Защита информации
Реферат
Отчет с. 28, рис. 4, табл. 6, 12 источников.
НПС. Защита информации. СОИБ. Анализ рисков.
Объектом исследования является платёжные системы. В процессе выполнения
работы были решены следующие основные задачи:
¾ проведён обзор нормативно-правовой базы регуляторов и
государства;
¾ проведён сравнительный анализ подходов к построению СОИБ и
требований к СИБ;
¾ проведён сравнительный анализ СУРИБ.
Подходы и требования, изложенные в стандартах и положениях ЦБ РФ и
международных стандартах ISO 27xxx, схожи. Для построения СОИБ
банковским организациям РФ желательно основываться на требованиях, изложенные в
стандартах ЦБ РФ, так как они предназначены для банковской сферы и учитывают
реалии банковской сферы (модели угроз, модели нарушителя и т.д.). Построение СОИБ
на основе требования ISO 27xxx рекомендовано организациям, входящие
в международное сообщество.
Оглавление
Введение
. Российские и международные
нормативы и стандарты
. Система обеспечения информационной
безопасности
.1. Требования к обеспечению информационной
безопасности
. Система управления рисками
.1 Методика оценки рисков
Заключение
Список используемых источников
Введение
О необходимости создания в России собственной национальной платежной
системы говорили давно, начиная с 1990 года, когда были запущены первые
локальные карточные системы. Но только в 2009 году идея о необходимости
Национальной Платёжной Системы (далее - НПС) впервые зазвучала публично на
уровне федерального руководства страны. В частности, она была озвучена в
выступлениях президента РФ Дмитрия Медведева. Будучи президентом России,
Дмитрий Медведев заявил, что «... создание Национальной платежной системы в
России должно повысить надежность финансовой системы страны, защитить ее от
неблагоприятных финансово-экономических факторов».
Почему же так остро встал вопрос о создании НПС. Кроме политических
моментов, о которых говорит руководство страны, существуют и экономические и
социальные предпосылки. Ежегодно количество платежей, проходящих через
платёжные системы, растёт. Национальная платёжная система является неотъемлемой
частью финансовой системы любого государства. НПС обеспечивает осуществление
платежей, управляет денежной массой, осуществляет его контроль, регулирует курс
национальной валюты, создает условия для оборота денежных средств.
Одной из главных задач для платёжных систем является построение
эффективных систем обеспечения информационной безопасности, удовлетворяющие
российским и международным стандартам.
Актуальность работы объясняется возросшим интересом руководства страны и
банковского сообщества к построению национальной платежной системы, возникшему
тесному взаимодействию между интернациональными финансовыми учреждениями и
Центральным Банком РФ в области разработки конкретных принципов построения
системы.
Целью учебно-исследовательской работы является проведение анализа системы
защиты информации национальной платёжной системы.
Для достижения поставленной цели в работе решаются следующие задачи:
¾ обзор международной и отечественной нормативно-правовой базы
в области обеспечения информации;
¾ сравнительный анализ систем обеспечения информационной
безопасности;
¾ сравнительный анализ систем управления рисками.
Проводится сравнительный анализ требований, изложенных в стандартах и
положениях Центрального Банка России и серии международных стандартов ISO/IEC 27xxx.
1. Российские и международные нормативы и стандарты
В России создается национальная платежная система, которая станет
альтернативой международным платёжным системам. За последние несколько лет
появился ряд нормативных документов по безопасности платежных систем. Наиболее
актуальными являются Федеральный закон № 161-ФЗ «О национальной платёжной
системе» (далее - Закон об НПС) и сопутствующие ему подзаконные акты в области
безопасности. Определение национальной платёжной системы было представлено в
законе об НПС:
· Национальная платежная система - совокупность операторов по
переводу денежных средств (включая операторов электронных денежных средств),
банковских платёжных агентов (субагентов), платёжных агентов, организаций
федеральной почтовой связи при оказании ими платёжных услуг в соответствии с
законодательством Российской Федерации, операторов платёжных систем, операторов
услуг платёжной инфраструктуры (субъекты национальной платёжной системы).
Ключевая цель защиты информации, в соответствии с данным документом, -
обеспечение бесперебойности функционирования платёжной системы. Закон об НПС
устанавливает три регулятора:
· Центральный Банк России;
· Федеральная служба безопасности (далее - ФСБ);
· Федеральная служба по техническому и экспортному контролю
(далее - ФСТЭК).
Для создания эффективной системы защиты НПС необходимо использовать
лучшие практики, нашедшие отражение в российских и международных стандартах
организации и реализации деятельности. Соответствие системы обеспечения
информационной безопасности (далее - СОИБ) признанным стандартам формирует
уверенность об уровне защиты со стороны партнеров и клиентов к организации
банковской сферы.
