осознания и менеджмента ИБ важнейшими являются те, которые направлены на проверку ИБ организаций БС РФ. К ним относятся оценка влияния ИБ на бизнес (деятельность) организации, обеспечение наблюдаемости и оцениваемости ИБ, своевременность обнаружения проблем, касающихся ИБ, проведение внешнего и внутреннего аудита СМИБ, мониторинг и контроль защитных мер, анализ эффективности СМИБ со стороны высшего руководства.

Целью проверки является оценка эффективности и соответствия процессов осознания и менеджмента ИБ организации, установленных политик, практик и процедур требованиям стандарта Банка России СТО БР ИББС-1.0. Результат проверок представляется в виде периодических отчетов для анализа высшему руководству, а также в виде регулярных записей параметров событий, касающихся ИБ, формируемых процедурами контроля.

Проверка ИБ может проводиться с помощью независимой оценки и самооценки ИБ. Независимая оценка реализуется с помощью аудита ИБ. Аудит ИБ организации БС РФ может быть внутренним или внешним. Цель, порядок и периодичность проведения аудитов и самооценки ИБ организации в целом (или ее отдельных структурных подразделений) или автоматизированных банковских систем определяется руководством организации на основе потребностей в такой деятельности. Внутренний аудит ИБ может проводиться собственными силами (например, службой внутреннего контроля подразделения Банка России) или с помощью привлеченных аудиторов (экспертов). Самооценка ИБ проводится силами службы ИБ подразделения Банка России.

Проверка и оценка проводится по трем направлениям ИБ: текущий уровень ИБ, менеджмент ИБ и осознание ИБ. При проведении аудита и самооценки ИБ организации используются стандартные процедуры документальной проверки и опрос руководства и персонала организации. При самооценке ИБ должны использоваться журналы регистрации инцидентов ИБ, формируемые на основе данных мониторинга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок.

СТРОГО СЛЕДОВАТЬ ПРАВИЛАМ

Для формирования системы оценки соответствия информационной безопасности банковской организаций требованиям стандарта СТО БР ИББС-1.0 (см. рис. 1) и формирования на ее основе единых формальных правил необходимы стандарты и руководства.

На сегодня разработаны проекты стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и «Методики оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0».

Проект стандарта СТО БР ИББС-4.0 устанавливает положения, принципы и требования к проведению аудита информационной безопасности организаций банковской системы Российской Федерации (БС РФ) и содержит следующие основные разделы:

• исходная концептуальная схема (парадигма) аудита информационной безопасности банковской организации, показывающая цели собственников и аудиторов, характеристику рекомендуемого Банком России уровня ИБ, место аудита в системе мониторинга информационной безопасности организации, способ оценки ее соответствия требованиям стандарта СТО БР ИББС-1.0;
• основные принципы проведения аудита информационной безопасности банковской организации, к которым относятся независимость и полнота аудита, оценка достоверности свидетельств аудита и обоснованности, сделанных на их основе выводов, а также оценка компетентности аудитора и этичности его поведения;
• требования к взаимоотношениям аудиторской организации с представителями проверяемой организации при заключении договора на проведение аудита информационной безопасности, а также во время сбора и анализа свидетельств и при обсуждении отчета и заключения по результатам проведения аудита;
• требования к этапам проведения аудита информационной безопасности банковской организации, а именно, требования к подготовке проведения аудита, к анализу документов, к проведению аудита на месте и к завершению аудита;
• управление аудитом информационной безопасности банковской организации, которое включает процессы по планированию, внедрению, контролю, анализу и совершенствованию программы аудита ИБ.

Проект документа «Методика оценки соответствия информационной безо­паснос­ти органи­заций банковской системы Российской Федерации требованиям стандарта

СТО БР ИББС-1.0» устанавливает критерии оценки соответствия информационной безопасности банковской организации требованиям стандарта Банка России СТО БР ИББС-1.0, которые должны использоваться при проведении аудита информационной безопасности в банковских организациях, и содержит следующие основные разделы:

• показатели информационной безопасности и их способы. В данном разделе определены назначения частных (с их помощью оценивается уровень выполнения требований стандарта Банка России) и групповых (они формируются в виде совокупности оценок частных показателей и с их помощью оценивается соответствие установленных практик и процедур, процессов менеджмента, процессов осознания требованиям стандарта СТО БР ИББС-1.0) показателей;
• определение текущего уровня информационной безопасности банковской организации – показан способ формирования значений частных и групповых показателей текущего уровня ИБ;
• определение зрелости процессов менеджмента информационной безопасности банковской организации – показан способ формирования значений частных и групповых показателей уровня зрелости процессов менеджмента ИБ;
• определение уровня осознания информационной безопасности банковской организации – показан способ формирования значений частных и групповых показателей уровня осознания ИБ организации;
• формирование уровня соответствия информационной безопасности банковской организации требованиям стандарта СТО БР ИББС-1.0.

В 2005 г. проекты стандарта СТО БР ИББС-4.0 и методик прошли апробацию в четырнадцати подразделениях Банка России и в двух коммерческих банках, где были использованы для оценки соответствия информационной безопасности банковской организаций требованиям стандарта СТО БР ИББС-1.0.

В настоящее время идет активное обсуждение проекта стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и проекта документа «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0» в подкомитете №3 «Защита информации в кредитно-финансовой сфере» технического комитета № 362 «Защита информации» Ростехрегулирования.

Рисунок 1: Структура оценки соответствия ИБ организаций БС РФ требованиям стандарта СТО РБ ИББС- 1.0

Литература:

1. СТО БР ИББС - 1.0 - 2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения