Карта рисков информационной безопасности банка

Деятельность любого банка связана с рисками, а риски нарушения информационной безопасности (далее – риски нарушения ИБ) являются их составной частью. Управление рисками, их обработка и минимизация до приемлемого уровня – одна из основных областей обеспечения информационной безопасности в банках.

РИСКИ КАК ОБЪЕКТ УПРАВЛЕНИЯ

Большинство современных отечественных и международных стандартов, описывающих систему менеджмента информационной безопасности (ISO 27001, СТО БР ИББС-1.0-2010, PAS99 и т.д.), базируется на следующих принципах:

• риски – это объективная реальность, и понизить их можно лишь до определённого остаточного уровня;
• рисками необходимо управлять;
• система менеджмента информационной безопасности (далее – СМИБ) должна быть риск-ориентированной;
• риски нарушения информационной безопасности являются неотъемлемой частью операционных рисков банка.

В данной статье речь пойдет о внедрении системы управления рисками нарушения ИБ в рамках СТО БР ИББС-1.0-2010.

Стандарт Банка России (СТО БР ИББС-1.0-2010) предусматривает наличие в банке системы управления рисками и проведение оценки рисков нарушения ИБ для всех информационных активов области действия СОИБ (системы обеспечения информационной безопасности). Также наличие системы управления рисками подразумевают федеральный закон №161-ФЗ от 27 июня 2011 года «О национальной платёжной системе», Постановление Правительства № 584 от 13 июня 2012 года и нормативные документы Банка России, в том числе Положение №379-П от 31 мая 2012 года.

Внедрение системы управления рисками нарушения ИБ в банке связано с решением определённых задач:

• выстраивание эффективного процесса управления рисками;
• подбор персонала (оценщиков рисков), обладающего необходимой квалификацией и опытом;
• взаимодействие с бизнес-подразделениями и подразделениями, занимающимися оценкой операционных рисков банка;
• определение (выбор) методики, по которой будет проводиться оценка.

Управление рисками нарушения ИБ включает в себя: определение области оценки рисков, их оценку и обработку, мониторинг и контроль, совершенствование. Это полностью соответствует модели Деминга (см. Схему 1) «планирование – реализация – проверка – совершенствование», которая является основой модели менеджмента стандартов качества.

Схема  1. МОДЕЛЬ ДЕМИНГА ПРИМЕНИТЕЛЬНО К ПРОЦЕССУ УПРАВЛЕНИЯ РИСКАМИ

Условно процесс управления рисками нарушения ИБ можно разделить на 5 последовательных этапов (далее P0–Р4) и этап контроля результатов обработки рисков. Взаимосвязь процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме  2.

СХЕМА 2.  ВЗАИМОСВЯЗЬ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ

ПОЛИТИКА ОЦЕНКИ РИСКОВ

Политика оценки рисков должна:

• определять механизмы контроля и роли, задействованные в данном процессе, при этом, для предотвращения конфликта интересов, подразделения, осуществляющие контроль обработки рисков, должны быть максимально независимы от подразделений, выполняющих оценку рисков;
• закреплять процедуры обратной связи между всеми участниками процесса управления рисками и порядок планирования процесса;
• формулировать порядок документирования результатов оценки рисков и результатов обработки рисков.

Этап контроля результатов обработки рисков напрямую зависит от уровня зрелости информационной безопасности в банке, тесно связан с аудитом (внутренним и внешним) и мониторингом ИБ, при взаимодействии которых существенно повышается эффективность СОИБ и контролируется эффективность принятых мер обработки рисков.

Контроль результатов обработки рисков должен охватывать все этапы P0–P4 и сопоставлять результаты обработки рисков с результатами, полученными от аудиторов и подразделений, занимающихся мониторингом информационной безопасности.

Детализированная схема взаимосвязи процесса управления рисками нарушения ИБ с другими элементами СМИБ приведена на Схеме 3.

Схема  3. ДЕТАЛИЗИРОВАННАЯ СХЕМА ВЗАИМОСВЯЗИ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ С ДРУГИМИ ЭЛЕМЕНТАМИ СМИБ

Рассмотрим подробнее процесс управления рисками нарушения ИБ на этапах Р0–Р4.

ЭТАП P0. Определение, анализ и изменение бизнес-процессов (см.Схему 4) – стартовый этап управления рисками.

Схема 4. ОПРЕДЕЛЕНИЕ, АНАЛИЗ И ИЗМЕНЕНИЕ БИЗНЕС-ПРОЦЕССОВ

Целью данного этапа являются формализация и детальное описание всех бизнес-процессов банка, определение критичных бизнес-процессов с позиций максимального ущерба банку в случае их нарушения (в т.ч. прерывания), а также специфических требований законодательства (ФЗ-152, ФЗ- 224, ФЗ-161, и т.д.) и стандартов (СТО БР ИББС-1.0-2010, PCI DSS и т.д.).

На данном этапе задействованы как сотрудники службы информационной безопасности, так и представители бизнес-подразделений, службы внутреннего контроля и юридической службы. Результатом является документирование информационных потоков, определение состава информации в каждом отдельном бизнес-процессе, а также дополнительных признаков информационных активов, таких как критичность процесса для непрерывности бизнеса, обработка инсайдерской информации.

После обработки недопустимых рисков (этап Р4) в случае принятия решения о внесении изменений в бизнес-процессы, например внедрения новых документов (таких как согласие на обработку персональных данных (далее – ПДн), уведомление о включении лица в список инсайдеров и т.д.), все изменения должны быть утверждены руководством банка, а этап Р0 – проведен заново.

На основании результатов этапа Р0 можно приступать к подготовке полного перечня информационных активов (см. Схему 5).

Схема 5. ПОДГОТОВКА ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ

ДОКУМЕНТИРОВАНИЕ ИНФОРМАЦИОННЫХ АКТИВОВ

ЭТАП P1. Для подготовки такого перечня необходимо идентифицировать информационные активы и классифицировать их типы.

Информация, относящаяся к каждому из типов информационных активов, документируется в перечне сведений конфиденциального характера (ограниченного доступа).

Информационный актив банка – это информация:

• с реквизитами, позволяющими её идентифицировать;
• имеющая ценность для самого банка;
• находящаяся в распоряжении и представленная на любом материальном носителе в форме, пригодной для её обработки, хранения или передачи.

Таблица 1. ПРИМЕР ОФОРМЛЕНИЯ ПОЛНОГО ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ АКТИВОВ

Описание и детализация информационных активов может быть различной. В банках к типам информационных активов относится информация, содержащая банковскую тайну (далее – БТ), коммерческую тайну (далее – КТ), персональные данные и открытую информацию. Банковская и коммерческая тайна могут одновременно являться инсайдерской информацией (далее – ИИ).

Важными элементами этапа Р1 являются разработка техническо-рабочей документации:

• технических паспортов на все информационные системы с отражением основных технических средств, программных средств и средств защиты;
• матриц доступа;
• и т.д.

После составления перечня информационных активов, обрабатываемых в информационных системах, можно переходить к следующему этапу P2 (см. Схему  6).

Схема  6. РАЗРАБОТКА ЧАСТНЫХ МОДЕЛЕЙ УГРОЗ ДЛЯ КАЖДОГО ТИПА ИНФОРМАЦИОННЫХ АКТИВОВ

ЭТАП P2. Информационные активы банка рассматриваются относительно информационных систем, в которых происходит обработка данных активов, в совокупности с соответствующими объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды в разрезе каждой информационной системы. При обработке ИИ в системе данный актив рассматривается совместно с БТ и (или) КТ.

Для разных типов активов устанавливаются разные требования к информационной безопасности, в том числе с учётом действующего законодательства.

