Si Center входит в состав:
другие компании:
ПРО КОМПАНИЮ
ПРО КОМПАНИЮ
КОМПЕТЕНЦИИ ПРОЕКТЫ НОВОСТИ
НОВОСТИ
КОНТАКТЫ
Все публикации
Проблемы построения и аудита систем управления информационной безопасностью банка
С момента выхода первой версии стандарта по управлению информационной безопасностью ISO/IЕС 27001 прошло уже девять лет. За это время и в нашей стране, и за ее пределами в данной области произошло многое. Ключевые моменты были следующими: принятие в 2011 году стандарта как отраслевого для банковской системы Украины, выход в 2013 году второй версии стандарта, наработка большой практики построения систем управления информационной безопасностью (далее — СУИБ) в банковском секторе. 

Если учитывать количество отечественных банков и требование Национального банка Украины об обязательном построении СУИБ, таких проектов уже должно быть более 150. Поэтому вроде бы теория и практика построения СУИБ является достаточно понятным и изученным направлением, но при этом здесь до сих пор остаются актуальные вопросы. Прежде чем приступить к их рассмотрению на базе существующего опыта в банковском секторе, хотелось бы перейти от несколько формального определения СУИБ, которое дает стандарт, к его неформальному представлению. 

Что собой представляет СУИБ

Согласно стандарту, СУИБ (Іnformation security management system — ISMS) — это часть общей системы управления, основанной с учетом бизнес-рисков и предназначенной для разработки, внедрения, функционирования, мониторинга, анализа, поддержания и совершенствования информационной безопасности. ИБ в свою очередь реализуется циклически через повторяющийся процесс принятия решения PDCA (Plan-Do-Check-Act — планирование-действие-проверка-корректировка), известный как цикл Деминга (Deming Cycle). 

С практической точки зрения СУИБ на начальных стадиях — это набор руководящих документов, которые порождают набор процессов управления и набор технических решений, а они в свою очередь порождают набор записей. В последующем проводятся внутренние аудиты, по результатам которых выявляются недостатки. Для устранения недостатков запускают корректирующие и предупреждающие действия, по результатам которых вносят изменения в управляющие документы. Таким образом замыкается циклический процесс функционирования системы. 

Немного в стороне от основного процесса находится описание критических бизнес-процессов (как способ инвентаризации активов) и оценка рисков информационной безопасности (как дополнительный элемент выявления недостатков), которые иногда оказываются проблемными для банка, но в этой статье не рассматриваются. Проблемным может быть и проведение стресс-тестирования СУИБ. Относительно него необходимо отметить следующее — в классическом понимании стандарта стресс-тестирование СУИБ отсутствует. Выходом являются варианты тестирования в режимах, отличающихся от тестирования обеспечения непрерывности. При этом элементом стресса должны быть провокации на уровне действий и условий. 

Циклический процесс функционирования СУИБ

Элементы циклического процесса функционирования СУИБ (представлены на рисунке) имеют следующее значение. 

Руководящие документы содержат такие блоки: 

• управленческий — обеспечение физической и информационной безопасности (в том числе, управление физическим и логическим доступом, сетью, антивирусной, парольной и криптографической защитой, безопасностью рабочих станций); 
• управление персоналом в разрезе обучения ИБ; 
• информация с ограниченным доступом и управлением документацией, в том числе вопросы, связанные с классификацией информации и правилами работы с носителями этой информации; 
• управлением критическими бизнес-процессами; 
• оценка рисков информационной безопасностью и их управлением; 
• управление оборудованием, разработкой, тестированием, изменениями; 
• управление непрерывностью бизнеса и резервированием информации; 
• управление инцидентами ИБ; 
• управление отношениями с третьими сторонами; 
• «классика» систем управления (анализ со стороны руководства, корректирующие и предупреждающие действиями, оценка эффективности); 
• внутренние аудиты СУИБ; 
• стресс-тестирование СУИБ. 

Каждый из руководящих документов запускает от одного до четырех управляющих процессов, реализация которых осуществляется как в ручном, так и в автоматизированном (с использованием технического решения) режиме. 

Эти блоки, как правило, так или иначе реализованы банками, хотя в некоторых случаях и возникает потребность в приведении систем в соответствие требованиям стандартов Национального банка Украины по управлению ИБ в банковской системе. 

Набор записей — это в основном результат работы, который зависит либо от прилежности ответственного за процесс исполнителя, либо от функционала, реализующего процесс технического решения, и особых вопросов не вызывает. 



В соответствии с разделом восемь Методических рекомендаций по внедрению системы управления информационной безопасностью и методики оценки рисков (письмо НБУ от 03.03.2011 № 24-112/365) банк должен в запланированные сроки проводить внутренние аудиты СУИБ. Отбор аудиторов и проведение аудитов должны быть объективными и беспристрастными. Аудиторы не должны проводить аудит собственной работы. Когда у банка нет собственного подразделения по аудиту ИБ, привлекаются внешние аудиторы. Специалисты по вопросам ИБ могут выполнять только аудит персонала относительно выполнения всех требований и процедур информационной безопасности. 

Требования к аудитору


Сказанное выше не противоречит требованиям ISO 19011: 2011 «Руководящие указания по аудиту систем менеджмента», согласно которому аудит первой стороны — это аудит, проводимый самой организацией или от ее имени. И здесь банку может понадобиться сторонняя помощь. Данная потребность вызвана тем, что не больше 15% украинских банков имеют подразделение аудита информационной безопасности и вынуждены обращаться за помощью к внешним специалистам. Также аудитор должен обладать специальными знаниями, примерный перечень которых представлен в приложении А стандарта ISO 19011: 2011, а именно: 

• руководящие указания таких стандартов, как ISO/IЕС 27000, ISO/IЕС 27001, ISO/IЕС 27002, ISO/IЕС 27003, ISO/IЕС 27004 и ISO/IЕС 27005; 
• идентификация и оценка требований потребителей и других заинтересованных сторон; 
• законы и нормативные акты по ИБ (интеллектуальная собственность; содержание, защита и сохранение записей; защита персональных данных; правила управления криптографической информацией; антитерроризм; электронная торговля; электронные и цифровые подписи; надзор за рабочими местами; эргономика рабочих мест; телекоммуникационный перехват и мониторинг данных (например, е-mail), компьютерные атаки, сбор электронных свидетельств, тестирование проникновений и т.д.); 
• процессы, научные и технологические основы менеджмента ИБ; 
• оценка рисков (идентификация, анализ и определение уровня риска) и тенденции в технологиях, угрозы и уязвимость; 
• риск-менеджмент в области ИБ; 
• методы и средства управления информационной безопасностью (электронные и физические); 
• методы и практики информационной целостности и доступности; 
• методы и практики измерения и оценки результативности ИБ и соответствующие методы управления; 
• методы и практики измерения, мониторинга деятельности и ведения записей (включая тестирование, аудиты и анализ). 

Кроме этого, аудитор должен знать: 

• характеристики информации, которая обрабатывается на объекте, технологии и требования к ее защите; 
• правила обращения с информацией с ограниченным доступом на объекте, в том числе условия ее хранения; 
• о носителях информации и порядке работы с ними; 
• географическое и территориальное расположение объекта; 
• пропускной и внутренне-объектовый режим на объекте аудита; 
• внедренную на объекте аудита защиту помещений с ограниченным доступом, принципы контроля доступа к таким помещениям; 
• топологии корпоративной сети объекта аудита; 
• внедренную систему управления сетью; 
• виды и характеристики каналов связи; 
• принципы построения узла доступа к ресурсам Интернета; 
• принципы построения элементов беспроводной связи; 
• внедренные средства защиты сети от внешнего и внутреннего несанкционированного доступа, в том числе управление паролями, антивирусной защиты и защиты веб-сайта; 
• принципы резервного копирования информации; 
• порядок внедрения, внесения изменений, тестирование и сопровождение программного обеспечения; 
• внедренные на прикладном уровне системы защиты информации (включая криптографическую защиту и отдельные вопросы генерации и распространения ключей, типы носителей ключевой информации, порядок работы центра сертификации ключей); 
• распорядительные документы, регламентирующие деятельность по управлению персоналом; 
• функции и полномочия подразделения ИБ; 
• порядок работы пользователей на персональных компьютерах; 
• принципы аутентификации пользователей и организации доступа к программно-техническим комплексам; 
• порядок обслуживания пользователей и управления инцидентами ИБ; 
• порядок отношений с третьими сторонами; 
• порядок обучения персонала вопросам информационной безопасности. 

Модель управления

При этом объектом проверки будет работа модели управления, схематически представленная на рисунке. Подтверждением работы модели управления является: наличие управляющих документов; реальность существования управляющих процессов; наличие предусмотренных моделью управления записей в трактовке версии стандарта ISO/IЕС 27001 от 2005 года. 



Объекты проверки

Исходя из типовой организационной структуры банка, один цикл внутреннего аудита должен охватывать следующие подразделения: ИБ; обеспечения внутренне-объектового режима; ИТ; разработки и сопровождения программного обеспечения (при наличии); подразделение риск-менеджмента; внутреннего аудита; управления персоналом; документооборота; бизнес-подразделение фронт-офиса; бизнес-подразделение бэк-офиса; административно-хозяйственное подразделение. 

Объектами проверки в основном являются: обращение с информацией; инциденты ИБ и управление ими; обучение вопросам ИБ. 

Аудитор должен удостовериться, знает ли пользователь что отнесение информации к категории «с ограниченным доступом» производится в соответствии с внутренним положением и есть четкие перечни, факт ознакомления с которыми подтверждается подписью пользователя. Аудитор проверяет, с каким видом информации ограниченного доступа работает сотрудник банка и в каком виде она находится, совпадает ли это с его служебными обязанностями. Пользователь также должен знать, что является признаком отнесения информации к категории «с ограниченным доступом». 
Если пользователь работает с информацией в электронном виде, аудитор должен удостовериться, что пользователь понимает к каким автоматизированным системам и хранилищам информации он имеет доступ, как он его получает и может изменить, а также правила выбора пароля доступа и периодичность его изменения. 

Если пользователь работает с информацией в бумажном виде, аудитор должен убедиться, что пользователь знает: где хранятся документы и правила их хранения; правила доступа к местам хранения информации; как организована (в общем виде) защита мест хранения. 

Аудитор должен удостовериться, что пользователь знает: признаки инцидента ИБ; что делать в случае возникновения инцидента; возникали ли инциденты ИБ с участием конкретного пользователя, если да — что предпринималось по результатам (связь с обучением). Во время аудита выясняется, когда проводилось обучение конкретного пользователя вопросам ИБ (соответствует ли факт заявленной периодичности) и ознакомиться с его результатами (результат тестирования). 

По результатам внутреннего аудита должен быть подготовлен отчет, показывающий недостатки, а также запущены корректирующие и предупреждающие действия, которые приведут к исправлению руководящих документов и как следствие — управляющих процессов и технических решений. 

Несмотря на достаточную прозрачность и понятность СУИБ, а также существующую практику в этой области, актуальным и требующим особого внимания и дополнительных ресурсов, остается: приведение систем в соответствие требованиям стандартов НБУ по управлению ИБ; проведение оценки рисков ИБ и стресс-тестирования СУИБ; организация и проведение внутренних аудитов СУИБ; и как дополнительный элемент — обучение ИБ. 

Автор статьи — доцент кафедры Систем защиты информации Государственного университета телекоммуникаций, начальник отдела консалтинга и аудита ООО «ЕС АЙ ЦЕНТР»
 
опубліковано:
22.04.2016
автор:
Поделиться: