8.2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
Системы принципов обеспечения информационной безопасности в задачах корпоративного управления участников НПС
Принципы осознанного решения задач обеспечения информационной безопасности (отдельного бизнеса, деятельности организации, взаимодействующих сторон, профессионального сообщества и пр ) основываются на понимании природы факторов рисков (угроз) и структуры рисков, а также подходов по их модификации (переноса, принятия, снижения, ухода).
Существенная часть рисков информационной безопасности порождается процессами операционной среды организации и среды ее корпоративного управления, а также при взаимодействии сторон как внутри организации, так и вне ееРассмотрим данный срез на примере принципов обеспечения информационной безопасности организации и одного из срезов взаимодействия при обслуживании клиентов банков
Основными факторами осознанного внимания высшего руководства организации к задачам обеспечения ИБ являются: ?
понимание необходимости наличия прогнозируемой, эффективной и управляемой системы обеспечения информационной безопасности; ?
совершенствование делового климата в организации и повышение эффективности работы с персоналом; ?
стремление к повышению эффективности системы управления операционными и иными специфичными рисками, которые «сопровождают» деятельность организации; ?
понимание необходимости соответствия установленным профессиональным нормам контроля рисков, эффективная реализация которых может быть осуществлена технологиями обеспечениям информационной безопасности; ?
формирование основ повышения стоимости организации при слияниях и поглощениях, а также повышения рыночной стоимости в глазах рыночных инвесторов; ?
повышение привлекательности для зарубежных инвесторов и партнеров
В профессиональной среде выделяют два подмножества принципов безопасного функционирования: «общие» и «специальные» («настроечные»), формирующие основное концептуальное содержание видов деятельности в данной предметной области
В состав общих принципов безопасного функционирования организации входят следующие: ?
своевременность обнаружения проблем Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели; ?
прогнозируемость развития проблем Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития; ?
оценка влияния проблем на бизнес-цели Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели; ?
адекватность защитных мер Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз; ?
эффективность защитных мер .
Организация должна эффективно реализовывать принятые защитные меры; ?использование опыта при принятии и реализации решений . Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения; ?
непрерывность действия принципов безопасного функционирования . Организация должна обеспечивать последовательность в реализации принципов безопасного функционирования; ?
контролируемость защитных мер . Организация должна применять только те защитные меры, правильность работы которых может быть проверена При этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации
Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации В состав специальных принципов обеспечения информационной безопасности организации входят следующие: ?
определенность целей . Функциональные цели организации и цели ее системы обеспечения ИБ должны быть явно определены во внутрикорпоративных нормативных актах Неопределенность приводит к «размыванию» организационной структуры, ролей и обязанностей персонала, неконструктивности политик ИБ и невозможности оценки адекватности принятых решений и защитных мер; ?
знание своих клиентов и служащих . Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами . Знание клиентов в современном мире может иметь различное наполнение (от физической личности до виртуальных (информационных) ее атрибутов) В любом случае степень необходимого и достаточного «знания» должна быть определена; ?
персонификация и адекватное разделение ролей и ответственности . Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться .
Она должна быть адекватной степени влияния должностных лиц на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться; ?адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения Роль должна быть согласована с критериями оценки эффективности ее выполнения Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки; ?
доступность услуг и сервисов . Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и (или) иными документами; ?
наблюдаемость и оцениваемость обеспечения ИБ . Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог бы быть оценен подразделением организации, имеющим соответствующие полномочия
«Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом»
Изложенная система принципов безопасного функционирования организации имеет преимущественно отношение к среде корпоративного управления и на практике реализуется в систему взаимосвязанных, как правило, не выраженных явно, но идентифицируемых процессов, осуществляемых в рамках управленческой деятельности организации . В «продвинутых» организациях центром компетенции данных работ является совет (координационный совет) по информационной безопасности, функционирующий при первом исполнительном лице (его заместителе) организации
Применительно к действиям руководства организации это предполагает инициирование и поддержку следующих мероприятий: ?
создание, внедрение и актуализация политики ИБ; ?
внедрение мер, направленных на обеспечение уверенности в том, что цели и планы ИБ установлены и работоспособны; ?
определение ролей и ответственности в области информационной безопасности; ?
осведомленность всех сотрудников организации информации о важности достижения целей информационной безопасности и подчинения требованиям политики информационной безопасности, об их ответственности перед законом, а также о необходимости непрерывного совершенствования; ?
обеспечение достаточных ресурсов для эксплуатации, анализа и совершенствования системы обеспечения ИБ организации; ?
наличие решений о критериях принятия рисков и о приемлемых уровнях риска безопасности; ?
проведение контроля и анализа (самооценки, аудиты, выводы из результатов разбора инцидентов и т .
п . ); ?обеспечение уверенности в достаточной компетентности персонала, на который возложены определенные в рамках системы обеспечения ИБ обязанности
Указанные мероприятия реализуются в рамках следующих процессов деятельности на уровне корпоративного управления организации: ?
анализ проблем ИБ и определение потребности организации в обеспечении ИБ; ?
рассмотрение и санкционирование руководством деятельности по планированию мероприятий обеспечения ИБ организации; ?
сопровождение операционной деятельности системы обеспечения ИБ; ?
поддержка и анализ результатов мероприятий по проверке системы обеспечения ИБ; ?
определение стратегий совершенствования системы обеспечения ИБ .
Анализ проблем ИБ даже на высшем уровне невозможен без охвата общего
контекста бизнеса организации, ее стратегий, целей деятельности и основных показателей эффективности существования . Процессы по обеспечению ИБ составляют один из видов вспомогательных процессов, реализующих поддержку основной деятельности организации для достижения максимально возможного результата
Здесь должны рассматриваться как факторы целесообразности и эффективности в части соотношений «прибыли» от защищенности критичных активов и расходов на разворачивание системы ИБ, так и комплаенс факторы процессов деятельности организации Для этих целей должны быть учтены: ?
характеристики информационных активов организации, их размещение, владелец (обладатель), пользователь, важность их для бизнеса организации, категории классификации, уровни защиты и иные необходимые сведения; ?
результаты менеджмента активов организации, выраженные в оценке влияния инцидентов ИБ на активы: финансовой восстановительной стоимости, стоимости остановки бизнес-операций в результате потери (повреждения) актива, издержек упущенных возможностей и т д ; ?
спецификации бизнес-процессов организации; ?
критерии достижения бизнес-целей; ?
отчетность и производственные показатели основной деятельности (бизнеса) организации; ?
данные о потерях, о нанесенном бизнесу ущербе (материальном и ином); ?
информация о среде бизнес-процессов организации, включающая данные о внешних и внутренних угрозах, информацию о персонале, внешних контактах и взаимодействиях, информацию от заинтересованных сторон относительно бизнес-процессов, активов, информационной безопасности и т д ; ?
отчетность об ИБ организации, о текущем состоянии процессов менеджмента ИБ
Реализация иных процессов деятельности на уровне корпоративного управления организации в контексте принципов безопасного функционирования организации формирует необходимые основы развертывания и совершенствования процессов системы менеджмента ИБ (СМИБ) организации, включая решения: ?
по определению целей ИБ, адекватности и контролируемости защитных мер; ?
по закреплению ответственностей по ИБ, связанных со СМИБ; ?
по адекватности разделения ролей и ответственности; ?
о взаимодействии между структурными подразделениями организации; ?
о выделении необходимых ресурсов для обеспечения ИБ; ?
по критериям оценки эффективности защитных мер, мерам доверия клиентов и служащих и обеспечению доступности услуг и сервисов
Данные процессы, являясь фактически частью основной управленческой деятельности организации, имеют отношение ко всей организации Они «работают» со сведениями, имеющими отношение к результатам основной деятельности организации, но необходимы для принятия адекватных потребностям решений относительно ИБ и осуществления менеджмента ИБ организации в целом
По результатам этой деятельности вырабатываются ключевые решения относительно всех областей обеспечения ИБ организации, реализуемые в среде организации — участника НПС .
принципы ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ при ДИСТАНЦИОННОМ БАНКОВСКОМ ОБСЛУЖИВАНИИ
Отдельные сферы в основной деятельности организации могут быть сопряжены со специфичными, типичными и чувствительными рисками для ее деятельности Применительно к финансовой индустрии одной из таких сфер является интерфейс на стыке взаимодействия «банк — клиент» Все более широкое использование электронных (дистанционных) средств и технологий доступа к финансовым услугам, включая и платежные операции, сопряжено с существенными специфичными рисками . Здесь затрагиваются интересы не только принимающей «заказ» на финансовую услугу (операцию) организации, но и иных участников системы .
Это в свою очередь и определяет потребность в целевом рассмотрении данной областиРоссийская практика в данной области пока еще не столь систематизирована для выработки унифицированных рецептов лучших практик . В то же время в ряде стран и сообществ подобные решения предложены и они достаточно работоспособны в соответствующей среде . Среди них можно выделить Рекомендации EPC120, предлагающие руководствоваться 12 принципами, отражающими хорошую практику обеспечения безопасности при дистанционном банковском обслуживании . Данные Рекомендации развивают ранее изданные Европейским комитетом по банковским стандартам рекомендации, нашедшие отражение в TR 411v2 «Руководство по обеспечению безопасности для электронных банковских услуг» (Security guidelines for e-banking: application of basel risk management principles) применительно к взаимодействию «клиент — банк» .
В рекомендациях ЕРС представлены принципы и руководства по хорошим практическим приемам обеспечения безопасности во взаимодействиях «клиент — банк» по отношению к дистанционному инициированию электронных операций для схем прямого дебетового и кредитного трансферта в едином европейском платежном пространстве Данные принципы по мнению EPC применимы для решений по электронным или мобильным платежным каналам в Европе, а также могут применяться для участников системы электронного выставления счетов-фактур . Эти принципы рекомендуются для использования в качестве инструментальных средств банками, поставщиками электронных банковских услуг или любой стороной, действующей от их имени . Они направлены на установление общего базового уровня безопасности для всех удаленных операций «клиент — банк» единого европейского платежного пространства
Принцип 1. Совет директоров и высшее руководство финансовых институтов, предоставляющих электронные банковские услуги, должны установить эффективный надзор руководства за рисками, связанными с этой деятельностью, включая конкретную ответственность, политики и меры и средства контроля и управления для осуществления действий в отношении информации о рисках .
Например, до начала трансграничной электронной банковской деятельности они должны провести соответствующую оценку риска и должную проверкуПринцип 2 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для идентификации и регистрации клиентов, с которыми они осуществляют дистанционное взаимодействие Принцип 3 . Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения взаимной аутентификации, осуществляемой между ними и клиентами, с которыми они осуществляют дистанционное взаимодействие
Принцип 4 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения методов аутентификации транзакций, способствующих неотказуемости и учетности электронных банковских транзакций
Принцип 5 Финансовые институты, предоставляющие электронные банковские услуги, должны принимать соответствующие меры для обеспечения защиты чувствительных данных в электронных банковских транзакциях
Принцип 6 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер и средств контроля и управления санкционированием(-я) и привилегий доступа для систем, баз данных и приложений электронных банковских услуг
Принцип 7 . Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие соответствующих мер для защиты данных электронных банковских транзакций, регистрационных данных и информации
Принцип 8 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить наличие подробных контрольных журналов для всех электронных банковских транзакций
Принцип 9 . Финансовые институты, предоставляющие электронные банковские услуги, должны иметь эффективные процессы планирования мощностей, обеспечения непрерывности бизнеса и действий в чрезвычайных ситуациях для содействия обеспечению доступности электронных банковских систем и услуг Принцип 10 . Финансовые институты, предоставляющие электронные банковские услуги, должны разработать соответствующие планы реагирования для осуществления менеджмента, сдерживания и минимизации проблем, возникающих из-за неожиданных событий, включая внутренние и внешние атаки, которые могут препятствовать обеспечению электронных банковских услуг и работе систем
Принцип 11 Финансовые институты, предоставляющие электронные банковские услуги, должны обеспечить предоставление достаточного количества информации на своих web-сайтах, чтобы дать возможность потенциальным клиентам принять взвешенное решение до инициирования электронных банковских транзакций Например, финансовые институты, намеревающиеся заняться трансграничной деятельностью, должны раскрыть на своем web-сайте достаточный объем сведений, чтобы позволить потенциальным клиентам определить страну его расположения и тип выданной лицензии
Принцип 12 Финансовые институты, предоставляющие электронные банковские услуги, должны принять соответствующие меры для обеспечения строгого соблюдения требований законодательства страны, где они предоставляют электронные банковские услуги и продукты
В качестве хорошей отправной точки для реализации указанных принципов обеспечения (информационной) безопасности для удаленных операций «клиент — банк» ЕРС рекомендуется рассматривать ряд мер и средств контроля и управления, проистекающих из норм законодательства и иных практик, в том числе нашедших отражение в международных стандартах, таких как стандарты серии КОЛЕС 270ХХ .
Меры и средства контроля и управления, считающиеся важными для организации с законодательной точки зрения, включают:
а) обеспечение защиты данных и приватности персональной информации;
б) обеспечение безопасности регистрационных данных в организации;
в) права на интеллектуальную собственность
Меры и средства контроля и управления, считающиеся установившейся практикой для обеспечения информационной безопасности, включают:
а) документацию политики информационной безопасности;
б) классификацию данных по уровню чувствительности;
в) распределение обязанностей по обеспечению информационной безопасности;
г) осведомленность, образование и обучение в сфере информационной безопасности;
д) безопасную разработку, тестирование (безопасности) и поддержку ИТ- инфраструктуры, устройств, приложений и процессов;
е) менеджмент уязвимостей;
ж) менеджмент непрерывности бизнеса;
з) менеджмент инцидентов информационной безопасности
Нижеследующая таблица иллюстрирует рекомендации ЕРС по поддержке
реализации принципов теми или иными категориями мер и средств контроля и управления безопасности из стандарта 1БО/1ЕС 27002 .
Категория требова-
ЕРС-принципы ний 1БО/1ЕС 27002 п1 п2 пз п4 п5 пб п7 п8 п9 п10 п11 п12 политика
безопасности х Организация обеспечения информационной безопасности х менеджмент
активов — х — — — х х х — — — — Окончание
Категория требова-
EPC-принципы ний !БО/!ЕС 27002 П1 П2 П3 П4 П5 П6 П7 П8 П9 П10 П11 П12 Кадровая безопасность — — — — — х — — — — — — Физическая безопасность и защита от влияния внешней среды х Менеджмент связи и операций х х х х х х х х — — х — Управление
доступом — х х — — х — — — — — — Приобретение, разработка и поддержка информационных систем х х х х х х х х х Менеджмент инцидентов информационной безопасности х Менеджмент непрерывности бизнеса — — — — — — — — х — — — Соответствие требованиям х х х х В национальной платежной системе практически все из изложенных принципов в определенной степени применимы для соответствующих видов деятельности . Конкретные решения подлежат определению органом регулирования и надзора (наблюдения) за деятельностью участников НПС в установленном порядке .
Использование лучших практик корпоративного управления и контроля, включая практику управления и контроля в информационной сфере, существенным образом снижает стохастическую составляющую в деятельности организации, что качественным образом влияет на эффективность мер обеспечения информационной безопасности . Это также обеспечивает базу для «сходимости» различных форм и методов контроля, используемых как для целей управления, так и для надзора и наблюдения за деятельностью участников НПС .
К лучшим практикам корпоративного управления и контроля в информационной сфере относятся как отдельные модельные решения, подобно рекомендациям COSO, Базельского комитета и его структур, так и стандарты обеспечения информационной безопасности , включая уже отмеченные и иные международные и отраслевые стандарты
Еще по теме 8.2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ:
- 8.1. ПАРАДИГМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
- Принципы построения системы информационной безопасности
- Технологии и инструменты обеспечения интегральной безопасности информационных систем
- ГЛАВА 3 НАЦИОНАЛЬНЫЕ ПЛАТЕЖНЫЕ СИСТЕМЫ И МЕЖДУНАРОДНЫЕ КАРТОЧНЫЕ ПЛАТЕЖНЫЕ СИСТЕМЫ
- Экономическая безопасность в системе национальной безопасности страны
- ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ БЕЛАРУСЬ
- ГЛАВА 22 Информационные технологии обеспечения безопасности
- Экономическая безопасность в системе национальной безопасности страны
- 8.3. МОДЕЛЬНЫЕ РЕШЕНИЯ и СТАНДАРТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- Структурно-инновационная политика государства и ее влияние на обеспечение национальной безопасности
- Основные цели, задачи и направления демографической политики в интересах обеспечения национальной безопасности