Содержание
-
1 Информационная безопасность банковских безналичных платежей. Часть 3 — Формирование требований к системе защиты
- 1.1 Роль обеспечения безопасности в жизни коммерческой организации
- 1.2 Место службы информационной безопасности в структуре менеджмента организации
- 1.3 Практические аспекты обеспечения безопасности
- 1.4 Управление рисками (risk management)
- 1.5 Основные угрозы и оценка потенциального ущерба от их реализации
- 1.6 Обязательные требования к системе ИБ безналичных платежей
- 2 Оценка и анализ структуры системы защиты информации
Информационная безопасность банковских безналичных платежей. Часть 3 — Формирование требований к системе защиты
О чем исследование
В предыдущих частях исследования мы обсудили экономические основы и IT-инфраструктуру банковских безналичных платежей. В этой части речь пойдет о формировании требований к создаваемой системе информационной безопасности (ИБ). Далее мы рассмотрим:
- роль обеспечения безопасности в жизни коммерческой организации;
- место службы информационной безопасности в структуре менеджмента организации;
- практические аспекты обеспечения безопасности;
- применение теории управления рисками в ИБ;
- основные угрозы и потенциальный ущерб от их реализации;
- состав обязательных требований, предъявляемых к системе ИБ банковских безналичных платежей.
Роль обеспечения безопасности в жизни коммерческой организации
В современной российской экономической среде существует множество различных типов организаций. Это могут быть государственные предприятия (ФГУП, МУП), общественные фонды и, наконец, обычные коммерческие организации. Главным отличием последних от всех других является то, что их основная цель – получение максимальной прибыли, и все, что они делают, направлено именно на это. Зарабатывать коммерческая организация может различными способами, но прибыль всегда определяется одинаково – это доходы за вычетом расходов.
При этом, если обеспечение безопасности не является основным видом деятельности компании, то оно не генерирует доход, а раз так, то для того, чтобы эта деятельность имела смысл, она должна снижать расходы. Экономический эффект от обеспечения безопасности бизнеса заключается в минимизации или полном устранении потерь от угроз.
Но при этом также следует учитывать то, что реализация защитных мер тоже стоит денег, и поэтому истинная прибыль от безопасности будет равна размеру сэкономленных от реализации угроз безопасности средств, уменьшенному на стоимость защитных мер. Однажды между собственником коммерческого банка и руководителем службы безопасности его организации состоялся разговор на тему экономического эффекта от обеспечения безопасности.
Суть этого разговора наиболее точно отражает роль и место обеспечения безопасности в жизни организации: — Безопасность не должна мешать бизнесу. — Но за безопасность надо платить, а за ее отсутствие расплачиваться. Идеальная система безопасности – это золотая середина между нейтрализованными угрозами, затраченными на это ресурсами и прибыльностью бизнеса.
Место службы информационной безопасности в структуре менеджмента организации
Структурное подразделение, отвечающее за обеспечение информационной безопасности, может назваться по-разному. Это может быть отдел, управление или даже департамент ИБ. Далее для унификации это структурное подразделение будем называть просто службой информационной безопасности (СИБ). Причины создания СИБ могут быть разными. Выделим две основные:
-
Cтрах.
Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
- Обеспечение соответствия законодательным требованиям. Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.
Применительно к кредитным организациям необходимость существования СИБ зафиксирована в следующих документах:
Требуемый от СИБ функционал прописан в выше указанных документах. Штатная численность жестко не регламентирована, за исключением, пожалуй, лицензионных требований ФСБ России на криптографию (минимум 2 сотрудника, но они могут быть в разных подразделениях) и может выбираться организацией самостоятельно.
Для обоснования размера штата рекомендуется пользоваться документом — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» РС БР ИББС-2.
7-2015» С точки зрения подчиненности СИБ существует только одно ограничение, прописанное в вышеуказанных положениях ЦБ РФ — «Служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора», в остальном свобода выбора остается за организацией. Рассмотрим типовые варианты. Таблица 1.
Подчиненность Особенности| СИБ в составе IT | 1. Организация защиты возможна только против внешнего злоумышленника. Основным вероятным внутренним злоумышленником является сотрудник IT. Бороться с ним в составе IT невозможно. 2. Нарушение требований Банка России.3. Прямой диалог с IT, простое внедрение систем защиты информации |
| СИБ в составе службы безопасности | 1. Защита от действий как внутренних злоумышленников, так и внешних. 2. СБ — единая точка взаимодействия топ-менеджмента по любым вопросам безопасности. 3. Сложность взаимодействия с IT, поскольку общение происходит на уровне глав IT и СБ, а последний, как правило, обладает минимальными знаниями в IT. |
| СИБ подчиняется Председателю Правления | 1. СИБ обладает максимальными полномочиями и собственным бюджетом. 2. Для Председателя Правления создается дополнительная точка контроля и взаимодействия, требующая к себе определенного внимания. 3. Возможные конфликты СБ и СИБ по зонам ответственности при расследовании инцидентов.4. Отдельный СИБ может «политически» уравновешивать полномочия СБ. |
При взаимодействии с другими структурными подразделениями и топ-менеджментом банка у СИБ любой организации есть одна общая проблема — доказательства необходимости своего существования (финансирования). Проблема заключается в том, что размер сэкономленных средств от нейтрализованных угроз информационной безопасности невозможно точно определить. Если угроза не реализовалась, то и ущерба от нее нет, а раз проблем нет, то и не нужно их решать. Для решения этой проблемы СИБ может действовать двумя способами:
- Показать экономическую значимость
Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки. - Заниматься внутренним PR-ом
Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.
