Кібербезпека банківських та комерційних структур
3. Підготовка до впровадження СУІБ в банківських установах
Зобов’язання керівництва щодо управління інформаційною безпекою
Відповідно до стандартів Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010 керівництво банку повинно забезпечити визначення завдань інформаційної безпеки, їх відповідність вимогам законодавства України, нормативно-правових актів Національного банку України та банку, інтегрованість у відповідні бізнес-процеси/банківські продукти, переглядати ефективність впровадження та функціонування СУІБ, надавати ресурси, які потрібні для інформаційної безпеки та навчання персоналу з питань інформаційної безпеки.
Для вирішення цих завдань необхідно визначити організаційну структуру управління інформаційною безпекою, повноваження та відповідальність щодо розроблення, впровадження та функціонування СУІБ.
Керівництво СУІБ може здійснювати керівник банку або його заступник, або існуючий керівний орган, наприклад, рада з питань інформатизації з обов’язковим включенням до складу спеціалістів з питань інформаційної безпеки. Залежно від розміру банку ці обов’язки можуть бути покладені на створений спеціальний керівний орган з питань інформаційної безпеки з керівників підрозділів, відповідальних за критичні бізнес-процеси та банківські продукти.
Формування такого керівного органу тільки з фахівців з питань інформаційної безпеки є недоцільним, оскільки в такому випадку питання інформаційної безпеки будуть за межами уваги керівників, відповідальних за критичні біз- нес-процеси, або питання інформаційної безпеки будуть вирішуватися окремо для кожного бізнес-процесу, що створить додаткові умови для несанкціонованого доступу до інформації та порушення конфіденційності, а також призведуть до додаткових фінансових витрат. У разі необхідності до роботи з окремих питань в цьому керівному органі можуть долучатися зовнішні спеціалісти з питань інформаційної безпеки за умови підписання угоди про конфіденційність.
Відповідно до стандарту СОУ Н НБУ 65.1 СУІБ 2.0:2010 діяльність банку із забезпечення інформаційної безпеки повинна бути узгодженою між представниками різних підрозділів банку, які відповідають та забезпечують функціонування критичних бізнес-процесів/банківських продуктів. Банки мають створювати єдину систему інформаційної безпеки для всіх бізнес-процесів та координувати дії різних підрозділів для забезпечення виконання загальних вимог щодо інформаційної безпеки. Для виконання цих обов’язків може бути створена окрема група з перехресними функціями з фахівців різних підрозділів. Якщо банк не створює окрему групу з перехресними функціями, то ці обов’язки повинні виконуватися спеціальним керівним органом або окремим керівником.
Банк має визначити всі підрозділи, які відносяться до сфери застосування СУІБ. Це підрозділи, які є власниками та учасниками критичних бізнес- процесів, підрозділи, які супроводжують та забезпечують технічну підтримку програмно-технічних комплексів, користувачі програмно-технічних комплексів, служба безпеки, яка забезпечує фізичну безпеку приміщень банку, тощо. Наявність такого переліку підрозділів дозволить чітко визначити обов’язки та відповідальності всіх причетних до виконання вимог безпеки сторін та планувати їх навчання у разі необхідності. Такий перелік може створюватися на основі структурної схеми підрозділів банку.
Окрім того, у разі передавання частини послуг, пов’язаних з критичними бізнес-процесами/банківськими продуктами/ програмно-технічними комплексами, третім сторонам, ці організації також повинні бути включені до опису організаційної структури банку з приміткою, що вони не є структурними підрозділами банку.
Зрозуміло, що для проведення цих робіт потрібні ресурси, у тому числі наявність фахівців з питань інформаційної безпеки, наявність з боку керівництва банку повної підтримки та контролю, а також розуміння проблем, що виникають.
Система інформаційної безпеки повинна забезпечити безпечність та надійність функціонування бізнес-процесів/банківських продуктів банку. Впровадження та функціонування СУІБ стосується всіх підрозділів банку і, у першу чергу, керівників підрозділів - власників бізнес-процесів / банківських продуктів. Тому ці відповідальні особи повинні брати участь у вирішенні питань, що належать до сфери їх відповідальності, під час упровадження та функціонування СУІБ.
Зазвичай, координація інформаційної безпеки повинна стосуватися співробітництва і координації спільної діяльності менеджерів, користувачів, адміністраторів, розробників прикладних програм, аудиторів і персоналу безпеки, а також фахівців у таких галузях, як страхування, правові питання, людські ресурси, управління ІТ або ризиками.
Розроблення СУІБ банку повинно розроблятися на основі міжнародного стандарту ISO/IEC 27003:2010 “Information technology - Security techniques - Information security management system implementation guidance” (Настанова з впровадження системи управління інформаційною безпекою) з урахуванням особливостей банківської діяльності, стандартів та вимог Національного банку України з питань інформаційної безпеки.
Як ми зазначали, управління інформаційною безпекою є циклічним процесом. Це фактично безперервний процес розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення СУІБ. Саме тому методологічною основою управління інформаційною безпекою, відповідно до стандартів серії ISO 27000, є процесний підхід .
Для ефективної діяльності банківської установи необхідно ідентифікувати та управляти багатьма видами діяльності. Будь-яку діяльність, що використовує ресурси та підлягає управлінню з метою забезпечення перетворення вхідних даних у вихідні, можна розглядати як процес . Часто вихідні дані одного процесу є безпосередньо вхідними даними для наступного.
Застосування системи процесів у межах банку разом з ідентифікацією цих процесів та їх взаємодіями, а також управління ними можна розглядати як процесний підхід .
Процесний підхід до управління інформаційною безпекою виводить на перший план важливість:
а) розуміння вимог інформаційної безпеки банку і необхідності розроблення політики та цілей інформаційної безпеки;
б) впровадження заходів безпеки та забезпечення їх функціонування для управління ризиками інформаційної безпеки організації в контексті загальних бізнес-ризиків банку;
в) моніторингу та перегляду продуктивності та ефективності СУІБ та постійного вдосконалення, що базується на об’єктивному вимірюванні.
У межах такого підходу, для процесів СУІБ застосовується модель “Пла- нуй-Виконуй-Перевіряй-Дій” (“Plan-Do-Check-Act”), наведена у вступі до стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010.
Відповідно до вимог стандартів Національного банку України сферою застосування СУІБ, яка має бути впроваджена, є банк у цілому . Тому дуже важливо чітко визначити бізнес-процеси/ банківські продукти, які працюють з інформацією з обмеженим доступом і повинні бути захищеними.
Відповідно до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2003 № 254, банківський продукт - це стандартизовані процедури, що забезпечують виконання банками операцій, згрупованих за відповідними типами та ознаками.
Поняття бізнес-процесу є багатозначним і не існує загально прийнятого його визначення. Під бізнес-процесом у широкому значенні розуміється струк- турована послідовність дій з виконання певного виду діяльності на всіх етапах життєвого циклу предмета діяльності. Кожен бізнес-процес має початок (вхід), вихід та послідовність процедур, які забезпечують виконання операцій, згрупованих за відповідними типами.
Не існує стандартного набору бізнес-процесів/банківських продуктів для будь-якого банку. Тому банк має самостійно визначити відповідні бізнес- процеси/банківські продукти, які використовуються всередині банку.
Для визначення бізнес-процесів/банківських продуктів, які має охоплювати СУІБ, необхідно проаналізувати всі бізнес-процеси/ банківські продукти банку та створити перелік критичних процесів, функціонування яких має великий вплив на успішну роботу банку. Оскільки в банку бізнес- процеси/банківські продукти взаємопов’язані, то рекомендується створити їх блок-схему з визначенням усіх взаємозв’язків. Така візуалізація значно спростить розуміння всього обсягу робіт, що виконуються банком.
Банк повинен створити перелік критичних бізнес-процесів/ банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якої може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнес-процеси/банківські продукти, що обробляють:
• платіжні документи,
• внутрішні платіжні документи,
• кредитні документи,
• документи на грошові перекази,
• персональні дані клієнтів та працівників банку,
• статистичні звіти,
• інші документи, які містять інформацію з обмеженим доступом.
Для кожного критичного бізнес-процесу/банківського продукту рекомендується надати перелік бізнес-процесів/банківських продуктів, з якими взаємодіє цей бізнес-процес/банківський продукт.
Перелік критичних бізнес-процесів/банківських продуктів повинен супроводжуватися коротким описом кожного бізнес-процесу/ банківського продукту з наданням інформації про програмно-технічні комплекси, які забезпечують його функціонування.
Короткий опис кожного бізнес-процесу /банківського продукту повинен містити таку інформацію:
• назва бізнес-процесу/банківського продукту;
• цілі бізнес-процесу/банківського продукту;
• гриф інформації з обмеженим доступом, яка обробляється бізнес- процесом/банківським продуктом;
• власник бізнес-процесу/банківського продукту;
• підрозділи банку, які забезпечують функціонування бізнес- процесу/банківського продукту;
• наявність зобов’язань перед третіми сторонами (угоди на розроблення, доопрацювання, супроводження та технічне обслуговування);
• вхідні та вихідні дані бізнес-процесу/банківського продукту;
• перелік процедур бізнес-процесу та блок-схема послідовності їх виконання з визначенням взаємозв’язків (у тому числі додаткової вхідної інформації з інших бізнес-процесів);
• вимоги щодо забезпечення безперервності бізнес-процесу/ банківського продукту (максимально допустимий час простою);
• типи ролей (груп) для бізнес-процесу/банківського продукту;
• існування забороненого суміщення типів ролей;
• програмно-технічні комплекси, що забезпечують функціонування бізнес-процесу;
• кількість користувачів програмно-технічного комплексу;
• архітектура і технологія роботи (зокрема, файловий обмін або режим реального часу, в тому числі й для обміну інформацією з іншими програмно- технічними комплексами в разі наявності);
• операційна система та тип бази даних програмно-технічного комплексу, які використовуються для функціонування бізнес-процесу/банківського продукту;
• географічне розміщення (серверів та робочих місць) програмно - технічного комплексу;
• засоби захисту, які вже існують у програмно-технічному комплексі;
• взаємодія з іншими програмно-технічними комплексами;
• принципи резервування обладнання та інформації програмно-технічного комплексу (за наявності окремих принципів для цього програмно-технічного комплексу).
Зазначимо деякі аспекти формування цієї інформації.
Дуже важливо визначити власника бізнес-процесу /банківського продукту, який повинен також бути власником програмно-технічного комплексу. Саме власник бізнес-процесу/банківського продукту / програмно-технічного комплексу повинен приймати рішення щодо надання доступу до інформації, яка обробляється в цьому бізнес-процесі/банківському продукту/програмно- технічному комплексі. Власником програмно-технічного комплексу не може бути підрозділ банку, який відповідає за інформаційні технології і забезпечує технічну підтримку роботи комплексу.
Перелік процедур бізнес-процесу та блок-схема послідовності їх виконання з визначенням взаємозв’язків (у тому числі додаткової вхідної інформації з інших бізнес-процесів) буде дуже корисним під час аналізу та визначення вразливостей, притаманних цьому бізнес-процесу/банківському продукту. Цей перелік та блок-схема мають бути у достатньому ступені узагальненими. Дуже детальний перелік може призвести до ускладнення під час визначення вразливостей. Однак, якщо цей перелік та блок-схема будуть занадто узагальненими, то це може призвести до пропуску небезпечних вразливостей, які можуть створювати великі ризики.
У разі якщо функціонування одного бізнес-процесу/банківського продукту забезпечується декількома програмно-технічними комплексами, тоді короткі описи кожного комплексу та їх взаємозв´язків повинні також бути надані.
У разі якщо один програмно-технічний комплекс забезпечує функціонування декількох бізнес-процесів/банківських продуктів, тоді визначається єдиний власник програмно-технічного комплексу (але не підрозділ, який відповідає за інформаційні технології) або група власників бізнес-процесів, які надають та контролюють доступ до інформації, що обробляється різними модулями комплексу.
У разі відсутності централізованих програмно-технічних комплексів мають бути надані короткі описи програмно-технічних комплексів у структурних підрозділах банку (обласних дирекціях, філіях тощо) та описаний взаємозв’язок між ними.
Для більшого розуміння зв’язків між бізнес-процесами/банківськими продуктами/програмно-технічними комплексами рекомендується створити блок-схему цих зв’язків із додаванням структурних підрозділів банку, які забезпечують ці бізнес-процеси/банківські продукти/програмно-технічні комплекси вхідною інформацією, та підрозділів банку, які використовують вихідні дані.
СУІБ, використовуючи як вхідні дані вимоги інформаційної безпеки та очікування зацікавлених сторін, за допомогою необхідних дій і процесів формує вихідні дані інформаційної безпеки, що відповідають цим вимогам та очікуванням.
Таблиця 1 . Взаємодія елементів захисту банківської установи
|
Плануй (розробляй СУІБ) |
Розробити політику СУІБ, цілі, процеси та процедури, суттєві для управління ризиком та вдосконалення інформаційної безпеки для отримання результатів, які відповідають загальним політикам та цілям організації. |
|
Виконуй (впроваджуй, забезпечуй функціонування СУІБ) |
Впровадити та забезпечити функціонування політики інформаційної безпеки, заходів безпеки, процесів та процедур СУІБ. |
|
Перевіряй (здійснюй моніторинг та перегляд СУІБ) |
Оцінювати і, за можливості, вимірювати продуктивність процесів згідно з політикою, цілями СУІБ і практичним досвідом та звітувати про результати керівництву для перегляду. |
|
Дій (підтримуй та вдосконалюй СУІБ) |
Вживати коригувальні та запобіжні дії на підставі результатів внутрішнього аудиту і перегляду СУІБ з боку керівництва або іншої важливої інформації для досягнення постійного вдосконалення СУІБ. |
