Роль стандартов Банка России в обеспечении информационной безопасности кредитно-финансовых организаций

07 июля 2008

Один из основных аспектов деятельности предприятий кредитно-финансовой сферы заключается в повышении уровня доверия своих клиентов. В свете этого внедрение эффективных процедур по обеспечению информационной безопасности является необходимым требованием успешной работы банка, а также обеспечении его конкурентного преимущества на рынке банковских услуг.

Одним из способов повышения уровня защищенности своих информационных ресурсов банка может служить внедрение системы менеджмента информационной безопасности, которая подробно описана в стандарте Банка России СТО БР ИББС, вторая редакция которого была принята в 2006 году. Однако прежде чем начать обсуждение Стандарта Банка России рассмотрим вкратце что означает сам термин «стандарт». Не будет ошибкой, если за основу возьмём определение, данное советским энциклопедическим словарём, изданным ещё в 1981 г. «Стандарт (от английского standard – норма, образец), в широком смысле слова – образец, эталон, модель, принимаемые за исходные для сопоставления с ними других подобных объектов. Стандарт как нормативно-технический документ устанавливает комплекс норм, правил, требований к объекту стандартизации и утверждается компетентным органом. Применение стандарта способствует улучшению качества продукции, повышению уровня унификации и взаимозаменяемости, развитию автоматизации производственных процессов, росту эффективности эксплуатации и ремонта изделий».

Посмотрим насколько необходим такого рода стандарт банковской системе в наше время, время революционных преобразований во всех сферах промышленного производства. Считается, что в XXI в. большинство национальных финансовых и банковских институтов прошли стадию истеблишмента и вопросы качества банковских услуг, защиты информации и правил обращения с ней, безопасности обработки, тиражирования и распространения приобрели высокую актуальность. Мотивируется это тем, что банк является открытой структурой, работающей с большим числом клиентов, причём с одной стороны банк должен быть доступен всем клиентам, а с другой — хорошо защищён в целях минимизации риска нанесения злоумышленниками ущерба клиентам.

Работая с деньгами экономических и финансовых субъектов банк не должен допускать возникновения у него серьезных трудностей, которые стали следствием умышленного или же неумышленного воздействия существующих угроз, поскольку это чревато потерей репутации на финансовом рынке и может повлечь за собой катастрофические последствия. Потеря репутации может побудить клиентов изъять свои вклады без последующего их возобновления, что может инициировать снижение ликвидности или же полную её потерю.

Характерной чертой современного банковского бизнеса является то, что он в большинстве своём имеет дело с такой информацией, как наличие средств на счетах клиентов, платежи по счетам клиентов, кредитование и т.д. Этот факт в определенной степени смещает центр проблем безопасности финансовых организаций в виртуальную плоскость, в сферу информационной безопасности (ИБ).

Согласно имеющимся данным в международной практике создать основу для обеспечения необходимого уровня ИБ кредитно-финансовых организаций может только тесное сотрудничество национальных органов по стандартизации в области ИБ с национальными банками и национальными банковскими системами. Хорошим примером в этом аспекте может быть Банк Франции, который осуществляет тесное взаимодействие с Французским комитетом стандартизации банковских организаций и Генеральным секретариатом по национальной безопасности. Назвать здесь можно и немецкий Бундес-банк, который интенсивно работает с Федеральным ведомством по информационной безопасности. Международная практика также показывает, что создать качественный документ, отражающий достаточный уровень стандартизации кредитно-финансовой сферы, весьма трудно без привлечения крупных коммерческих банков и даже банковских ассоциаций. С учётом зарубежного опыта в России для целей разработки стандартов обеспечения ИБ для организаций национальной банковской системы был сформирован специальный подкомитет по стандартизации в сфере защиты информации в процессах кредитно-финансовой деятельности.

Именно по такому пути пошел Банк России, по инициативе которого была разработана серия стандартов и рекомендаций в сфере информационной безопасности. Разработка и обсуждение самих стандартов велась в рамках Подкомитета № 3 «Защита информации в кредитно-финансовой сфере» Технического комитета № 362 «Защиты информации» Федерального агентства по техническому регулированию и метрологии (http://www.techcom3623.ru). Проведенные организационные мероприятия позволили разработать следующие три основополагающих документа:

  • 1. Стандарт банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы российской федерации. Общие положения». Дата введения: 2006-01-01.
  • 2. Стандарт банка России СТО БР ИББС -1.1-2007 «Обеспечение информационной безопасности организаций банковской системы российской федерации. Аудит информационной безопасности». Дата введения: 2007-05-01.
  • 3. Стандарт банка России СТО БР ИББС -1.2-2007 «Обеспечение информационной безопасности организаций банковской системы российской федерации. Методика оценки соответствия информационной безопасности организаций банковской системы российской федерации требованиям СТО БР ИББС -1.0-2006. Дата введения: 2007-05-01.

