СТО БР ИББС-1.0-2006 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (утратило силу с 01.05.2009 на основании распоряжения Банка России от 25.12.2008 N Р-1674)

5. Исходная концептуальная схема (парадигма) обеспечения
информационной безопасности организаций БС РФ

5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых - естественная неопределенность будущего. Это - объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята. При этом степень необходимой защищенности информационной сферы организации определяется анализом и оценкой рисков ИБ, которые должны быть согласованы с рисками основной (бизнес) деятельности организации БС РФ.

5.2. Деятельность организации БС РФ осуществляется через реализацию трех групп высокоуровневых процессов: основные процессы (процессы основной деятельности), вспомогательные процессы (процессы по видам обеспечения), процессы менеджмента (управления) организацией. Процессы по обеспечению ИБ организации БС РФ составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата.

5.3. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. Однако другие, незлоумышленные, действия также лежат в сфере рассмотрения данного стандарта.

_______________

        Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.

Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст.27 УК РФ). Далее по тексту данные лица именуются злоумышленниками (нарушителями).

В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.

5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации.

5.5. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.

5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора “отмычек” к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган - свою службу ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).

5.7. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту настраивать СМИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (составление модели угроз и модели нарушителя), а также работа с персоналом организации по повышению его бдительности в возможных критических условиях, готовности и способности к адекватным действиям в условиях потенциальной злоумышленной активности.

__________________     

            Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.

Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.

5.8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза, базирующегося в том числе и на анализе и оценке рисков ИБ, политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации.

5.9. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересов конкретного собственника.

Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).

При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков.

При принятии решений о внедрении защитных мер (мер контроля) для противодействия идентифицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает новые уязвимости. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков, а не принятия или переноса рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на структуру рисков организации.

5.10. Далеко не каждый собственник располагает потенциалом для составления точного прогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться с учетом опыта ведущих специалистов банковской системы, а также с учетом международного опыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ.

При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться.

5.11. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал, собственник должен всемерно поощрять решение проблемы ИБ.

5.12. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.

Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ организаций БС РФ), а также оценку эффективности СМИБ организаций БС РФ (так называемый “процессный подход”), что должно стать основой для дальнейшего планирования ИБ. Указанные процессы должны реализовываться в рамках циклической модели менеджмента ИБ: “планирование - реализация - проверка - совершенствование - планирование - …”, отвечающей принципам и моделям корпоративного менеджмента в организациях [3], включая менеджмент в банковском деле [4, 5].

При этом эффективность и результативность обеспечения ИБ, включая соответствующие процессы ИБ, должны оцениваться с позиции содействия (пользы) в достижении целей деятельности организации.

5.13. Обеспечение ИБ организаций БС РФ основывается на “процессном подходе” для установления, реализации, эксплуатации, мониторинга, обслуживания и повышения эффективности СМИБ.