8.2. принципы обеспечения информационной безопасности национальной платежной системы

8.2. принципы обеспечения информационной безопасности национальной платежной системы

Системы принципов обеспечения информационной безопасности в задачах корпоративного управления участников НПС

Принципы осознанного решения задач обеспечения информационной безопасности (отдельного бизнеса, деятельности организации, взаимодействующих сторон, профессионального сообщества и пр ) основываются на понимании природы факторов рисков (угроз) и структуры рисков, а также подходов по их модификации (переноса, принятия, снижения, ухода). Существенная часть рисков информационной безопасности порождается процессами операционной среды организации и среды ее корпоративного управления, а также при взаимодействии сторон как внутри организации, так и вне ее

Рассмотрим данный срез на примере принципов обеспечения информационной безопасности организации и одного из срезов взаимодействия при обслуживании клиентов банков

Основными факторами осознанного внимания высшего руководства организации к задачам обеспечения ИБ являются:

■ понимание необходимости наличия прогнозируемой, эффективной и управляемой системы обеспечения информационной безопасности;

■ совершенствование делового климата в организации и повышение эффективности работы с персоналом;

■ стремление к повышению эффективности системы управления операционными и иными специфичными рисками, которые «сопровождают» деятельность организации;

■ понимание необходимости соответствия установленным профессиональным нормам контроля рисков, эффективная реализация которых может

1 Международный стандарт ISO/IEC 27000 «Информационная технология. Методы и средства обеспечения безопасности . Системы менеджмента информационной безопасности . Общий обзор и терминология» . Обеспечивает введение, обзор и терминологию для серии стандартов ISO/ IEC 270ХХ на системы управления информационной безопасностью организаций и сопутствующие технологии обеспечения информационной безопасности быть осуществлена технологиями обеспечениям информационной безопасности;

■ формирование основ повышения стоимости организации при слияниях и поглощениях, а также повышения рыночной стоимости в глазах рыночных инвесторов;

■ повышение привлекательности для зарубежных инвесторов и партнеров

В профессиональной среде выделяют два подмножества принципов безопасного функционирования: «общие» и «специальные» («настроечные»), формирующие основное концептуальное содержание видов деятельности в данной предметной области

В состав общих принципов безопасного функционирования организации входят следующие:

■ своевременность обнаружения проблем Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели;

■ прогнозируемость развития проблем Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития;

■ оценка влияния проблем на бизнес-цели Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели;

■ адекватность защитных мер Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз;

■ эффективность защитных мер Организация должна эффективно реализо-вывать принятые защитные меры;

■ использование опыта при принятии и реализации решений Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения;

■ непрерывность действия принципов безопасного функционирования Организация должна обеспечивать последовательность в реализации принципов безопасного функционирования;

■ контролируемость защитных мер Организация должна применять только те защитные меры, правильность работы которых может быть проверена При этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации

Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации В состав специальных принципов обеспечения информационной безопасности организации входят следующие:

■ определенность целей Функциональные цели организации и цели ее системы обеспечения ИБ должны быть явно определены во внутрикорпоративных нормативных актах Неопределенность приводит к «размыванию» организационной структуры, ролей и обязанностей персонала, неконструктивности политик ИБ и невозможности оценки адекватности принятых решений и защитных мер;

■ знание своих клиентов и служащих . Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами . Знание клиентов в современном мире может иметь различное наполнение (от физической личности до виртуальных (информационных) ее атрибутов) В любом случае степень необходимого и достаточного «знания» должна быть определена;

■ персонификация и адекватное разделение ролей и ответственности Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться Она должна быть адекватной степени влияния должностных лиц на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться;

■ адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения Роль должна быть согласована с критериями оценки эффективности ее выполнения Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки;

■ доступность услуг и сервисов Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и (или) иными документами;

^ наблюдаемость и оцениваемость обеспечения ИБ . Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог бы быть оценен подразделением организации, имеющим соответствующие полномочия

«Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом»

Изложенная система принципов безопасного функционирования организации имеет преимущественно отношение к среде корпоративного управления и на практике реализуется в систему взаимосвязанных, как правило, не выраженных явно, но идентифицируемых процессов, осуществляемых в рамках управленческой деятельности организации В «продвинутых» организациях центром компетенции данных работ является совет (координационный совет) по информационной безопасности, функционирующий при первом исполнительном лице (его заместителе) организации

232 ^ глава 8. безопасность и надежность функционирования платежных технологий

Применительно к действиям руководства организации это предполагает инициирование и поддержку следующих мероприятий:

^ создание, внедрение и актуализация политики ИБ;

■ внедрение мер, направленных на обеспечение уверенности в том, что цели и планы ИБ установлены и работоспособны;

■ определение ролей и ответственности в области информационной безопасности;

■ осведомленность всех сотрудников организации информации о важности достижения целей информационной безопасности и подчинения требованиям политики информационной безопасности, об их ответственности перед законом, а также о необходимости непрерывного совершенствования;

■ обеспечение достаточных ресурсов для эксплуатации, анализа и совершенствования системы обеспечения ИБ организации;

■ наличие решений о критериях принятия рисков и о приемлемых уровнях риска безопасности;

^ проведение контроля и анализа (самооценки, аудиты, выводы из результатов разбора инцидентов и т п );

■ обеспечение уверенности в достаточной компетентности персонала, на который возложены определенные в рамках системы обеспечения ИБ обязанности

Указанные мероприятия реализуются в рамках следующих процессов деятельности на уровне корпоративного управления организации:

■ анализ проблем ИБ и определение потребности организации в обеспечении

ИБ;

■ рассмотрение и санкционирование руководством деятельности по планированию мероприятий обеспечения ИБ организации;

■ сопровождение операционной деятельности системы обеспечения ИБ;

■ поддержка и анализ результатов мероприятий по проверке системы обеспечения ИБ;

■ определение стратегий совершенствования системы обеспечения ИБ Анализ проблем ИБ даже на высшем уровне невозможен без охвата общего

контекста бизнеса организации, ее стратегий, целей деятельности и основных показателей эффективности существования Процессы по обеспечению ИБ составляют один из видов вспомогательных процессов, реализующих поддержку основной деятельности организации для достижения максимально возможного результата

Здесь должны рассматриваться как факторы целесообразности и эффективности в части соотношений «прибыли» от защищенности критичных активов и расходов на разворачивание системы ИБ, так и комплаенс факторы процессов деятельности организации Для этих целей должны быть учтены:

■ характеристики информационных активов организации, их размещение, владелец (обладатель), пользователь, важность их для бизнеса организации, категории классификации, уровни защиты и иные необходимые сведения;

■ результаты менеджмента активов организации, выраженные в оценке влияния инцидентов ИБ на активы: финансовой восстановительной стоимости, стоимости остановки бизнес-операций в результате потери (повреждения) актива, издержек упущенных возможностей и т д ;

■ спецификации бизнес-процессов организации;

■ критерии достижения бизнес-целей;

^ отчетность и производственные показатели основной деятельности (бизнеса) организации;

^ данные о потерях, о нанесенном бизнесу ущербе (материальном и ином);

■ информация о среде бизнес-процессов организации, включающая данные о внешних и внутренних угрозах, информацию о персонале, внешних контактах и взаимодействиях, информацию от заинтересованных сторон относительно бизнес-процессов, активов, информационной безопасности и т д ;

■ отчетность об ИБ организации, о текущем состоянии процессов менеджмента ИБ

Реализация иных процессов деятельности на уровне корпоративного управления организации в контексте принципов безопасного функционирования организации формирует необходимые основы развертывания и совершенствования процессов системы менеджмента ИБ (СМИБ) организации, включая решения:

