Политика информационной безопасности банка

Репутация кредитного учреждения – нематериальный, но ценный актив. Для того чтобы сохранить доверие клиентов, необходимо обеспечить сохранение банковской и коммерческой тайны. Для оптимального решения этой задачи необходимо разработать политику информационной безопасности банка, которой неукоснительно должны следовать все его служащие.

Нормативно-правовая база для разработки политики

Деятельность банков России регулируется ЦБ РФ. Не мог Центробанк остаться в стороне и от обеспечения политики информационной безопасности, поэтому им были предложены банкам стандарты, описывающие рекомендованные методики защиты конфиденциальной информации. Интересно, что в этих стандартах носителем основной угрозы становятся не хакеры или конкуренты, а сотрудники, инсайдеры. В качестве основного источника риска ЦБР видит конфликт между наемным работником и собственником банка, который и приводит к преднамеренным утечкам информации.

Помимо общих методик защиты организаций банковской системы, работающих почти без изменений с 2007 года, в 2017 году Центральный банк предложил банковской общественности подготовленный им ГОСТ информационной безопасности, а именно стандарт СТО БР ИББС-1.0-2014, который определяет систему обеспечения информационной безопасности (ИБ), как совокупность системы информационной безопасности (СИБ) и системы менеджмента ИБ (СМИБ). Львиная доля ответственности за сохранность данных возлагается, исходя из логики документов, на руководящий состав банковских работников. Это логично, так как их назначение на должность ими согласовывается, и они вправе определять степень их ответственности за наиболее важные вопросы банковской деятельности.

Этапы разработки документа

Деятельность банков строго регламентируется, и источником высшей власти в акционерном обществе или обществе с ограниченной ответственностью становится Совет директоров. Именно его одобрение должно лечь в основу разработки политики информационной безопасности. Обычно в разработке документа непосредственно участвуют:

• заместитель руководителя, отвечающий за безопасность или административные вопросы;
• департамент корпоративной политики, который должен вписать новый внутренний нормативный акт в уже существующую структуру;
• правовой департамент, проверяющий соответствие документа действующему законодательству;
• департамент информационных технологий, в чьей компетенции находится вся техническая и информационная «начинка» документа;
• департамент безопасности, без его согласования важный документ не может быть утвержден;
• службы, отвечающие за внедрение систем и регламентов;
• службы внутреннего контроля, которые проверят соответствие содержимого политики требованиям стандартов ЦБ РФ.

Все эти подразделения должны работать согласованно, чтобы проект не содержал противоречий или системных ошибок. Иногда вместе с ними задействуются внешние консультанты и разработчики.

Таким образом, процесс разработки политики информационной безопасности банка делится на следующие этапы:

• постановка задачи на высшем уровне управления;
• распределение поручений и сфер ответственности;
• сбор необходимой информации с причастных подразделений;
• разработка проекта;
• внесение средств, требуемых для разработки и внедрения проекта, в бюджет организации и подразделений;
• согласование проекта всеми подразделениями;
• утверждение документа;
• внедрение документа;
• аудит качества его действия;
• доработка документа.

Весь процесс может занять несколько месяцев.

Структура документа

Не существует строго утвержденной структуры политики информационной безопасности коммерческого банка, но многие кредитные организации следуют рекомендациям стандартов. Размер политики может варьироваться от 11 до 200 и более страниц, это зависит от того, как именно принято решение отражать существенные моменты. Часто многие регламенты и методики реализации процессов выносятся в документы второго и третьего уровней. Такие документы предназначены, в отличие от информационной политики банка, для конкретных подразделений, а не для отдельных сотрудников. В документе отражаются средства и методы защиты информационной безопасности, призванные обеспечить конфиденциальность персональных данных, банковской и коммерческой тайны. Отражаются и меры, направленные на защиту технических средств, составляющих периметр информационной безопасности банка.

Термины и определение

Начинается документ всегда с терминов и определений, которые помогут в дальнейшем лучше понимать его содержание. Среди них обязательно встретятся следующие:

• АСУ – автоматизированная система обработки информации;
• администратор системы;
• атака на систему;
• безопасность информации;
• целостность и доступность информации;
• внешний и внутренний воздействующие факторы;
• документ;
• уровень доступа;
• обработка персональных данных;
• защита информации;
• злоумышленник – под ним понимается лицо, действующее не только из корыстных, но и из идейных побуждений;
• искусственные угрозы или угрозы безопасности, связанные с человеком, как преднамеренные, так и непреднамеренные, вызванные случайной ошибкой.

Количество терминов может быть ограниченным или очень большим, все зависит от времени, затраченного на разработку банковской политики информационной безопасности и целей ее подготовки.

Правовая основа

Любой внутренний документ коммерческой организации, утверждаемый на уровне ее органов управления, дает отсылки к законам и нормативным документам, регулирующим общие принципы затрагиваемых тем. В этой главе политики обычно ссылаются на:

• Конституцию РФ;
• нормы Гражданского и Уголовного кодексов, говорящие об ответственности за сохранность конфиденциальной информации;
• закон «О банках и банковской деятельности»;
• законодательство о защите персональных данных;
• стандарты и методики ЦБР.

Иногда дополнительно дается отсылка к стандартам ISO. Но поскольку они часто предлагают конфликтующие с политиками ЦБР нормы и правила, чаще сертификация систем банковской информационной безопасности происходит в каждой из систем отдельно. Именно в этом разделе чаще всего речь идет о том, что политика определяет методологические основы защиты информации и не распространяется на регулирование требуемых для качественной системы защиты программных и финансовых ресурсов.

Объекты защиты

Это один из самых интересных разделов. Он не всегда корреспондируется с перечнем информации, составляющей коммерческую тайну, и в качестве объектов предлагает более технические и относящиеся исключительно к понятиям информатизации активы. Выделяется три группы субъектов защиты:

• информационные массивы различного уровня, как защищаемые законодательством, так и просто обеспечивающие деятельность банка;
• процессы обработки информации в операционной среде банка, технологии, методики, как заимствованные, так и разработанные самими банковскими работниками;
• инфраструктура, к которой относится сама АСУ, все АРМ, каналы передачи информации, устройства удаленного доступа, устройства связи, помещения и иные объекты.

В этом разделе обязательно описывается структура всех объектов защиты, их размещение, системы связи между ними. Указание этих данных в политике требуется для обеспечения безопасности информационных ресурсов.

Защищаемые информационные базы данных делятся на группы в зависимости от уровня их важности и конфиденциальности, в политике обязательно проводится ранжирование групп и определяются уровни доступа банковского персонала для каждой группы. Обычно выделяются:

• банковская тайна;
• коммерческая тайна;
• персональные данные;
• информация, не носящая конфиденциальный характер.

Но ранжирование может производиться и по сущности сделок, по их суммам, по наличию в досье государственной тайны, если кредитуются связанные с ней проекты.

Цели и задачи обеспечения безопасности информации

Потребители политики должны знать, с какой целью разработан этот документ, какие права и интересы он защищает. В этом разделе обязательно указываются меры ответственности, предусмотренные действующим законодательством при разглашении или похищении конфиденциальных данных. Выделяются отдельные субъекты, чьи интересы могут пострадать. Среди них:

• банк;
• его акционеры;
• его отдельные подразделения;
• руководство и сотрудники;
• клиенты и другие лица, чьи данные хранятся в банке;
• контрагенты, консультанты, разработчики, проверяющие, участвующие в информационном обмене с банком.

Все эти лица заинтересованы в защите данных от хищения, изменения, распространения, а также в возможности беспрепятственного доступа к ним на регулярной основе.

Задачи обеспечения информационной безопасности и пути их решения

В этом разделе разработчики должны указать, какие именно цели они поставили перед собой при создании Политики информационной безопасности банка. Среди задач чаще всего называются:

• выявление источников угроз, прогнозирование их появления с учетом регулярного изменения информационной среды вокруг банка;
• создание механизма своевременного реагирования и на все угрозы информационной безопасности, и на информационные инциденты;
• создание условий для предотвращения ущерба, наносимого интересам граждан и компаний, или его минимизации;
• защита от вмешательства и несанкционированного доступа в информационную среду банка посторонних лиц;
• разграничение доступа пользователей с применением административных и технических средств;
• обеспечение аутентификации пользователей;
• антивирусная защита;
• защита от утечки данных по техническим каналам;
• работоспособность криптографических средств, обеспечивающих шифрование данных.

После постановки целей определяются основные пути их достижения. Обычно среди них указываются:

• ведение строгого учета всех компонентов информационной системы всех ресурсов, начиная от каждого документа и заканчивая серверами и каналами связи;
• контроль над действиями сотрудников, обеспечивающих обслуживание элементов системы, работающих с программными средствами, осуществляющими резервное копирование, их учет в электронных журналах, позволяющих установить, кто конкретно посещал отдельные информационные ресурсы;
• подготовка всех сотрудников, ответственных за сохранение информационной безопасности, по современным стандартам работы с безопасностью;
• предоставление каждому отдельному сотруднику минимально необходимого объема полномочий по доступу к информационным ресурсам, требуемого для выполнения им своих обязанностей; расширение этого доступа только на основании мотивированных служебных записок, согласованных с руководством банка;
• возложение на каждого сотрудника персональной ответственности за работоспособность системы и защиту информации, привлечение к дисциплинарной и уголовной ответственности в случае ее намеренного разглашения;
• применение программных и технических средств, обеспечивающих работу системы, и непрерывный аудит качества их работы;
• контроль над деятельностью каждого сотрудника, работающего с информационными ресурсами;
• юридическая защита интересов банка в отношениях с третьими лицами, запрашивающими информацию или предоставляющими ее.
• Выбор необходимых путей возлагается на руководство банка и департамента информационной безопасности.

Основные угрозы и их источники

Без этого раздела не обходится ни одна политика информационной безопасности банка, список угроз может меняться и пополняться по мере развития технической оснащенности потенциальных злоумышленников. Все типы угроз делятся на естественные и искусственные, вызванные человеческим фактором. Вторые можно разделить на внешние и внутренние, непреднамеренные и угрозы, вызванные действиями злоумышленников. Среди основных типов угроз информационной безопасности банка:

• непреднамеренные, случайные, вызванные ленью или халатностью нарушения установленных регламентов, которые приводят к сбоям в работе системы, нелогичному и нерациональному использованию человеческих и системных ресурсов;
• преднамеренные, вызванные третьими лицами – сотрудниками банка, проникающими в систему защиты банка с целью уничтожения, хищения или разглашения информации, совершения преступлений криминального характера, например, хищения средств клиентов;
• деятельность российских и иностранных криминальных группировок, направленная на добычу информации, уничтожение информационных систем, подрыв платежной системы Российской Федерации;
• ошибки разработчиков программного обеспечения, авторов системных конфигураций;
• аварии, стихийные бедствия, иные воздействия, имеющие природный или техногенный характер.

При этом наиболее катастрофичными результатами конфигурации угроз становятся:

• нарушение технологических процессов, происходящих в операционной среде банка, которые приводят к срывам в его ритмичной работе;
• нарушение целостности информационных баз, программных ресурсов, фальсификация информации, являющейся основанием для принятия системных решений;
• утечка информации, относящейся к категории охраняемой.

Принципы построения системы информационной безопасности

Без этой главы не обходится ни одна политика. На основе разработанных принципов реализуются методики, оформляемые уже в виде самостоятельных документов. Среди принципов:

• соответствие закону;
• системное решение всех поставленных задач;
• комплексность решения задач;
• непрерывность работы системы защиты и проверки ее работоспособности;
• преемственность средств;
• финансовая целесообразность;
• персональная ответственность при снижении уровня личной ответственности каждого включенного в систему защиты лица, разделение полномочий;
• исключение возникновения конфликта интересов;
• доступность применяемых решений для всех пользователей;
• профессионализм, оптимальность технических решений;
• постоянное обновление, совершенствование используемых средств.

Опираясь на эти принципы, специалисты подбирают комплекс технических и организационных мер, который будет приемлемым именно для защиты информационной безопасности в сфере банковской деятельности. Законность является столь же важной основой, что и системность, не существует вероятности использовать средства, не применимые в рамках действующего законодательства Российской Федерации. Защита должна распространяться и на сотрудников, против которых могут применяться меры, не предусмотренные нормами закона.

Особенности политики информационной безопасности банка

В отличие от научных и коммерческих организаций, в распоряжении банка имеются два массива охраняемой законом информации: коммерческая и банковская тайна. Каждый из них имеет собственный режим защиты, что необходимо изложить в политике. Банковская тайна, связанная со счетами и вкладами клиентов, в определенных случаях может быть предоставлена третьим лицам – государственным органам. Но ее непреднамеренное разглашение станет серьезным репутационным ущербом, может привести к возникновению уголовных и гражданских дел.

Также имеет значение структура информационных баз банка. Та система, которая предназначена для учета информации о деятельности банка, формирует ежедневную отчетность для ЦБ РФ, связана напрямую с базами данных Центрального банка по своим каналам связи, но не должна быть связана с сетями Интернет. На практике это правило часто нарушается, и на одном автоматизированном рабочем месте происходит обработка и сугубо конфиденциальной информации, и данных общего характера. Избежать риска проникновения в системы внешних и внутренних злоумышленников поможет многоуровневая иерархическая система доступов. Кроме того, для банка критично важно обеспечение резервного копирования информации, осуществляемое в ежедневном, если не ежечасном, режиме. К информационной среде банка политики безопасности обычно относят:

• распределение ее компонентов на широком распространении друг от друга, особенно для банков с развитой сетью филиалов и отделений;
• объединение в одну систему множества разноформатных технических средств;
• взаимодействие в одновременном режиме нескольких управляющих систем в информационной среде банка;
• абстрагирование данных от их владельцев;
• большая важность решений, принимаемых на основании данных, выдаваемых АСУ.

Все это ставит задачи регулярной и четкой работы систем на одно из важных мест в политике информационной безопасности. Нарушение режима работы может уничтожить результаты труда сотен людей.

Разрабатывая политику информационной безопасности банка, нельзя забывать о том, что документ готовится для сотрудников, а не для того, чтобы храниться среди прочих методических материалов. Он должен просто, понятно и логично отразить основные понятия и дать рекомендации для действий, совершаемых в результате любых информационных атак.