Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Стандарты информационной безопасности Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
Навигация
 

Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая

Операции с документом
Статья посвящена анализу хитросплетений российского банковского стандарта информационной безопасности и его сопоставлению с международными аналогами.

Александр Астахов, CISA

11.03.2008

Эпиграф

Каждый человек может и должен пользоваться всем тем, что выработал совокупный разум человечества, но вместе с тем должен своим разумом проверять данные, выработанные всем человечеством.

Л.Н. Толстой, «Путь жизни»

Пролог. Часть 1. Рождение и триумфальное шествие российского банковского стандарта информационной безопасности

Собрались как-то  лучшие специалисты-безопасники под эгидой Ассоциации Российских Банков и порешили, что не могут существовать банки в современных условиях без стандартов информационной безопасности. Однако стандартов в этой сфере к тому времени в мире было разработано несметное количество. Осведомленные люди поговаривали о существовании сотен различных стандартов, которые не только применить, но и прочитать было не под силу, даже нашим мудрецам. Как не утонуть в этом бескрайнем океане информации, какие стандарты внедрять, каким требованиям следовать. И почли своим долгом устранить существующую неразбериху и задать нужное направление для банковской системы РФ, разработав собственный стандарт, учитывающий и наш менталитет и особенности отечественных банков. Заодно и существующий мировой опыт обобщить и адаптировать к нашим условиям было бы не худо.

Сказано -  сделано. В ход пошли и наши ГОСТы, и дюжина стандартов ISO/IEC, не забыли также и BSI и даже мудреные иностранные методики оценки рисков CRAMM и OCTAVE. И вот на свет появился наш первенец, по-российски широкий своим охватом, слегка мудреный, немного бесшабашный, немного противоречивый. Получил он название «Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и был введен в действие с первого января, когда наша страна отмечала приход нового 2006 года, в котором уже намеревалась вступить в ВТО.

Встретило российское банковское сообщество новый стандарт безопасности с воодушевлением, несмотря на критические высказывания отдельных специалистов, которые, однако, не смели возвысить свой голос супротив большинства, ибо собирались продолжать работу в банковской сфере и дальше. Вот уже десятки российских банков, рапортуют об успешном внедрении, сотни становятся на этот тернистый путь, остальные одобряют и готовятся примкнуть к первому эшелону.

Пролог. Часть 2. Неожиданная дилемма и ее счастливое разрешение

Однако вопрос о том, как же быть с международными стандартами, все не давал спокойно спать банковским специалистам-безопасникам. Тем более что пока пестовали банковский стандарт, международные стандарты стали один за другим превращаться в ГОСТы с легкой руки ФАТРМ и ФСТЭК. Как нам быть? – возопили они к своим авторитетам. Должны ли мы соответствовать еще и, например, ISO 27001 или хватит нам своего собственного стандарта? И сказали им авторитеты: «Уж коли вам неймется, можете внедрять ISO 27001 в дополнение к нашему стандарту, но никак не наоборот». И закручинились простые банковские специалисты-безопасники. Ведь немыслимое же это дело – сразу два таких серьезных стандарта внедрять. Да иностранные партнеры еще и не хотят признавать наш банковский стандарт. Как только речь об этом заходит, сразу спрашивают сертификаты международного образца.

И решили тут российские консультанты, хоть они у нас и не в чести, помочь своим собратьям банкирам и нарисовать для них таблицу объемную, сопоставляющую наш банковский стандарт с ISO 27001, так чтобы от одного к другому можно было без труда переходить и обратно возвращаться. Назвали они эту таблицу мудреным иностранным словом mapping, т.к. подходящего слова для обозначения столь непривычного дела в русском языке не нашлось. И стали консультанты внимательно вчитываться в текст нашего банковского стандарта и стали рассуждать об увиденном, да сравнивать со стандартами международными. И вот что они рассказали......

Концептуальная парадигма, к которой не стоит относиться слишком критически

Пропустим малоинтересные, но обязательные вступительные разделы, и начнем с раздела 5, который называется «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ», где речь идет «о противоборстве собственника и злоумышленика за контроль над информационными активами». Звучит интригующе. Только никакого противоборства между собственниками банка и злоумышленниками быть не может, т.к. собственники банка (коими являются владельцы акций или долей в уставном капитале банка, либо государство, если банк государственный) могут вообще не иметь прямого отношения к управлению банком, его деятельности и, тем более, обеспечению его безопасности. На самом деле в противоборстве реально принимает участие не собственник, а весь персонал банка. Однако поскольку часть персонала может находиться и по другую сторону баррикад (вспомним об инсайдерской угрозе), то правильно было бы вести речь о высшем руководстве банка во главе с председателем правления, на которого и возлагается вся тяжесть ответственности, в случае, если баррикады оказались прорванными, а собственникам, клиентам, партнерам банка или государству был нанесен реальный ущерб. Поэтому в стандартах международных (ISO 27001, ISO 27002 и т.д.)  собственники фигурируют лишь в качестве стороны, которая может пострадать в результате инцидентов безопасности. Субъектом, к которому предъявляются требования по защите информации, в них выступает организация в целом, либо ее высшее руководство (top management).

Приведенное же в банковском стандарте определение собственника только еще более запутывает читателя: «Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику». Данное определение охватывает самый широкий круг юридических и физических лиц, которые обладают не только правом владения, но и распоряжения, а также пользования активами банка, включая партнеров и клиентов, пользующиеся активами банка, а также всех его акционеров. Вот какая масштабная парадигма получается! К счастью данная парадигма в остальной части стандарта развития не нашла. Видимо при разработке последующих разделов использовались другие источники. Поэтому далее по тексту стандарта в качестве субъекта фигурирует организация или ее руководство, которое местами для разнообразия называется менеджментом, либо требования формулируются в обезличенной форме.

Лежащее в основе парадигмы банковского стандарта «противоборство за контроль над информационными активами» привлекает внимание еще и тем, что это далеко не единственная и даже не основная цель обеспечения ИБ. Уничтожение активов, нарушение их доступности или раскрытие их содержимого без получения контроля над ними – не менее серьезные угрозы. Вообще говоря, получение контроля над информационными активами – это лишь один из этапов реализации некоторых видов угроз, который по какой-то причине положен в основу парадигмы обеспечения ИБ авторами данного стандарта.

Определение злоумышленника в банковском стандарте позаимствовано из ст. 27 УК РФ: «Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий ... Далее по тексту данные лица именуются злоумышленниками (нарушителями)». Это определение нельзя назвать удачным, поскольку нарушения ИБ не всегда являются уголовно наказуемыми деяниями. Нарушители ИБ не всегда являются злоумышленниками и не всегда могут предвидеть последствия своих действий или бездействия. Поэтому в данном случае стоило опираться не на Уголовный Кодекс, а, не усложняя вопроса, понимать под нарушителем ИБ лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным активам организации.

Немного перемудрили с определениями – не беда. В конечном счете, как уже было замечено, данная парадигма не имеет непосредственной связи с требованиями, изложенными далее по тексту стандарта, т.к. опирается на иные источники разработки. А обсуждаем мы ее здесь исключительно для того, чтобы было понятно одно из коренных отличий данного стандарта от его международных собратьев. В международных стандартах нет такой путаницы с определениями, излагаемые в них парадигмы, если и не безупречны, то, по крайней мере, они полностью соответствуют современным представлениям об ИБ. Это объясняется тем, что международные стандарты имеют многолетнюю историю развития и применения, к их разработке приложили руку большое количество специалистов и организаций, и они прошли через строгие согласовательные процедуры. Если даже в них и существуют ошибки (как, например, выявленные при переводе на русский язык третьей части BS 7799), то они носят скорее характер опечаток и ни в коем случае не вводят читателя в заблуждение.

