Куперс

Информационная безопасность банков начинается с аудита. ИБ-аудит может не только дать банку право осуществления определенных видов деятельности, но и показать слабые места в системах банка. Поэтому подходить к решению о проведении и выборе формы аудита необходимо взвешенно.

Согласно Федеральному закону от 30 декабря 2008 года №307-ФЗ «Об аудиторской деятельности», аудит – это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности».

К сфере информационной безопасности определение термина, упомянутое в законе, отношения не имеет. Однако специалисты по информационной безопасности достаточно активно используют его в речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта.

В различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда — его часто заменяют либо термином «оценка соответствия», либо немного устаревшим, но все еще употребляемым термином «аттестация». Иногда встречается термин «сертификация», но применительно к международным зарубежным нормативным актам.

Какой бы термин не использовался, по сути, аудит информационной безопасности проводится, чтобы проверить выполнение нормативных актов или обоснованность и защищенность применяемых решений. В первом случае отказаться от проведения аудита невозможно, иначе это повлечет нарушение требований нормативных актов и штрафам, приостановлению деятельности, другим формам наказания. Во втором случае аудит носит добровольный характер, и решение о проведении принимает сама организация.

Обязательный аудит может проводить:

• сама банковская организация, например, в форме самооценки (правда, о «независимости» уже речи не идет и термин «аудит» применять не совсем уместно);
• внешняя независимая организация — аудитор;
• регулирующие органы, наделенные правом осуществлять соответствующие надзорные мероприятия (этот вариант чаще называют не аудитом, а инспекционной проверкой).

Добровольный аудит может проводиться по любому поводу: для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и так далее. В этом случае невозможно ни четко очертить границы, ни описать формы отчетности, ни говорить о регулярности аудита — все это решается договором между аудитором и проверяемой организацией. Обратимся к формам обязательного аудита, которые важны для информационной безопасности именно банков.

По итогам исследования компаний РФ и мира, которое «СёрчИнформ» провела в 2018 году, финансисты, бухгалтеры и экономисты были виновниками ИБ-инцидентов​​ в 24% случаев. Посмотреть все итоги.

Международный стандарт ISO 27001

Полный российский аналог международного стандарта ISO/IEC 27001:2005 — «ГОСТ Р ИСО/МЭК 27001-2006 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования».

По сути, данные стандарты – это набор лучших практик по управлению информационной безопасностью в крупных организациях. Небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования стандарта в полном объеме. Как и любой стандарт в России, ISO 27001 – добровольный документ, принимать или не принимать его условия каждый банк решает самостоятельно. Но ISO 27001 является призванным мировым стандартом, и специалисты в разных странах используют его как универсальное руководство для всех, кто занимается информационной безопасностью.

С ISO 27001 связаны несколько неочевидных и нечасто упоминаемых, но важных моментов.

Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию.

Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке отраслевого стандарта активно участвует Банк России. Против уже разработанного проекта выступили Visa и MasterCard. Visa считает, что в проекте слишком мало информации, нужной для финансовой отрасли, например, по платежным системам. Однако, если добавить недостающие положения, стандарт придется перенести в другой комитет ISO. MasterCard предлагает прекратить разработку ISO 27015, мотивируя предложение тем, что в финансовой отрасли и без того достаточно документов, которые регулируют сферу информационной безопасности.

В-третьих, многие предложения на российском рынке говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что правом проводить сертификацию соответствия требованиям ISO 27001 обладают всего несколько организаций в мире. А интеграторы всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (регистраторами, органами по сертификации).

Пока продолжаются споры, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят три стадии аудита соответствия:

• предварительное неформальное изучение аудитором основных документов как на территории заказчика аудита, так и вне;
• формальный и более глубокий аудит и оценка эффективности внедренных мер защиты, изучение разработанных необходимых документов, после чего аудитор обычно подтверждает соответствие и выдает сертификат, признаваемый во всем мире.
• ежегодное выполнение инспекционного аудита для подтверждения полученного сертификата соответствия.

Кому нужен ISO 27001 в России? Если рассматривать стандарт не только как набор лучших практик, которые следует внедрять и без прохождения аудита, но и как процесс сертификации, подтверждающий соответствие банка международным требованиям безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата чаще всего не нужно. Но только для банка и только в России, потому что есть отечественный стандарты на базе ISO 27001. Де-факто до недавнего времени Банк России проводил инспекционные проверки именно в соответствии с требованиями СТО БР ИББС.

Комплекс документов Банка России СТО БР ИББС

Этот стандарт, а точнее набор стандартов описывает единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. Набор документов (далее – СТО БР ИББС) включает три стандарта и пять рекомендаций по стандартизации. Он основан на ISO 27001 и других международных стандартах по управлению информационными технологиями и информационной безопасностью. Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах:

• СТО БР ИББС-1.1-2007. Аудит информационной безопасности,
• СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010,
• РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0.

Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, которые разделены на 34 групповые показателя. Результат оценки – итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Эта деталь отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. СТО БР ИББС не подразумевает «несоответствия», просто уровень соответствия может быть разный: от нуля до пяти. Положительными считаются только уровни выше 4-го.

По состоянию на конец 2011 года 70–75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Де-юре СТО БР ИББС носит рекомендательный характер, но де-факто до недавнего времени Банка России проводил проверки именно в соответствии с требованиями СТО БР ИББС, хотя явно условия никогда и нигде не звучали. Ситуация изменилась с 1 июля 2012 года, когда вступил в силу закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы правительства и Банка России. С этого момента вопрос о необходимости проводить аудит соответствия требованиям СТО БР ИББС вернулся в повестку дня.

Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, тогда как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. В самом Банке России на момент написания статьи еще не решили судьбе этой оценки. Если ранее все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос оставался открытым. Ясно только, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита.

Законодательство о национальной платежной системе

Выпущенное и утвержденное 9 июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в пункте 2.15 обязательной оценки соответствия, то есть аудита. Оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций.

Методика оценки соответствия в рамках 382-П похожа по своей сути на методику оценки соответствия по СТО БР ИББС, но выдает другие результаты. Это связано с вводом специальных корректирующих коэффициентов.

Особых требований к организациям, привлекаемым для аудита, положение 382-П не устанавливает. Это приводит к некоторому противоречию с постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако постановление правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводили только организации с лицензией на деятельность по технической защите конфиденциальной информации.

Дополнительные требования, которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно требованиям, оператор платежных систем обязан разработать, а банки, присоединившиеся к платежной системе, обязаны выполнять требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке, включая:

• выполнение требований по защите информации,
• данные об выявленных инцидентах,
• результаты проведенных самооценок,
• сведения о выявленных угрозах и уязвимостях.

Предотвратить ИБ-инциденты в банках помогает «СёрчИнформ КИБ». Предустановленные политики безопасности для финансовой отрасли учитывают основные информационные угрозы.

ФЗ-161 о НПС также устанавливает, что дополнительно к аудиту на договорной основе контроль и надзор за выполнением требований 584-го постановления и 382-го положения осуществляют ФСБ, ФСТЭК и Банк России соответственно. На момент написания статьи ни у ФСТЭК, ни у ФСБ не располагали разработанным порядком проведения надзора. В отличие от Банка России, который выпустил два документа:

• положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций);
• положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».

Банк России начал апробацию и сбор фактов по правоприменительной практике нормативных актов в области защиты информации в национальной платежной системе в 1 июля 2012 года.

Стандарт безопасности платежных карт PCI DSS

PCI DSS – Payment Card Industry Data Security Standard – стандарт безопасности данных платежных карт. Его разработал Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS представляет совокупность 12 высокоуровневых и более 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций. Требования стандарта распространяются на все компании, которые работают с международными платежными системами Visa и MasterCard. Каждой компании в зависимости от количества обрабатываемых транзакций присваивают уровень, для каждого уровня – свой набором требований. Уровни для каждой платежной системы отличаются.

Проверка выполнения условий стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании: торгово-сервисное предприятие, которые принимает карты к оплате товаров и услуг, или поставщик, которые оказывает услуги торгово-сервисным предприятиям, банкам-эквайрерам, эмитентам и так далее (процессинговые центры, платежные шлюзы). Оценка осуществляется в разных формах:

• ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
• ежегодная самооценка;
• ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Еще один нормативный документ, который имеет отношение к банковской индустрии и устанавливает требования по оценке соответствия, – Федеральный закон «О персональных данных». Однако ни форма, ни периодичность аудита, ни требования к организации, которая проводит аудит, пока не установлены. Возможно, вопрос решится осенью 2012 года, когда выйдет порция документов правительства, ФСТЭК и ФСБ, которые вводят новые нормативы в области защиты персональных данных. Пока банки самостоятельно определяют особенности аудита защиты персональных данных.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных статьей 19 закона 152-ФЗ, осуществляют ФСБ и ФСТЭК. Но это касается только государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока – по закону – осуществлять некому. Чего не скажешь о защите прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который активно осуществляет надзорные функции и видит в банках злостных нарушителей закона о персональных данных.

Заключительные положения

Каждый из основных нормативных актов устанавливает свои требования по проведению оценки соответствия в той или иной форме: от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Существуют и другие формы оценки соответствия: уведомления оператора платежной системы, ежеквартальные сканирования и так далее.

С другой стороны, в стране до сих пор нет единой системы взглядов не только на государственное регулирование аудита информационной безопасности организаций и систем информационных технологий, но и на саму тему аудита информационной безопасности. За информационную безопасность в России отвечает ряд ведомств и организаций: ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и другие. Все они действуют на основании собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры.

Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (см. инфографику) и продолжительности аудита от нескольких недель до нескольких месяцев очевидно, что запрос на аудит серьезно превышает возможности аудиторов.

В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза:

«…в то же время в отсутствие необходимых национальных регуляторов такая деятельность может нанести непоправимый вред организациям».

Авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к квалификации, процедуре проведения аудита. Но воз и ныне там. Хотя, учитывая внимание, которое отечественные регуляторы в области информационной безопасности, а их всего девять, уделяют вопросам защиты информации, не исключено, что тема вскоре вновь станет актуальной. Только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности, и один нормативный акт в неделю!

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В сложившихся условиях, к сожалению, приходится признавать: основная цель аудита информационной безопасности банка – повышение доверия к его деятельности – в России недостижима. Немногие российские клиенты банка обращают внимание на уровень безопасности или на результаты проведенного в банке аудита. К аудиту обращаются либо в случае выявления очень серьезного инцидента с серьезным материальным ущербом для банка (его акционерам и владельцам), либо в случае законодательных требований.

Требованием №1, ради которого стоит обратиться к аудиту безопасности, является положение Банка России 382-П. Сведения об уровне защищенности банков и выполнении требований 382-П, которые запрашивают из территориальных управлений ЦБ, получаются именно в результате внешнего аудита или проведенной самооценки.

На втором место – аудит выполнения требований закона «О персональных данных». Но проводить подобный аудит стоит не раньше момента, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятна судьба СТО БР ИББС. Тогда же можно поднять вопрос проведения аудита соответствия требованиям СТО БР ИББС.

Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо. Существует множество уловок, которые позволяют проверяемой организации скрыть недочеты в системе защиты. Очень многое зависит от квалификации и независимости аудиторов. Опыт показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, случаются инциденты, и инциденты серьезные.

МНЕНИЕ ЭКСПЕРТА

Дмитрий МАРКИН, начальник отдела аудита и консалтинга АМТ-ГРУП:

– До недавнего времени вопросы прохождения обязательного аудита состояния ИБ для кредитных организаций в рамках российского законодательства регламентировались только ФЗ-152 «О персональных данных» в части осуществления внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн, а также положением ЦБ РФ №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Причем, согласно требованиям положения №242-П порядок контроля за обеспечением ИБ устанавливается внутренними документами кредитной организации самостоятельно без привязки к конкретным требованиям по обеспечению ИБ. В связи с вступлением в силу ст.27 ФЗ-161 «О национальной платежной системе», определяющей требования по защите информации в платежной системе, вышли в свет постановление правительства РФ №584 «Об утверждении положения о защите информации в платежной системе» и положение ЦБ РФ №382-П. Согласно требованиям постановления №584 и положения №382-П защита информации в платежной системе должна осуществляться по требованиям данных нормативных актов и требованиям, включенным операторами платежных систем в правила платежных систем. Ключевым моментом здесь является закрепление на уровне национального законодательства права операторов платежных систем (например, Visa и MasterCard) самостоятельно устанавливать требования к защите информации. В положении №382-П также указана обязанность проведения кредитными организациями оценки выполнения требований к обеспечению ИБ не реже 1 раза в 2 года, четко определены методика оценки соответствия, критерии аудита и порядок документирования ее результатов. На наш взгляд, появление вышеуказанных нормативных актов должно повысить статистику прохождения кредитными организациями сертификации по требованиям стандарта безопасности данных индустрии платежных карт PCI DSS 2.0, разработанного при участии ведущих международных платежных систем Visa и MasterCard.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Сегодня, когда объемы информации растут в геометрической прогрессии, вопросы обеспечения информационной безопасности все чаще выходят на первый план, особенно в финансовом секторе.

По данным Аналитического центра InfoWatch, в первой половине 2015 года на компании финансового сектора пришлось около 50% всех зафиксированных утечек. При этом половина инцидентов ИБ были неслучайными: речь идет о злонамеренных попытках кражи платежной информации и личных данных клиентов.

Наличие большого штата сотрудников, разветвленной филиальной структуры и множества каналов предоставления услуг делает банки уязвимыми со стороны угроз внешней и особенно внутренней ИБ и как следствие может привести к значительным финасовым и репутационным рискам. В этой ситуации компаниям банковского сектора приходится использовать целый ряд различных решений для защиты от утечек информации и целевых хакерских атак.

InfoWatch вошла в список топ-20 лучших решений для банков 2016 по версии американского издания CIO Review. Вадим Кузнецов, директор по международным продажам InfoWatch, в своем интервью изданию рассказал, какие решения и технологии ИБ могут быть полезны финансовым организациям.

Основная сложность, с которой сталкиваются разработчики программных продуктов — возможность предложить заказчику универсальное и безопасное решение для защиты от внешних и внутренних угроз. Как раз такие продукты предлагает наша компания.

С помощью технологий контентной фильтрации (БКФ) мы можем фиксировать движение конфиденциальной информации за пределами организации. Применение БКФ обеспечивает более точное детектирование конфиденциальных данных в информационных потоках компании и позволяет быстрее настраивать защитное решение на этапе внедрения. А благодаря технологии Автолингвист мы постоянно поддерживаем акутальность защищаемых данных — все вновь созданные или изменённые внутренние документы, имеющие отношение к банковской тематике, автоматически заносятся в БКФ.

Для защиты компаний от внешних угроз мы предлагаем решение InfoWatch Attack Killer. Это модульный продукт, базирующийся на 4 технологиях для многоуровневой защиты — каждый модуль может использоваться как отдельно, так и в комбинации с другими. Система работает в автоматическом режиме, с возможностью самообучения. Attack Killer защищает от многовекторных таргетированных и DDoS атак, находит уязвимости веб-инфраструктуры и вредоносное ПО с помощью анализа аномалий, а также уязвимости приложений на основе анализа исходного кода.

Сегодня нельзя забывать о возрастающей роли социальных медиа как в жизни каждого из нас, так и в жизни финансовых организаций. В ситуации когда временной ресурс ценится особенно высоко, решение InfoWatch Kribrum помогает избежать финансовых и репутационных потерь с помощью мониторинга и анализа репутации в соцмедиа — у компаний появляется время для оперативной реакции на те или иные негативные высказывания в Сети и анализ действий со стороны конкурентов.

В чем принципиальное отличие InfoWatch от других ИБ-вендоров? Мы делаем особый упор на глубокое развитие технологий лингвистического анализа, а также предлагаем комплексный подход к внедрению DLP-решений. Речь идет о методологии pre-DLP-DLP-post-DLP, когда процесс внедрения защитного решения делится на 3 этапа.

Аудит документов и их категоризация, подготовка базы для правовой защиты интересов компании; этап внедрения и тонкой настройки решения в соответствии с отраслевой спецификой; этап расследования инцидентов — заказчик получает возможность проводить внутренние расследования ИБ и собирать юридически значимую базу для доказательств в суде.

Мы делаем ставку на аналитиков и сотрудников отдела внедрения — эти технические специалисты осуществляют настройку защитных систем индивидуально под каждого конкретного заказчика, с учетом пожеланий и отраслевой специфики. Мы также занимаемся обучением по всем нашим продуктам и оказываем услуги консалтинга в области обеспечения ИБ.

Приведу конкретный пример. В одном из банков Бахрейна требовалось защитное решение для защиты конфиденциальной информации от «атак нулевого дня». При этом обязательными условиями были поддержка арабского языка, а также соответствие всем местным банковским стандартам и регламентам. Проект показал эффективность уже на стадии «пилота» — в течение первых 72 часов с момента внедрения решение InfoWatch Traffic Monitor предотвратило попытку нарушить политику безопасности банка. При этом попытка мошенничества была выявлена, категоризирована и остановлена в автоматическом режиме, затем инцидент был помещен для дальнейшего анализа и хранения в архив всей перехваченной информации — InfoWatch Forensic Storage.

Банковская безопасность является одним из ведущих направлений в плане приоритетного развития концепций информационной безопасности государства в целом. При этом, техническая составляющая безопасности на банковских объектах не менее актуальна, нежели интеллектуальная её часть. Об основных аспектах банковской безопасности нам рассказал руководитель регионального подразделения компании Group IB в Республике Беларусь Александр СУШКО.

— Каковы профилактические меры, принимаемые специалистами в области безопасности банковских платежей?

— Существует обширный пласт профилактических мероприятий, направленных на повышение общего уровня информационной безопасности банковских структур. Поскольку банковские учреждения желают комплексно обезопасить проведение безналичных платежей, соответствующими отделами банковских структур принимаются определенные меры, позволяющие значительным образом улучшить состояние безопасности банковской сферы. Очевидно, что совершаться преступления в сфере высоких технологий будут повсеместно, и обеспечить комплексную безопасность невозможно. Однако необходимо к этому стремиться. Помимо этого, актуальным аспектом деятельности, как банковских учреждений, так и представителей структур безопасности является обеспечение решения вопросов региональной кибербезопасности. Связано это в первую очередь, с тем, что компьютерные злоумышленники осознают: шанс совершить преступление у них весьма невысок. Поскольку они полагают, что в регионах наказания им можно избежать, большая часть подобных преступлений на сегодняшний день совершается именно там. Однако, как показывает практика, и эти граждане могут быть установлены и привлечены к ответственности.

— Каковы основные формы противозаконных деяний в банковской сфере?

— Следует подробнее остановиться на отдельных негативных аспектах преступлений в сфере информационной безопасности. В первую очередь, это фотографирование различных частей банковской карточки. Впоследствии с применением полученных реквизитов злоумышленниками совершались хищения, в том числе и в ряде интернет-магазинов Китая. Суммы хищений были невелики, однако на сегодняшний день установлено более 40 пострадавших. Ключевым аспектом, который хотелось бы отметить относительно уровня современных технологий безопасности является продолжительность процессов расследования данных преступлений. Если в банковское учреждение сообщается о потерпевшем, то через месяц – два, а то и три банк умывает руки и говорит, что по данному поводу проверок производить не будет. Система онлайн-мониторинга, как и система работы с потерпевшими, должна быть организована при поддержке самого банковского учреждения. Специалистами регионального отдела Департамента Охраны было достаточно сказано относительно не только инструкций, но и корректировки основных производственных аспектов. На сегодняшний день, я ни в коей мере не хочу говорить о внутренних инструкциях, которые будут регулировать основные вопросы корпоративной безопасности. Коллегами из Национального банка уже отмечалось, что подобное будет применяться относительно СТБ. Однако все мы прекрасно понимаем, что если не будет налажена реальная работа в банковских учреждениях, обращение к подобным документам положения дел здесь не исправит. Сопряжена данная ситуация с тем, что на сегодняшний день многие банковские предприятия не имеют единой точки опоры: когда появляется информация о пострадавших гражданах, с ней работают и специалисты отдела банковских карт, и начальники служб безопасности, и юристы. В конечном же итоге, отсутствует точный механизм сопровождения, которое данное заявление должно проходить. Это ключевой момент, который хотелось бы отметить в наладке системы банковских учреждений. Характерный пример, произошел в Витебском регионе: с учетом нестыковок бухгалтерской документации, а также незакрытых вопросов отладки программного обеспечения, регулирующего деятельность интернет-банкинга, злоумышленник получил полтора миллиарда рублей. После данного знаменательного для отечественных сотрудников служб безопасности факта, была разработана инструкция, согласно которой каждый отдел и каждый сотрудников были досконально ознакомлены с собственными должностными обязанностями. В конечном итоге, ответственность за данные операции никто не нёс – и виновных начинали искать уже после того, как был выявлен ущерб.

Еще один аспект, на котором хотелось бы остановить пристальное внимание – это системы видеонаблюдения. Безусловно, хотелось бы отметить, что тратить большое количество денежных средств на приобретение новых систем видеонаблюдения весьма нерационально. Однако, подобная ситуация может коснуться каждого из банковских учреждений. Банковскими специалистами ведется аналитика и учёт работы по выявлению условий и причин, которые совершаются в данной сфере. Практически по каждому делу в банковские учреждения, а иногда и в адрес Национального Банка, направлялись представления, которые позволили бы должным образом улучшить ситуацию. Однако на улучшение качества видеозаписи не тратилось дополнительных средств. Наличие данных правонарушений тесно сопряжено с деятельностью банковских учреждений. В конечном итоге оказывается, что граждане получают информацию именно в банках. На сегодняшний день методика доступа к информации требует определенных доработок. Разумеется, за это время преступники каким — либо образом заметают следы. В итоге, не всегда предоставляется возможность их установить. Даже когда мы узнаём, что преступник применял банковскую пластиковую карточку для того, чтобы обналичить вырученные от продажи наркотиков средства, видеонаблюдение не всегда показывает достоверную картину. Проблема заключается в следующем: когда кто-либо из технических специалистов интересуется причинами подобных сбоев, возникает вопрос: на каком основании на протяжении восьми лет банковское сообщество не смогло самостоятельно выработать данные критерии? Моё субъективное мнение – инструкции ничего хорошего не принесут, пока банк сам в этом не заинтересован.

— Для чего вообще существует видеонаблюдение?

— Мои коллеги неоднократно отмечали, что большое количество вопросов имеется в отношении потерпевших, пока устанавливаются основные факты мошенничества. К примеру, установка системы видеонаблюдения поможет выявить, что сам потерпевший пользовался банковской пластиковой карточкой. Если же видеонаблюдения не будет, у банковских работников могут возникнуть обоснованные сомнения относительно того, что данный человек – мошенник. Правоохранительным органам предоставить по факту данного мошенничества будет нечего. Следовательно, исходить необходимо из того, что весь массив производимых операций не может обрабатываться руками одного сотрудника. Однако работники службы безопасности должны поднимать данные вопросы перед самим банковским руководством – для оперативного внедрения систем онлайнового мониторинга. В нашей практике имелись прецеденты уголовных дел, когда работники банковского сектора сами совершали преступления. При этом, служба безопасности рапортовала, что не может установить преступника. И, в конечном итоге суд признал виновными сотрудников банковских учреждений, которые похищали средства с карт-счетов граждан. Служба безопасности при этом оставалась в стороне, и заявляла, что для расследования инцидентов у них нет ни полномочий, ни оснований. Для того, чтобы такие полномочия и основания появлялись, необходимо нормативное регулирование спорных законодательных вопросов. Если будут регламентированы процессы деятельности каждого подразделения, в конечном итоге мы получим необходимый результат. Поэтому хотелось бы призвать коллег к дальнейшему конструктивному сотрудничеству: в данной сфере преступлений будет становиться, соответственно, всё меньше – а онлайн-банкинг, интернет-банкинг и прочие виды интерактивных банковских решений оперативно будут развиваться. Для них необходимо дополнительное техническое оснащение. Поэтому думать надо также и о том, что нас ожидает через два-три года, а не рассматривать ситуацию сугубо в нынешнем разрезе.

— Каким образом можно создавать предпосылки для формирования положительной динамики расследования компьютерных преступлений?

— Совершение преступления система видеонаблюдения предотвратить не может, однако существует деятельность по их целенаправленной профилактике. Существуют условия, способствующие повышению уровня компьютерной преступности — как в столице, так и на региональном уровне. Одним из них является отсутствие видеонаблюдения. Однако отсутствие практических мер, направленных на реализацию информационного противодействия киберпреступности — это только одна сторона медали. Другой вопрос, когда вы самостоятельно выявляете неисправности и изменяете тем самым отношение к системе видеонаблюдения при условиях сохранения информации. Однако подобных фактов будет становиться всё меньше. Но, если в банке отсутствует система видеонаблюдения – нельзя говорить о наличии целостной системы профилактики. Когда банку сообщают о выявленных недостатках, а причины их не были установлены, то подобные представления от следователей продолжают поступать. Представления при этом не являются самоцелью – целью можно назвать то, что банковское сообщество самостоятельно начинает заботиться о вопросах корпоративной безопасности. Однако не следует путать вопросы информационной безопасности с подразделениями, которые данным направлением занимаются. Информационная безопасность – это совокупность всех процессов, которые происходят в банке. Складывается она из организационных, технических и правовых мер. На сегодняшний день в банковской структуре обеспечение вопросов информационной безопасности находится на надлежащем уровне. Проблема заключается лишь в том, что не окончательно обеспечены правовые аспекты. Банковская система должна представлять собой целостный комплекс, в котором будут отсутствовать данные недочёты. Они всегда могут быть, поскольку уровень киберпреступности на сегодняшний день достаточно велик. Поэтому всегда найдутся люди, готовые эти преступления совершать…

Грамотно выполненный аудит информационной безопасности помогает оперативно оценить общее состояние СОИБ в компании, выявить проблемные места, оценить уровень соответствия требованиям регуляторов, а также выработать стратегию комплексной защиты компании от разного рода угроз. Эксперты компании Astrum приводят подробный план действий: как организовать и эффективно провести экспресс-аудит ИБ.

1. Введение
2. Процесс проведения экспресс-аудита ИБ
1. Этап 1 — Организационные вопросы
2. Этап 2 — Сбор информации
3. Этап 3 — Анализ информации
4. Этап 4 — Обследование процессов ИБ
5. Этап 5 — Обследование объектов информационной инфраструктуры
6. Этап 6 — Обследование подсистем защиты информации
7. Этап 7 — Отчетность
3. Выводы

Введение

Представим ситуацию: вы получили должность руководителя направления информационной безопасности на новом месте работы, и теперь у вас возникают вопросы: «Какие первые шаги предпринять по совершенствованию подсистем защиты?», «Как быстро и эффективно оценить состояние информационной инфраструктуры?» и др.

Исходя из опыта компании Astrum, специалисты которой участвовали в различных проектах по информационной безопасности (ИБ) как на стороне заказчика, так и на стороне исполнителя, в первую очередь следует понять и разобраться в текущих процессах и инфраструктуре (понять, с чем имеем дело, найти узкие места, оценить риски), т. е. провести внутренний экспресс-аудит информационной безопасности. Обратим внимание, что речь идет именно об экспресс-аудите, так как на новом месте работы важно получить оперативный и в то же время полный срез по состоянию системы обеспечения информационной безопасностью (СОИБ), а следовательно, нужно не допустить, чтобы данное мероприятие затянулось по каким бы то ни было причинам.

Именно грамотно выполненный экспресс-аудит ИБ позволит вам решить следующие задачи:

• Быстро получить срез по текущему состоянию СОИБ в компании.
• Выявить узкие места в подсистемах защиты информации.
• Определить соответствие СОИБ задачам и бизнес-целям компании, а также определить соответствие требованиям действующего законодательства РФ и международных стандартов.
• Выработать необходимые меры, направленные на совершенствование СОИБ и используемых технологий в компании.

В данной статье описан подход к проведению оперативного аудита ИБ (экспресс-аудита), а также приведен подробный план действий и рекомендаций для эффективной реализации комплекса мероприятий своими силами.

Процесс проведения экспресс-аудита ИБ

Условно разделим его на 7 этапов.

Этап 1 — Организационные вопросы

В первую очередь необходимо определиться c направлениями аудита и с зоной оценки. Желательно обследовать все возможные направления, укрупненно выделим следующие:

• Общие организационные аспекты обеспечения ИБ (подробнее — Этап 4).
• Обследование объектов информационной инфраструктуры (подробнее — Этап 5).
• Обследование подсистем защиты информации (подробнее — Этап 6).

Точно такие же направления обследования будут и в аудите, который не ограничен жесткими временными рамками. И, казалось бы, обследование такого широкого спектра направлений займет немало времени, но исходя из концепции экспресс-аудита, не стоит стремиться обследовать все объекты информационной инфраструктуры. Рекомендуется компенсировать временные затраты за счет уменьшения (сужения) зоны оценки проведения аудита и сосредоточить внимание только на ключевых объектах инфраструктуры, например:

• При обследовании локальной сети совсем не обязательно проверять конфигурации на всех коммутаторах. Целесообразно проверить конфигурационные файлы ядра локальной сети компании, нескольких коммутаторов уровня распределения, нескольких коммутаторов уровня доступа.
• Если в вашей компании много территориальных структурных подразделений (филиалов) и они имеют схожую инфраструктуру, то можно обследовать один-два филиала (на примере основных «образцовых» филиалов).
• Обследовать серверные операционные системы в зависимости от платформы. Несколько основных серверов на базе операционных систем Windows, несколько основных серверов на базе иных операционных систем.
• Обследовать настройки нескольких рабочих станций в разных подразделениях, например в подразделении информационных технологий и бухгалтерии.

Руководствуясь таким принципом по сужению зоны оценки, можно существенно сэкономить время на проведение аудита.

После определения направлений и зоны оценки необходимо приступить к основной задаче данного этапа — заручиться поддержкой руководства компании, что при реализации мероприятий аудита в случае необходимости позволит применять «административный ресурс», например, если специалисты «соседнего» подразделения затягивают с предоставлением конфигурационных файлов оборудования.

Наилучший вариант при аудите без временных ограничений — это создание рабочей группы по проекту. Но в нашем случае лучше действовать иначе: опишите в виде служебной записки руководству планируемые работы и какие человеческие ресурсы при этом могут потребоваться. Но тут возникает вопрос: кого из специалистов компании следует привлекать при проведении аудита ИБ? Как правило, в каждой компании имеется схема функционально-организационной структуры, прежде всего рекомендуем подробно изучить ее. Из данной структуры можно выделить следующие типовые позиции, кто будет предоставлять вам информацию для анализа:

• Руководитель подразделения информационных технологий (в случае разделения полномочий: руководитель, отвечающий за сопровождение локальной сети, руководитель разработки программных средств и пр.).
• Руководитель подразделения по работе с персоналом.
• Руководитель подразделения внутренней безопасности.
• Руководители, курирующие блоки основных бизнес-процессов.

Ваша основная задача — постоянно взаимодействовать с определенными выше подразделениями. Помните, информационная безопасность — это работа не только с технологиями, но и с людьми.

Итогом первого этапа должна стать обратная связь от руководства компании по вашему проекту, обязательно получите ее.

Этап 2 — Сбор информации

После того как от руководства компании получена обратная связь и определен перечень участников проекта, следует приступать к сбору информации.

В самом начале аудита важно понять, имеются ли уже какие-либо требования к СОИБ, установленные в компании. Если имеются, то их необходимо определить для дальнейшего сопоставления с реальной ситуацией. Для этого нужно получить все имеющиеся утвержденные документы, которые могут относиться к вопросам обеспечения ИБ. Например, это не только политика ИБ или положение по управлению доступом, но и такие документы, как: положение о защите персональных данных, организационно-распорядительные документы (ОРД), определяющие режим коммерческой тайны, форма трудового договора, форма типовой должностной инструкции, положения о структурных подразделениях, типовые соглашения с контрагентами и пр.

У руководителя, ответственного за информационные технологии в компании, необходимо запросить информацию об имеющихся объектах информационной инфраструктуры. Желательно сразу обозначить желаемый вид предоставляемой информации — например, если это табличный вид, то таблица может содержать следующие поля:

• Наименование сервера/АРМ/оборудования.
• Сетевое имя.
• Сетевой адрес.
• Функциональность/роль.
• Наименование и версия операционной системы или программного комплекса.
• Используемые основные приложения.
• Физический сервер или виртуальный.
• ФИО сотрудника, ответственного за сопровождение.

Также важно получить для анализа полную информацию по локальной сети: логические и физические схемы, технические решения, коммутационные журналы и пр.

Итогом второго этапа является собранный пакет документации по вопросам ИБ, утвержденный в компании, а также инвентаризационная информация по объектам информационной инфраструктуры и корпоративной сети передачи данных.

Этап 3 — Анализ информации

Вы должны внимательно изучить все описанные в собранной документации процедуры ИБ, а также выделить и зафиксировать все требования, которые распространяются на объекты информационной инфраструктуры в компании. В процессе анализа с большой долей вероятности возникнет потребность в уточнении информации.

Из предоставленной инвентаризационной информации необходимо идентифицировать основные (ключевые) объекты информационной инфраструктуры и объекты локальной сети, которые прежде всего обеспечивают основные бизнес-процессы компании.

После этого следует приступить к разработке плана-графика проведения аудита ИБ. План-график должен содержать перечень интервьюируемых лиц, ответственных либо за выполнение процедур ИБ (Этап 4), либо за ключевые объекты информационной инфраструктуры (Этап 5).

Итогом третьего этапа должен стать согласованный со всеми участниками план-график по основным направлениям аудита ИБ с установленными датами и временем интервьюирования ответственных сотрудников.

Этап 4 — Обследование процессов ИБ

Как правило, можно выделить следующие основные процессы ИБ:

• Обеспечение ИБ при работе с персоналом.
• Обучение и повышение осведомленности персонала в вопросах ИБ.
• Управление доступом к информационным системам.
• Обеспечение защиты от вредоносного кода.
• Мониторинг событий информационной безопасности.
• Реагирование и управление инцидентами ИБ.
• Обеспечение ИБ на различных стадиях жизненного цикла объектов информационной инфраструктуры.
• Организация парольной защиты.
• Обеспечение работы средств криптографической защиты информации.
• Организация резервного копирования и восстановления данных.
• Работа с мобильными устройствами и носителями информации.
• Обеспечение ИБ при использовании ресурсов интернета и корпоративной электронной почты.
• Оценка рисков ИБ.
• Обеспечение ИБ при работе с третьими лицами.
• Анализ защищенности и поиск уязвимостей.
• Обеспечение сетевой безопасности.

При обследовании важно не упускать детали и выстроить полную картину по всем имеющимся в компании процессам ИБ. По каждому из процессов важно понять, как именно выполняется та или иная процедура, кто является ее участником, как происходит согласование и пр.

Для этого можно руководствоваться принципом «гэмба» (яп. гэмба) — подход, характерный для японской управленческой практики, согласно которому для полноценного понимания ситуации считается необходимым прийти на гэмба — место выполнения рабочего процесса, собрать факты и непосредственно на месте принять решение.

Этап 5 — Обследование объектов информационной инфраструктуры

Чтобы не упустить ключевые объекты, можно выделить основные категории информационной инфраструктуры, которые относятся к зоне оценки:

• Активное сетевое оборудование.
• Серверные операционные системы.
• Пользовательские операционные системы.
• Средства, обеспечивающие интернет-коммуникации (Mail, Proxy, VoIP, Messengers).
• Инфраструктурные сервисы, службы и протоколы (DC, AD, DNS, DHCP, и пр.).
• Виртуальная инфраструктура.
• Системы управления базами данных (СУБД).
• Основные бизнес-приложения.

При обследовании технической составляющей необходимо прежде всего руководствоваться документацией компании (стандарты, технические решения, регламенты и пр.).

Также необходимо учитывать требования, закрепленные в отраслевых стандартах и ГОСТах. Например, для финансового сектора: стандарт безопасности данных индустрии платежных карт (PCI DSS), стандарты Банка России (СТО БР ИББС), ГОСТ Р 57580.1-2017 и пр.

С практической точки зрения не стоит упускать из вида аудит native-опций (встроенные возможности) безопасности. Термин, обозначающий укрепление свойств безопасности объекта информационной инфраструктуры, именуется как hardening. Основные hardening-стандарты или лучшие практики можно найти на сайте некоммерческой организации Center for Internet Security, либо на официальных сайтах крупных вендоров. Для примера приведем некоторые из них:

• Cisco Guide to Harden;
• Oracle Database Security Guide;
• VMware Security Hardening Guides.

Этап 6 — Обследование подсистем защиты информации

При аудите технических средств защиты информации необходимо обследовать все имеющиеся типовые подсистемы защиты в компании, в частности:

• Подсистему межсетевого экранирования.
• Подсистему антивирусной защиты.
• Подсистему организации доступа в интернет и контентной фильтрации.
• Подсистему фильтрации электронной почты.
• Подсистему резервного копирования.
• Подсистему управления обновлениями системного и прикладного программного обеспечения.
• Подсистему управления уязвимостями.
• Подсистему мониторинга и анализа событий информационной безопасности.
• Подсистему противодействия утечкам конфиденциальной информации.
• Подсистему обнаружения/предотвращения сетевых атак.

Для определения полного перечня критериев оценки данных подсистем необходимо хорошо понимать специфику бизнес-процессов компании. Следует выполнить проверку данных подсистем на поиск явных слабостей или недочетов конфигурирования. Для понимания приведем несколько примеров.

В подсистеме межсетевого экранирования:

• Каждое правило должно быть закреплено в каком-либо документе (зависит от особенностей реализации процесса обеспечения сетевой безопасности).
• Не должно быть правил типа «любой к любому» (исключения должны быть аргументированы).
• Точка выхода в интернет для пользователей должна быть одна (как правило, прокси-сервер), все остальные «прямые» соединения с интернетом должны быть аргументированы.
• Для правил межсетевой фильтрации не должны быть открыты избыточные порты (исключения должны быть аргументированы).
• Должно быть настроено финальное блокирующее правило и т. д.

В подсистеме антивирусной защиты:

• Антивирусные агенты должны быть установлены на всех автоматизированных рабочих местах и технических устройствах (при наличии технической возможности).
• Должна осуществляться полная антивирусная проверка на регулярной основе.
• Должно осуществляться обновление антивирусных баз на регулярной основе в автоматическом режиме и т. д.

Этап 7 — Отчетность

Заключительный этап проекта — выводы по результатам аудита, которые должны быть оформлены и доведены до руководства компании.

Также хорошая практика — по ходу аудита по горячим следам выбрать основные узкие места, устранение которых не требует отвлечения серьезных ресурсов, и направить руководителям соответствующих подразделений предложения для оперативного устранения или совершенствования.

Рисунок 1. Этапы внутреннего аудита

Выводы

С момента предоставления результатов аудита руководству можно считать, что процесс комплексного обеспечения информационной безопасности в компании запущен, и можно приступать к мероприятиям, намеченным по результатам проведенного аудита ИБ.

Сам формат экспресс-аудита нацелен прежде всего на оперативность и понимание общей картины, которая в свою очередь трансформируется в конкретные мероприятия.