Статья посвящена анализу хитросплетений российского банковского стандарта информационной безопасности и его сопоставлению с международными аналогами.
Эпиграф
Каждый человек может и должен пользоваться всем тем, что выработал совокупный разум человечества, но вместе с тем должен своим разумом проверять данные, выработанные всем человечеством.
Л.Н. Толстой, «Путь жизни»
Пролог. Часть 1. Рождение и триумфальное шествие российского банковского стандарта информационной безопасности
Собрались как-то лучшие специалисты-безопасники под эгидой Ассоциации Российских Банков и порешили, что не могут существовать банки в современных условиях без стандартов информационной безопасности. Однако стандартов в этой сфере к тому времени в мире было разработано несметное количество. Осведомленные люди поговаривали о существовании сотен различных стандартов, которые не только применить, но и прочитать было не под силу, даже нашим мудрецам. Как не утонуть в этом бескрайнем океане информации, какие стандарты внедрять, каким требованиям следовать. И почли своим долгом устранить существующую неразбериху и задать нужное направление для банковской системы РФ, разработав собственный стандарт, учитывающий и наш менталитет и особенности отечественных банков. Заодно и существующий мировой опыт обобщить и адаптировать к нашим условиям было бы не худо.
Сказано – сделано. В ход пошли и наши ГОСТы, и дюжина стандартов ISO/IEC, не забыли также и BSI и даже мудреные иностранные методики оценки рисков CRAMM и OCTAVE. И вот на свет появился наш первенец, по-российски широкий своим охватом, слегка мудреный, немного бесшабашный, немного противоречивый. Получил он название «Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и был введен в действие с первого января, когда наша страна отмечала приход нового 2006 года, в котором уже намеревалась вступить в ВТО.
Встретило российское банковское сообщество новый стандарт безопасности с воодушевлением, несмотря на критические высказывания отдельных специалистов, которые, однако, не смели возвысить свой голос супротив большинства, ибо собирались продолжать работу в банковской сфере и дальше. Вот уже десятки российских банков, рапортуют об успешном внедрении, сотни становятся на этот тернистый путь, остальные одобряют и готовятся примкнуть к первому эшелону.
Пролог. Часть 2. Неожиданная дилемма и ее счастливое разрешение
Однако вопрос о том, как же быть с международными стандартами, все не давал спокойно спать банковским специалистам-безопасникам. Тем более что пока пестовали банковский стандарт, международные стандарты стали один за другим превращаться в ГОСТы с легкой руки ФАТРМ и ФСТЭК. Как нам быть? – возопили они к своим авторитетам. Должны ли мы соответствовать еще и, например, ISO 27001 или хватит нам своего собственного стандарта? И сказали им авторитеты: «Уж коли вам неймется, можете внедрять ISO 27001 в дополнение к нашему стандарту, но никак не наоборот». И закручинились простые банковские специалисты-безопасники. Ведь немыслимое же это дело – сразу два таких серьезных стандарта внедрять. Да иностранные партнеры еще и не хотят признавать наш банковский стандарт. Как только речь об этом заходит, сразу спрашивают сертификаты международного образца.
И решили тут российские консультанты, хоть они у нас и не в чести, помочь своим собратьям банкирам и нарисовать для них таблицу объемную, сопоставляющую наш банковский стандарт с ISO 27001, так чтобы от одного к другому можно было без труда переходить и обратно возвращаться. Назвали они эту таблицу мудреным иностранным словом mapping, т.к. подходящего слова для обозначения столь непривычного дела в русском языке не нашлось. И стали консультанты внимательно вчитываться в текст нашего банковского стандарта и стали рассуждать об увиденном, да сравнивать со стандартами международными. И вот что они рассказали……
Концептуальная парадигма, к которой не стоит относиться слишком критически
Пропустим малоинтересные, но обязательные вступительные разделы, и начнем с раздела 5, который называется «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ», где речь идет «о противоборстве собственника и злоумышленика за контроль над информационными активами». Звучит интригующе. Только никакого противоборства между собственниками банка и злоумышленниками быть не может, т.к. собственники банка (коими являются владельцы акций или долей в уставном капитале банка, либо государство, если банк государственный) могут вообще не иметь прямого отношения к управлению банком, его деятельности и, тем более, обеспечению его безопасности. На самом деле в противоборстве реально принимает участие не собственник, а весь персонал банка. Однако поскольку часть персонала может находиться и по другую сторону баррикад (вспомним об инсайдерской угрозе), то правильно было бы вести речь о высшем руководстве банка во главе с председателем правления, на которого и возлагается вся тяжесть ответственности, в случае, если баррикады оказались прорванными, а собственникам, клиентам, партнерам банка или государству был нанесен реальный ущерб. Поэтому в стандартах международных (ISO 27001, ISO 27002 и т.д.) собственники фигурируют лишь в качестве стороны, которая может пострадать в результате инцидентов безопасности. Субъектом, к которому предъявляются требования по защите информации, в них выступает организация в целом, либо ее высшее руководство (top management).
Приведенное же в банковском стандарте определение собственника только еще более запутывает читателя: «Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику». Данное определение охватывает самый широкий круг юридических и физических лиц, которые обладают не только правом владения, но и распоряжения, а также пользования активами банка, включая партнеров и клиентов, пользующиеся активами банка, а также всех его акционеров. Вот какая масштабная парадигма получается! К счастью данная парадигма в остальной части стандарта развития не нашла. Видимо при разработке последующих разделов использовались другие источники. Поэтому далее по тексту стандарта в качестве субъекта фигурирует организация или ее руководство, которое местами для разнообразия называется менеджментом, либо требования формулируются в обезличенной форме.
Лежащее в основе парадигмы банковского стандарта «противоборство за контроль над информационными активами» привлекает внимание еще и тем, что это далеко не единственная и даже не основная цель обеспечения ИБ. Уничтожение активов, нарушение их доступности или раскрытие их содержимого без получения контроля над ними – не менее серьезные угрозы. Вообще говоря, получение контроля над информационными активами – это лишь один из этапов реализации некоторых видов угроз, который по какой-то причине положен в основу парадигмы обеспечения ИБ авторами данного стандарта.
Определение злоумышленника в банковском стандарте позаимствовано из ст. 27 УК РФ: «Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий … Далее по тексту данные лица именуются злоумышленниками (нарушителями)». Это определение нельзя назвать удачным, поскольку нарушения ИБ не всегда являются уголовно наказуемыми деяниями. Нарушители ИБ не всегда являются злоумышленниками и не всегда могут предвидеть последствия своих действий или бездействия. Поэтому в данном случае стоило опираться не на Уголовный Кодекс, а, не усложняя вопроса, понимать под нарушителем ИБ лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным активам организации.
Немного перемудрили с определениями – не беда. В конечном счете, как уже было замечено, данная парадигма не имеет непосредственной связи с требованиями, изложенными далее по тексту стандарта, т.к. опирается на иные источники разработки. А обсуждаем мы ее здесь исключительно для того, чтобы было понятно одно из коренных отличий данного стандарта от его международных собратьев. В международных стандартах нет такой путаницы с определениями, излагаемые в них парадигмы, если и не безупречны, то, по крайней мере, они полностью соответствуют современным представлениям об ИБ. Это объясняется тем, что международные стандарты имеют многолетнюю историю развития и применения, к их разработке приложили руку большое количество специалистов и организаций, и они прошли через строгие согласовательные процедуры. Если даже в них и существуют ошибки (как, например, выявленные при переводе на русский язык третьей части BS 7799), то они носят скорее характер опечаток и ни в коем случае не вводят читателя в заблуждение.
«Необязательные» процессы менеджмента ИБ или сказ о том, как достигнутое руководством осознание принципов ИБ не находит практического воплощения из-за недостатка времени
Процессный подход к управлению ИБ был позаимствован разработчиками банковского стандарта из ISO 27001, а исходная модель Деминга получила в нем свое дальнейшее развитие. Продолжая перелистывать страницы, мы узнаем из п. 5.16. что «Обеспечение ИБ организации включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ». Если с процессами менеджмента ИБ все, более менее, ясно, то процессы осозная ИБ – это уже относительно новое направление современной мысли. «Процессы осознания», стоящие по замыслу разработчиков стандарта чуть выше над процессами менеджмента, оказывается «имеют отношение к руководству организации и определяют его ответственность в части реализации принципов обеспечения информационной безопасности организаций БС РФ, определенных положениями настоящего стандарта, а также требованиями раздела 5 “Ответственность высшего руководства организации” международного стандарта ISO/IEC IS 27001». Другими словами «процессы осознания», включат в себя осознание руководством организации принципов обеспечения ИБ, сформулированных в данном стандарте (представляется нахмуренное лицо председателя правления банка, пытающегося осознать «принципы»), а также демонстрацию приверженности руководства, управление ресурсами, осведомленностью и компетентностью согласно требованиям раздела 5 ISO 27001.
Далее мы узнаем, что процессы менеджмента носят необязательный характер, в том смысле, что они могут распространяться не на всю организацию. Вот что говориться об этом в банковском стандарте: «Процессы осознания ИБ должны охватывать всю организацию, а процессами менеджмента ИБ может быть охвачена ее часть или части. Обоснованием тому может быть ограниченность в ресурсах или времени». Другими словами, руководство банка должно охватить своим осознанием и продемонстрировать свою приверженность ИБ в отношении всех подразделений, систем и бизнес процессов, а внедрять процессы менеджмента ИБ только в тех подразделениях, на которые у него хватит времени и ресурсов. Это как-раз тот случай, когда в политике ИБ, утвержденной руководством, декларируется, например, намерение проводить ежегодный аудит банковской системы, однако соответствующих процесс отсутствует из-за недостатка времени у персонала службы внутреннего аудита. На этот раз разработчики банковского стандарта оказались слишком близки к реальности. В самую точку попали. Ведь во многих организациях дела с безопасностью именно так и обстоят. Осознание принципов обычно охватывает всю организацию, чего нельзя сказать о процессах управления. Тем не менее, вряд ли стоило узаконивать данную ситуацию в стандарте.
Модель угроз, к сожалению, без угроз
Пропустим следующий раздел «6. Основные принципы обеспечения информационной безопасности организаций БС РФ» как не имеющий прикладного значения. Чтение принципов конечно должно вдохновить как руководство организации, так и рядовых сотрудников, однако нам практикам нужны требования или, по крайней мере, рекомендации. Поэтому перемещаемся на один пункт вперед к разделу 7 «Модели угроз и нарушителей информационной безопасности организаций БС РФ». В этом разделе, к сожалению, не приводится даже краткого перечня угроз, зато дается описание уровней информационной инфраструктуры организации, а также перечисляются источники угроз для каждого из этих уровней и, между прочим, упоминаются некоторые виды внутренних и внешних нарушителей. Банковские специалисты по ИБ тщетно будут искать в адресованном им стандарте типовую модель угроз и нарушителей, которые согласно определению стандарта являются «основным инструментом менеджмента ИБ организации». А ведь так хотелось эти модели здесь увидеть! Хотя бы краткий обобщенный список угроз, пусть даже в виде отдельного приложения. Но не будем столь придирчивы. В конце концов, в разработке находится банковская методология оценки рисков ИБ, и это еще можно будет сделать там.
Неопределенность, порождающая ущерб
Раз уж речь зашла об оценке рисков ИБ, то следует отметить весьма нестандартный подход к определению понятия риска, выраженный в банковском стандарте: «риск: неопределенность, предполагающая возможность потерь (ущерба)». Красивое определение, философское и охватывающее любые виды рисков! Что же касается риска информационной безопасности, то, согласно определению данного стандарта, это «неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) организации». Другими словами, речь идет об ущербе, который может понести не сама организация, а ее состояние защищенности, и причиной всему является неопределенность! Угрозы ИБ рассматриваются в данном стандарте как некие внешние факторы, которые «непосредственно влияют на операционные риски деятельности организации», по-видимому, делая существующую неопределенность еще более неопределенной. Каким образом операционные риски связаны с рисками ИБ, открытым текстом не говориться, однако отмечается, что они «сказываются на бизнес-процессах организации». Как существующая неопределенность (операционный риск) может сказываться на бинес-процессах далее не раскрывается, но, видимо, этот вопрос уже переходит в область философии и поэтому не рассматривается в данном стандарте, как имеющем чисто прикладное значение.
Если взять семейство международных стандартов ISO 27000, то там понятие риска формулируется несколько по-иному, как «комбинация вероятности события и его последствий» (это определение перекочевало в BS 7799-3 (ISO 27005) из ISO Guide 73:2002). Далее последовательно излагается подход к управлению рисками ИБ, определяется порядок действий по анализу, оцениванию и обработке рисков, а также объясняется каким образом вероятность угрозы, величина уязвимости, ценность актива и размер ущерба связаны между собой и позволяют получать оценку величины риска ИБ. Это те вещи, которые, к сожалению, не смог позаимствовать у своих собратьев наш банковский стандарт. Однако снова вспомним о готовящейся банковской методологии оценки рисков ИБ. Уж она то должна расставить все по своим местам. Только удастся ли авторам стандарта в конечном итоге разобраться с неопределенностью и с тем, как на нее влияют угрозы? Пока же продолжаем пользоваться первоисточниками.
Эпилог
Пролистав примерно половину стандарта, сделаем остановку, оставив впереди самые интересные разделы. Не будем делать скоропалительных выводов, ведь работа над совершенствованием банковского стандарта не прекращается.
Вообще, эти консультанты много чего еще наговорили. Но кто у нас в России слушает консультантов? Уж только если у читателя будет к тому особый интерес, тогда может быть и напишем продолжение … или опровержение?
Александр Астахов, CISA, 2008