Практические аспекты обеспечения безопасности
Выделим практические аспекты обеспечения безопасности, которые обязательно должны быть донесены до топ-менеджмента и других структурных подразделений, а также учтены при построении системы защиты информации:
- Обеспечение безопасности — это непрерывный бесконечный процесс. Степень защищенности, достигаемая с ее помощью, будет колебаться с течением времени в зависимости от воздействующих вредоносных факторов и усилий, направленных на их нейтрализацию.
- Безопасность невозможно обеспечить постфактум, то есть в тот момент, когда угроза уже реализовалась. Чтобы нейтрализовать угрозу, процесс обеспечения безопасности должен начаться до попытки ее реализации.
- Большая часть угроз имеет антропогенный характер, то есть организации тем или иным образом угрожают люди. Как говорят компьютерные криминалисты: «Воруют не программы, воруют люди».
- В нейтрализации угроз должны участвовать люди, чья безопасность обеспечивается,
будь это собственники бизнеса или клиенты. - Безопасность — это производная от корпоративной культуры. Дисциплина, требуемая для реализации защитных мер, не может быть выше общей дисциплины при работе организации.
Подводя промежуточный итог под вышесказанным, отметим, что создаваемая система ИБ безналичных платежей должна иметь практическую направленность и быть экономически эффективной. Лучшим подспорьем в достижении указанных свойств является применение риск-ориентированного подхода.
Управление рисками (risk management)
Информационная безопасность — это всего лишь одно из направлений обеспечения безопасности (экономическая безопасность, физическая безопасность, пожарная безопасность, …). Помимо угроз информационной безопасности, любая организация подвержена другим, не менее важным угрозам, например, угрозам краж, пожаров, мошенничества со стороны недобросовестных клиентов, угрозам нарушения обязательных требований (compliance) и т. д.
В конечном счете для организации все равно, от какой конкретно угрозы она понесет потери, будь то кража, пожар или компьютерный взлом. Важен размер потерь (ущерб). Кроме размера ущерба, важным фактором оценки угроз является вероятность из реализации, которая зависит от особенностей бизнес-процессов организации, ее инфраструктуры, внешних вредоносных факторов и принимаемых контрмер. Характеристика, учитывающая ущерб и вероятность реализации угрозы, называется риском.
Примечание.
Научное определение риска можно получить в ГОСТ Р 51897-2011
Риск может быть измерен как количественно, например, путем умножения ущерба на вероятность, так и качественно. Качественная оценка проводится, когда ни ущерб, ни вероятность количественно не определены. Риск в этом случае может быть выражен как совокупность значений, например, ущерб — «средний», вероятность — «высокая». Оценка всех угроз как рисков позволяет организации эффективным образом использовать имеющиеся у нее ресурсы на нейтрализацию именно тех угроз, которые для нее наиболее значимы и опасны.
Управление рисками является основным подходом к построению комплексной экономически эффективной системы безопасности организации. Более того, почти все банковские нормативные документы построены на базе рекомендаций по управлению рисками Базельского комитета по банковскому надзору.
Основные угрозы и оценка потенциального ущерба от их реализации
Выделим основные угрозы, присущие деятельности по осуществлению банковских безналичных платежей, и определим максимальный возможный ущерб от их реализации. Таблица 2.
| № | Угроза | Максимальный возможный ущерб |
| 1 | Прекращение (длительная остановка) деятельности | Отзыв лицензии на банковскую деятельность |
| 2 | Кража денежных средств | В размере остатка денежных средств на счетах |
| 3 | Нарушение обязательных требований к деятельности, установленных действующим законодательством и договорами с Банком России | Отзыв лицензии на банковскую деятельность |
Здесь в состав анализируемой деятельности входит совокупность бизнес-процессов:
- реализация корреспондентских отношений с банками-партнерами и ЦБ РФ;
- проведение расчетов с клиентами.
В дальнейшем мы будем рассматривать только вопросы обеспечения безопасности корреспондентских отношений с Банком России. Тем не менее, полученные наработки могут быть использованы для обеспечения безопасности и других видов расчетов.
Обязательные требования к системе ИБ безналичных платежей
При рассмотрении основных угроз мы оценили их ущерб, но не оценили вероятность их реализации. Дело в том, что если максимально возможный ущерб будет одинаковым для любых банков, то вероятность реализации угроз будет отличаться от банка к банку и зависеть от применяемых защитных мер. Одними из основных мер по снижению вероятности реализации угроз информационной безопасности будут:
- внедрение передовых практик по управлению IT и инфраструктурой;
- создание комплексной системы защиты информации.
Про IT практики здесь мы говорить не будем, затронем только вопросы обеспечения информационной безопасности. Основным нюансом, который необходимо учитывать в вопросах обеспечения информационной безопасности, является то, что данный вид деятельности довольно жестко регулируется со стороны государства и Центрального Банка. Как бы не оценивались риски, как бы не малы были те ресурсы, которыми располагает банк, его защита должна удовлетворять установленным требованиям. В противном случае он не сможет работать. Рассмотрим требования по организации защиты информации, налагаемые на бизнес-процесс корреспондентских отношений с Банком России. Таблица 3.
| Защита персональных данных. Основание – в платежных документах есть персональные данные (Ф.И.О. плательщика / получателя, его адрес, реквизиты документа, удостоверяющего личность) | |
| Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ | КоАП РФ Статья 13.11, КоАП РФ Статья 13.12 – до 75 тыс. руб. штраф., УК РФ Статья 137 – до 2 лет лишения свободы |
Источник: https://habr.com/post/350852/
Оценка и анализ структуры системы защиты информации
Информационная безопасность предприятия – это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении.
Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.
Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.
Компьютеризация, развитие телекоммуникаций предоставляют сегодня широкие возможности для автоматизированного доступа к различным конфиденциальным, персональным и другим важным, критическим данным в обществе (его граждан, организаций и т.д.).
Проблема создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современной организации, является весьма актуальной.
Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный, фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью, которую можно получить от ее (информации) использования.
В то же время, вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты.[1]
Объектом исследования являются: информационная безопасность.
Предмет исследования: защита информации.
Таким образом, цель данной работы изучение информационной безопасности.
Для достижения поставленной цели необходимо выполнить следующие задачи: рассмотреть оценку безопасности информационных систем, виды, методы и средства защиты информации; проанализировать структуру системы защиты информации.
1. Оценка безопасности информационных систем
В условиях использования автоматизированной информационной технологии (АИТ) под безопасностью понимается состояние защищенности информационных систем (далее ИС) от внутренних и внешних угроз.
Показатель защищенности ИС – характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.[2]
Для оценки реального состояния безопасности ИС могут применяться различные критерии. Анализ отечественного и зарубежного опыта показал определенную общность подхода к определению состояния безопасности ИС в разных странах.
Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности.
Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.
Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах защиты.
Политика безопасности – это набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение конфиденциальной информации.
Анализ классов безопасности показывает, что чем он выше, тем более жесткие требования предъявляются к системе.
Руководящие документы в области зашиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования этих документов обязательны для исполнения только организациями государственного сектора либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.
2. Методы и средства построения систем информационной безопасности (СИБ)
Создание систем информационной безопасности в ИС и ИТ основывается на следующих принципах: системный подход, принцип непрерывного развития системы, разделение и минимизация полномочий, полнота контроля и регистрация попыток, обеспечение надежности системы защиты, обеспечение контроля за функционированием системы защиты, обеспечение всевозможных средств борьбы с вредоносными программами, обеспечение экономической целесообразности.[3]
В результате решения проблем безопасности информации современные ИС и ИТ должны обладать следующими основными признаками:
• наличием информации различной степени конфиденциальности;
• обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;
• иерархичностью полномочий субъектов доступа к программам и компонентам ИС и ИТ (к файл-серверам, каналам связи и т.п.);
• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
• наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;
• обязательной целостностью программного обеспечения и информации в ИТ;
• наличием средств восстановления системы защиты информации;
• обязательным учетом магнитных носителей;
• наличием физической охраны средств вычислительной техники и магнитных носителей;
• наличием специальной службы информационной безопасности системы.
информационный безопасность криптографический система
3. Структура системы информационной безопасности
При рассмотрении структуры системы информационной безопасности (СИБ) возможен традиционный подход – выделение обеспечивающих подсистем. Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию. С учетом этого, СИБ должна иметь следующие виды (элементы) обеспечения: правовое, организационное, нормативно-методическое, информационное, техническое (аппаратное), программное, математическое, лингвистическое.[4]
Правовое обеспечение СИБ основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот вид обеспечения включает:
• наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
• формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.[5]
Следует отметить, что из всех мер зашиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому следует выделить вопрос организации службы безопасности. Реализация политики безопасности требует настройки средств защиты, управления системой зашиты и осуществления контроля функционирования ИС. Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.
Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая работа и около 2/3 – административная (разработка документов, связанных с защитой ИС, процедуры проверки системы защиты и т.д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.[6]
Административную группу иногда называют группой информационной безопасности. Она обособлена от всех отделов или групп, занимающихся управлением самой ИС, программированием и другими относящимися к системе задачами, во избежание возможного столкновения интересов.
Организационное обеспечение включает в себя регламентацию:
• формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно – методическими документами по Организации и технологии защиты информации;
• составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
• разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;
• методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;
Источник: https://mirznanii.com/a/121461/otsenka-i-analiz-struktury-sistemy-zashchity-informatsii