Центральный банк РФ в кооперации с пензенской научно-технической фирмой “Кристалл” готовят ряд нормативных документов уровня ведомственных стандартов, призванных упорядочить и урегулировать решение проблем информационной безопасности в банковской сфере РФ, в первую очередь в коммерческих банках.
Эта деятельность ведется уже более трех лет, но в силу своей камерности пока не привлекала пристального внимания специалистов по безопасности. Однако принятие второй редакции стандарта Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации” (СТО БР ИББС-1.0—2006; принята и введена в действие распоряжением Банка России от 26.01.2006 г. № Р-27; текст стандарта опубликован в “Вестнике Банка России”, № 6/2006) вызвало немало вопросов у экспертов и банкиров.
Прежде всего необходимо заметить, что положения стандарта в соответствии с разделом “Область применения” вводятся в практику “…на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора”. Это означает, что стандарт накладывает серьезную дополнительную нагрузку на использующие его организации, поскольку по ряду положений обязательность его исполнения уже установлена действующим законодательством РФ и нормативными правовыми актами Банка России. В частности:
- статья 857 Гражданского кодекса Российской Федерации и статья 26 федерального закона “О банках и банковской деятельности” обязывают банки гарантировать тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте;
- статья 139 Гражданского кодекса Российской Федерации вводит понятия “служебная тайна” и “коммерческая тайна”, а федеральный закон “О коммерческой тайне” обязывает владельца информации, установившего в отношении к ней режим коммерческой тайны, принимать меры по ее адекватной охране. Принятые меры признаются разумно достаточными, если они исключают доступ к защищаемой информации любых лиц без согласия владельца (обладателя) и обеспечивают возможность ее использования и передачи без нарушения режима коммерческой тайны;
- федеральный закон от 10.01.2002 г. № 1-ФЗ “Об электронной цифровой подписи” регулирует условия использования ЭЦП в электронных документах, при соблюдении которых электронная подпись признается равнозначной собственноручной подписи в документе на бумажном носителе;
- обеспечение авторских и смежных прав при использовании программных продуктов и баз данных регламентируется законами “О правовой охране программ для электронных вычислительных машин и баз данных” и “Об авторском праве и смежных правах”;
- создание условий для предоставления телекоммуникационных услуг банкам и их клиентам обеспечивают нормы федерального закона “О связи”, предусматривающие среди прочего обязательное лицензирование деятельности, направленной на коммерческое предоставление услуг связи;
- федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и защите информации” регулирует отношения, возникающие при формировании и использовании информационных ресурсов, технологий и средств их обеспечения, а также при защите информации. В частности, он содержит исходные нормы, регулирующие отношения сторон при совместной обработке информации и при ее обработке в ходе предоставления услуг.
Помимо законов федерального уровня действует целый ряд нормативных документов, выпущенных Банком России. В первую очередь это положение Банка России № 242-П от 16.12.2003 г. “Об организации внутреннего контроля в кредитных организациях и банковских группах”, регламентирующее правила построения кредитными учреждениями собственных систем выявления, измерения и определения приемлемого уровня рисков, присущих банковской деятельности, и организации внутреннего контроля, а также письма Банка России № 70-Т от 23.06.2004 “О типичных банковских рисках”, № 76-Т от 24.05.2005 г “Об организации управления операционным риском в кредитных организациях” и № 92-Т от 30.06.2005 г. “Об организации управления правовым риском и риском потери деловой репутации”.
Очевидно, что стандарт прежде всего должен коррелировать с законодательством Российской Федерации в области информационных технологий и безопасности, с банковским и гражданским законодательством, с наработками Банка России по управлению рисками. В связи с этим было бы целесообразно дать в нем ссылки на упомянутые документы. Кроме того, разумно было бы исключить многочисленные англоязычные документы в разделе “Нормативные ссылки”.
Раздел стандарта, относящийся к модели угроз, по всей видимости, требует уточнения. В частности, весьма логичным представляется принять для организаций банковской системы Российской Федерации модели нарушителя H1 и Н2, описанные в сертификатах на средства криптографической защиты информации (СКЗИ) уровней КС1 и КС2, которые уже выданы ФСБ РФ на различные СКЗИ, используемые практически всеми организациями — участниками банковской системы России. Конкретизация модели нарушителя позволит свести к минимуму затраты на разработку и описание мер противодействия угрозам и сделает возможной корреляцию модели нарушителя для подсистем безопасности.
Сложны для интерпретации термины “хорошая практика” и “лучшая практика”. Следует либо отказаться от них, либо прийти к их единообразному толкованию, поскольку из текста не всегда следует, что лучшая практика предпочтительнее хорошей.
В некоторых случаях текст стандарта содержит положения, с которыми трудно не согласиться, но не менее трудно понять из текста практические способы их выполнения. Например, положение “при взаимодействии с сетью Интернет должно обеспечиваться противодействие атакам хакеров и распространению спама” является сугубо декларативным и не несет содержательной информации.
Банковским технологам небезынтересно будет узнать, что стандарт содержит требование “авторизованного ввода платежной информации в автоматизированные банковские системы (АБС) двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение (Dual Control, ISO TR 13569)”, для исполнения которого придется увеличить штат сотрудников, занятых на участке электронных расчетов, и соответственно накладные расходы ровно в два раза. А требование “гарантированная доставка платежных сообщений участникам обмена” может быть выполнено только операторами связи и к финансовой сфере имеет весьма отдаленное отношение.
Неясным остается смысл упоминаемой в стандарте “сверки выходных платежных сообщений с соответствующими поступившими платежными сообщениями”.
Трудно согласиться и с тем, что “…главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов” (п.7.4 стандарта). Из практики известно, что атаки с целью доступа в сеть более эффективны именно на нижних уровнях и приводят к значительным потерям, в том числе и для репутации банка.
Сложным для восприятия практическими банковскими работниками является термин “официально приобретенные средства антивирусной защиты” (п. 8.2.5.1 стандарта), поскольку покупка контрафакта добросовестным покупателем также является официальной.
Разумное требование стандарта “установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС должны осуществляться администраторами АБС” противоречит положению “…лучшей практикой является автоматическая установка обновлений антивирусного программного обеспечения”.
Модель зрелости процессов менеджмента информационной безопасности носит абстрактный характер, далека от практики и без потери смысла может быть вынесена в одно из приложений к стандарту.
“Хорошей практикой” представляется детальное обсуждение предлагаемого стандарта широким кругом специалистов по банковским технологиям и безопасности, ибо его быстрое введение в действие как обязательного скорее всего позволит думать о разработчиках такого продукта, что они, перефразируя великих и цитируя известных, “есть часть той силы, которая все время хочет блага, но вечно совершает, как всегда”.
C советником Департамента информационных систем Банка России, д.т.н., профессором Андреем Щербаковым можно связаться по адресу.
