Самым актуальным из стандартов безопасности является

Дата: 29.05.2008 Время: 00:00 — 00:00 Место: Екатеринбург

29 мая руководители ИТ и ИБ крупнейших уральских банков встретились в столице Урала за бизнес-завтраком, организованном компанией CIFT и Уральским Центром Систем Безопасности. В фокусе обсуждения оказались два актуальных стандарта информационной безопасности – Стандарт Банка России и стандарт защиты информации в индустрии платежных карт PCI DSS.

Вооруженная охрана, пуленепробиваемые окна, бронированные двери, сейфовые хранилища… Повышенные меры безопасности в банках, казалось бы, исключают возможность любого незаконного проникновения. Однако в информационную эру гораздо более разорительными для банковского бизнеса могут оказаться незримые угрозы ИБ. Не секрет, что банковские серверы, сайты и другие информационные ресурсы – излюбленная мишень для хакерских атак, а частные данные держателей счетов и платежных карт представляют большой интерес для финансовых мошенников. Все это диктует необходимость обеспечения гораздо более высокого уровня информационной безопасности, чем в любой другой отрасли. Именно поэтому банковский сектор сегодня является лидирующим среди всех остальных отраслей – как по зрелости информационных систем, так и по наличию нормативных актов в области обеспечения ИБ.

Повышение уровня ИБ российских банков до соответствия международным требованиям – общая цель двух актуальных стандартов в области обеспечения информационной безопасности – Стандарта Банка России СТО БР ИББС-1.0, который рекомендован к внедрению Центробанком и, вероятно, в ближайшее время станет обязательным, и PCI DSS – де юре обязательного для всех организаций, работающих с платежными картами в регионе СEMEA, в том числе, и в России.

29 мая в Екатеринбурге состоялся бизнес-завтрак, экспертами на котором выступили специалисты CIFT, осуществляющие аудит на соответствие Стандарту Банка России, и консультанты Уральского Центра Систем Безопасности, проводящие подготовку к проведению аудита PCI DSS.

Особенностям и практике внедрения Стандарта Банка России посвятил свой доклад заместитель начальника Департамента обеспечения информационной безопасности CIFT Дмитрий Истомин, который открыл бизнес-завтрак. В рамках обсуждения Дмитрий предложил участникам произвести экспресс-оценку уровня ИБ в своих банках в соответствии со Стандартом ЦБ. Это позволило коллегам соотнести требования Стандарта, который планируется в ближайшее время сделать обязательным, с реальным уровнем ИБ в банке.

«Специалисты единодушны в том, что Стандарт ЦБ, разработанный на основе ISO 27001, является самым зрелым и актуальным из всех российских документов, в том числе ГОСТов, в сфере управления ИБ на предприятии. Фактически в Стандарте описан управленческий подход к организации системы менеджмента ИБ, где под ИБ понимается обеспечение непрерывности бизнеса. Таким образом, этот стандарт ориентирован на топ-менеджеров, так же как и стандарт обеспечения качества ИСО 9000. С ноября 2004 года стандарт предлагается к внедрению во всех коммерческих банках, и хотя пока это не является обязательным требованием ЦБ, эксперты спорят лишь о сроках перевода стандарта в разряд обязательных. Есть мнение, что стандарт будет обязательным уже в 2008 году» -отмечает Дмитрий Истомин.

Банки, успешно прошедшие аудит на соответствие Стандарту ЦБ, отмечают, что Стандарт является серьезным подспорьем в снижении рисков, связанных с использованием информационных технологий, а также хорошим инструментом для контроля работы подразделений и выявления недобросовестных сотрудников (инсайдеров).

«Этот бизнес-завтрак безусловно полезен, его КПД для всех участников гораздо выше, чем у других мероприятий подобной тематики. Банки продемонстрировали интерес к внедрению Стандарта Банка России, они показали, что эта тема важна для них» – подвел итог выступлению Дмитрия Истомина эксперт встречи, начальник отдела ТЗИ Главного управления безопасности и защиты информации по Свердловской области Банка России Сергей Разжигаев.

Основные области контроля и требования безопасности в рамках стандарта PCI DSS (Payment Card Industry Data Security Standard), анализ существующих несоответствий информационных систем и способы их устранения были раскрыты в докладах других экспертов встречи – генерального директора Уральского Центра Систем Безопасности Андрея Антипинского и директора департамента информационной безопасности УЦСБ Валентина Богданова.

