<<
>>

8.2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ

Системы принципов обеспечения информационной безопасности в задачах корпоративного управления участников НПС

Принципы осознанного решения задач обеспечения информационной безопасности (отдельного бизнеса, деятельности организации, взаимодействующих сторон, профессионального сообщества и пр ) основываются на понимании природы факторов рисков (угроз) и структуры рисков, а также подходов по их модификации (переноса, принятия, снижения, ухода).

Существенная часть рисков информационной безопасности порождается процессами операционной среды организации и среды ее корпоративного управления, а также при взаимодействии сторон как внутри организации, так и вне ее

Рассмотрим данный срез на примере принципов обеспечения информационной безопасности организации и одного из срезов взаимодействия при обслуживании клиентов банков

Основными факторами осознанного внимания высшего руководства организации к задачам обеспечения ИБ являются: ?

понимание необходимости наличия прогнозируемой, эффективной и управляемой системы обеспечения информационной безопасности; ?

совершенствование делового климата в организации и повышение эффективности работы с персоналом; ?

стремление к повышению эффективности системы управления операционными и иными специфичными рисками, которые «сопровождают» деятельность организации; ?

понимание необходимости соответствия установленным профессиональным нормам контроля рисков, эффективная реализация которых может быть осуществлена технологиями обеспечениям информационной безопасности; ?

формирование основ повышения стоимости организации при слияниях и поглощениях, а также повышения рыночной стоимости в глазах рыночных инвесторов; ?

повышение привлекательности для зарубежных инвесторов и партнеров

В профессиональной среде выделяют два подмножества принципов безопасного функционирования: «общие» и «специальные» («настроечные»), формирующие основное концептуальное содержание видов деятельности в данной предметной области

В состав общих принципов безопасного функционирования организации входят следующие: ?

своевременность обнаружения проблем Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели; ?

прогнозируемость развития проблем Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития; ?

оценка влияния проблем на бизнес-цели Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели; ?

адекватность защитных мер Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз; ?

эффективность защитных мер .

Организация должна эффективно реализовывать принятые защитные меры; ?

использование опыта при принятии и реализации решений . Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения; ?

непрерывность действия принципов безопасного функционирования . Организация должна обеспечивать последовательность в реализации принципов безопасного функционирования; ?

контролируемость защитных мер . Организация должна применять только те защитные меры, правильность работы которых может быть проверена При этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации

Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации В состав специальных принципов обеспечения информационной безопасности организации входят следующие: ?

определенность целей . Функциональные цели организации и цели ее системы обеспечения ИБ должны быть явно определены во внутрикорпоративных нормативных актах Неопределенность приводит к «размыванию» организационной структуры, ролей и обязанностей персонала, неконструктивности политик ИБ и невозможности оценки адекватности принятых решений и защитных мер; ?

знание своих клиентов и служащих . Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами . Знание клиентов в современном мире может иметь различное наполнение (от физической личности до виртуальных (информационных) ее атрибутов) В любом случае степень необходимого и достаточного «знания» должна быть определена; ?

персонификация и адекватное разделение ролей и ответственности . Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться .

Она должна быть адекватной степени влияния должностных лиц на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться; ?

адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения Роль должна быть согласована с критериями оценки эффективности ее выполнения Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки; ?

доступность услуг и сервисов . Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и (или) иными документами; ?

наблюдаемость и оцениваемость обеспечения ИБ . Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог бы быть оценен подразделением организации, имеющим соответствующие полномочия

«Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом»

Изложенная система принципов безопасного функционирования организации имеет преимущественно отношение к среде корпоративного управления и на практике реализуется в систему взаимосвязанных, как правило, не выраженных явно, но идентифицируемых процессов, осуществляемых в рамках управленческой деятельности организации . В «продвинутых» организациях центром компетенции данных работ является совет (координационный совет) по информационной безопасности, функционирующий при первом исполнительном лице (его заместителе) организации

Применительно к действиям руководства организации это предполагает инициирование и поддержку следующих мероприятий: ?

создание, внедрение и актуализация политики ИБ; ?

внедрение мер, направленных на обеспечение уверенности в том, что цели и планы ИБ установлены и работоспособны; ?

определение ролей и ответственности в области информационной безопасности; ?

осведомленность всех сотрудников организации информации о важности достижения целей информационной безопасности и подчинения требованиям политики информационной безопасности, об их ответственности перед законом, а также о необходимости непрерывного совершенствования; ?

обеспечение достаточных ресурсов для эксплуатации, анализа и совершенствования системы обеспечения ИБ организации; ?

наличие решений о критериях принятия рисков и о приемлемых уровнях риска безопасности; ?

проведение контроля и анализа (самооценки, аудиты, выводы из результатов разбора инцидентов и т .

п . ); ?

обеспечение уверенности в достаточной компетентности персонала, на который возложены определенные в рамках системы обеспечения ИБ обязанности

Указанные мероприятия реализуются в рамках следующих процессов деятельности на уровне корпоративного управления организации: ?

анализ проблем ИБ и определение потребности организации в обеспечении ИБ; ?

рассмотрение и санкционирование руководством деятельности по планированию мероприятий обеспечения ИБ организации; ?

сопровождение операционной деятельности системы обеспечения ИБ; ?

поддержка и анализ результатов мероприятий по проверке системы обеспечения ИБ; ?

определение стратегий совершенствования системы обеспечения ИБ .

Анализ проблем ИБ даже на высшем уровне невозможен без охвата общего

контекста бизнеса организации, ее стратегий, целей деятельности и основных показателей эффективности существования . Процессы по обеспечению ИБ составляют один из видов вспомогательных процессов, реализующих поддержку основной деятельности организации для достижения максимально возможного результата

Здесь должны рассматриваться как факторы целесообразности и эффективности в части соотношений «прибыли» от защищенности критичных активов и расходов на разворачивание системы ИБ, так и комплаенс факторы процессов деятельности организации Для этих целей должны быть учтены: ?

характеристики информационных активов организации, их размещение, владелец (обладатель), пользователь, важность их для бизнеса организации, категории классификации, уровни защиты и иные необходимые сведения; ?

результаты менеджмента активов организации, выраженные в оценке влияния инцидентов ИБ на активы: финансовой восстановительной стоимости, стоимости остановки бизнес-операций в результате потери (повреждения) актива, издержек упущенных возможностей и т д ; ?

спецификации бизнес-процессов организации; ?

критерии достижения бизнес-целей; ?

отчетность и производственные показатели основной деятельности (бизнеса) организации; ?

данные о потерях, о нанесенном бизнесу ущербе (материальном и ином); ?

информация о среде бизнес-процессов организации, включающая данные о внешних и внутренних угрозах, информацию о персонале, внешних контактах и взаимодействиях, информацию от заинтересованных сторон относительно бизнес-процессов, активов, информационной безопасности и т д ; ?

отчетность об ИБ организации, о текущем состоянии процессов менеджмента ИБ

Реализация иных процессов деятельности на уровне корпоративного управления организации в контексте принципов безопасного функционирования организации формирует необходимые основы развертывания и совершенствования процессов системы менеджмента ИБ (СМИБ) организации, включая решения: ?

по определению целей ИБ, адекватности и контролируемости защитных мер; ?

по закреплению ответственностей по ИБ, связанных со СМИБ; ?

по адекватности разделения ролей и ответственности; ?

о взаимодействии между структурными подразделениями организации; ?

о выделении необходимых ресурсов для обеспечения ИБ; ?

по критериям оценки эффективности защитных мер, мерам доверия клиентов и служащих и обеспечению доступности услуг и сервисов

Данные процессы, являясь фактически частью основной управленческой деятельности организации, имеют отношение ко всей организации Они «работают» со сведениями, имеющими отношение к результатам основной деятельности организации, но необходимы для принятия адекватных потребностям решений относительно ИБ и осуществления менеджмента ИБ организации в целом

По результатам этой деятельности вырабатываются ключевые решения относительно всех областей обеспечения ИБ организации, реализуемые в среде организации — участника НПС .

принципы ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ при ДИСТАНЦИОННОМ БАНКОВСКОМ ОБСЛУЖИВАНИИ

Отдельные сферы в основной деятельности организации могут быть сопряжены со специфичными, типичными и чувствительными рисками для ее деятельности Применительно к финансовой индустрии одной из таких сфер является интерфейс на стыке взаимодействия «банк — клиент» Все более широкое использование электронных (дистанционных) средств и технологий доступа к финансовым услугам, включая и платежные операции, сопряжено с существенными специфичными рисками . Здесь затрагиваются интересы не только принимающей «заказ» на финансовую услугу (операцию) организации, но и иных участников системы .

Это в свою очередь и определяет потребность в целевом рассмотрении данной области

Российская практика в данной области пока еще не столь систематизирована для выработки унифицированных рецептов лучших практик . В то же время в ряде стран и сообществ подобные решения предложены и они достаточно работоспособны в соответствующей среде . Среди них можно выделить Рекомендации EPC120, предлагающие руководствоваться 12 принципами, отражающими хорошую практику обеспечения безопасности при дистанционном банковском обслуживании . Данные Рекомендации развивают ранее изданные Европейским комитетом по банковским стандартам рекомендации, нашедшие отражение в TR 411v2 «Руководство по обеспечению безопасности для электронных банковских услуг» (Security guidelines for e-banking: application of basel risk management principles) применительно к взаимодействию «клиент — банк» .

В рекомендациях ЕРС представлены принципы и руководства по хорошим практическим приемам обеспечения безопасности во взаимодействиях «клиент — банк» по отношению к дистанционному инициированию электронных операций для схем прямого дебетового и кредитного трансферта в едином европейском платежном пространстве Данные принципы по мнению EPC применимы для решений по электронным или мобильным платежным каналам в Европе, а также могут применяться для участников системы электронного выставления счетов-фактур . Эти принципы рекомендуются для использования в качестве инструментальных средств банками, поставщиками электронных банковских услуг или любой стороной, действующей от их имени . Они направлены на установление общего базового уровня безопасности для всех удаленных операций «клиент — банк» единого европейского платежного пространства

Принцип 1. Совет директоров и высшее руководство финансовых институтов, предоставляющих электронные банковские услуги, должны установить эффективный надзор руководства за рисками, связанными с этой деятельностью, включая конкретную ответственность, политики и меры и средства контроля и управления для осуществления действий в отношении информации о рисках .

Например, до начала трансграничной электронной банковской деятельности они должны провести соответствующую оценку риска и должную проверку

Принцип 2 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для идентификации и регистрации клиентов, с которыми они осуществляют дистанционное взаимодействие Принцип 3 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения взаимной аутентификации, осуществляемой между ними и клиентами, с которыми они осуществляют дистанционное взаимодействие

Принцип 4 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения методов аутентификации транзакций, способствующих неотказуемости и учетности электронных банковских транзакций

Принцип 5 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения защиты чувствительных данных в электронных банковских транзакциях

Принцип 6 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер и средств контроля и управления санкционированием(-я) и привилегий доступа для систем, баз данных и приложений электронных банковских услуг

Принцип 7 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер для защиты данных электронных банковских транзакций, регистрационных данных и информации

Принцип 8 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие подробных контрольных журналов для всех электронных банковских транзакций

Принцип 9 . Финансовые институты, предоставляющие электронные банковские услуги, должны иметь эффективные процессы планирования мощностей, обеспечения непрерывности бизнеса и действий в чрезвычайных ситуациях для содействия обеспечению доступности электронных банковских систем и услуг Принцип 10 . Финансовые институты, предоставляющие электронные банковские услуги, должны разработать соответствующие планы реагирования для осуществления менеджмента, сдерживания и минимизации проблем, возникающих из-за неожиданных событий, включая внутренние и внешние атаки, которые могут препятствовать обеспечению электронных банковских услуг и работе систем

Принцип 11 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить предоставление достаточного количества информации на своих web-сайтах, чтобы дать возможность потенциальным клиентам принять взвешенное решение до инициирования электронных банковских транзакций Например, финансовые институты, намеревающиеся заняться трансграничной деятельностью, должны раскрыть на своем web-сайте достаточный объем сведений, чтобы позволить потенциальным клиентам определить страну его расположения и тип выданной лицензии

Принцип 12 Финансовые институты, предоставляющие электронные банковские услуги, должны принять соответствующие меры для обеспечения строгого соблюдения требований законодательства страны, где они предоставляют электронные банковские услуги и продукты

В качестве хорошей отправной точки для реализации указанных принципов обеспечения (информационной) безопасности для удаленных операций «клиент — банк» ЕРС рекомендуется рассматривать ряд мер и средств контроля и управления, проистекающих из норм законодательства и иных практик, в том числе нашедших отражение в международных стандартах, таких как стандарты серии КОЛЕС 270ХХ .

Меры и средства контроля и управления, считающиеся важными для организации с законодательной точки зрения, включают:

а) обеспечение защиты данных и приватности персональной информации;

б) обеспечение безопасности регистрационных данных в организации;

в) права на интеллектуальную собственность

Меры и средства контроля и управления, считающиеся установившейся практикой для обеспечения информационной безопасности, включают:

а) документацию политики информационной безопасности;

б) классификацию данных по уровню чувствительности;

в) распределение обязанностей по обеспечению информационной безопасности;

г) осведомленность, образование и обучение в сфере информационной безопасности;

д) безопасную разработку, тестирование (безопасности) и поддержку ИТ- инфраструктуры, устройств, приложений и процессов;

е) менеджмент уязвимостей;

ж) менеджмент непрерывности бизнеса;

з) менеджмент инцидентов информационной безопасности

Нижеследующая таблица иллюстрирует рекомендации ЕРС по поддержке

реализации принципов теми или иными категориями мер и средств контроля и управления безопасности из стандарта 1БО/1ЕС 27002 .

Категория требова-

ЕРС-принципы ний 1БО/1ЕС 27002 п1 п2 пз п4 п5 пб п7 п8 п9 п10 п11 п12 политика

безопасности х Организация обеспечения информационной безопасности х менеджмент

активов — х — — — х х х — — — — Окончание

Категория требова-

EPC-принципы ний !БО/!ЕС 27002 П1 П2 П3 П4 П5 П6 П7 П8 П9 П10 П11 П12 Кадровая безопасность — — — — — х — — — — — — Физическая безопасность и защита от влияния внешней среды х Менеджмент связи и операций х х х х х х х х — — х — Управление

доступом — х х — — х — — — — — — Приобретение, разработка и поддержка информационных систем х х х х х х х х х Менеджмент инцидентов информационной безопасности х Менеджмент непрерывности бизнеса — — — — — — — — х — — — Соответствие требованиям х х х х В национальной платежной системе практически все из изложенных принципов в определенной степени применимы для соответствующих видов деятельности . Конкретные решения подлежат определению органом регулирования и надзора (наблюдения) за деятельностью участников НПС в установленном порядке .

Использование лучших практик корпоративного управления и контроля, включая практику управления и контроля в информационной сфере, существенным образом снижает стохастическую составляющую в деятельности организации, что качественным образом влияет на эффективность мер обеспечения информационной безопасности . Это также обеспечивает базу для «сходимости» различных форм и методов контроля, используемых как для целей управления, так и для надзора и наблюдения за деятельностью участников НПС .

К лучшим практикам корпоративного управления и контроля в информационной сфере относятся как отдельные модельные решения, подобно рекомендациям COSO, Базельского комитета и его структур, так и стандарты обеспечения информационной безопасности , включая уже отмеченные и иные международные и отраслевые стандарты

<< | >>
Источник: В.В. Адрианов, М.Я. Букирь, С.А. Бутенко и др.. Национальная платежная система. Бизнес-энциклопедия / коллектив авторов ; ред.-сост. А.С. Воронин. — М. : КНОРУС : ЦИПСиР. — 424 с.. 2013

Еще по теме 8.2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ:

  1. 8.1. ПАРАДИГМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
  2. Принципы построения системы информационной безопасности
  3. Технологии и инструменты обеспечения интегральной безопасности информационных систем
  4. ГЛАВА 3 НАЦИОНАЛЬНЫЕ ПЛАТЕЖНЫЕ СИСТЕМЫ И МЕЖДУНАРОДНЫЕ КАРТОЧНЫЕ ПЛАТЕЖНЫЕ СИСТЕМЫ
  5. Экономическая безопасность в системе национальной безопасности страны
  6. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ БЕЛАРУСЬ
  7. ГЛАВА 22               Информационные технологии обеспечения безопасности
  8. Экономическая безопасность в системе национальной безопасности страны
  9. 8.3. МОДЕЛЬНЫЕ РЕШЕНИЯ и СТАНДАРТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  10. Структурно-инновационная политика государства и ее влияние на обеспечение национальной безопасности
  11. Основные цели, задачи и направления демографической политики в интересах обеспечения национальной безопасности