Рассмотрим эти документы в порядке, изложенном выше.

Поначалу отметим, что Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» был принят и введён в действие Распоряжением Банка России от 26 января 2006 года № Р-27 взамен ранее принятого стандарта СТО БР ИББС-1.0-2004.

Стандарт включает описание области его применения, приводит исходную концептуальную схему или парадигму обеспечения информационной безопасности (ИБ) организаций банковское системы (БС) России, основные принципы обеспечения ИБ организаций БС, представляет модели угроз и нарушителей ИБ, описывает политику ИБ организаций БС Российской Федерации. Кроме этого стандарт также уделяет внимание системе менеджмента (СМ) ИБ организаций БС РФ, что является весьма важным компонентом документа. Объясняется это тем, что такие вопросы, как процессы планирования менеджмента ИБ, реализации и эксплуатации СМИБ, проверки (мониторинга и анализа) СМИБ, совершенствования СМИБ, обеспечения система документации, и непрерывности бизнеса (деятельности) и восстановление после прерываний, формирования службы информационной безопасности в организациях БС РФ на практике весьма далеки от идеала.

В заключении стандарт приводит методику проверки и оценки информационной безопасности организации БС РФ, а также даёт характеристику модели зрелости процессов менеджмента ИБ банковских структур. Завершают стандарт перспективы дальнейшего его развития в соответствии с тенденциями, имеющими место в системах обеспечения ИБ финансовых структур России.

Весьма положительным можно считать факт принятия Стандарта Банка России СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности», поскольку выше описанный стандарт говорит, что необходимо сделать для обеспечения ИБ банковских структур. СТО БР ИББС-1.1-2007 развивает парадигму в плане реализации первого этапа в создании системы ИБ в финансовых структурах – проведения аудита ИБ.

Отметим, что принят и впервые введён в действие этот стандарт Распоряжением Банка России от 28 апреля 2007 года №Р-345.

Во введении к стандарту СТО БР ИББС-1.1-2007 констатируется, что одним из условий реализации целей деятельности организаций БС России (БС РФ) является обеспечение необходимого и достаточного уровня их ИБ.

Одним же из основных видов проверки уровня ИБ в организациях БС РФ является аудит ИБ. Мировой опыт в области обеспечения ИБ определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации. Исходя из этого Банк России рассматривается в качестве сторонника регулярного проведения аудита ИБ в организациях БС РФ.

Основными целями аудита ИБ организаций БС РФ согласно стандарту должны быть:

  • повышение доверия к организациям БС РФ;
  • оценку соответствия ИБ организаций БС РФ критериям аудита ИБ, установленным согласно требованиям стандарта Банка России СТО БР ИББС-1.0.

Рассматривая область применения, стандарт утверждает, что он распространяется на организации БС РФ, а также на организации, проводящие аудит ИБ организаций БС РФ, и устанавливает требования к проведению внешнего аудита ИБ организаций БС РФ.

Стандарт СТО БР ИББС-1.1-2007 рекомендован для применения путем включения ссылок на него и использования устанавливаемых в нем положений и требований при разработке программ аудита ИБ, а также при разработке других нормативных документов организаций БС РФ по обеспечению ИБ.

Положения СТО БР ИББС-1.1-2007 применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством, нормативным правовым актом Банка России или условиями договора.

Важнейшими позициями СТО БР ИББС-1.1-2007 можно считать выдачу исходной концептуальной схемы или парадигмы аудита ИБ и установление основных принципов проведения аудита ИБ организаций БС РФ. Высокую значимость имеет и раздел стандарта, касающийся менеджмента программы аудита ИБ.

Поэтапное описание процесса проведения аудита ИБ включает в себя требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации а так же требования к этапам проведения аудита ИБ организаций БС РФ.

С учётом практической значимости стандарта остановимся подробнее на отдельных аспектах процесса проведения аудита ИБ.

Исходная концептуальная схема или парадигма аудита ИБ БС РФ.

В основе исходной концептуальной схемы аудита ИБ организаций БС РФ стандарт СТО БР ИББС-1.1-2007 ставит с одной стороны, желание собственника доказать достижение организацией БС РФ высокого уровня ИБ и таким образом повысить доверие к ней, с другой стороны — стремление аудиторов с помощью проведения независимой и компетентной оценки определить истинный (в пределах возможностей аудита ИБ) уровень организации работ в области ИБ и степень соответствия ИБ организации БС РФ установленным требованиям или критериям аудита.

Согласно СТО БР ИББС-1.1-2007 уровень ИБ организации БС РФ будет соответствовать высокому уровню ИБ в том случае, если процессы системы обеспечения ИБ проводятся осознанно на основе прогноза, мониторинга и анализа внутренней и внешней среды, развития и изменения целей бизнеса (деятельности) организации БС РФ.

СТО БР ИББС-1.1-2007 считает, что возможное изменение внешней среды ведения бизнеса (деятельности) организации БС РФ, изменение и возрастание рисков ИБ вследствие естественных и/или преднамеренных изменений во внешней и внутренней среде организации БС РФ является причиной для регулярного проведения аудита ИБ в организации БС РФ, что позволяет своевременно принимать меры по поддержанию ИБ на необходимом уровне.

В соответствии со стандартом оценка соответствия ИБ организации БС РФ критериям аудита ИБ проводится на основе документов по обеспечению ИБ и фактов, свидетельствующих о выполнении, частичном выполнении или невыполнении установленных требований ИБ.

Немаловажно при проведении аудита соблюдать установленные стандартом СТО БР ИББС-1.1-2007 принципы, которые включают:

  1. Независимость аудита ИБ. Аудиторы должны быть независимы в своей деятельности и неответственны за деятельность, которая подвергается аудиту ИБ. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ.
  2. Стандарт СТО БР ИББС-1.1-2007 предусматривает полноту аудита ИБ. Другими словами аудит ИБ должен охватывать все области аудита ИБ, соответствующие аудиторскому заданию. Кроме того, полнота аудита ИБ определяется достаточностью затребованных и предоставленных материалов, документов и уровнем их соответствия поставленным задачам. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ.
  3. СТО БР ИББС-1.1-2007 рекомендует проводить оценку на основе свидетельств аудита ИБ. Мотивируется это тем, что при периодическом проведении аудита ИБ оценка на основе свидетельств аудита ИБ является единственным способом, позволяющим получить повторяемое заключение по результатам аудита ИБ, что повышает доверие к такому заключению. Для повторяемости заключения свидетельства аудита ИБ должны быть проверяемыми.
  4. Стандарт СТО БР ИББС-1.1-2007 считает обязательным наличие достоверности свидетельств аудита ИБ. У аудиторов должна быть уверенность в достоверности свидетельств аудита ИБ. Доверие к документальным свидетельствам аудита ИБ повышается при подтверждении их достоверности третьей стороной или руководством организации БС РФ. Доверие к фактам, полученным при опросе сотрудников проверяемой организации, повышается при подтверждении данных фактов из различных источников. Доверие к фактам, полученным при наблюдении за деятельностью проверяемой организации в области ИБ, повышается, если они получены непосредственно при функционировании проверяемых процедур или процессов.
  5. Компетентность. Стандарт трактует, что доверие к процессу и результатам аудита ИБ зависит от компетентности тех, кто проводит аудит ИБ, и от этичности их поведения. Компетентность базируется на способности аудитора применять знания и навыки.
  6. Этичность поведения по стандарту СТО БР ИББС-1.1-2007 подразумевает ответственность, неподкупность, умение хранить тайну, беспристрастность.
Менеджмент программы аудита ИБ

Процесс менеджмента согласно стандарту СТО БР ИББС-1.1-2007 должен гармонизировать с моделью менеджмента ИБ, определенной разделом 5 СТО БР ИББС - 1.0 и положениями международного стандарта [1] ([1] ISO/IEC 27001:2005(E) Information technology — Security techniques — Information security management systems — Requirements).

Стандарт требует, чтобы программа аудита ИБ включала и деятельность, необходимую для планирования и организации определенного количества аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов ИБ в заданные сроки.

Программа аудита ИБ должна разрабатываться организацией БС РФ. В общем случае могут быть разработаны несколько программ аудита ИБ.

Рекомендованная стандартом последовательность процессов менеджмента программы аудита ИБ представлена на рисунке 1.

Рис. 1. Последовательность процессов менеджмента программы аудита ИБ

Руководство организации БС РФ должно распределять полномочия и ответственность за управление программой аудита ИБ. Ответственные же за управление программой аудита ИБ лица должны иметь представление о принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, а также обладать знаниями по обеспечению ИБ.

Ответственные за управление программой аудита ИБ лица должны:

  • разрабатывать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;
  • определять потребность программы аудита ИБ в ресурсах;
  • способствовать принятию решений об обеспечении программы аудита ИБ необходимыми ресурсами.

Стандарт СТО БР ИББС-1.1-2007 считает, что разработка программы аудита ИБ должна включать в себя определение целей, объема программы, а также необходимых финансовых, информационных и людских ресурсов для ее реализации.

Целью программы аудита ИБ должна быть оценка соответствия ИБ организации БС РФ критериям аудита и содействие в повышении при необходимости уровня ИБ организации БС РФ.

Внедрение программы аудита ИБ, согласно стандарту, должно включать в себя:

  • доведение программы аудита ИБ до участвующих в ее реализации сторон;
  • планирование аудитов ИБ;
  • определение привлекаемых аудиторских организаций и предоставляемых ресурсов для проведения аудитов ИБ;
  • проведение аудитов ИБ в соответствии с программой аудита ИБ;
  • анализ и утверждение отчетов по результатам аудитов ИБ;
  • определение действий по результатам аудитов ИБ.

В организациях БС РФ должны проводиться контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. О результатах анализа должно информироваться руководство организации БС РФ.

Контроль и анализ программы аудита ИБ по СТО БР ИББС-1.1-2007 должны включать в себя:

  • проверку возможностей аудиторских групп, служб или лиц по реализации аудита ИБ. Подтверждением возможности по реализации аудита могут являться информация об образовании и опыте работы членов аудиторской группы, сертификаты, подтверждающие квалификацию членов аудиторской группы;
  • анализ достижения целей аудита ИБ и программы аудита ИБ в целом;
  • анализ отчетов и заключений по результатам аудита ИБ.

СТО БР ИББС-1.1-2007 утверждает, что совершенствование программы аудита ИБ состоит в определении корректирующих и превентивных действий по совершенствованию программы аудита ИБ, включающих в себя пересмотр и корректировку сроков проведения аудитов ИБ и необходимых ресурсов, улучшение методов подготовки свидетельств аудита ИБ.

Требования к этапам проведения аудита ИБ организаций БС РФ

Стандарт СТО БР ИББС-1.1-2007 утверждает, что работы по проведению аудита ИБ организаций БС РФ должны включать следующие этапы:

  • подготовка к проведению аудита ИБ;
  • анализ документов;
  • проведение аудита ИБ на месте;
  • подготовка, утверждение и рассылка отчета по аудиту ИБ;
  • завершение аудита ИБ.

Подготовка к проведению аудита ИБ должна начинаться с определения возможности проведения аудита ИБ, а также согласования и заключения договора на проведение аудита ИБ между организацией БС РФ и аудиторской организацией. Дальнейшая подготовка аудиторской организации к проведению аудита ИБ должна заключаться в формировании аудиторской группы, назначении ее руководителя и установлении руководителем аудиторской группы контакта с проверяемой организацией.

Содержание договора на проведение аудита ИБ может иметь особенности, но, как правило, в нем рекомендуется указывать:

  • область аудита ИБ;
  • ответственность руководства проверяемой организации за подготовку и предоставление необходимых свидетельств аудита ИБ;
  • требования к отчету аудита ИБ;
  • порядок взаимодействия представителей проверяющей и проверяемой организаций;
  • порядок сбора необходимых свидетельств аудита;
  • цена проведения аудита ИБ;
  • порядок привлечения к работе по каким - либо вопросам аудита ИБ других проверяющих организаций и(или) технических экспертов;
  • необходимые ограничения ответственности проверяющей организации.

Аудиторская организация, устанавливает СТО БР ИББС-1.1-2007, должна определить возможность проведения аудита ИБ на основании готовности к сотрудничеству со стороны проверяемой организации и наличия времени и соответствующих ресурсов.

Стандарт СТО БР ИББС-1.1-2007 для проведения аудита ИБ рекомендует в аудиторской организации формировать аудиторская группа. Руководством аудиторской организации должен быть назначен руководитель аудиторской группы, ответственный за проведение аудита ИБ организации.

Руководитель аудиторской группы должен в соответствии с договором на проведение аудита установить контакт с проверяемой организацией прежде всего для установления способов обмена информацией с представителями проверяемой организации с целью подтверждения полномочий на проведение аудита ИБ и запроса доступа к необходимым документам проверяемой организации.