«Необязательные» процессы менеджмента ИБ или сказ о том, как достигнутое руководством осознание принципов ИБ не находит практического воплощения из-за недостатка времени

Процессный подход к управлению ИБ был позаимствован разработчиками банковского стандарта из ISO 27001, а исходная модель Деминга получила в нем свое дальнейшее развитие. Продолжая перелистывать страницы, мы узнаем из п. 5.16. что «Обеспечение ИБ организации включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ». Если с процессами менеджмента ИБ все, более менее, ясно, то процессы осозная ИБ – это уже относительно новое направление современной мысли. «Процессы осознания», стоящие по замыслу разработчиков стандарта чуть выше над процессами менеджмента, оказывается «имеют отношение к руководству организации и определяют его ответственность в части реализации принципов обеспечения информационной безопасности организаций БС РФ, определенных положениями настоящего стандарта, а также требованиями раздела 5 “Ответственность высшего руководства организации” международного стандарта ISO/IEC IS 27001». Другими словами «процессы осознания», включат в себя осознание руководством организации принципов обеспечения ИБ, сформулированных в данном стандарте (представляется нахмуренное лицо председателя правления банка, пытающегося осознать «принципы»), а также демонстрацию приверженности руководства, управление ресурсами, осведомленностью и компетентностью согласно требованиям раздела 5 ISO 27001.

Далее мы узнаем, что процессы менеджмента носят необязательный характер, в том смысле, что они могут распространяться не на всю организацию. Вот что говориться об этом в банковском стандарте: «Процессы осознания ИБ должны охватывать всю организацию, а процессами менеджмента ИБ может быть охвачена ее часть или части. Обоснованием тому может быть ограниченность в ресурсах или времени». Другими словами, руководство банка должно охватить своим осознанием и продемонстрировать свою приверженность ИБ в отношении всех подразделений, систем и бизнес процессов, а внедрять процессы менеджмента ИБ только в тех подразделениях, на которые у него хватит времени и ресурсов. Это как-раз тот случай, когда в политике ИБ, утвержденной руководством, декларируется, например, намерение проводить ежегодный аудит банковской системы, однако соответствующих процесс отсутствует из-за недостатка времени у персонала службы внутреннего аудита. На этот раз разработчики банковского стандарта оказались слишком близки к реальности. В самую точку попали. Ведь во многих организациях дела с безопасностью именно так и обстоят. Осознание принципов обычно охватывает всю организацию, чего нельзя сказать о процессах управления. Тем не менее, вряд ли стоило узаконивать данную ситуацию в стандарте.

Модель угроз, к сожалению, без угроз

Пропустим следующий раздел «6. Основные принципы обеспечения информационной безопасности организаций БС РФ» как не имеющий прикладного значения. Чтение принципов конечно должно вдохновить как руководство организации, так и рядовых сотрудников, однако нам практикам нужны требования или, по крайней мере, рекомендации. Поэтому перемещаемся на один пункт вперед к разделу 7 «Модели угроз и нарушителей информационной безопасности организаций БС РФ». В этом разделе, к сожалению, не приводится даже краткого перечня угроз, зато дается описание уровней информационной инфраструктуры организации, а также перечисляются источники угроз для каждого из этих уровней и, между прочим, упоминаются некоторые виды внутренних и внешних нарушителей. Банковские специалисты по ИБ тщетно будут искать в адресованном им стандарте типовую модель угроз и нарушителей, которые согласно определению стандарта являются «основным инструментом менеджмента ИБ организации». А ведь так хотелось эти модели здесь увидеть! Хотя бы краткий обобщенный список угроз, пусть даже в виде отдельного приложения. Но не будем столь придирчивы. В конце концов, в разработке находится банковская методология оценки рисков ИБ, и это еще можно будет сделать там.

Неопределенность, порождающая ущерб

Раз уж речь зашла об оценке рисков ИБ, то следует отметить весьма нестандартный подход к определению понятия риска, выраженный в банковском стандарте: «риск: неопределенность, предполагающая возможность потерь (ущерба)». Красивое определение, философское и охватывающее любые виды рисков! Что же касается риска информационной безопасности, то, согласно определению данного стандарта, это «неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) организации». Другими словами, речь идет об ущербе, который может понести не сама организация, а ее состояние защищенности, и причиной всему является неопределенность! Угрозы ИБ рассматриваются в данном стандарте как некие внешние факторы, которые «непосредственно влияют на операционные риски деятельности организации», по-видимому, делая существующую неопределенность еще более неопределенной. Каким образом операционные риски связаны с рисками ИБ, открытым текстом не говориться, однако отмечается, что они «сказываются на бизнес-процессах организации». Как существующая неопределенность (операционный риск) может сказываться на бинес-процессах далее не раскрывается, но, видимо, этот вопрос уже переходит в область философии и поэтому не рассматривается в данном стандарте, как имеющем чисто прикладное значение.

Если взять семейство международных стандартов ISO 27000, то там понятие риска формулируется несколько по-иному, как «комбинация вероятности события и его последствий» (это определение перекочевало в BS 7799-3 (ISO 27005) из ISO Guide 73:2002). Далее последовательно излагается подход к управлению рисками ИБ, определяется порядок действий по анализу, оцениванию и обработке рисков, а также объясняется каким образом вероятность угрозы, величина уязвимости, ценность актива и размер ущерба связаны между собой и позволяют получать оценку величины риска ИБ. Это те вещи, которые, к сожалению, не смог позаимствовать у своих собратьев наш банковский стандарт. Однако снова вспомним о готовящейся банковской методологии оценки рисков ИБ. Уж она то должна расставить все по своим местам. Только удастся ли авторам стандарта в конечном итоге разобраться с неопределенностью и с тем, как на нее влияют угрозы? Пока же продолжаем пользоваться первоисточниками.

Эпилог

Пролистав примерно половину стандарта, сделаем остановку, оставив впереди самые интересные разделы. Не будем делать скоропалительных выводов, ведь работа над совершенствованием банковского стандарта не прекращается.

Вообще, эти консультанты много чего еще наговорили. Но кто у нас в России слушает консультантов? Уж только если у читателя будет к тому особый интерес, тогда может быть и напишем продолжение ... или опровержение?

Comments (12)

Crazyman 14-03-2008 12:28

Инстинкт самосохранения

Полностью согласен с выложенными доводами Александра. Если в других странах внедрение любых международных стандартов встречает в основном естественное сопротивление коллектива, то в России это "политическое" сопротивление кот. выражается в боязни некоторых руководителей или специалистов потерять свою значимость.
IMHO: российский стандарт плод инстинкта самосохранения
Fire 15-03-2008 12:29

Поспешишь... насмешишь

Основа некоторых международных стандартов складывалась и лучших практик управления бизнесом в течении столетий! Вдумайтесь! Наши решили, что умнее всех на свете! Как бы они не старались, скрыть первоисточник от BS7799 не смогли!
mars 31-03-2008 05:02

Вы немного подменяете понятия

Вы в своих рассуждениях подменяете понятия "информационный актив" и "банковский актив", а также "владелец (собственник) информации (информационного актива" и "собственник банка".

Стандарт рассматривает именно информационые активы и их владельцев.

Ну и избраный Вами ироничный стиль критики выглядит не очень.

Хотя сам стандарт коряв, я с Вами согласен.
Александр Астахов 31-03-2008 05:40

Я просто читаю то что написано в стандарте

Как я могу что-то подменять? Информационный актив разве не относится к числу банковских активов? Собственники банка разве не являются собственниками банковских активов? С точки зрения разработчиков банковского стандарта понятия собственник актива и владелец актива - тождественны?

Если вести речь о владельцах активов, то это никакие не собственники, а просто лица, на которых руководством возложена "ответственность за контроль производства, разработки, поддержки, использования и обеспечение безопасности активов" (цитирую ISO 27002). Другими словами владельцы активов - это те, кто отвечает за их безопасность.

Получается что имели ввиду одно, а написали другое? Так часто студенты на экзаменах отвечают. Напишет одно, а начнешь вместе с ним разбираться в сущности проблемы и окажется, что он совсем не это имел ввиду.
Сергей Константинов 14-04-2008 11:13

Спасибо за статью

Ждем продолжения!
Sergey Romanovsky 12-05-2008 02:58

Вынос мозга

Александр, искренне рад, что нашлись автор и электронное издание, которое подняло эту наболевшую тему. Воинствующий плагиат, подмена терминов, как следствие, неправильное понимание международных стандартов, отвратительные переводы, словоблудие - это "вынос мозга", особенно молодых специалистов, которые только начинают карьеру в данном направлении.
Александр, прошу Вас продолжать цикл подобных публикаций и, личная просьба, дать более точную оценку термину "модель нарушителя". Правильно ли я понимаю, что именно этот термин в Стандарте вытеснил термин "Анализ рисков"? Для тех, кто принимает участие в этом обсуждении и радеет за словоблудие класса " банковский актив - небанковский актив - IT актив - активактив - ..." помогите с ответом: Сколько моделей нарушителей должен иметь банк?
Спасибо.
Людмила Мусорина 19-05-2008 06:57

qwerty

Часть первая... она же последняя )))
Сам ничего для ИБ не сделал, а над чужой работой стебаешся.
молодой Спец 27-02-2009 10:32

Сам ничего для ИБ не сделал, а над чужой работой стебаешся.

В данном случае лучше бы они ничего не делали, а взяли международные стандарты
Tiger 28-01-2011 04:51

СТО БР

> В международных стандартах нет такой путаницы с определениями, излагаемые в них парадигмы, если и не безупречны, то, по крайней мере, они полностью соответствуют современным представлениям об ИБ. Это объясняется тем, что международные стандарты имеют многолетнюю историю развития и применения, к их разработке приложили руку большое количество специалистов и организаций, и они прошли через строгие согласовательные процедуры.

+100
Вот этого никогда не мог понять. Почему у нас в РФ все время ищут свой путь?
Например, у нас на все свои определения.
Взять ФЗ152. Почему было не взять сложившиеся годами определения из европейской Конвенции или Директивы? Тем более, основные понятия (ПДн, оператор) рассмотрены и разъяснены рабочей группой 29 статьи (авторитетная организация).. и даже переведены ??

Не очень понравился тон изложения.. все-таки это собрались
>лучшие специалисты-безопасники под эгидой Ассоциации Российских Банков )

и в принципе продолжение было бы неплохо ). А то вдруг ничего страшного и нет в этих несоответствиях? ;-)




Почему надо дать свои и после разгребать косяки?
Александр Астахов 28-01-2011 10:34

продолжение про СТО БР

Продолжение я писать не собираюсь по следующим причинам:
1) Я итак уже слишком много написал про СТО БР, даже больше, что это того заслуживало. Я не стремлюсь стать самым пишущим про СТО БР автором.
2) Не вижу целевой аудитории для подобных статей. Тем, кто хорошо знает стандарты и имеет опыт их внедрения, мои доводы не требуются. Они и сами в состоянии с любым стандартом разобраться. А тем, кто пока не имеет достаточного опыта и знаний, и СТО БР вполне подойдет на первое время. Это все же намного лучше, чем ничего. Моей первой машиной была "шестерка". Она была всего на несколько лет младше меня, а мне было 27. Но радовался я ей тогда даже больше, чем сейчас ЛэндРоверу.
Olca 18-02-2011 07:03

СТО БР

Стандарт не идеален, согласна! но хотела бы сделать маленькую поправочку.
По-моему мнению бывшего безопасника банка, "Процессы осознания" тут имеет несколько другой смысл.
Совсем не имеется ввиду то, что председатель банка будет сидеть с хмурым видом и думать над всеми принципами обеспечения ИБ.
Многие управляющие банков на самом деле не осознают всех последствий реализаций инцидентов ИБ,
не придают им должного значения. Им необходимо всего лишь осознать ВАЖНОСТЬ таких мероприятий, что и прописали в стандарте, возможно, коряво)

А дальше: "...а процессами менеджмента
ИБ может быть охвачена ее часть или части. Обоснованием тому может быть ограниченность в ресурсах или времени. Необходимо стремиться к тому, чтобы процессы менеджмента ИБ организации распространялись на всю ее деятельность." вот это, конечно, тупость!
Складывается такое впечатление, что "великим безопасникам" не удалось выразить мысль.

Александр Астахов 19-02-2011 04:32

осознание важности ИБ

>Многие управляющие банков на самом деле не осознают всех последствий реализаций инцидентов ИБ,
не придают им должного значения

какие недальновидные управляющие :)
впрочем, многие специалисты по ИБ, еще меньше осознают последствия инцидентов ИБ для банков, т.к., в отличии от управляющих, не разбираются в банковском деле и склонны придавать этим вопросам избыточное значение

говоря о "хмуром председателе правления" я лишь пытался представить себе "процессы осознания", о которых упомянается в стандарте. а хмурый он оттого, что вдруг осознал всю важность ИБ и соответствующие риски для банка :)
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex