О том, какие задачи стоят сейчас перед службой, отвечающей за информационную безопасность Банка России, в том числе связанные с разработкой и внедрением отраслевых стандартов, еженедельнику PC Week/RE рассказал заместитель начальника Главного управления безопасности и защиты информации (ГУБЗИ) Банка России Андрей Курило

Оригинал был опубликован 9 марта 2007 г. в PCWeek/RE, №06/2007

Стандартизация безопасности финансовой системы — гибкая, но обязательная
Валерий Васильев


Службу безопасности Банка России — территориально распределенную структуру с многочисленным штатом сотрудников — оценивают как весьма развитую, даже с учетом современных требований. Тем не менее некоторое время назад было принято решение усовершенствовать ее работу, с тем чтобы улучшить управляемость деятельностью банка и снизить возможные риски, связанные с нарушением безопасности. Во исполнение данного решения в 2000 г. началась разработка стандартов по обеспечению информационной безопасности (ИБ) этого кредитно-финансового учреждения. Теперь стандарт СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” обещает стать отраслевым в финансовой сфере. Кроме того, для финансовых организаций подготовлены стандарт аудита их информационной безопасности, рекомендации по документационному обеспечению и проведению самооценки, а также методика оценки соответствия деятельности таких организаций требованиям стандарта Банка России.

О том, какие задачи стоят сейчас перед службой, отвечающей за информбезопасность ЦБ, в том числе связанные с разработкой и внедрением отраслевых стандартов, научному редактору еженедельника PC Week/RE Валерию Васильеву рассказал заместитель начальника Главного управления безопасности и защиты информации (ГУБЗИ) Банка России.

PC Week: Какие проблемы информационной безопасности в финансовой среде сегодня, на ваш взгляд, наиболее остры?

Андрей Курило: В финансовые компании наконец-то пришло осознание проблемы инсайдеров и необходимости разработки нормативных документов, позволяющих организовать работу по их блокированию, чтобы в итоге исключить возможности инцидентов.

PC Week: Вы упомянули организационные меры как первоочередные. А существуют ли технологии, адекватные намеченным в нормативных документах мерам? Или финансовый бизнес находится в положении ожидающего новаций от разработчиков?

А. К.: Такие технологии начинают появляться на рынке, но пока непонятно, насколько они эффективны в применении. Дело в том, что работа с проблемой инсайдеров прежде всего носит аналитический характер. Традиционные технические средства защиты от внешних угроз против инсайда не эффективны, поскольку инсайдер изначально, по своему статусу, легально допущен к информации. Вопрос в том, как он использует информацию — в соответствии с должностными обязанностями, учтенными в политике безопасности, или нет. Инсайд возникает во втором случае, но отличить одно от другого сложно. Поэтому и появляется необходимость четкого структурирования доступа пользователей к информационно-техническим ресурсам, контроля и анализа их деятельности по доступу к таким ресурсам и формирования вывода о направленности этих действий.

Технические средства, решающие подобные задачи, сейчас уже предлагаются на рынке, хотя их пока не очень много. Но я должен еще раз подчеркнуть, что без правильного структурирования деятельности самой организации, без правильного разграничения доступа к ресурсам, без правильного администрирования доступа техника будет бессильна. Так что прежде всего нужно проводить организационные мероприятия.

PC Week: Разумным стартом в подготовке таких мероприятий является следование действующим стандартам. Какое место занимают государственные и отраслевые стандарты по информбезопасности в преодолении обозначенных вами проблем?

А. К.: Я бы сказал — основное. Полагаю, что, приняв стандарты и организовав в соответствии с ними работу по обеспечению ИБ, отрасль будет в состоянии бороться и с таким явлением, как инсайд. Стандарты как раз и предназначены для того, чтобы помочь компаниям правильно организовать ИБ.

В проблеме инсайдера самой “страшной” фигурой для специалистов, отвечающих за безопасность, ныне стал системный администратор. Права доступа, которыми он располагает, делают для него доступной практически любую информацию. Но и его деятельность, оказывается, можно и нужно поставить под контроль.

Например, существуют операционные системы, в которых просто отсутствует понятие такого суперюзера, как системный администратор, который стал головной болью для специалистов по ИБ. В подобных системах возникновение инсайда, связанного с пользовательской вседозволенностью, случается гораздо реже. То есть такие подходы уже давно реализованы.

PC Week: А с чьей стороны инициативы в разработке отраслевых стандартов больше — со стороны государства или бизнес-сообщества?

А. К.: До недавнего времени — со стороны бизнес-сообщества. К этому его подвигали и подвигают ежедневные практические проблемы. Меры ИБ не повышают качество деятельности банков, а снижают связанные с нею риски — операционные и системные — до заданного уровня. Задача обеспечения безопасности стоит на втором месте после основной деятельности, она затрагивает банковские информационные системы, работу предприятия по эксплуатации ИТ и основную деятельность. При этом ИТ предоставляют инструменты для выполнения главной задачи банка, не более, но этими инструментами нужно уметь правильно пользоваться.

Года три-четыре назад появилось понятие непрерывности бизнеса, и его сформулировали как конечную цель в комплексе мер по обеспечению безопасности предприятия. Приоритеты здесь выстраиваются следующим образом: обеспечение доступности, целостности, конфиденциальности информации. От доступности ресурсов в том числе зависит и непрерывность бизнеса, а она в свою очередь поддерживается резервированием, катастрофоустойчивостью, копированием, архивированием, дублированием каналов связи. Учиться организации безопасности пока трудно: нет достаточного количества источников информации. Но главное — сформулировать проблему и пути ее решения. И дело обстоит совсем не безнадежно. Например, безвозвратно уничтожить клиентскую БД банка при современных средствах ее организации невозможно. Она всегда будет восстановлена по имеющимся записям в других источниках: выписках клиентов и корреспондентов, их базах данных.

Вот очень показательный пример. В ходе террористической атаки 11 сентября 2001 г. на “близнецов” в Нью-Йорке были разрушены расположенные там центры обработки и телекоммуникационные центры ряда местных и зарубежных банков, в которых держали свои счета и российские банки. Через три дня все бизнес-процессы пострадавших финансовых организаций были восстановлены — никто из клиентов не потерял ни доллара, а до этого Bank of New York, с которым работали наши коллеги, обрабатывал платежи вручную. Да, была нарушена непрерывность бизнеса, резко ухудшен параметр доступности, но задачи резервирования, архивирования, катастрофоустойчивости, надежности функционирования были решены правильно.

В кредитных организациях в результатах внедрения стандартов заинтересован высшие менеджеры, подразделения безопасности, внутреннего аудита, ИТ-служба и служба внутреннего контроля. Фактор добросовестной конкуренции и получения конкурентных преимуществ, в том числе и использование аутсорсинга, тоже способствует внедрению стандартов. Проблема аутсорсинга — проблема доверия, а доверять можно, если оценки аутсорсеров базируются на стандартах. Там, где работает стандарт, повышается прозрачность, управляемость, мотивация, проще доказывать потребность в ресурсах.

Сегодня и государство начинает обращать внимание на необходимость разработки стандартов в финансовой сфере. Оно поддерживает движение бизнеса в этом направлении. В стандартах помимо самих банков, аудиторских компаний и иностранных бизнес-партнеров заинтересованы органы законодательной и исполнительной власти нашей страны, государственного регулирования, высшие органы регулирования банковской деятельности. У всех у них есть собственный интерес в том, чтобы работа в сфере финансов велась по понятным методикам. Так, недавно ФСТЭК обратилась к нам с предложением разрабатывать отраслевые системы документов по защите информации.

PC Week: Каков портрет финансовой компании, поддерживающей создание и внедрение отраслевых стандартов, и как выглядит ее антипод?

А. К.: Проще все-таки сказать о том, что заставляет тот или иной банк сопротивляться принятию стандартов. Это прежде всего опасение того, что внедрение стандартов потребует значительных затрат. Показательно, что среди таковых большую часть составляют банки, не вошедшие в систему страхования вкладов. А здесь причины, по-моему, лежат в субъективности подходов руководства этих банков, а не в области экономики.

Стандартизацию поддерживают крупнейшие банки страны. Их руководители расценивают это как конкурентное преимущество, заключающееся в том, что деятельность подведомственных им предприятий делается для них гораздо прозрачней, понятней, а повышение управляемости организации становится основным приоритетом в работе.

