Аудит информационной безопасности в кредитных организациях
Дата: 23.07.2004Источник: БРАТ5
Автор: Андрей Кудинов
Кредитные организации в своей работе интенсивно используют компьютерные технологии для обработки и передачи информации, компьютерные системы банков работают в корпоративных и глобальных компьютерных сетях, сетевые технологии все шире используются для обмена информацией и электронными платежными документами. Ни для кого не будет открытием, что при современных условиях работы, банковские организации не в состоянии выполнять свои функции без применения современных средств автоматизации и телекоммуникационных технологий. В связи с этим, кредитными организациями уделяется достаточно внимания развитию компьютерных и коммуникационных систем. Согласно статистическим данным, в настоящее время 60% средств, поступающих в виде инвестиций, идут на покупку компьютерного оборудования и программного обеспечения; остальные - на услуги по разработке и интеграции электронных систем, на обучение персонала [1].Широкое использование компьютерных технологий в деятельности кредитных организаций создает утверждение за электронной информацией статуса материального ресурса, т.к. случайное или преднамеренное изменение электронной информации влечет за собой банковские риски. В связи с этим кредитные организации должны уделять достаточно внимания вопросам обеспечения информационной безопасности.
Нормативная база для аудита
В России обычной практикой проведения аудита информационной безопасности является выполнение данных работ без привязки к какому-либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработкой рекомендаций по его повышению, в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты. Это вполне нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов. Однако, учитывая специфику информационных ресурсов кредитных организаций, проводить аудит информационной безопасности, не учитывая существующие стандарты безопасности, на сегодняшний день практически недопустимо.
Защита информации определена Федеральным законом от 20.02.1995 № 24 – ФЗ (с изменениями от 10.01.2003) [2]. В 2000 году Президентом России была утверждена Доктрина информационной безопасности Российской Федерации [3], которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, являющаяся основой для формирования государственной политики в области обеспечения информационной безопасности России; подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности; разработки целевых программ обеспечения информационной безопасности.
Основу нормативной базы в области защиты от несанкционированного доступа (НСД) к информации в России составляют Руководящие документы Гостехкомиссии России [4-10], определяющие показатели защищенности компьютерного оборудования и программных продуктов и их классификацию по классам защищенности от НСД к информации. В настоящее время по инициативе Гостехкомиссии России проводится активная работа по гармонизации российских и международных стандартов информационной безопасности; в частности, на основе адаптации международного стандарта ISO 15408 [11], определяющего общие критерии оценки безопасности информационных технологий, предложен отечественный ГОСТ/ИСО 15408-х-2002.
До сих пор ощущается дефицит документов Банка России, регламентирующих порядок организации в коммерческих банках и их филиалах комплекса организационных и технических мероприятий по обеспечению информационной безопасности. Вопрос информационной безопасности затрагивается в двух нормативных документах Банка России: положении Банка России от 5.12.2002 N 205-П (Раздел 3, Часть III) [12] и положении Банка России от 16.12.2003 № 242-П (п.п. 3.4.3, 3.5, 3.7, 4.4.3) [13]; а также в указании оперативного характера Банка России от 7.05.2003 N 70-Т [14].
В настоящее время существует международный стандарт управления информационной безопасностью ISO 17799 [15], разработанный и принятый в 2000 году международным институтом стандартов (ISO). В России стандарт ISO 17799 не имеет статус государственного стандарта, однако, учитывая то, что Россия стремится стать членом Всемирной торговой организации (ВТО) и с 2004 года вводятся Международные стандарты финансовой отчетности (МФСО), аудит информационной безопасности в кредитных организациях следует проводить на основе стандартов ISO 17799 и ISO 15408, имеющих на сегодняшний день мировое признание.
Стандарт ISO 17799
Стандарт содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Преимуществом данного стандарта является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой - обеспечивает свободу выбора платформ, оборудования, производителей и т.п. В России ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты информации.
ISO 17799 включает в себя десять основных разделов:
1. Политика безопасности.
2. Организационные меры по обеспечению безопасности.
o Управление форумами по информационной безопасности.
o Координация вопросов, связанных с информационной безопасностью.
o Распределение ответственности за обеспечение безопасности.
3. Классификация и управление ресурсами.
o Инвентаризация ресурсов.
o Классификация ресурсов.
4. Безопасность персонала.
o Безопасность при выборе и работе с персоналом.
o Тренинги персонала по вопросам безопасности.
o Реагирование на секьюрити инциденты и неисправности.
5. Физическая безопасность.
6. Управление коммуникациями и процессами.
o Рабочие процедуры и ответственность.
o Системное планирование.
o Защита от злонамеренного программного обеспечения.
o Управление внутренними ресурсами.
o Управление сетями.
o Безопасность носителей данных.
o Передача информации и программного обеспечения.
7. Контроль доступа.
o Бизнес требования для контроля доступа.
o Управление доступом пользователя.
o Ответственность пользователей.
o Контроль и управление удаленного (сетевого) доступа.
o Контроль доступа в операционную систему.
o Контроль и управление доступом к приложениям.
o Мониторинг доступа и использования систем.
o Мобильные пользователи.
8. Разработка и техническая поддержка вычислительных систем.
o Требования по безопасности систем.
o Безопасность приложений.
o Криптография.
o Безопасность системных файлов.
o Безопасность процессов разработки и поддержки.
9. Управление непрерывностью бизнеса.
o Процесс управления непрерывного ведения бизнеса.
o Непрерывность бизнеса и анализ воздействий.
o Создание и внедрение плана непрерывного ведения бизнеса.
o Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса.
10. Соответствие системы основным требованиям.
o Соответствие требованиям законодательства.
o Анализ соответствия политики безопасности.
o Анализ соответствия техническим требованиям.
o Анализ соответствия требованиям системного аудита.
К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет только обозначить области информационной безопасности, не конкретизируя их.
Стандарт ISO 15408
Стандарт наиболее полно представляет критерии для оценки механизмов безопасности программно-технического уровня. В нем выделены 11 классов функций системы информационной безопасности: аудит; идентификация и аутентификация; криптографическая защита; конфиденциальность; передача данных; защита пользовательских данных; управление безопасностью; защита функций безопасности системы; использование ресурсов; доступ к системе; надежность средств. Все функции представлены в виде четырехуровневой иерархической структуры: класс; семейство; компонент; элемент. По аналогии представлены требования качества. Подобная градация позволяет описать любую систему информационной безопасности и сопоставить созданную модель с текущим положением дел.
В ISO 15408 содержится ряд предопределенных моделей (профилей), описывающих стандартные модули системы безопасности. С их помощью можно не создавать модели распространенных средств защиты самостоятельно, а пользоваться уже готовыми наборами описаний, целей, функций и требований к этим средствам. В мире уже создано и сертифицировано большое количество профилей, представляющих собой полное описание определенной части (или функции) системы безопасности. В них содержится анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.
Вместе с тем, в стандарте определена также и последовательность действий для самостоятельного создания профилей. Описывающий ту или иную область системы безопасности профиль можно создать самостоятельно с помощью разработанной в ISO 15408 структуры документа.
При проведении работ по аудиту безопасности требования стандарта могут использоваться в качестве руководства и критериев для анализа уязвимостей средств вычислительной техники и автоматизированных систем.
Проведение аудита
Аудит информационной безопасности проводится с полным владением...
| Добавить комментарий |
| Всего 0 комментариев |