Разработанный в 2004 году набор требований к безопасности данных – стандарт защиты информации в индустрии платежных карт PСI DSS, объединил в себе рекомендации ряда программ по безопасности таких платежных систем, как VISA, MasterCard, American Express и Discover Card. Изначально стандарт внедрялся на территории США и Западной Европы, но с сентября 2006 года был введен как обязательный на территории стран CEMEA, в том числе, и в России. PCI DSS распространяется на всех, кто передает, обрабатывает и хранит данные держателей платежных карт. До конца 2008 года эти компании должны пройти процедуру аудита на соответствие требованиям стандарта и предоставить результаты тем платежным системам, с которыми они работают. Каждая компания (или банк) в индивидуальном порядке уведомляется международной платежной системой о сроках прохождения аудита. Если компания в них не укладывается и не соответствует требованиям стандарта, на нее могут быть наложены штрафные санкции.

Встреча стала еще одним подтверждением тому, что сегодня перед банками стоят общие цели и задачи в сфере обеспечения информационной безопасности. «Я являюсь руководителем бизнес-направления в Банке, и моя задача — видеть проблемы и «подводные камни», которые ещё только появляются на горизонте, но могут стать преградой или тормозом в поступательном развитии бизнеса. Именно по этой причине мне безусловно важно и интересно посещать подобные мероприятия, это помогает планировать дальнейшую работу со своими ИТ и ИБ-службами» — комментирует один их участников мероприятия, начальник Управления банковских карт ОАО «СКБ-Банк» Виталий Копысов. «Все доклады мне понравились, и сегодня на бизнес-завтраке озвучены темы, действительно важные и интересные. Я впервые присутствую на мероприятии, где обсуждается тема применения стандартов PCI DSS, мне было интересно обсудить это с коллегами и выслушать разные точки зрения. Кроме того, здесь присутствует представитель Банка России, поясняет, что ждет нас в будущем, поэтому мы знаем, к чему готовиться».

Как отметил генеральный директор Уральского Центра Систем Безопасности Андрей Антипинский, «актуальность мероприятия очень высока – это видно по живой реакции зала. Вопросы, которые мы обсудили, касаются очень многих аспектов – не только организационных, но и технических. Такой формат проведения мероприятий очень удачен, так как это дает возможность людям открыто в кругу коллег обсудить все тонкие моменты реализации требований в области информационной безопасности».

Эту особенность встречи оценила и Марина Усова, региональный представитель Kaspersky Lab в Уральском Федеральном округе: «Живое общение захватывает, и видно, что людям интересно. Уровень докладчиков очень высокий. Следует проводить побольше подобных мероприятий».

Очевидно, Россия переходит на международные стандарты в области ИБ, и с введения Стандарта ЦБ, разработанного на основе ISO 27001, а также стандарта защиты информации, в индустрии платежных карт PCI DSS этот процесс начался.

Обеспечение безопасности бизнеса — это системная работа по своевременному выявлению, предупреждению, пресечению самих замыслов угроз у преступников, конкурентов, персонала компании. То есть всех, кто может нанести материальный или имиджевый ущерб предприятию. Поэтому «угроза» становится ключевым понятием в работе службы безопасности.

Угроза безопасности компании — это потенциально или реально возможное событие, процесс, действие или явление, которое способно нарушить ее устойчивость и развитие или привести к остановке деятельности. Недавно мы писали о принципах корпоративной безопасности, советуем вам также прочитать эту статью.

Корпоративная безопасность: 5 базовых угроз

Характеристики угроз

Источники агрессии могут быть внешними или внутренними. При выявлении угроз следует руководствоваться следующими признаками (сигналами):

  • Реальность угроз.
  • Суть противоречий (причин), породивших угрозу.
  • Острота этих противоречий (причин).
  • Источник угрозы (внутренний, внешний).
  • Оценка сил и средств, которыми может располагать источник угроз.
  • Собственные возможности для предотвращения или пресечения угрозы.

После выявления угрозы наступает этап разработки мер по локализации или ее минимизации.

Типы внешних угроз Типы внутренних угроз
Угрозы, исходящие от криминальной среды От внутренних угроз не застрахована ни одна коммерческая структура. В большей или меньшей степени они могут проявляться в любой компании:
Угрозы, исходящие от недобросовестных партнеров или конкурентов Угрозы со стороны персонала компании
Агрессии, направленные на захват предприятия Угрозы, связанные с организационной незащищенностью бизнеса
Агрессии со стороны средств массовой информации (черные PR-акции) Угрозы, связанные с неэффективным управлением и организацией бизнес-процессов
Угрозы, исходящие со стороны государственных структур Угрозы, связанные с эксплуатацией технических средств и средств автоматизации
Риски при проведении гражданско-правовых отношений с контрагентами
Компьютерная агрессия
Риски, связанные с политическими, экономическими, социальными и правовыми процессами в государстве и мировом сообществе
Риски, связанные с природным и техногенным фактором
Террористическая угроза

Причины возникновения внешних и внутренних угроз

Рассмотрим 17 распространенных причин возникновения внешних и внутренних угроз для компании. В реальности их гораздо больше.

Причины возникновения внешних угроз

  • Кризисные явления в экономике.
  • Кризисные явления в общественной и политической жизни партнеров, работающих за пределами РФ.
  • Недобросовестная конкуренция.
  • Непрогнозируемые изменения конъюнктуры рынка.
  • Форс-мажор.
  • Чрезвычайные ситуации.
  • Произвол чиновников государственных структур.
  • Неблагоприятная для частного бизнеса экономическая политика государства либо отдельных его регионов.
  • Несогласованность нормативных актов федеральных местных органов исполнительной власти.
  • Попытки агентурного или технического проникновения в коммерческие, технологические и производственные тайны предприятия (промышленный шпионаж). Сейчас все чаще на предприятиях действуют инсайдеры, которые передают информацию тем, кто их устроил на предприятие, или инициативники — сотрудники, по собственной инициативе собирающие конфиденциальные данные для заинтересованных сторон.
  • Несанкционированное проникновение в автоматизированную систему банка данных коммерческого предприятия.
  • Безналичная форма расчетов и платежей с использованием незащищенных компьютерных программ. Бывает, что руководитель доверяет ключи электронной подписи главному бухгалтеру, который может перевести деньги любой организации.
  • Отсутствие комплексных программ по обеспечению безопасности бизнеса.
  • Слабая ресурсная поддержка имеющихся программ по обеспечению безопасности бизнеса.

Причины возникновения внутренних угроз

  • Конфликты на предприятии: борьба за руководящую должность, распределение «теневых» доходов, перераспределение долей участия, психологическая несовместимость, клановость и местничество.
  • Некомпетентность руководства.
  • Персонал компании.

Классификация сотрудников

Восемь преступлений из десяти происходит с участием работников. Чтобы определить степень риска, связанного с каждым сотрудником, используют классификатор — концепцию риска:

Пониженный риск

Сотрудники, которые вряд ли пойдут на компрометацию своей чести и достоинства, обычно в компании их 10% (российская статистика в этом случае соответствует общемировой). Они чувствительны к общественному мнению, дорожат своей репутацией.

Допустимый риск

Люди, которые могли бы при определенных условиях впасть в искушение, но по своим убеждениям близки первой группе. Они не пойдут на правонарушение, если будут обеспечены соответствующие меры контроля. Их около 80% и именно с ними нужно проводить постоянную профилактическую работу.

Высокий риск

Опасные преступники. Они будут создавать условия для хищения даже при жестких мерах контроля в компании. Их также 10%.

Базовые угрозы

Эксперты выделяют пять групп базовых угроз, которые связаны с конкурентной борьбой, человеческим фактором, деятельностью государства (коррупция, несовершенство законодательства, административный ресурс, проводимая политика), организованной преступностью, а также техногенными и природными факторами.

Классификация угроз предпринимательской деятельности
Физические Преднамеренные — кражи, нападения, взломы, проникновение на территорию. Непреднамеренные — природные и техногенные.
Информационные Преднамеренные (внутренние и внешние) и непреднамеренные (некомпетентность пользователя, ошибки при разработке программного обеспечения, халатность персонала, отказ технических средств).
Юридические Целенаправленные (заведомо неправильное оформление договоров, документов) и субъективные.
Экономические Преднамеренные (недобросовестная конкуренция, демпинг, промышленный шпионаж) и объективные (инфляция конкуренция, экономический кризис, санкции).

Степень вероятности

По степени вероятности угроза оценивается как реальная (вероятность может быть подсчитана исходя из статистики, экспертными методами, методами группового SWOT-анализа) или потенциальная. Отдаленность угрозы во времени делят на непосредственные, близкие (до одного года) и далекие (свыше одного года), в пространстве — на территории компании, на прилегающей территории, в стране и за границей.

Природа возникновения

По природе возникновения угрозы делятся на естественные (объективные, например, природные явления) и искусственные (субъективные, вызванные деятельностью человека). Субъективные угрозы могут быть преднамеренными и непреднамеренными).

Степени развития и этапы борьбы с угрозой

Во время развития угрозы проходят четыре этапа: они возникают, расширяются, стабилизируются, после чего происходит их ликвидация. Борьба с угрозами проходит в пять этапов:

  1. Определение угрозы.

  2. Определение вариантов реализации угрозы, формирование модели потенциального нарушителя.

  3. Определение вероятности наступления события.

  4. Определение возможного ущерба от угрозы.

  5. Создание системы защиты от угрозы, включая превентивные меры (предотвращение и профилактику).

Система защиты от угроз

Система защиты от угроз включает в себя предотвращение, обнаружение и ликвидацию последствий. При оценке угроз безопасности применяют теорию надежности (для угроз, создаваемых техническими средствами — сбои, отказы, ошибки), математическую статистику (например, стихийные бедствия), теорию вероятности (для описания угроз, создаваемых сотрудниками по халатности, небрежности), экспертные методы (для описания умышленных угроз). Основными методами, которые применяют корпоративные службы безопасности, являются экспертные методы — с их помощью можно оценить практически любые риски.

Нужно понимать, что проблема рано или поздно возникнет, в том или ином виде или процессе, и стремиться их предотвратить. Такой проблемой может стать пожар, поломка важного оборудования, отсутствие больного сотрудника на работе, авария, хищение, мошенничество.

Управление безопасностью равно управлению рисками. Анализ рисков включает классификацию ресурсов (что надо защищать), анализ угроз (от чего надо защищать), анализ уязвимостей (как надо защищать). При этом формула риска такова:

Риск = возможный ущерб * вероятность реализации угрозы

После его подсчета разрабатывается план защиты, который учитывает организационные и технические меры.

Как обосновать бюджет на безопасность

Управлять проблемами предприятия поможет риск-менеджмент. Служба безопасности должна анализировать и рассчитывать риски, выстраивая всю систему работы на основе данных. Чтобы обосновать бюджет службы, директор по безопасности должен уметь оценивать риски и составлять карты рисков, в которых планируются мероприятия по их минимизации, а также закладываются средства на борьбу с ними.

Статья подготовлена на основе лекции Сергея Барбашева, преподавателя РШУ, эксперта по корпоративной безопасности.

Развивайтесь вместе с нами: в каталоге Русской Школы Управления более 700 онлайн-трансляций и 500 дистанционных курсов. Учитесь в удобном формате в любое время и в любом месте!

Создатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) – любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного исследования «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

  • Что защищать?
  • Какие виды угроз превалируют: внешние или внутренние?
  • Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

  • статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
  • динамическое, подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

  • информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
  • права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
  • система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
  • система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

  • информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
  • сведения в открытом доступе;
  • общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
  • опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

  • на информационное самоопределение;
  • на доступ к личным персональным данным и внесение в них изменений;
  • на блокирование персональных данных и доступа к ним;
  • на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
  • на возмещение причиненного ущерба.

Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

  • печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
  • сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
  • средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
  • документы всех типов: личные, служебные, государственные;
  • программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
  • электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Средства защиты информации

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз «СёрчИнформ ProfileCenter». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

  • Нормативные средства

Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:

  • ISO – Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
  • IEC – Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

  • Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

  • Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ

АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКЕ М.В. Лекомцева, Н.А. Нестерова, В.А. Семенов Научный руководитель — доктор технических наук, профессор А.Г. Коробейников

В статье рассматривается метод анализа рисков в банке, предлагается способ их качественной оценки.

Введение

Риск — возможность возникновения у банка финансовых потерь (убытков), незапланированных расходов или снижения планируемых доходов, возникающий в результате недостатков в организации системы безопасности банка, используемых технологиях, функционировании информационных систем, неадекватных действий или ошибок сотрудников, а также в результате внешних событий.

Анализ рисков состоит в том, чтобы выявить существующие риски и предложить способ их оценки.

В самом широком смысле мера риска может рассматриваться в дальнейшем как описание видов неблагоприятных действий, воздействию которых может подвергнуться система или организация, и вероятностей того, что эти действия могут произойти. Результат этого процесса должен указать банку степень риска, связанного с определенными ценностями. Этот результат важен, потому что он является основой для дальнейшего выбора средств защиты и решений по минимизации риска.

Потенциальный нарушитель

Любое лицо, имеющее логический или физический доступ к информационным активам и компонентам соответствующих информационных технологий (программному обеспечению и данным, средствам вычислительной техники, коммуникационному оборудованию и каналам связи), может являться потенциальным злоумышленником. При этом предполагается возможность сговора сотрудника банка с внешним злоумышленником, но не сговор двух и более сотрудников банка.

Целью злоумышленника является получение контроля над информационным активом, приводящего к нарушению его доступности, целостности или конфиденциальности. Для достижения целей злоумышленник может использовать все экономически соизмеримые с потенциальным ущербом способы проведения атак на всех уровнях архитектуры информационных систем.

Идентификация рисков

Источниками угроз информационным активам банка являются: внешние и внутренние злоумышленники, ошибочные действия персонала банка, вирусные атаки, отказы и сбои оборудования и программного обеспечения, техногенные и природные катастрофы, террористические угрозы.

В зависимости от сферы возникновения источников угроз в банке существенными следующие являются следующие типы рисков. 1. Внутренние:

• риск бизнес-процессов (технологический риск) — риск неадекватности/неэффективности внутренних процессов и процедур, включая внедренче-

ский риск, бухгалтерский риск, риск неэффективности системы контроля за совершением операций и т.п.;

• риск автоматизации процессов — риск, связанный с использованием информационных технологий, неудовлетворительным состоянием автоматизированных систем банка (риск ошибок и сбоев в программном обеспечении, электронных технологиях и системах коммуникации и т.п.);

• риск персонала — риск ошибок, превышения установленных полномочий, операционных лимитов и ограничений, некорректного исполнения операций (нарушения действующих регламентов и процедур), недобросовестного исполнения сотрудниками своих служебных обязанностей, злоупотреблений и противоправных действий (хищений, несанкционированного доступа, утечки информации и т. п.) со стороны сотрудников, риск недостаточной квалификации персонала.

2. Внешние:

• риск противоправных действий, включая преступные посягательства (риск мошенничества- риск противоправных действий извне (хищения (кражи, ограбления, разбойные нападения, акты вандализма и т.п.), несанкционированное проникновение в электронные системы Банка), риск отрицательной репутации контрагентов;

• риск утраты или повреждения имущества Банка вследствие возникновения форс-мажорных обстоятельств.

3. Комбинированный:

• правовой риск — риск прямых или косвенных потерь вследствие правовых ошибок при осуществлении банковской деятельности из-за ошибочной интерпретации или нарушения законодательства и иных нормативных правовых актов; несоответствия им внутренних нормативных документов банка; нечеткого формулирования взаимных прав и обязанностей сторон в договорных отношениях; неверно составленной документации, в том числе при решении спорных вопросов в судебных органах; несовершенства законодательства; нарушения нормативных правовых актов и условий заключенных договоров контрагентами.

Расчет информационных рисков

Имеется большое количество способов измерения и представления риска. Качественные подходы часто связаны с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования. Одномерные подходы рассматривают только ограниченные компоненты. Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие как надежность, безопасность, производительность. Одним из наиболее важных аспектов меры риска является то, что представление должно быть понятным и логичным для тех, кто должен выбирать средства защиты и решать вопросы минимизации риска. Формула, используемая при расчете рисков, представляет собой произведение трех параметров.

1. Стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 -максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе.

2. Мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе.

1 в терминологии Нового соглашения по оценке достаточности капитала Базельского комитета по банковскому надзору

Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 — минимальная мера уязвимости (слабое воздействие), 2 — средняя (ресурс подлежит восстановлению), 3 — максимальная (ресурс требует полной замены после реализации угрозы). 3. Оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года), и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).

На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):

1. оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле: SLE = AV xEF;

2. итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле: ALE = SLE х ARO.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Четкой методики количественного расчета величин рисков предложить на данном этапе не представляется возможным. Это связано, в первую очередь, с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы в банке, так как данная информация конфиденциальна и для каждого конкретного банка сугубо индивидуальна .

Заключение

Оценка и прогнозирование уровня консолидированного (совокупного) риска банка должна осуществляется на основе использования статистической информации, объединенной в базу данных о фактах реализованных рисков. Банком должна проводиться работа по сбору и систематизации соответствующей информации, формированию базы данных для последующего анализа, оценки и прогнозированияю с использованием современных математических методов.

На первоначальном этапе одновременно с формированием базы данных должна производиться комплексная оценка, ранжирование по уровню потерь и определение степени значимости идентифицированных рисков банка.

Управление риском нацелено на максимально возможное его предотвращение и вследствие этого основано на применении качественных и количественных методов анализа. Необходимо всегда помнить, что состояние безопасности информации определяется отсутствием недопустимых рисков.

Литература

1. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (утвержден распоряжением Банка России от 18 ноября 2004 № Р-609).