К слову, разработана процедура, с помощью которой требования внедряемого Банком России стандарта четко ограничиваются через политику безопасности, действующую в данной конкретной организации, стандарт адаптируется под характер и размер бизнеса организации. Это необходимо прежде всего для небольших банков, в которых реализуются далеко не все виды банковских операций. Контроль исполнения стандартов проводится только в рамках требований политики безопасности. Это позволяет корректно оценить деятельность организации. Однако здесь очень важен процесс адаптации стандарта — он также предусмотрен и регламентирован.

Кстати, к обязательности соблюдения внедряемого им стандарта Банк России подходит аккуратно, потому что финансовую систему страны нужно к этому подготовить. Резкие усилия при внедрении, с одной стороны, могут вызвать сопротивление, а с другой — затруднят деятельность организаций. Поэтому процесс растянут во времени, но итог четко определен — стандарт обязательно будет внедрен. Есть план внедрения, есть рекомендации по работе с кредитными организациями. Перегибы на местах тоже случаются, но критических масштабов они не имеют. Для урегулирования спорных ситуаций мы рекомендуем поддерживать связь с регулятором процесса — Банком России. Мы открыты для взаимодействия.

PC Week: Деятельность сообщества ABISS (в котором Банк России играет одну из ключевых ролей) направлена на развитие национальных отраслевых стандартов. А какова в таком случае в нем роль зарубежных компаний? Не возникает ли здесь коллизий?

А. К.: Считаю, что участие в ABISS таких международных компаний, как KPMG и Ernst&Yang, четче выявляет значимость поднимаемых ассоциацией проблем. В свое время специалисты этих компаний лично принимали участие в разработке базовых стандартов, в частности ISO 27001, и их деятельность внутри ассоциации усиливает методическую часть деятельности ABISS.

Что же касается бизнеса KPMG и Ernst&Yang, можно предположить, что они заинтересованы в предстоящей аудиторской работе в нашей стране, в наших компаниях, по нашим стандартам. Тем более что отечественные национальные стандарты, скорее всего, будут представлять собой адаптированные международные, с которыми эти компании имеют дело давно.

Международные стандарты являются одним из источников решений национальных задач. После их адаптации встанет вопрос признания результатов как внутри страны, так и в международном бизнесе, чтобы нашим банкам не пришлось оплачивать двойной аудит. Если банк соответствует стандарту ISO 27001, то тем самым он обозначает свой уровень соответствия международным финансовым отношениям, а для банков (и не только) это важно при взаимодействии с зарубежными партнерами. Результаты проверки на соответствие международному стандарту впоследствии можно предоставить аудитору, проверяющему соответствие национальному стандарту, и при условии корректно выполненной адаптации у аудитора будут все основания доверять предыдущей проверке при выполнении своей работы, что значительно сократит ее объем. Международные компании-аудиторы понимают выгодность сотрудничества, которое имеет обозначенные выше цели.

PC Week: Не могли бы вы рассказать о наиболее интересных недавних проектах ABISS?

А. К.: Ассоциация только начинает разворачиваться и сейчас проводит подготовку своих членов к предстоящим и текущим работам.

Думаю, что самый главный проект на сегодня связан с созданием на базе МГТУ им. Н. Э. Баумана системы обучения будущих аудиторов. После нормативного внедрения комплекса стандартов в банковскую систему страны нужно будет на его основе контролировать состояние системы ИБ финансово-кредитных организаций. Одним из методов контроля является аудит, выполненный аудиторскими и уполномоченными компаниями. Мы знакомим будущих аудиторов со всеми нюансами методик проверок и вместе с тем, опираясь на их квалификационный уровень, одновременно улучшаем сами методики. Это, пожалуй, самая главная задача ассоциации.

Что же касается отдельных проектов, то входящие в ассоциацию организации проводили частные работы как на объектах Банка России, так и в других кредитных организациях нашей страны. Об отрицательных результатах этих работ я не слышал. Задавая жесткие требования для вступления в ABISS, мы вправе верить результатам работ, проводимых ее членами. Одновременно мы настроены проверять результаты, полученные по тому же направлению деятельности организациями, не являющимися членами ассоциации.

PC Week: Благодарю за беседу.