Разработка модели угроз базируется на следующих принципах:

• безопасность информационных активов при их обработке в информационных системах обеспечивается с помощью систем защиты информации;
• при формировании модели угроз учитываются как угрозы, осуществление которых нарушает безопасность информационных активов (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы);
• информационные активы обрабатываются и хранятся в информационных системах с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации;
• нарушитель может действовать на различных этапах жизненного цикла информационной системы или системы защиты.

ПЕРЕЧЕНЬ ИСТОЧНИКОВ И МОДЕЛЬ УГРОЗ

В качестве примера оформления частной модели угроз (далее – ЧМУ), может рассматриваться отраслевая модель угроз безопасности персональных данных (РС БР ИББС-2.4-2010) с указанием конкретного типа нарушителей (на основании модели нарушителя с предположениями о возможностях) и детализации способа реализации угрозы безопасности информационного актива (см. Таблицу 2).

Таблица 2. ПРИМЕР ОФОРМЛЕНИЯ ЧАСТНОЙ МОДЕЛИ УГРОЗ

Формирование перечня источников угроз и моделей угроз проводится с учетом положений СТО БР ИББС-1.0-2010, информационных ресурсов, содержащих сведения централизованной базы инцидентов банка и об уязвимостях информационной безопасности.

ЭТАП P3. Оценка рисков (см. Схему  7) проводится на основе принятой методики. Для организаций банковской системы Российской Федерации, принявших стандарт СТО БР ИББС- 1.0-2010, рекомендуется использовать отраслевую методику Банка России РС БР ИББС-2.2-2009. Также стандарт разрешает использовать и иные методики.

Схема  7. ОЦЕНКА РИСКОВ НАРУШЕНИЯ ИБ

Современные методики очень подробны, содержат громоздкие формулы, используют экспертные оценки, но, к сожалению, не всегда подходят для практической работы из-за трудностей представления руководству результатов оценки рисков.

Главное требование к методике – она должна быть наглядной, охватывающей всю ИТ-инфраструктуру и все бизнес-процессы банка, утвержденной руководством и согласованной с подразделениями, занимающимися оценкой операционных рисков. Следовательно, при выборе методики необходимо убедиться, что методика и ожидаемые результаты устраивают все стороны – и того, кто считает риски (т.е. показывает объективную картину состояния ИБ), и того, кому их демонстрируют (т.е. согласована с операционными рисками и утверждена руководством).

Методика оценки рисков нарушения ИБ, подход к оценке рисков нарушения ИБ банка должны определять способ и порядок качественного или количественного оценивания риска нарушения ИБ. То есть для оценки рисков нарушения ИБ должна использоваться качественная и (или) количественная (выраженная

в процентах или деньгах) шкала. Количественные шкалы позволяют сделать результаты оценки рисков более точными, при этом требуя более высокого уровня зрелости существующей СМИБ.

Методика, изложенная в РС БР ИББС-2.2-2009, предполагает использование обеих шкал.

КРИТИЧНОСТЬ ОПРЕДЕЛЯЕТ ПРИОРИТЕТЫ

Для управления рисками в методике должен быть закреплен порядок их обработки.

Одним из способов определения очередности является установление приоритетов рисков, которые зависят от критичности обрабатываемого информационного актива, дополнительных признаков информационных активов, опасности конкретной угрозы в конкретной системе (см. Таблицу 3).

Таблица 3. ПРИМЕР ОПРЕДЕЛЕНИЯ ПРИОРИТЕТОВ

На основе определенных приоритетов и результатов оценки рисков можно построить карту рисков (см. Таблицу  4).

Таблица 4. ПРИМЕР ОФОРМЛЕНИЯ КАРТЫ РИСКОВ

По результатам оценки рисков подготавливается отчёт о проведении оценки рисков нарушения информационной безопасности с указанием количества оценённых рисков, количественных и качественных оценок, детализацией всех недопустимых рисков и рекомендациями по их обработке.

ЭТАП P4. Целью обработки недопустимых рисков (этап Р4) является значительное уменьшение рисков при относительно низких затратах и поддержание принятых рисков на допустимом, низком уровне. По результатам оценки рисков определяется способ обработки каждого из них, являющегося недопустимым.

Возможными вариантами обработки рисков являются:

• применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
• уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска, или изменения бизнес-процессов);
• перенос риска на другие организации (например, путём страхования или передачи деятельности на аутсорсинг);
• осознанное принятие риска (решение должно приниматься руководством банка).

Решение о применении того или иного способа обработки рисков принимается, исходя из стоимости их реализации, а также ожидаемых выгод от их реализации.

Схема 8. ОБРАБОТКА НЕДОПУСТИМЫХ РИСКОВ НАРУШЕНИЯ ИБ

Порядок обработки рисков информационных систем определяется приоритетом риска нарушения ИБ. Так, риски с наивысшим приоритетом должны быть обработаны в первую очередь.

Система управления рисками нарушения ИБ даёт существенный положительный эффект при выстраивании СОИБ, выявлении уязвимостей ИБ и обосновании затрат на информационную безопасность, гарантируя принятие взвешенных решений в области СМИБ и контроль эффективности принятых при обработке рисков решений.

Внедрение системы управления рисками нарушения ИБ для банка – непростая задача, но её выполнение является первым шагом построения эффективной и комплексной системы защиты. Не следует усложнять методики, строить многоуровневые длинные формулы, гнаться за точностью оценок до долей процента и копеек. В основе управления рисками лежат экспертные оценки и статистика. Цель – не предсказание будущего, а выстраивание эффективной системы менеджмента информационной безопасности.

В заключение стоит добавить, что в настоящее время на рынке представлено много программных решений, позволяющих оптимизировать процесс управления рисками нарушения информационной безопасности (Cobra, RiskWatch, Octave, Cramm, RSA Archer Risk Management и т.д.), но вопрос применения их достаточно спорный. Потому что ключевым элементом системы управления рисками нарушения информационной безопасности являются работники банка.

BIS-СПРАВКА

ТЕРМИНЫ СТАНДАРТА БАНКА РОССИИ СТО БР ИББС-1.0-2010:

• Риск: мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
• Риск нарушения информационной безопасности, риск нарушения ИБ: риск, связанный с угрозой ИБ.
• Оценка риска нарушения информационной безопасности: систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.

BIS-КОММЕНТАРИЙ

Павел ХИЖНЯК,

руководитель отдела аудита и консалтинга ЗАО «Практика Безопасности»:

– В статье специалистов по информационной безопасности «Московского Индустриального банка» хорошо и подробно описан процесс управления рисками. С теоретической точки зрения в ней достаточно полно, подробно и грамотно освещены все аспекты этого сложного и трудоёмкого процесса.

Добавлю из собственного опыта: в ходе практического выстраивания риск-менеджмента в организации требуется не только хорошее знание методик, способов оценки и технического бэкграунда. Также нужны хорошо развитые коммуникационные и управленческие способности.

Перед началом внедрения процесса оценки рисков важно заручиться поддержкой высшего руководства компании, в том числе банка, вплоть до акционеров. Достижение взаимопонимания порой требует значительных усилий. Обеспечение информационной безопасности – необходимое условие достижения целей бизнеса, и это нужно объяснить понятным языком, привычной терминологией.

Каждая итерация процесса оценки рисков должна восприниматься руководством как часть корпоративного управления и быть частью глобального менеджмента организации. Ни в коем случае нельзя допустить, чтобы процесс управления рисками воспринимался руководством как часть повседневной работы подразделения информационной безопасности.

Должно присутствовать чёткое понимание: риск-менеджмент является глобальным процессом, на одном уровне с управлением персоналом и финансовой отчётностью. Настолько же важным и обеспечивающим успешность бизнеса в целом.