11 апреля, 2018, BIS Journal №1(28)/2018

Как успеть за регулятором?


Окулесский Василий

руководитель Департамента, кандидат технических наук (ООО «ЦИБИТ»)

Иванов Олег

генеральный директор (ООО «ЦИБИТ»)

Особенности compliance в условиях изменяющихся требований нормативных документов банка России

Усиливающийся тренд современности – непрерывное повышение уровня защищенности развивающихся информационных технологий.

Что реально стоит за этими словами?

Можно ли спать спокойно в «умном» доме?

Можно ли не беспокоиться за свои деньги в on-line мире?

Как вообще спокойно жить в эпоху всеобщей «виртуализации»?

Однозначного ответа на эти и сотни похожих вопросов не существует. Тем не менее, есть некоторое количество способов снизить общий уровень нервозности и беспокойства в неспокойный век.

Можно просто на все наплевать, и жить как живется, чему быть – того не миновать.

Можно отказаться от интернета и всего, что с ним связано, в том числе и от мобильного телефона, а деньги хранить под матрасом или в банковской ячейке (хотя и здесь есть возможность все потерять).

Можно … – много всего, но для разумных людей всегда есть классический  способ обеспечить доверие к окружающему миру, в том числе и к денежному, и это принятие соглашений о «правилах игры» и выполнение этих правил. И здесь всегда важен статус того, кто выполняет роль «судьи». Для «движения вверх» в такой игре всегда важно, чтобы правила были «правильные», выполнимые, контролируемые, понятен порядок их проверки, требования к компетенции проверяющих (им как бы делегированы права и обязанности «судьи» в этой сфере). Тогда, когда есть свидетельство этого проверяющего, что у партнера всё соответствует установленным правилам, можно доверять этому партнеру.

Собственно, эта конструкция и называется «compliance», где в банковской среде самым главным «судьей» выступает Банк России, который устанавливает «правила игры» своими нормативными требованиями, а проверяющими могут стать только те организации, которые имеют необходимые подтверждения своей квалификации от других «судей», и тогда заключение от проверяющих о соответствии проверяемой организации требованиям Банка России теоретически должно давать ощущение спокойствия.

Все хорошо?

Только на первый взгляд. При такой конструкции принципиально все требования делятся на три категории – уже устаревшие (и хорошо, если они только не мешают), вполне себе актуальные (как правила, таких большинство), и те, которых еще нет, но должны бы быть. И состав каждой группы меняется ежедневно, и нет такого состояния, когда все хорошо.

Попробуем посмотреть, как это выглядит на практике.  

Банк России предлагает для банков примерно такую конструкцию обязательных нормативных документов, без учета требований стандартов Банка России (рис. 1).

Рис.1 Обязательные нормативные документы Банка России

Эти обязательные документы содержат - примерно 130 категорий требований (около 700 проверяемых показателей). А еще есть стандарты (условно обязательные) Банка России по обеспечению информационной безопасности:

СТО БР ИББС-1.0-2014. «Общие положения (5 редакция)»;

СТО БР ИББС-1.1-2007. «Аудит информационной безопасности»;

СТО БР ИББС-1.2-2014. «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014 (4 редакция)»;

РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0»;

РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0»;

РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»;

РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности» и т.д.

Перечисленные нормативные документы содержат около 400 различных требований, а еще PCI DSS – примерно 240 основных типов требований и 300 других требований различных ответвлений этой группы стандартов, осталось вспомнить требования иных регуляторов (ФСТЭК, ФСБ и Роскомнадзор) в совокупности более 1000 (одних требований ФСТЭК по обеспечению доверия приближается к 300). Очень грубая арифметика дает оценку в не менее чем 2000 различных требований. Понятно, что все эти требования очень разные, как по типу, уровню, среде применения и т.д., часть требований просто повторяются, часть поглощаются, часть уточняют другие, часть требований противоречат другим требованиям, особенно в запрете/возможности применения тех или иных технических или программных средств.

Могут ли 1-2-3 специалиста по ИБ в небольшом банке (а таких банков не менее 200) сами организовать выполнение всех требований (т.е. обеспечить «compliance»)? Вероятно, где-то есть чудо-специалисты, но они недолго проработают в банке, уйдут на повышение, а как быть тем, у кого нет таких героев?

Выход есть – позвать на первый раз организацию, которая имеет необходимые подтверждения своей квалификации от других «судей» и имеющую соответствующий опыт и компетенции и вместе с ней провести  комплекс работ по подготовке к первой процедуре оценки.

Сначала потребуется разобрать на элементарные кирпичики объекты защиты ИБ (сформировать своеобразные «примитивы ИБ»), понять для конкретного «примитива», какие требования на него распространяются и задокументировать этот шаг.

Как правило, все нормативные документы, в конце концов, при своей пошаговой декомпозиции имеют дело именно с требованиями по обеспечению «примитива ИБ».  Для такого шага полезно обратиться к стандартам серии ИСО 27000 (рис.2).

Рис.2. Структура примитивов ИБ

Имея описание «примитивов» и схему взаимодействия между собой, можно попробовать затем оценить каждый кирпичик с точки зрения нарушения основных свойств информационной безопасности и рассмотреть возможность его использования злоумышленниками, оценить реальность (актуальность) такой угрозы, если есть актуальная угроза этому кирпичику–«примитиву», разработать механизм контроля параметров, отклонения которых будут свидетельствовать о наличии угрозы. Если к этому предусмотреть способы и механизмы реагирования на выявленные признаки угроз, то может получиться вот такая картинка (рис.3).

Рис.3. Модель системы менеджмента примитивов ИБ

Если аккуратно и системно выполнить эти шаги, то вы можете гарантировать, что практически не упустили ничего, чем бы мог заинтересоваться злоумышленник.

В сухом остатке от этой проделанной работы должна остаться уверенность, что вы знаете, где вас могут обидеть, и вы знаете, что вы при этом будете делать.

Есть еще один элемент для творчества – все, что было проделано, основано на наших знаниях об уже «бывших угрозах». В эту модель управления необходимо добавить заботу об «угрозах нулевого дня» и тогда картина будет полной.

Вот теперь можно приступать к следующему шагу – обеспечить уверенность в выполнении вами требований по ИБ самых разных регуляторов. Имея хорошо описаные именно ваши модели рисунков 2 и 3 любой профессиональный аудитор может дать вам заключение, котрое сможет убедить ваших клиентов (ибо они вам помогают получать зарплату) и регуляторов (которые тоже заботятся о вас). Эти модели имеют еще и «вишенку на торте». Теперь, когда придут очередные изменения нормативных документов и требований регуляторов, у вас будет описание всего, на что эти изменения могут влиять именно у вас, и что именно вам потребуется доделать/переделать/создать заново, и как это будет влиять на ваши остальные объекты защиты.

После такой проделанной работы вместе с вашим партнеров-консультантом вы сможете самостоятельно поддерживать всю систему менеджмента информационной безопасности и регулярно давать аудиторам возможность положительно вас оценить.

А мы поможем вам соответствовать требованиям.