Набор стандартов, описывающий единый подход к построению СОИБ организаций
банковской сферы с учетом требований российского законодательства, является
стандарт Центрального Банка России Федерации (далее - ЦБ РФ). Стандарт ЦБ РФ -
СТО БР ИББС содержит три стандарта и пять рекомендаций по стандартизации:
· СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Общие положения»;
· СТО БР ИББС-1.1-2007 «Обеспечение информационной
безопасности. Аудит информационной безопасности»;
· СТО БР ИББС-1.2 -2010 «Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Методики
оценки, соответствия информационной безопасности организаций банковской системы
Российской Федерации требованиям СТО БР ИББС 1.0-20хх»;
· РС БР ИББС-2.0 - 2007 «Обеспечение информационной
безопасности организаций банковской системы Российской Федерации. Методические
рекомендации по документации в области обеспечения информационной безопасности
в соответствии с требованиями СТО БР ИББС-1.0»;
· РС БР ИББС-2.1- 2007 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Руководство по самооценке,
соответствия информационной безопасности организаций банковской системы
Российской Федерации требованиям СТО БР ИББС-1.0»;
· РС БР ИББС-2.2- 2009 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Методика оценки рисков
нарушения информационной безопасности»;
· РС БР ИББС-2.3- 2010 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Требования по обеспечению
безопасности персональных данных в информационных системах персональных данных
организаций банковской системы Российской Федерации»;
· РС БР ИББС-2.4- 2010 «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Отраслевая частная модель
угроз безопасности персональных данных при их обработке в информационных
системах персональных данных организаций банковской системы Российской
Федерации».
Центральный Банк РФ выпустил положения, касающиеся защиты информации в
НПС.
Положение банка России от 31 мая 2012 г. № 379-п «О бесперебойности
функционирования платежных систем и анализе рисков в платежных системах»
устанавливает требования к порядку обеспечения и показателям бесперебойности
функционирования платежных систем (далее - БФПС) и методикам анализа рисков в
ПС.
БФПС подразумевает способность предупреждать нарушения законодательства,
правил платёжной системы, заключенных договоров при взаимодействии субъектов
платёжной системы, а также восстанавливать надлежащее функционирование системы
при его нарушении.
Оператор платёжной системы контролирует деятельность по обеспечению БФПС.
Субъекты платёжной системы организуют реализацию порядка обеспечения БФПС в
рамках внутренних систем управления рисками своей деятельности.
Для каждого устанавливаемого показателя БФПС определяются процедура и
методика его формирования на основе первичной информации о функционировании ПС
и сведений о факторах риска нарушений БФПС. Операторы ПС должны регламентировать
порядок обеспечения БФПС, организовать его реализацию.
На основе Положения Банка России от 31 мая 2012 года № 380-п «О порядке
осуществления наблюдения в НПС», Банк России осуществляет наблюдение за
деятельностью операторов по переводу денежных средств, операторов платежной
системы, операторов услуг платежной инфраструктуры (наблюдаемых организаций),
других субъектов НПС за оказываемыми ими услугами, а также за развитием
платёжной системы и ее инфраструктуры.
Положение Банка России от 9 июня 2012 № 381-п «О порядке осуществления
надзора за соблюдением не являющимися кредитными организациями операторами
платёжных систем, операторами услуг платёжной инфраструктуры требований № 161 -
ФЗ «О национальной платёжной системе», принятых в соответствие с ним
нормативных актов Банка России» закрепляет, как Центральный Банк России
надзирает за операторами услуг платёжной инфраструктуры, не являющимися
кредитными организациями.
На основании данного положения Банк России проводит:
· дистанционный надзор - оператору направляется запрос,
указывается срок и время проведения проверки;
· плановые инспекционные проверки;
· внеплановые инспекционные проверки (при нарушении БФПС).
По результатам проверок составляется акт.
Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к
обеспечению защиты информации при осуществлении переводов денежных средств и о
порядке осуществления Банком России контроля за соблюдением требований к
обеспечению защиты информации при осуществлении переводов денежных средств»
устанавливает требования в соответствии, с которым все операторы по переводу
денежных средств обеспечивают защиту при осуществлении денежных переводов, а
также устанавливает порядок осуществления Банком России контроля за соблюдением
требований к обеспечению защиты информации при осуществлении переводов денежных
средств, в рамках осуществляемого Банком России надзора в НПС. На основании
положения 382-П для проведения работ по обеспечению защиты информации при
осуществлении переводов денежных средств могут привлекаться организации,
имеющие лицензии на техническую защиту конфиденциальной информации и (или) на
деятельность по разработке и производству средств защиты конфиденциальной
информации.
Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по
обеспечению защиты информации при осуществлении переводов денежных средств
операторов платёжных систем, операторов услуг платёжной инфраструктуры,
операторов по переводу денежных средств» устанавливает формы отчетности по
обеспечению защиты информации при осуществлении переводов денежных средств.
Данный документ определяет сроки предоставления и методики составления.
Сведения о выполнении операторами требований, представленные в 382-П, по
обеспечению защиты информации подаются по форме 04030202. Сведения о выявлении
инцидентов, связанных с нарушением требования, - по форме 0403203.
В основе стандарта ЦБ РФ лежит ряд международных стандартов по управлению
информационными технологиями и информационной безопасности, в том числе и ISO/IEC 27xxx. Стандарт ISO 27xxx является набором лучших практик по управлению
информационной безопасностью в крупных организациях. В России стандарт ISO 27xxx, как и СТО БР ИББС,
добровольный документ, принятие которых решает каждый банк самостоятельно.
Однако, ISO 27xxx - стандарт де-факто по всему
миру. Этот стандарт имеет смысл внедрять банкам, входящим в международные
банковские группы, где стандарт ISO
27xxx является признанным стандартом, либо банкам, рассматривающим выход на
международный рынок.
Вышеперечисленные стандарты от двух разных регуляторов - Банка России и BSI (Британский институт по
стандартизации). Основой этих стандартов является британский стандарт BS 7799-2:2005 по созданию, внедрению,
эксплуатации, мониторингу, пересмотру, сопровождению и совершенствованию
системы управления информационной безопасности (далее - СУИБ). Стандарты
включают в себя основные определения и описывают сам процесс создания,
внедрения и эксплуатации СУИБ.
Табл.1 Сравнение стандартов сери ISO/IEC 27xxx и СТО БР ИББС
|
Критерии
|
ISO 270XX
|
СТО БР ИББС
|
|
Регулятор
|
BSI
|
ЦБ РФ
|
|
Сфера действия
|
Крупные организации, в том числе и банковской сферы
|
Организации банковской сферы РФ
|
|
Сертификация
|
Нет сертификации
|
|
Назначение
|
Построение СОИБ
|
Выводы по разделу 1
информация безопасность нормативный правовой
Основой в создании НПС России является закон об НПС, обеспечивающий все
правовые аспекты функционирования платежной системы и определяет регламенты
информационной безопасности. Эффективная СОИБ должна соответствовать признанным
стандартам, описывающий единый подход к построению СОИБ. Такими стандартами
являются: стандарт ЦБ РФ и международный стандарт ISO/IEC 27xxx.
2. Система обеспечения информационной безопасности
Безопасность информации в организациях банковской сферы обеспечивается
СОИБ, включающая в себя общие методы защиты информации (межсетевое
экранирование, системы управления доступом, антивирусы и т.п.), а также
организационными мерами, то, что называется системой менеджмента (управления)
информационной безопасности (далее - СМИБ, СУИБ). Результат СМИБ - эффективное
обеспечение целостности, доступности и конфиденциальности информации
организации банковской сферы, защиты от внешних и внутренних угроз основной
деятельности.
С точки зрения стандарта Банка России и международного стандарта ISO 27001, в состав СУИБ банка входят
все его сотрудники. Стандарты вводят необходимые условия успешной реализации
технологии СУИБ:
· понимание и поддержка со стороны руководства;
· наличие в структуре банка специального подразделения,
реализующего функции управляющего органа по вопросам ИБ;
· разработка системы организационно-распорядительных и
нормативно-методических документов, определяющих политику безопасности;
· наличие ответственных за информационную безопасность в
подразделениях и на технологических участках информационной системы;
· поддержание в организации должного уровня исполнительской
дисциплины.
В стандарте ISO/IEC 27001:2013 система менеджмента
фигурирует как СУИБ. Стандарт предлагает использовать процессный подход для
разработки, внедрения, обеспечения функционирования, мониторинга, анализа,
поддержки и улучшения СУИБ организации. В настоящем стандарте представлена
модель PDCA - «Plan (планирование) - Do (реализация) - Check (проверка) - Act (Действие)»
(см. рис.1). Составные процедуры этапов модели PDCA:
. Планирование СУИБ:
· решение о создании системы управления руководством
организации;
· выбор области действия системы;
· инвентаризация и категорирование информационных активов;
· оценка уровня защищенности информационной системы - определение
уязвимостей и угроз ИБ;
· анализ информационных рисков;
· разработка Положения о применимости;
· выбор мер по снижению информационных рисков;
· разработка базы нормативных документов по ИБ.
. Внедрение процедур СУИБ:
· внедрение мер по снижению информационных рисков;
· определение методов оценки эффективности внедренных мер;
· повышение квалификации сотрудников компании в области ИБ;
· внедрение системы управления инцидентами ИБ.
. Мониторинг и анализ процедур СУИБ:
· регулярные проверки эффективности процедур системы
управления;
· регулярный пересмотр результатов анализа информационных
рисков;
· регистрация записей системы управления с целью оценки ее
эффективности.
. Совершенствование СУИБ:
· выполнение корректирующих и превентивных действий;
· обеспечение эффективности предпринятых мер совершенствования
СУИБ.
Рис.1. Модель PDCA [3]
Стандарт СТО БР ИББС-1.0 рассматривает СОИБ организации банковской сферы,
как совокупность системы информационной безопасности (далее- СИБ) и СМИБ. Для
реализации и поддержания информационной безопасности в организации реализуются
группы процессов в виде циклической модели Деминга: «… - планирование -
реализация - проверка - совершенствование - планирование - …», которая является
основой модели описания жизненного цикла СУИБ - PDCA -модель в стандарте ISO/IEC
27001-2013 (см. рис.2). [1]
Рис.2 СОИБ
организации банковской сферы. [1]
Одним из основных требований стандарта ISO 27001 является разработка политик информационной
безопасности. Стандарт рассматривает 4 уровня политик информационной
безопасности:
· корпоративная политика безопасности;
· политика информационной безопасности;
· корпоративная политика безопасности информационных и
коммуникационных технологий;
· политика безопасности систем информационных и
коммуникационных технологий
В РС БР ИББС 2.0 - 2007, предложена следующая иерархия внутренних
документов (см. рис.3):
Рис.3. Иерархия внунтренних документов
Стандартами определены документы к каждому уровню:
· 1 уровень: политика СМИБ, политика информационной безопасности;
· 2 уровень: частные политики информационной безопасности
(предоставление доступа, использование Интернет и электронной почты и т.п.);
· 3 уровень: инструкции, положения, порядки, руководства,
методические пособия и программы обучения и т.п.;
· 4 уровень: записи в системных журналах операционных систем,
базы данных; реестры информационных активов; заявки и выполненные наряды по
предоставлению доступа; записи в журналах обучения и инструктажа по ИБ,
протоколы испытаний, акты, обязательства о неразглашении конфиденциальной
информации и т.п.
В основе построения СУИБ, изложенных в СТО БР ИББС и ISO 27xxx, лежит риск-ориентированный
подход. Однако, СТО БР ИББС оценка рисков является одним из элементов защиты
информации в совокупности с «модель угроз» и «модель нарушителя». В СТО БР ИББС
оценка рисков позволяет добавить защитные мероприятия, но не уменьшить их
перечень.
Под моделью нарушителя информационной безопасности понимается описание
источников угроз информационной безопасности организации, методов реализации
угроз. Нарушители по признаку принадлежности к подразделениям делятся на
внешние и внутренние [1]:
· внутренний: обслуживающий персонал, программисты, технический
персонал;
· внешний: высококвалифицированный специалист в области
использования технических средств (далее - ТС) перехвата информации, знакомый с
особенностями системного и прикладного программного обеспечения, сетевого и
канального оборудования, а также протоколов передачи данных, используемых в
системе.
При составлении модели нарушителя информационной безопасности необходимо
учитывать возможный сговор между внутренними и внешними нарушителями.
В свою очередь, угрозы информационной безопасности можно
классифицировать:
· на основе видов информации (информация, передаваемая по
каналам связи; информация, хранимая в базах данных и т.п.; конфигурационная
информация):
o угрозы доступности информации;
o угрозы целостности информации;
o угрозы конфиденциальности информации;
· с точки зрения реализации:
o угрозы, реализуемые с помощью ТС;
o угрозы, реализуемые с помощью программных средств;
o угрозы, реализуемые с использованием технических каналов
утечки информации.
СОИБ в организациях банковской сферы представляет собой
многокомпонентную, многоуровневую, территориально распределенную архитектуру. В
стандарте СТО БР ИББС -1.0 и ISO/IEC 27001 определены подробный состав
СОИБ и требования к ним:
· СТО БР ИББС:
o подсистема назначения и распределения ролей;
o подсистема защиты от несанкционированного доступа (далее -
НСД);
o подсистема криптографической защиты;
o подсистема антивирусной защиты;
o подсистема обеспечения информационной безопасности при
использовании ресурсов сети Интернет;
o подсистема обеспечения информационной безопасности банковских
платёжных процессов;
o подсистема обеспечения информационной безопасности при
обработке ПДн;
· ISO/IEC 27001:
o подсистема управления доступом;
o подсистема криптографической защиты;
o подсистема удостоверяющего центра;
o подсистема физической защиты и контроля периметра;
o подсистема контроля целостности и защищенности данных;
o подсистема сегментирования ЛВС и межсетевого экранирования;
o подсистема предотвращения утечки информации по техническим
каналам.
Табл.2 Сравнение подходов построения СОИБ СТО БР ИББС и ISO 27xxx
|
Критерии
|
СТО БР ИББС
|
ISO 27xxx
|
|
Модель СМИБ
|
Модель Деминга
|
|
Иерархия документов
|
4-х уровневая модель
|
|
Подход к построению СМИБ
|
Риск-ориентированный подход
|
Риск-ориентированный подход в совокупности с моделью
нарушителя ИБ
|
|
Состав СИБ
|
Структура СИБ предложенная в двух стандартах взаимно
дополняют друг друга
|
2.1 Требования к обеспечению информационной безопасности
Центральный Банк РФ в положении 382-П установил конкретные требования к
защите информации при осуществлении переводов денежных средств. Эти требования
связаны с организацией и контролем обеспечения защиты информации в платёжных
системах. В положении представлены следующие группы требований:
· защита информации при назначении и распределении ролей;
· защита информации на стадиях жизненного цикла объектов
ИТ-инфраструктуры;
· защита информации при осуществлении доступа к объектам
ИТ-инфраструктуры;
· защита информации от воздействия вредоносного кода;
· защита информации при использовании сети Интернет;
· защита информации с использованием СКЗИ;
· защита информации с использованием технологических мер защиты
информации;
· организация и функционирование службы ИБ;
· повышение осведомленности в области обеспечения защиты
информации;
· выявление и реагирование на инциденты;
· определение и реализация порядка обеспечения защиты
информации;
· оценка выполнения требований к обеспечению защиты информации.
Рассмотрим требования, изложенные в 382-П и ISO 27xxx, к техническим и организационным аспектам
управления ИБ: служба ИБ, управление логическим доступом пользователей к
активам организации, управление защищенной передачей данных (доступ к средствам
обработки информации, защита от вредоносного ПО, система криптографической
защиты информации).
Служба информационной безопасности создается руководством с целью
реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ. В
таблице 3 представлены требования [2] и [3-6] к службе ИБ.
Управление доступом - комплекс мероприятий, направленных на
предотвращение несанкционированного доступа (НСД) [12]. Под НСД понимают доступ
к информации, нарушающий правила разграничения доступа с использованием штатных
средств, предоставляемых средствами вычислительной техники или
автоматизированными системами (СВТ/АС). Управление доступом возможно на
различных уровнях операционной системы, баз данных и приложений. В таблице 4
представлены требования [2] и [3-6] к системе управления доступом пользователей
к информационным активам.
Табл.3. Сравнение требований к службе ИБ
|
ISO 27xxx
|
382-П
|
|
Служба ИБ
|
1. Обеспечить формирование службы ИБ (определить цели и
задачи службы и довести до сотрудников) 2. Все ответственности по ИБ должны
быть строго определены и закреплены
|
|
1. Должна поддерживаться связь с органами по ИБ, а также
специалистами 2. ИБ должна осуществляться при управлении проектами,
независимо от типа проекта
|
1. Обеспечить формирование службы ИБ в филиалах 2.
Осуществлять контроль за выполнением порядка обеспечения защиты и выполнение
работниками требований к обеспечению информационной безопасности.
|
Табл.4 . Сравнение требований к системе управления доступом
|
ISO 27xxx
|
382-П
|
|
Управление доступом пользователей
|
1. Права выдаются в соответствии с политикой ИБ 2. Журнал
регистрации пользователей 3. Осуществляется регистрация и контроль
пользователей, которым назначены роли
|
|
1. Механизмы аутентификации и идентификации; 2. Права
доступа сотрудников, у которых закончился трудовой договор, должны быть
удалены
|
1. Реализация запрета совмещения одним лицом следующих
ролей: · связанных с
созданием (модернизацией) объекта информационной инфраструктуры и
эксплуатацией объекта информационной инфраструктуры; · ролей, связанных с эксплуатацией
объекта информационной инфраструктуры в части его использования по назначению
и эксплуатацией объекта информационной инфраструктуры в части его
технического обслуживания и ремонта. СТО 1.0 - СЗИ от НСД
|
|
Управление сетевым Доступом
|
1. Устанавливаются интерфейсы (МЭ) и фильтры, проверяющие
полномочия потока данных, входящих и исходящих из сети 2. Применяются
механизмы аутентификации для пользователей и оборудования 3. Производится
управление доступом пользователей к сервисам и сетям
|
1. Устанавливаются интерфейсы (МЭ) и фильтры, проверяющие
полномочия потока данных, входящих и исходящих из сети 2. Обеспечить снижения
тяжести последствий от воздействий на объекты информационной инфраструктуры
3. Обеспечить формирование рекомендаций для клиентов по защите информации от
НСД путем использования ложных ресурсов сети Интернет.
|
Организации, входящие в платёжную систему, часто проводят платежи
электронным способом, поэтому организация заинтересована в эффективных
комплексных СОИБ, защищающих сети от атак злоумышленников и возможных случайных
неправильных действий, а также обеспечивающие конфиденциальность, целостность и
доступность информации. Требования к управлению защищенной передачи данных [2]
и [3-6] представлены в таблице 5:
Табл.5 Сравнение требований 382-П и ISO 27xxx
|
ISO 27xxx
|
382-П
|
|
Доступ к средствам обработки Информации
|
1. Доступ к объектам осуществляется на основе политики
управления доступом 2. Осуществляется учёт объектов информатизации 3.
Применение некриптографических средств защиты информации от НСД 4. Механизмы
идентификации, аутентификации, авторизации работников 5. Регистрация действий
при осуществлении доступа своих работников к защищаемой информации 6.
Реализация запрета несанкционированного расширения прав доступа к защищаемой
информации 7. Использования ТСЗИ 8. Контроль объектов информатизации на
наличие средств несанкционированного съема информации 9. Меры по
предотвращения хищения носителей защищаемой информации
|
|
Защита от вредоносного ПО
|
1. Использование антивирусного ПО 2. Регулярное обновление
3. Формирование для клиентов рекомендаций по защите информации от
вредоносного ПО 4. Детальная проверка системы на наличие вредоносного ПО 5.
Обеспечивать оповещение в случае обнаружения вредоносного ПО 6. Меры по
восстановлению системы после атак
|
|
1. Политика использование лицензионных программ на объектах
информатизации.
|
|
|
Криптографическая защита
|
|
|
1. Внедрение политики по использованию СКЗИ в ЖЦ 2.
Допускает встраивание СКЗИ в процессы осуществления переводов денежных
средств
|
Вывод к разделу 2
СОИБ в организациях банковской сферы представляет собой совокупность
организационных и технических мер по защите информационных активов. Модель
построения СМИБ основывается на циклической модели Деминга. Различие подходов,
изложенных в стандарте ЦБ РФ и международном стандарте ISO 27xxx, состоит в подходе к построению СМИБ. В таблице
3 представлено сравнение требований, изложенных в 382-п и ISO/IEC 27001-2013 к системам:
· служба ИБ;
· управления доступом;
· управление защищенной передачей данных.
Требования, изложенные в этих двух нормативных документах, призваны
построить эффективную СОИБ. Возможно построение СОИБ на соответствие
требованиям, как российским, так и международным стандартам. Требования 382-П
более приспособлены к сфере платёжных систем.
3.
Система управления рисками
Следующий этап при создании СОИБ является система управления рисками
информационной безопасности (далее - СУРИБ). Наличие СУРИБ подразумевает закон
об НПС.
Необходимо разобраться с понятием «риск». Согласно стандарту ISO/IEC 27005:2011, риск определяется как влияние
неопределенности на цели. Под влиянием понимается отклонение от
предполагаемого. Стандарт Банка России СТО БР ИББС-1.0-2010 определяет риск как
«мера, учитывающая вероятность реализации угрозы и величины потерь (ущерба) от
реализации данной угрозы».
Суть всех определений одна: в случае, если есть уязвимость у
информационного актива, с помощью которой можно нанести ущерб, то в «среднем
величина ущерба пропорциональна как стоимости актива, так и вероятности
причинения данного ущерба».
Стандарт Банка России подразумевает наличие в организации банковской
сферы системы СУРИБ и проведение оценки рисков нарушения ИБ для всех
информационных активов в области действия СОИБ. В стандарте под менеджментом
риска понимаются «скоординированные действия по руководству и управлению в
отношении риска с целью его минимизации». По стандарту ISO/IEC 27005:2011 управление рисками - особый вид
деятельности по принятию и выполнению управленческих решений, направленных на
снижение вероятности возникновения неблагоприятного результата и минимизации
возможных потерь, вызванных его реализацией.
По стандарту Банка России управление рисками нарушения ИБ включает:
· определение области оценки рисков;
· оценка риска;
· мониторинг и контроль;
· совершенствование.
Данный подход полностью соответствует модели Деминга: «планирование -
реализация - проверка - совершенствование».
В стандарте ISO 27005 процесс
менеджмента риска ИБ состоит из:
· установления окружающей обстановки;
· оценки риска;
· обработки риска;
· принятия риска;
· коммуникации риска;
· контроля риска и его пересмотра.
Составляющие процесса управления рисками ИБ, иллюстрированные на рисунке
4, приведены в ISO/IEC 27005.
Рис.4. Процесс управления риском ИБ
Процесс менеджмента риска итеративный. Первая итерация оценки рисков
подразумевает определение контекста, идентификацию угроз и уязвимостей,
выполнение оценки рисков и сопоставление их. Если выходные данные содержат
обоснованную информацию для определения действий, требуемых для модификации
рисков до необходимого уровня, значит, задача выполнена и наступает следующий
этап обработка рисков. В противном случае, проходит оценка рисков при
пересмотренном контексте.
3.1 Методика оценки рисков
Основная задача методики оценки рисков заключается в том, чтобы
определить численный показатель риска ИБ для принятия эффективных мер по защите
информации. Смысл процесса оценки рисков ИБ заключается в идентификации рисков,
количественном и качественном описании приоритезации, согласно критериям и
задачам оценивания рисков ИБ, применимым к организациям. [9]
Подходы к оценке рисков, предложенные в РС БР ИББС - 2.2 и ISO/IEC 27005, аналогичны.
Метод по оценке рисков, представленный в ISO/IEC
27005, состоит из:
· анализа рисков;
· оценивания рисков.
Оценивание рисков по шагам выглядит следующим образом:
· Этап 1 - анализ рисков ИБ.
o подэтап 1 - идентификация рисков ИБ: проводится выявление
рисков ИБ, сравнение новых идентифицированных рисков ИБ с раннее выявленными:
§ шаг 1 - идентификация активов: выявление всех активов в установленной
области действия оценки ИБ;
§ шаг 2 - идентификация угроз ИБ: выявление угроз и их источников;
§ шаг 3 - идентификация существующих средств управления рисками ИБ:
выявление существующих процессов, политик, устройств, практик, включая защитные
меры, которые минимизируют риски;
§ шаг 4 - идентификация уязвимостей: классификация угроз;
§ шаг 5 - идентификация последствий.
o подэтап 2 - количественная оценка рисков ИБ:
§ шаг 1 -оценка последствий;
§ шаг 2 - оценка вероятностей;
§ шаг 3 - определение уровня рисков ИБ.
· Этап 2 - оценивание рисков.
Риск ИБ в стандарте РС БР ИББС-2.2 определяется на обосновании
качественных или количественных оценок:
· степени возможности реализации (далее - СВР и СВРкол) угроз
ИБ выявленными и (или) предполагаемыми источниками угроз ИБ в результате их
воздействия на объекты среды рассматриваемых типов активов;
· степени тяжести последствий (СТП и СТПкол) от потери свойств
ИБ для рассматриваемых типов активов.
В стандартах описаны два подхода к установлению значений рисков ИБ:
качественный и количественный.
Качественный подход к количественной оценке рисков ИБ по [11] основан на
использовании словесной шкалы классификационных атрибутов, описывающих величину
потенциальных последствий: «низкая», «высокая», «средняя», а также описывает
вероятность возникновения данных последствий. В [10] для оценки СВР угроз ИБ
используется следующая качественная шкала: «нереализуемая - минимальная -
средняя - высокая - критическая». Для оценки СВР угроз ИБ используется
информация соответствующих моделей угроз ИБ. Для оценки СТП нарушений ИБ
используется шкала степеней: «минимальная - средняя - высокая - критическая».
Для сопоставления оценок СТП нарушения ИБ и СВР угроз ИБ строится таблица
допустимых/недопустимых рисков ИБ, соответствующие значения указываются на
пересечении столбцов и строк. Преимуществом качественной оценки является
понятность всему персоналу, а недостатком - субъективный выбор шкалы численных
значений.
Для количественного подхода к количественной оценки рисков ИБ в [11]
используется шкала с числовыми значениями, как для последствий, так и для
вероятностей, опираясь на данные, полученные из различных источников. В [10]
СВРкол угроз ИБ выражаются в процентах, а СТПкол нарушения ИБ выражены в
денежной форме. Оценки СВРкол угроз ИБ получается экспертно, путем перевода
качественных оценок СВР угроз ИБ:
· нереализуемая - 0%;
· минимальная - от 1% до 20%;
· средняя - от 21% до 50%;
· высокая - от 51% до 100%;
· критическая - 100%.
Оценка СТПкол нарушения ИБ формируется экспертным путем перевода
качественных оценок СТП нарушения ИБ в количественную форму следующим образом:
· минимальная - до 0.5% от величины капитала организации;
· средняя - от 0.5 до 1.5% от величины капитала организации;
· высокая - от 1.5 до 3% от величины капитала организации;
· критическая - более 3% от величины капитала организации.
Недостатком количественного подхода является нехватка данных по новым
рискам или слабым местам информационной безопасности.
Таблица 6. Сравнение СУРИБ ЦБ РФ и ISO/IEC
|
Критерии
|
ЦБ РФ
|
ISO/IEC 27xxx
|
|
Модель процесса управления рисками
|
Модель Деминга
|
|
Этапы управления рисками
|
|
Методика оценки рисков
|
· анализ рисков (идентификация активов риска, угроз) · оценивание рисков (количественный и
качественный подход к количественной оценки рисков ИБ)
|
|
Качественный подход к количественной оценки рисков
использует следующую шкалу: · низкий; · средний;
· высокий.
|
При оценки рисков ИБ вводятся понятия СВР, СВРкол и СТП,
СТПкол.
|
Выводы к разделу 3
Были рассмотрены подходы к процессу управления рисками в стандарте банка
России и международном стандарте ISO/IEC 27001. Модель управления рисками,
изложенная в этих стандартах, основывается на модели Деминга. Было проведено
сравнение методики оценки рисков на основе этих стандартов. Методология оценки
рисков схожи.
Заключение
Результатом учебно-исследовательской работы является изучение системы
информационной безопасности Национальной платежной системы, нормативно-правовой
базы регуляторов в области информационной безопасности НПС, сравнение СОИБ,
основанной на стандартах и положениях ЦБ РФ и серии международных стандартов ISO/IEC 27xxx.
Данная работа позволяет сформировать представление о СОИБ НПС.
В процессе выполнения работы были решены следующие основные задачи:
¾ проведён обзор нормативно-правовой базы регуляторов и
государства;
¾ проведён сравнительный анализ подходов к построению СОИБ и
требований к СИБ;
¾ проведён сравнительный анализ СУРИБ;
Подходы и требования, изложенные в стандартах и положениях ЦБ РФ и
международных стандартах ISO 27xxx, схожи. Для построения СОИБ
банковским организациям РФ желательно основываться на требованиях, изложенные в
стандартах ЦБ РФ, так как они предназначены для банковской сферы и учитывают
реалии банковской сферы (модели угроз, модели нарушителя и т.д.). Построение
СОИБ на основе требования ISO 27xxx рекомендовано организациям, входящие
в международное сообщество.
Список используемых источников
1. СТО
БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Общие положения»;
. Положения
Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты
информации при осуществлении переводов денежных средств и о порядке
осуществления Банком России контроля за соблюдением требований к обеспечению
защиты информации при осуществлении переводов денежных средств».
3. ISO/IEC
27001:2013 «Information technology. Security techniques. Information security
management systems. Requirements».
. ISO/IEC
27002:2005 «Information technology. Security techniques. Code of practice for
information security management».
. ISO/IEC
27033 - 1:2009 «Information technology. Security techniques. Network security. Part 1: Overview and concepts».
6. ISO/IEC
27033 - 3:2010 «Information technology. Security techniques. Network security.
Part 3: Reference networking scenarios. Threats, design techniques and control
issues».
7. Национальная
платёжная система. Бизнес-энциклопедия / коллектив Н35 авторов; ред.-сост. А.С. Воронин. - М.: КНОРУС: ЦИПСиР, 2013. - 424с.
. Стандарты
информационной безопасности в банках. / Статья, автор - Леонид Головин - RS-CLUB №4 2007г. Октябрь - декабрь.
. Управление
рисками информационной безопасности. Учебное пособие для вузов. / Н.Г.
Милославская, М.Ю. Сенаторов, А.И. Толстой. - М.: Горячая Линия-Телеком, 2012.
- 130с.
. РС
БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки рисков нарушения
информационной безопасности.»;
11. ISO/IEC
27005:2011 «Information technology. Security techniques. Information security
risk management. »
12. Технические,
организационные и кадровые аспекты управления информационной безопасностью.
Учебной пособие для вузов. / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. -
М.: Горячая Линия-Телеком, 2014. - 214с.