План аудита ИБ на месте должен включать:

  • цель аудита ИБ;
  • критерии аудита ИБ;
  • область аудита ИБ;
  • дату и продолжительность проведения аудита ИБ на месте;
  • роли членов аудиторской группы и сопровождающих лиц со стороны проверяемой организации;
  • результаты анализа документов, предоставленных проверяемой организацией для проведения аудита ИБ, и оценку свидетельств аудита ИБ;
  • описание деятельности и мероприятий по проведению аудита ИБ на месте;
  • распределение ресурсов при проведении аудита.

Свидетельства аудита ИБ стандарт СТО БР ИББС-1.1-2007 рекомендует оценивать с точки зрения критериев аудита для формирования выводов аудита ИБ. Выводы аудита ИБ указывают на степень соответствия ИБ организации БС РФ критериям аудита ИБ.

Выводы аудита ИБ и подтверждающие их свидетельства аудита ИБ должны быть рассмотрены и проанализированы аудиторами совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита ИБ верны и понятны.

Нерешенные вопросы должны быть зарегистрированы в протоколах совещаний и отражены в отчете по аудиту ИБ.

Обязательным, согласно стандарта СТО БР ИББС-1.1-2007, является подготовка аудиторского заключения по результатам аудита ИБ аудиторской группой. Если ограничение области аудита ИБ настолько существенно и глубоко, что аудитор не в состоянии провести оценку соответствия ИБ проверяемой организации критериям аудита ИБ, то аудиторская группа должна отказаться от формирования заключения.

По результатам проведения аудита ИБ стандарт СТО БР ИББС-1.1-2007 рекомендует аудиторской группе подготовить отчет. Руководитель аудиторской группы несет ответственность за подготовку и содержание отчета по результатам проведения аудита ИБ.

Отчет должен предоставлять полные, точные, четкие и достаточные записи по аудиту ИБ и должен включать следующее:

  • сведения об аудиторской организации;
  • сведения о руководителе и членах аудиторской группы;
  • сведения о проверяемой организации;
  • сведения о заказчике аудита ИБ;
  • цель аудита ИБ;
  • область аудита ИБ, в частности, сведения о проверенных организационных и функциональных единицах или процессах и охваченном периоде времени;
  • сроки проведения аудита ИБ;
  • план аудита ИБ на месте;
  • документально оформленную совокупность анкет, содержащих критерии аудита ИБ и выводы аудита ИБ, сделанные по каждому из рассмотренных критериев аудита ИБ;
  • заключение по результатам аудита ИБ;
  • перечень представителей со стороны проверяемой организации, которые сопровождали и опрашивались аудиторской группой при проведении аудита ИБ;
  • краткое изложение процесса аудита ИБ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита ИБ;
  • подтверждение, что цель аудита ИБ достигнута в области аудита ИБ в соответствии с планом аудита ИБ;
  • любые неохваченные области, входящие в область аудита ИБ;
  • любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;
  • заявление о конфиденциальном характере содержания отчета;
  • лист рассылки отчета по результатам аудита ИБ.

Отчет по результатам проведения аудита ИБ должен быть выпущен в согласованные сроки, утвержден руководителем аудиторской организации и разослан получателям, определенным заказчиком аудита ИБ.

Отчет по результатам проведения аудита ИБ является собственностью заказчика аудита ИБ. Члены аудиторской группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.

Другим важнейшим разделом в созданном комплексе нормативно-технической документации следует назвать стандарт Банка России СТО БР ИББС-1.2-2007 «Обеспечение информационной безопасности организаций банковской системы российской федерации. Методика оценки соответствия информационной безопасности организаций банковской системы российской федерации требованиям СТО БР ИББС -1.0-2006 с датой введения: 2007-05-01. Здесь важно отметить, что стандарт был принят впервые и введён в действие Распоряжением Банка России от 28 апреля 2007 года № Р-346.

Значимость данного стандарта объясняется тем, что вводится он с целью проверки уровня ИБ как самого Банка России, так и организаций БС РФ. В рамках данного стандарта определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ. Стандарт устанавливает способы определения степени выполнения требований СТО БР ИББС-1.0, а также итогового уровня соответствия ИБ требованиям СТО БР ИББС-1.0 при проведении внутренней и(или) внешней оценки и самооценки ИБ. Методика стандарта охватывает организации БС РФ, а также организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями СТО БР ИББС-1.0.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ.

Целью стандартизованной методики является унификация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 по направлениям оценки:

  • текущий уровень ИБ организации;
  • менеджмент ИБ организации;
  • уровень осознания ИБ организации.

В перечне задач стандарт устанавливает:

  • определение состава показателей ИБ и способов их оценивания;
  • определение способа оценивания текущего уровня ИБ организации БС РФ с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;
  • определение способа оценивания менеджмента ИБ организации БС РФ с помощью установления степени выполнения требований, определенных в разделе 9 СТО БР ИББС-1.0;
  • определение способа оценивания уровня осознания ИБ организации БС РФ с помощью установления степени выполнения принципов, определенных в разделе 6 СТО БР ИББС-1.0;
  • определения итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
Определение уровня соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0 и отображение оценок

Для представления результатов оценки уровня информационной безопасности применяются две цветовые диаграммы, отражающие значения групповых показателей и интегральную оценку ИБ организации БС РФ, проводящей оценку. На основании интегральной оценки выдается заключение о рейтинге организации в части информационной безопасности.

На диаграмме представлены нормированные оценки в виде 32 групповых показателей.

Оценка представлена в виде, который соответствует уровням шкалы зрелости стандарта COBIT.

В таблице 1 показан пример перечня групповых показателей (с М1 по М8) которые отражаются на этой диаграмме.

Таблица 1

Соответствие групповых показателей ИБ совокупности требований ИБ в областях обеспечения ИБ, представленных в стандарте Банка России

Интегральная оценка

Интегральная оценка по каждому из направлений вычисляется как среднее арифметическое соответствующих показателей ИБ и отображается на круговой диаграмме. Высший приоритет имеет оценка осознания руководством организации значения ИБ для деятельности (достижения целей бизнеса) организации и оценка тенденции в обеспечении ИБ организации.

Интегральная оценка ИБ (значение R) определяется по наименьшему значению из трех оценок по направлениям:

  • оценки уровня осознания ИБ организации (EV3);
  • оценки менеджмента ИБ организации (EV2);
  • оценки текущего уровня ИБ организации (EV1).

Полученное в результате оценки соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 значение R является основой для формирования аудиторского заключения по результатам аудита ИБ.

Значения R, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России. Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.

Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному на правлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС -1.0.

Секторы с 1-го по 8-й используются для отображения оценки текущего уровня ИБ организации БС РФ.

Секторы с 9-го по 27-й используются для отображения оценки процессов менеджмента ИБ организации БС РФ.

Секторы с 28-го по 32-й используются для отображения оценки уровня осознания ИБ организации БС РФ.

Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.

Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95. Данный уровень зрелости – уровень, который рекомендуется Банком России.

Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.

Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.

Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.

Нулевому уровню соответствуют круг до окружности радиусом 0,25.

Цветовая диаграмма используется для отражения уровня рисков. Так, например, зеленый цвет отражает низкий уровень рисков и высокий уровень ИБ и рассматривается в качестве положительного заключения; желтый – приемлемый уровень рисков и удовлетворительный уровень безопасности (условно положительное заключение) и красный - высокий уровень рисков и низкий уровень ИБ (отрицательно заключение).

Заключение

Описанные выше нормативные акты Банка России показывают, что принятые совсем недавно стандарты имеют большое значение для ИБ российской банковской системы. Эти стандарты можно считать эталоном, определяющим концепцию и направление в сфере создания систем информационной безопасности для БС РФ. Стандарты могут служить основой для повышения конкурентоспособности кредитно-финансовых организаций России.

Исходя из того, что развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России, важнейшим условием реализации этих целей становится обеспечение необходимого и достаточного уровня ИБ организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БС РФ.

Однако особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.

Противостояние таким угрозам может быть эффективным лишь в том случае, если будут обеспечены эффективные мероприятия по ликвидации неблагоприятных последствий инцидентов ИБ, которые могут повлиять на операционные, кредитные и иные риски в организациях БС РФ. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Исходя из этого можно с высокой долей ответственности говорить о том, что разработанный стандарт по обеспечению ИБ организаций БС РФ является базовым для развивающей и обеспечивающей его группы стандартов, в целом составляющих комплекс стандартов по обеспечению ИБ организаций БС РФ. Немаловажным является и то, что практическое использование стандартов Банка России позволит повысить доверие к БС РФ, увеличить уровень стабильности функционирования организаций БС РФ и на этой основе — стабильности функционирования БС РФ в целом, позволит достигнуть адекватности мер по защите от реальных угроз ИБ и предотвратить снижение ущерба от инцидентов ИБ.

747
;