BIS Journal №1(8)/2013

24 марта, 2013

Минимизировать до приемлемых

Деятельность любого банка связана с рисками, а риски нарушения информационной безопасности (далее – риски нарушения ИБ) являются их составной частью. Управление рисками, их обработка и минимизация до приемлемого уровня – одна из основных областей обеспечения информационной безопасности в банках.

РИСКИ КАК ОБЪЕКТ УПРАВЛЕНИЯ

Большинство современных отечественных и международных стандартов, описывающих систему менеджмента информационной безопасности (ISO 27001, СТО БР ИББС-1.0-2010, PAS99 и т.д.), базируется на следующих принципах:

  • риски – это объективная реальность, и понизить их можно лишь до определённого остаточного уровня;
  • рисками необходимо управлять;
  • система менеджмента информационной безопасности (далее – СМИБ) должна быть риск-ориентированной;
  • риски нарушения информационной безопасности являются неотъемлемой частью операционных рисков банка.

В данной статье речь пойдет о внедрении системы управления рисками нарушения ИБ в рамках СТО БР ИББС-1.0-2010.

Стандарт Банка России (СТО БР ИББС-1.0-2010) предусматривает наличие в банке системы управления рисками и проведение оценки рисков нарушения ИБ для всех информационных активов области действия СОИБ (системы обеспечения информационной безопасности). Также наличие системы управления рисками подразумевают федеральный закон №161-ФЗ от 27 июня 2011 года «О национальной платёжной системе», Постановление Правительства № 584 от 13 июня 2012 года и нормативные документы Банка России, в том числе Положение №379-П от 31 мая 2012 года.

Внедрение системы управления рисками нарушения ИБ в банке связано с решением определённых задач:

  • выстраивание эффективного процесса управления рисками;
  • подбор персонала (оценщиков рисков), обладающего необходимой квалификацией и опытом;
  • взаимодействие с бизнес-подразделениями и подразделениями, занимающимися оценкой операционных рисков банка;
  • определение (выбор) методики, по которой будет проводиться оценка.

Управление рисками нарушения ИБ включает в себя: определение области оценки рисков, их оценку и обработку, мониторинг и контроль, совершенствование. Это полностью соответствует модели Деминга (см. Схему 1) «планирование – реализация – проверка – совершенствование», которая является основой модели менеджмента стандартов качества.

Схема  1. МОДЕЛЬ ДЕМИНГА ПРИМЕНИТЕЛЬНО К ПРОЦЕССУ УПРАВЛЕНИЯ РИСКАМИ

Условно процесс управления рисками нарушения ИБ можно разделить на 5 последовательных этапов (далее P0–Р4) и этап контроля результатов обработки рисков. Взаимосвязь процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме  2.

СХЕМА 2.  ВЗАИМОСВЯЗЬ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ

ПОЛИТИКА ОЦЕНКИ РИСКОВ

Политика оценки рисков должна:

  • определять механизмы контроля и роли, задействованные в данном процессе, при этом, для предотвращения конфликта интересов, подразделения, осуществляющие контроль обработки рисков, должны быть максимально независимы от подразделений, выполняющих оценку рисков;
  • закреплять процедуры обратной связи между всеми участниками процесса управления рисками и порядок планирования процесса;
  • формулировать порядок документирования результатов оценки рисков и результатов обработки рисков.

Этап контроля результатов обработки рисков напрямую зависит от уровня зрелости информационной безопасности в банке, тесно связан с аудитом (внутренним и внешним) и мониторингом ИБ, при взаимодействии которых существенно повышается эффективность СОИБ и контролируется эффективность принятых мер обработки рисков.

Контроль результатов обработки рисков должен охватывать все этапы P0–P4 и сопоставлять результаты обработки рисков с результатами, полученными от аудиторов и подразделений, занимающихся мониторингом информационной безопасности.

Детализированная схема взаимосвязи процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 3.

Схема  3. ДЕТАЛИЗИРОВАННАЯ СХЕМА ВЗАИМОСВЯЗИ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ

Рассмотрим подробнее процесс управления рисками нарушения ИБ на этапах Р0–Р4.

ЭТАП P0. Определение, анализ и изменение бизнес-процессов (см.Схему 4) – стартовый этап управления рисками.

Схема 4. ОПРЕДЕЛЕНИЕ, АНАЛИЗ И ИЗМЕНЕНИЕ БИЗНЕС-ПРОЦЕССОВ

Целью данного этапа являются формализация и детальное описание всех бизнес-процессов банка, определение критичных бизнес-процессов с позиций максимального ущерба банку в случае их нарушения (в т.ч. прерывания), а также специфических требований законодательства (ФЗ-152, ФЗ- 224, ФЗ-161, и т.д.) и стандартов (СТО БР ИББС-1.0-2010, PCI DSS и т.д.).

На данном этапе задействованы как сотрудники службы информационной безопасности, так и представители бизнес-подразделений, службы внутреннего контроля и юридической службы. Результатом является документирование информационных потоков, определение состава информации в каждом отдельном бизнес-процессе, а также дополнительных признаков информационных активов, таких как критичность процесса для непрерывности бизнеса, обработка инсайдерской информации.

После обработки недопустимых рисков (этап Р4) в случае принятия решения о внесении изменений в бизнес-процессы, например внедрения новых документов (таких как согласие на обработку персональных данных (далее – ПДн), уведомление о включении лица в список инсайдеров и т.д.), все изменения должны быть утверждены руководством банка, а этап Р0 – проведен заново.

На основании результатов этапа Р0 можно приступать к подготовке полного перечня информационных активов (см. Схему 5).

Схема 5. ПОДГОТОВКА ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ

ДОКУМЕНТИРОВАНИЕ ИНФОРМАЦИОННЫХ АКТИВОВ

ЭТАП P1. Для подготовки такого перечня необходимо идентифицировать информационные активы и классифицировать их типы.

Информация, относящаяся к каждому из типов информационных активов, документируется в перечне сведений конфиденциального характера (ограниченного доступа).

Информационный актив банка – это информация:

  • с реквизитами, позволяющими её идентифицировать;
  • имеющая ценность для самого банка;
  • находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.

Таблица 1. ПРИМЕР ОФОРМЛЕНИЯ ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ

Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).

Важными элементами этапа Р1 являются разработка техническо-рабочей документации:

  • технических паспортов на все информационные системы с отражением основных технических средств, программных средств и средств защиты;
  • матриц доступа;
  • и т.д.

После составления перечня информационных активов, обрабатываемых в информационных системах, можно переходить к следующему этапу P2 (см. Схему  6).

Схема  6. РАЗРАБОТКА ЧАСТНЫХ МОДЕЛЕЙ УГРОЗ ДЛЯ КАЖДОГО ТИПА ИНФОРМАЦИОННЫХ АКТИВОВ

ЭТАП P2. Информационные активы банка рассматриваются относительно информационных систем, в которых происходит обработка данных активов, в совокупности с соответствующими объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды в разрезе каждой информационной системы. При обработке ИИ в системе данный актив рассматривается совместно с БТ и (или) КТ.

Для разных типов активов устанавливаются разные требования к информационной безопасности, в том числе с учётом действующего законодательства.

Разработка модели угроз базируется на следующих принципах:

  • безопасность информационных активов при их обработке в информационных системах обеспечивается с помощью систем защиты информации;
  • при формировании модели угроз учитываются как угрозы, осуществление которых нарушает безопасность информационных активов (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы);
  • информационные активы обрабатываются и хранятся в информационных системах с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации;
  • нарушитель может действовать на различных этапах жизненного цикла информационной системы или системы защиты.

ПЕРЕЧЕНЬ ИСТОЧНИКОВ И МОДЕЛЬ УГРОЗ

В качестве примера оформления частной модели угроз (далее – ЧМУ), может рассматриваться отраслевая модель угроз безопасности персональных данных (РС БР ИББС-2.4-2010) с указанием конкретного типа нарушителей (на основании модели нарушителя с предположениями о возможностях) и детализации способа реализации угрозы безопасности информационного актива (см. Таблицу 2).

Таблица 2. ПРИМЕР ОФОРМЛЕНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ

Формирование перечня источников угроз и моделей угроз проводится с учетом положений СТО БР ИББС-1.0-2010, информационных ресурсов, содержащих сведения централизованной базы инцидентов банка и об уязвимостях информационной безопасности.

ЭТАП P3. Оценка рисков (см. Схему  7) проводится на основе принятой методики. Для организаций банковской системы Российской Федерации, принявших стандарт СТО БР ИББС- 1.0-2010, рекомендуется использовать отраслевую методику Банка России РС БР ИББС-2.2-2009. Также стандарт разрешает использовать и иные методики.

Схема  7. ОЦЕНКА РИСКОВ НАРУШЕНИЯ ИБ

Современные методики очень подробны, содержат громоздкие формулы, используют экспертные оценки, но, к сожалению, не всегда подходят для практической работы из-за трудностей представления руководству результатов оценки рисков.

Главное требование к методике – она должна быть наглядной, охватывающей всю ИТ-инфраструктуру и все бизнес-процессы банка, утвержденной руководством и согласованной с подразделениями, занимающимися оценкой операционных рисков. Следовательно, при выборе методики необходимо убедиться, что методика и ожидаемые результаты устраивают все стороны – и того, кто считает риски (т.е. показывает объективную картину состояния ИБ), и того, кому их демонстрируют (т.е. согласована с операционными рисками и утверждена руководством).

Методика оценки рисков нарушения ИБ, подход к оценке рисков нарушения ИБ банка должны определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. То есть для оценки рисков нарушения ИБ должна использоваться качественная и (или) количественная (выраженная

в процентах или деньгах) шкала. Количественные шкалы позволяют сделать результаты оценки рисков более точными, при этом требуя более высокого уровня зрелости существующей СМИБ.

