Информационная безопасность кредитных организаций
Александр
Велигура
Формирование требований по информационной безопасности в качестве
важнейшей составной части процесса ее обеспечения должно основываться на
предварительно заданных целях безопасности. Эти цели должны
конкретизировать общую задачу обеспечения информационной безопасности —
создание условий для осуществления основной деятельности кредитной
организации при реализации определенных угроз.
Обеспечение информационной безопасности в банках и других кредитных
организациях играло и играет особую роль, поскольку в современных условиях
именно информационно-технологическая среда определяет возможности этих
организаций по выполнению своих задач. В общем комплексе решаемых при этом
вопросов большое значение всегда придавалось требованиям по информационной
безопасности, и по мере усложнения информационно-телекоммуникационных
систем предпринимались и предпринимаются постоянные усилия по регламентации
процесса выдвижения указанных требований. Это связано с тем, что
формирование требований занимает ключевое место в процессе обеспечения
информационной безопасности, поскольку их неудачный выбор уже не может быть
компенсирован.
Одним из распространенных подходов к решению данной задачи (а до
недавнего времени, пожалуй, единственным) является фиксация наборов
требований по информационной безопасности для определенных классов
продуктов или систем ИТ в руководящих документах, изданных уполномоченными
государственными органами. При этом ответственность за подбор требований
ложится на разработчика документа, пользователь в ряде случаев может лишь
выбрать уровень (класс) защищенности, определяющий фиксированный набор
требований. К достоинствам этого способа можно отнести то, что принятие
решения о выборе требований существенно упрощается, а также то, что пакеты
требований составлены и апробированы компетентными специалистами и
утверждены уполномоченными органами. Кроме того, следование требованиям
руководящих документов облегчает прохождение проверок и аттестаций. К несовершенствам
такого подхода можно отнести недостаточную индивидуализацию требований, что
может повлечь несоответствие принимаемых мер реальным угрозам и
нерациональность затрат на обеспечение информационной безопасности. Кроме
того, в этих документах обычно не приводились цели безопасности, для
достижения которых подбирались требования. Акцент на технические
требования, который имеется в большинстве руководящих документов, зачастую
оставляет «за кадром» вопросы правильной организации процесса обеспечения информационной
безопасности.
Для преодоления отмеченных недостатков в настоящее время может быть
использована методология «Общих критериев», к достоинствам которой можно
отнести гораздо б€ольшую гибкость и возможность индивидуализации наряду с
довольно строгой формализацией процесса формирования набора требований
безопасности — профиля защиты или задания по безопасности. Сочетание этих
свойств, по-видимому, должно обеспечивать необходимое качество.
Во всех случаях выдвижению требований явно или неявно предшествует
задание целей, которые должны быть достигнуты в результате решения задачи
обеспечения информационной безопасности. Подход, при котором цели
формулируются явно, представляется более предпочтительным, поскольку при
этом процесс задания требований становится более четким и проверяемым.
Вместе с тем, однако, возникает новая задача — задача указания целей, и
если при заданных целях выбор требований становится несколько более
рутинным, то это есть следствие того, что акцент ответственности и
компетентности переносится на задание целей. Решение всей задачи
обеспечения информационной безопасности при этом потребует от участников
процесса большей квалификации, чем при реализации требований, заданных в
готовом виде. Каковы же способы решения данной задачи?
Обеспечение информационной безопасности, как известно, не самоцель, а
средство обеспечения основной деятельности кредитной организации в условиях
реализации определенных угроз. Это уже можно считать формулировкой цели в
самом общем виде, однако для практического использования требуется ее
конкретизация. В ряде случаев, по-видимому, можно рассматривать в качестве
целей обеспечение функционирования продуктов и систем информационных
технологий в условиях реализации заданных угроз, однако данным подходом
охватываются не все аспекты проблемы.
Действительно, рассмотрим для примера такой, пожалуй, самый
распространенный сетевой сервис, как электронная почта. Ее функция —
позволять пользователям обмениваться сообщениями в электронном виде. Если в
качестве угрозы рассматривать ознакомление с содержанием сообщений путем их
пассивного перехвата, то ее реализация никак не влияет на функцию почты —
обмен сообщениями. Таким образом, цель противодействия данной угрозе не
может быть сформулирована в терминах обеспечения функциональности
упомянутого сервиса как такового. Требование обеспечения конфиденциальности
почтовой переписки, часто выдвигаемое на практике, по-видимому, должно
отвечать достижению цели, формулируемой на другом уровне. Можно привести и
другие примеры, в частности, связанные с разграничением доступа к ресурсам
или с обеспечением подотчетности действий пользователей.
Для правильного выбора уровня, на котором будут формулироваться цели,
целесообразно представить работу банка в виде некоторой иерархии процессов.
Например, это может быть такая иерархия: бизнес-процессы — бизнес-функции —
функции средств информационных технологий — процессы (функции) более
низкого уровня. В связи с этим предлагается формулировать цели обеспечения
информационной безопасности в терминах обеспечения надлежащего протекания
бизнес-процессов в условиях осуществления определенных угроз, т. е. в
условиях влияния агента угрозы (например, нарушителя) на средства и системы
информационно-телекоммуникационных технологий.
Для этого сначала необходимо провести анализ и описание основных
бизнес-процессов банка с оценкой их зависимости от
информационно-технологической среды и влияния на них состояния
информационной безопасности, а также выполнить классификацию информационных
активов кредитных организаций, используемых в рамках выделенных
бизнес-процессов.
Результаты проведенной работы будут отражать специфику как самого
банковского бизнеса, так и характера его зависимости от
информационно-телекоммуникационной среды.
Нужно также располагать структурированным перечнем угроз, моделью угроз,
включающей в себя как модель агента угрозы (нарушителя), так и метод
реализации угрозы, используемые уязвимости системы, активы, подвергаемые
действию угрозы, вид воздействия и нарушаемое свойство безопасности.
Например, агентом угрозы может быть внешний злоумышленник, пользователь,
уполномоченный администратор, а методом реализации — перехват информации,
проникновение в сеть и т. д., используемой уязвимостью — отсутствие некоторого
средства защиты или непринятие организационных мер, подверженными угрозе
активами — данные, видом воздействия — разрушение, раскрытие, модификация и
т. д., нарушаемым свойством — конфиденциальность, целостность,
непрерывность работы и т. д.
Требуемый перечень угроз может быть составлен с использованием имеющихся
каталогов угроз, например, содержащихся в некоторых стандартах
информационной безопасности. Необходимо также оценить последствия
реализации угроз, а именно — влияние их выполнения на реализацию
бизнес-функций.
После подготовки описания бизнес-процессов с указанием их зависимости от
безопасности информационно-технологической среды и должного перечня угроз
необходимо будет принять решение о том, реализацию каких угроз по отношению
к каким объектам среды должна будет парировать рассматриваемая система
обеспечения информационной безопасности. В результате мы получим
совокупность частных целей безопасности, каждая из которых определяется
парой «угроза—объект» и состоит в защите данного объекта от воздействия
данной угрозы. Частные цели могут пересекаться или включать друг друга.
Далее эти цели можно объединить, обобщить и т. п. и получить окончательный
набор целей информационной безопасности.
Нелишне заметить, что помимо целей, полученных подобным образом (на
основе рассмотрения бизнес-процессов и угроз), могут быть заданы и другие
цели, вытекающие, например, из требований законодательства. Для единства
подхода можно считать, что и такие цели охватываются вышеуказанной схемой,
где в качестве угрозы можно рассматривать возможность судебного или
административного преследования, а в качестве бизнес-процесса, на который
эта угроза воздействует, — всю деятельность кредитной организации.
После того как сформулированы цели, можно приступить к заданию требований
по информационной безопасности, добиваясь того, чтобы каждая цель
достигалась путем выполнения одного или нескольких требований. Требования
могут носить организационный или технический характер, объединяться в
группы, одна цель может достигаться выполнением нескольких требований и
наоборот, выполнение одного требования может способствовать достижению
нескольких целей и т. д.
Выбор требований можно производить опираясь на стандарты ISO 17799, ГОСТ
Р ИСО/МЭК 15408 («Общие критерии»), вводимый стандарт Банка России
«Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Общие положения», руководящие документы
Гостехкомиссии (Федеральной службы по техническому и экспортному контролю),
а также на другие документы, в том числе на ряд международных стандартов.
Таким образом, выдвижению требований обязательно предшествует задание
целей, которые должны быть достигнуты в результате решения задачи
обеспечения информационной безопасности. Совокупность целей представляет собой
конкретизацию общей задачи поддержания работы кредитной организации в
условиях осуществления определенных угроз, которая формулируется на основе
анализа бизнес-процессов, влияния на них информационно-технологической
среды и определенного перечня угроз.
Об авторе:
Велигура Александр Николаевич — председатель комитета по
информационной безопасности Ассоциации российских банков, заместитель
генерального директора ЗАО «АНДЭК», канд. физ.-мат. наук.
|