^ по определению целей ИБ, адекватности и контролируемости защитных мер;

■ по закреплению ответственностей по ИБ, связанных со СМИБ;

■ по адекватности разделения ролей и ответственности;

■ о взаимодействии между структурными подразделениями организации;

■ о выделении необходимых ресурсов для обеспечения ИБ;

^ по критериям оценки эффективности защитных мер, мерам доверия клиентов и служащих и обеспечению доступности услуг и сервисов

Данные процессы, являясь фактически частью основной управленческой деятельности организации, имеют отношение ко всей организации Они «работают» со сведениями, имеющими отношение к результатам основной деятельности организации, но необходимы для принятия адекватных потребностям решений относительно ИБ и осуществления менеджмента ИБ организации в целом

По результатам этой деятельности вырабатываются ключевые решения относительно всех областей обеспечения ИБ организации, реализуемые в среде организации — участника НПС .

ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ДИСТАНЦИОННОМ БАНКОВСКОМ ОБСЛУЖИВАНИИ

Отдельные сферы в основной деятельности организации могут быть сопряжены со специфичными, типичными и чувствительными рисками для ее деятельности Применительно к финансовой индустрии одной из таких сфер является интерфейс на стыке взаимодействия «банк — клиент» Все более широкое ис-

234 ^ глава 8. безопасность и надежность функционирования платежных технологий

пользование электронных (дистанционных) средств и технологий доступа к финансовым услугам, включая и платежные операции, сопряжено с существенными специфичными рисками Здесь затрагиваются интересы не только принимающей «заказ» на финансовую услугу (операцию) организации, но и иных участников системы Это в свою очередь и определяет потребность в целевом рассмотрении данной области

Российская практика в данной области пока еще не столь систематизирована для выработки унифицированных рецептов лучших практик В то же время в ряде стран и сообществ подобные решения предложены и они достаточно работоспособны в соответствующей среде Среди них можно выделить Рекомендации EPC1, предлагающие руководствоваться 12 принципами, отражающими хорошую практику обеспечения безопасности при дистанционном банковском обслуживании Данные Рекомендации развивают ранее изданные Европейским комитетом по банковским стандартам рекомендации, нашедшие отражение в TR 411v2 «Руководство по обеспечению безопасности для электронных банковских услуг» (Security guidelines for e-banking: application of basel risk management principles) применительно к взаимодействию «клиент — банк»

В рекомендациях ЕРС представлены принципы и руководства по хорошим практическим приемам обеспечения безопасности во взаимодействиях «клиент — банк» по отношению к дистанционному инициированию электронных операций для схем прямого дебетового и кредитного трансферта в едином европейском платежном пространстве Данные принципы по мнению EPC применимы для решений по электронным или мобильным платежным каналам в Европе, а также могут применяться для участников системы электронного выставления счетов-фактур Эти принципы рекомендуются для использования в качестве инструментальных средств банками, поставщиками электронных банковских услуг или любой стороной, действующей от их имени Они направлены на установление общего базового уровня безопасности для всех удаленных операций «клиент — банк» единого европейского платежного пространства

Принцип 1 Совет директоров и высшее руководство финансовых институтов, предоставляющих электронные банковские услуги, должны установить эффективный надзор руководства за рисками, связанными с этой деятельностью, включая конкретную ответственность, политики и меры и средства контроля и управления для осуществления действий в отношении информации о рисках Например, до начала трансграничной электронной банковской деятельности они должны провести соответствующую оценку риска и должную проверку.

Принцип 2 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для идентификации и регистрации клиентов, с которыми они осуществляют дистанционное взаимодействие

Принцип 3 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения взаимной аутентификации, осуществляемой между ними и клиентами, с которыми они осуществляют дистанционное взаимодействие

Принцип 4 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения методов аутентификации транзакций, способствующих неотказуемости и учетности электронных банковских транзакций

Принцип 5 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения защиты чувствительных данных в электронных банковских транзакциях

Принцип 6 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер и средств контроля и управления санкционированием(-я) и привилегий доступа для систем, баз данных и приложений электронных банковских услуг

Принцип 7 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер для защиты данных электронных банковских транзакций, регистрационных данных и информации

Принцип 8 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие подробных контрольных журналов для всех электронных банковских транзакций

Принцип 9 . Финансовые институты, предоставляющие электронные банковские услуги, должны иметь эффективные процессы планирования мощностей, обеспечения непрерывности бизнеса и действий в чрезвычайных ситуациях для содействия обеспечению доступности электронных банковских систем и услуг

Принцип 10 Финансовые институты, предоставляющие электронные банковские услуги, должны разработать соответствующие планы реагирования для осуществления менеджмента, сдерживания и минимизации проблем, возникающих из-за неожиданных событий, включая внутренние и внешние атаки, которые могут препятствовать обеспечению электронных банковских услуг и работе систем

Принцип 11 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить предоставление достаточного количества информации на своих web-сайтах, чтобы дать возможность потенциальным клиентам принять взвешенное решение до инициирования электронных банковских транзакций Например, финансовые институты, намеревающиеся заняться трансграничной деятельностью, должны раскрыть на своем web-сайте достаточный объем сведений, чтобы позволить потенциальным клиентам определить страну его расположения и тип выданной лицензии

Принцип 12 Финансовые институты, предоставляющие электронные банковские услуги, должны принять соответствующие меры для обеспечения строгого соблюдения требований законодательства страны, где они предоставляют электронные банковские услуги и продукты .

В качестве хорошей отправной точки для реализации указанных принципов обеспечения (информационной) безопасности для удаленных операций «клиент — банк» ЕРС рекомендуется рассматривать ряд мер и средств контроля и управления, проистекающих из норм законодательства и иных практик, в том числе нашедших отражение в международных стандартах, таких как стандарты серии ISO/IEC 270ХХ .

Меры и средства контроля и управления, считающиеся важными для организации с законодательной точки зрения, включают:

а) обеспечение защиты данных и приватности персональной информации;

б) обеспечение безопасности регистрационных данных в организации;

в) права на интеллектуальную собственность

Меры и средства контроля и управления, считающиеся установившейся практикой для обеспечения информационной безопасности, включают:

а) документацию политики информационной безопасности;

б) классификацию данных по уровню чувствительности;

в) распределение обязанностей по обеспечению информационной безопасности;

г) осведомленность, образование и обучение в сфере информационной безопасности;

д) безопасную разработку, тестирование (безопасности) и поддержку ИТинфраструктуры, устройств, приложений и процессов;

е) менеджмент уязвимостей;

ж) менеджмент непрерывности бизнеса;

з) менеджмент инцидентов информационной безопасности

Нижеследующая таблица иллюстрирует рекомендации EPC по поддержке

реализации принципов теми или иными категориями мер и средств контроля и управления безопасности из стандарта ISO/IEC 27002

В национальной платежной системе практически все из изложенных принципов в определенной степени применимы для соответствующих видов деятельности Конкретные решения подлежат определению органом регулирования и надзора (наблюдения) за деятельностью участников НПС в установленном порядке .

Использование лучших практик корпоративного управления и контроля, включая практику управления и контроля в информационной сфере, существенным образом снижает стохастическую составляющую в деятельности организации, что качественным образом влияет на эффективность мер обеспечения информационной безопасности . Это также обеспечивает базу для «сходимости» различных форм и методов контроля, используемых как для целей управления, так и для надзора и наблюдения за деятельностью участников НПС

К лучшим практикам корпоративного управления и контроля в информационной сфере относятся как отдельные модельные решения, подобно рекомендациям COSO, Базельского комитета и его структур, так и стандарты обеспечения информационной безопасности , включая уже отмеченные и иные международные и отраслевые стандарты