Методика, изложенная в РС БР ИББС-2.2-2009, предполагает использование обеих шкал.

КРИТИЧНОСТЬ ОПРЕДЕЛЯЕТ ПРИОРИТЕТЫ

Для управления рисками в методике должен быть закреплен порядок их обработки.

Одним из способов определения очередности является установление приоритетов рисков, которые зависят от критичности обрабатываемого информационного актива, дополнительных признаков информационных активов, опасности конкретной угрозы в конкретной системе (см. Таблицу 3).

Таблица 3. ПРИМЕР ОПРЕДЕЛЕНИЯ ПРИОРИТЕТОВ

На основе определенных приоритетов и результатов оценки рисков можно построить карту рисков (см. Таблицу  4).

Таблица 4. ПРИМЕР ОФОРМЛЕНИЯ КАРТЫ РИСКОВ

По результатам оценки рисков подготавливается отчёт о проведении оценки рисков нарушения информационной безопасности с указанием количества оценённых рисков, количественных и качественных оценок, детализацией всех недопустимых рисков и рекомендациями по их обработке.

ЭТАП P4. Целью обработки недопустимых рисков (этап Р4) является значительное уменьшение рисков при относительно низких затратах и поддержание принятых рисков на допустимом, низком уровне. По результатам оценки рисков определяется способ обработки каждого из них, являющегося недопустимым.

Возможными вариантами обработки рисков являются:

  • применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
  • уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска, или изменения бизнес-процессов);
  • перенос риска на другие организации (например, путём страхования или передачи деятельности на аутсорсинг);
  • осознанное принятие риска (решение должно приниматься руководством банка).

Решение о применении того или иного способа обработки рисков принимается, исходя из стоимости их реализации, а также ожидаемых выгод от их реализации.

Схема 8. ОБРАБОТКА НЕДОПУСТИМЫХ РИСКОВ НАРУШЕНИЯ ИБ
 
Порядок обработки рисков информационных систем определяется приоритетом риска нарушения ИБ. Так, риски с наивысшим приоритетом должны быть обработаны в первую очередь.

Система управления рисками нарушения ИБ даёт существенный положительный эффект при выстраивании СОИБ, выявлении уязвимостей ИБ и обосновании затрат на информационную безопасность, гарантируя принятие взвешенных решений в области СМИБ и контроль эффективности принятых при обработке рисков решений.

Внедрение системы управления рисками нарушения ИБ для банка – непростая задача, но её выполнение является первым шагом построения эффективной и комплексной системы защиты. Не следует усложнять методики, строить многоуровневые длинные формулы, гнаться за точностью оценок до долей процента и копеек. В основе управления рисками лежат экспертные оценки и статистика. Цель – не предсказание будущего, а выстраивание эффективной системы менеджмента информационной безопасности.

В заключение стоит добавить, что в настоящее время на рынке представлено много программных решений, позволяющих оптимизировать процесс управления рисками нарушения информационной безопасности (Cobra, RiskWatch, Octave, Cramm, RSA Archer Risk Management и т.д.), но вопрос применения их достаточно спорный. Потому что ключевым элементом системы управления рисками нарушения информационной безопасности являются работники банка.

 

BIS-СПРАВКА

ТЕРМИНЫ СТАНДАРТА БАНКА РОССИИ СТО БР ИББС-1.0-2010:

  • Риск: мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
  • Риск нарушения информационной безопасности, риск нарушения ИБ: риск, связанный с угрозой ИБ.
  • Оценка риска нарушения информационной безопасности: систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.

 

BIS-КОММЕНТАРИЙ

Павел ХИЖНЯК,

руководитель отдела аудита и консалтинга ЗАО «Практика Безопасности»:

– В статье специалистов по информационной безопасности «Московского Индустриального банка» хорошо и подробно описан процесс управления рисками. С теоретической точки зрения в ней достаточно полно, подробно и грамотно освещены все аспекты этого сложного и трудоёмкого процесса.

Добавлю из собственного опыта: в ходе практического выстраивания риск-менеджмента в организации требуется не только хорошее знание методик, способов оценки и технического бэкграунда. Также нужны хорошо развитые коммуникационные и управленческие способности.

Перед началом внедрения процесса оценки рисков важно заручиться поддержкой высшего руководства компании, в том числе банка, вплоть до акционеров. Достижение взаимопонимания порой требует значительных усилий. Обеспечение информационной безопасности – необходимое условие достижения целей бизнеса, и это нужно объяснить понятным языком, привычной терминологией.

Каждая итерация процесса оценки рисков должна восприниматься руководством как часть корпоративного управления и быть частью глобального менеджмента организации. Ни в коем случае нельзя допустить, чтобы процесс управления рисками воспринимался руководством как часть повседневной работы подразделения информационной безопасности.

Должно присутствовать чёткое понимание: риск-менеджмент является глобальным процессом, на одном уровне с управлением персоналом и финансовой отчётностью. Настолько же важным и обеспечивающим успешность бизнеса в целом.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных