На главнуюВыпуски журнала → Новые подходы к информационной безопасности в банках — ВЕЛЕНИЕ ВРЕМЕНИ

Новые подходы к информационной безопасности в банках — ВЕЛЕНИЕ ВРЕМЕНИ

Информационные технологии в последнее время занимают ведущее место в банковской деятельности. Сегодня нельзя представить работу любого банка Украины без их использования. Об этом рассказывают член Правления Национального банка Украины, директор Департамента информатизации Анатолий Стефанович
САВЧЕНКО, кандидат экономических наук, начальник управления защиты информации Департамента информатизации, кандидат физико-математических наук Ирина Сергеевна ИВЧЕНКО

С 1994 года, после внедрения Национальным банком Украины системы электронных платежей, все банки Украины должны были перейти на использование программно-технических комплексов автоматизации обработки платежных документов и ведения главной книги. Постепенно разрабатывались новые автоматизированные системы, которые чаще всего существовали и работали обособленно. Кроме того, со временем развитие информационных технологий предоставило возможности внедрения новых информационных систем. Хотелось бы отметить, что с целью повышения конкурентоспособности эти новые технологии банки внедряли очень быстро и без надлежащего анализа связанных с ними рисков. Таким образом, в большинстве банковских учреждений Украины сложилась ситуация, когда существует большое количество автоматизированных систем, разработанных различными исполнителями. Они эксплуатируются разными подразделениями, иногда даже не имеют связи между собой, а необходимые данные переносятся из одной системы в другую вручную. Часто ситуация усложняется еще и тем, что после внедрения таких систем не обеспечивается их должного сопровождения. Фактически эксплуатация и обслуживание передаются одному системному администратору, который имеет полный доступ ко всем функциям информационной системы. Нередко именно этот системный администратор назначает права доступа работникам банка к данной системе. Не уделяется достаточного внимания и резервированию информации, отсутствуют четкие планы возобновления работы систем в случае возникновения нестандартных ситуаций, которые могут привести к потерям важной информации. Кроме того, подобные системы часто имеют различные системы защиты информации, если вообще обеспечивают надлежащую защиту. Все это, соответственно, создает большие риски, связанные с информационными технологиями, но чаще всего банк вообще не занимается вопросами анализа и управления рисками. А потери учреждения могут быть очень большими. Не будем приводить общеизвестные примеры потерь банков от мошенничества, в первую очередь, со стороны собственных работников, и нарушений правил защиты безопасности информации. Описанные проблемы не являются исключительными для банков Украины — они волнуют всех, кто использует инфомационные технологии. Международные требования Базельского комитета по банковскому надзору (Basel II) предусматривает для банковской деятельности расширения анализа и управления рисками — дополнительно к кредитному и рыночному рискам вводится операционный риск, связанный с информационными технологиями. Таким образом, назрела необходимость введения системного и комплексного анализа и управления информационными рисками, что фактически определяет уровень информационной безопасности банка. К сожалению, руководство банковских учреждений не уделяет достаточного внимания вопросам информационной безопасности, считая, что вложенные в системы защиты информации средства не будут приносить прибыль и являются чисто убыточными. С целью повышения уровня безопасности в банках Национальный банк Украины завершает подготовку банковского стандарта по вопросам систем управления информационной безопасностью. Этот стандарт основан на международных стандартах ISO 27001, и ISO 27002 с учетом требований Национального банка Украины по вопросам информационной безопасности. Внедрение этих стандартов в банках Украины будет обязательным, но необходимость проведения сертификации на соответствие этим стандартам соответствующими лабораториями будет определяться самим банком. Проверка выполнения требований стандартов со стороны Национального банка Украины будет осуществляться подразделением банковского надзора по вопросам оценки операционных и информационных рисков, который создается в НБУ. Внедрение этих стандартов не может быть разовой акцией. ISO 27001 описывает модель разработки, внедрения, функционирования, мониторинга, пересмотра, поддержания и совершенствования системы управления информационной безопасностью (СУИБ). При этом очень важным является:

a) понимание требований информационной безопасности и необходимости разработки политики и целей информационной безопасности, в том числе и со стороны руководства банка;

b) внедрение контроля и его функционирование для управления рисками информационной безопасности банка в контексте общих бизнес-рисков банка;

c) мониторинг и пересмотр работоспособности и эффективности СУИБ;

d) постоянное совершенствование, основанное на объективном измерении.

 

В качестве модели СУИБ принимается модель «Планируй — Выполняй — Проверяй — Действуй» (Plan — Do — Check — Act). Таким образом, внедрение СУИБ — процесс непрерывный, требующий постоянного внимания.

Разработка СУИБ должна включать такие этапы:

1. Определение области использования СУИБ. Область использования СУИБ может охватывать один программно-технический комплекс или банк в целом. Рекомендуется внедрять СУИБ для банка в целом — это даст возможность учесть взаимосвязи между комплексами, что значительно повысит уровень информационной безопасности банка в целом.

2. Определение политики СУИБ. Национальный банк Украины планирует разработать рекомендации относительно содержания политики безопасности, необходимости учета правовых и нормативных требований и т.д.

3. Определение подходов к оценкам рисков. Существует несколько методологий оценок IT-рисков, часть из которых основана на экспертных оценках. Критерием качества методологии оценок рисков является обеспечение воспроизводимости результатов оценок рисков. Национальный банк Украины планирует выполнить работы по выбору одной или нескольких методик оценок IT-рисков, которые будут рекомендованы для использования в банках Украины.

4. Идентификация рисков. Очень важной на этом этапе является классификация информации с точки зрения ограничения доступа к ней, идентификация всех ресурсов, включая персонал, который задействован в работе с этой информацией, идентификация угроз и уязвимых мест с определением степени достоверности реализации этих угроз.

5. Идентификация и оценивание вариантов обработки рисков. Среди вариантов обработки рисков можно определить технические или организационные мероприятия по устранению/уменьшению рисков, введению соответствующих контролей, принятию рисков, если это не противоречит политике банка или убытки будут значительно меньше, чем расходы на устранение рисков.

Понятно, что все эти действия должны поддерживаться и контролироваться руководством банка, соответствующим образом документироваться и утверждаться. Для внедрения и функционирования СУИБ необходимо разработать и утвердить план внедрения и выделить соответствующие ресурсы для его реализации. Очень важно предусмотреть программы обучения и информирования персонала, а также процедуры контроля, срочного выявления нарушений безопасности и реагирования по возобновлению безопасности. В соответствии с моделью «Планируй — Выполняй — Проверяй — Действуй» банк должен выполнять процедуры мониторинга и пересмотра СУИБ для обеспечения надлежащего контроля функционирования СУИБ. Это позволит оценивать эффективность СУИБ и проводить ее регулярный пересмотр с учетом изменений в информационной инфраструктуре банка, бизнес-планов, технологий и программно-технических комплексов, а также компенсации внешних факторов, например, изменения в правовых или нормативных документах. Для повышения уровня информационной безопасности банка необходимо обеспечить постоянную поддержку функционирования СУИБ и осуществлять ее совершенствование по результатам мониторинга и пересмотра.

Представленный очень короткий обзор стандартов показывает, что их внедрение возможно лишь при полной поддержке и понимании со стороны руководства банков. Внедрение этих стандартов потребует создания подразделений информационной безопасности и аудита информационных технологий — в случае их отсутствия в банке. Следует отметить, что внедрение этих стандартов заставит банки приложить значительные усилия, особенно на начальной стадии. Но, с другой стороны, это позволит обстоятельно изучить и задокументировать информационную инфраструктуру банка, оценить ее безопасность, постоянно выполнять оценку операционных рисков и значительно повысить уровень информационной безопасности банка, что в свою очередь, улучшит репутацию банка и предоставит преимущества на рынке банковских услуг.

 
БАНКИ СНГ, Балтии, Грузии
КОНТАКТНАЯ ИНФОРМАЦИЯ:

тел.:       (044) 393-04-03
              (067) 501-01-66
              (050) 523-56-46

e-mail: bank@banksinfo.kiev.ua

Юридическая поддержка