Крупнейшая бесплатная
информационно-справочная система онлайн доступа к полному собранию технических нормативно-правовых актов
РФ. Огромная база технических нормативов (более 150 тысяч документов) и полное собрание национальных стандартов, аутентичное официальной базе Госстандарта.
|
|||
|
Финансовые услуги РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISO/TR 13569:2005
Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения» Сведения о стандарте 1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода стандарта, указанного в пункте 5 2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. № 514-ст 4 ВВЕДЕН ВПЕРВЫЕ 5 Настоящий стандарт идентичен международному стандарту ИСО/ТО 13569:2005 «Финансовые услуги. Рекомендации по информационной безопасности» (ISO/TR 13569:2005 «Financial services - Information security guidelines»). (Поправка. ИУС 7-2009) При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении Е Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет Содержание Введение Финансовые услуги как экономическая категория отражают процесс использования денежных средств на основе товарно-денежного обращения. Оказание финансовых услуг за прошедшее десятилетие изменилось как с точки зрения масштабности их осуществления, так и в связи с внедрением компьютерных и сетевых технологий в эту сферу деятельности. При этом подобные операции осуществляются как внутри государства, так и при взаимодействии организаций разных стран. Настоящий стандарт дает представление о системе обеспечения информационной безопасности в процессе оказания финансовых услуг с учетом сложившейся практики на международном уровне, что особенно важно для организаций, стремящихся развивать свою деятельность за пределами Российской Федерации. НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Дата введения - 2008-07-01 1 Область примененияНастоящий стандарт устанавливает рекомендации по разработке программы обеспечения информационной безопасности для организаций в сфере финансовых услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды, практических приемов и процедур деятельности финансовых учреждений. Настоящий стандарт предназначен для использования финансовыми учреждениями различного типа и размера, которые должны разрабатывать рациональную и экономически обоснованную программу обеспечения информационной безопасности. 2 Нормативные ссылкиВ настоящем стандарте использованы ссылки на следующие международные стандарты: ИСО 9564 (все части) Банковское дело - Менеджмент и обеспечение безопасности персональных идентификационных номеров ИСО 10202 (все части) Банковские карточки для финансовых операций - Архитектура безопасности систем финансовых операций, использующих смарт-карты ИСО 11568 (все части) Банковское дело - Менеджмент ключей (розничная торговля) ИСО/МЭК 11770 (все части) Информационная технология - Методы и средства обеспечения безопасности - Менеджмент ключей ИСО 15782 (все части) Менеджмент сертификатов в сфере финансовых услуг ИСО 16609:2004 Банковское дело - Требования к аутентификации сообщений, используя симметричные методы ИСО/МЭК 17799:2005 Информационная технология - Практические правила управления информационной безопасностью ИСО/МЭК 18028 (все части) Информационная технология - Методы и средства обеспечения безопасности - Безопасность информационной сети ИСО/МЭК 18033 (все части) Информационная технология. - Методы и средства обеспечения безопасности- Алгоритмы шифрования ИСО 21188:2006 Инфраструктура открытых ключей для сферы финансовых услуг - Практические приемы и структура политики 3 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями: 3.1 Управление доступом (access control): Функции, ограничивающие доступ к информации или средствам обработки информации только авторизованным лицам или приложениям, включая физическое управление доступом, основанное на размещении физических барьеров между неавторизованными лицами и защищаемыми информационными ресурсами, и логические средства управления доступом, использующие другие способы управления. 3.2 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. [ИСО 7498-2:1989] [1], [ИСО/МЭК 13335-1:2004] [2] 3.3 сигнал тревоги (alarm): Указание на нарушение безопасности, необычное или опасное состояние, которое может потребовать немедленного внимания. 3.4 активы (asset): Все, что имеет ценность для организации [2]. 3.5 аудит (audit): Служба, задачей которой является проверка наличия адекватных мер контроля и сообщение руководству соответствующего уровня о несоответствиях. 3.6 журнал аудита (audit journal): Запись в хронологическом порядке действий системы, содержащей достаточно сведений для того, чтобы реконструировать, проанализировать и проверить последовательность сред и действий, окружающих каждое событие или ведущих к каждому событию по ходу операции от ее начала до выдачи окончательных результатов. [ИСО 15782-1:2003] [3] 3.7 аутентификация (authentication): Предоставление гарантии заявленной идентичности объекта. [ИСО/МЭК 10181-1:1196] [4], [ИСО/МЭК ТО 13335-4:2000] [5] 3.8 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации. 3.9 доступность (availability): Характеристика, определяющая доступность и используемость по запросу со стороны авторизованного логического объекта [1], [2]. 3.10 резервное копирование (back-up): Сохранение бизнес-информации для обеспечения непрерывности бизнес-процесса в случае утраты информационных ресурсов. 3.11 биометрические данные (biometric): Измеримая биологическая или поведенческая характеристика, с достоверностью отличающая одного человека от другого, используемая для установления либо подтверждения личности человека. [ANSI X9.84:2003] [6] 3.12 биометрия (biometrics): Автоматические методы, используемые для распознавания личности или подтверждения заявленной личности человека на основе физиологических или поведенческих характеристик. 3.13 метод аутентификации карточек (МАК) (card authentication method (CAM)): Метод, делающий возможной уникальную машиночитаемую идентификацию банковской карточки для финансовых операций и предотвращающий копирование карт. 3.14 классификация (classification): Схема, в соответствии с которой информация подразделяется на категории с целью применения соответствующих защитных мер против этих категорий. Примечание - Соответствующие защитные меры применяют для следующих категорий: возможность мошенничества, конфиденциальность или критичность информации. 3.15 конфиденциальность (confidentialit): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса [1], [2], [3]. 3.16 план действий в чрезвычайных обстоятельствах (contingency plan): Порядок действия, который позволяет организации восстановить работу после природного или иного бедствия. 3.17 мера управления (control): По 3.64, термин «защитная мера». 3.18 политика информационной безопасности организации [политика] (corporate information security policy) [policy]: Общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации. 3.19 кредитный риск (credit risk): Риск того, что контрагент в системе будет не способен полностью выполнить свои финансовые обязательства в системе в срок или в любое время в будущем. [CPSS Ключевые принципы для системно значимых платежных систем] [7] 3.20 критичность (criticality): Требования к тому, чтобы конкретная информация или средства обработки информации были доступны для ведения бизнеса. 3.21 криптография (cryptography): Математический аппарат, используемый для шифрования или аутентификации информации. 3.22 криптографическая аутентификация (cryptographic authentication): Аутентификация, основанная на цифровой подписи, коде аутентификации сообщения, генерируемых в соответствии с криптографическим ключом. 3.23 криптографический ключ (cryptographic key): Значение, используемое для управления криптографическим процессом, таким как шифрование или аутентификация. Примечание - Знание соответствующего криптографического ключа дает возможность правильно дешифровать сообщение или подтвердить его целостность. 3.24 уничтожение информации (destruction of information): Любое условие, делающее информацию непригодной для использования независимо от причины. 3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны. [ANSI X9.79] [8] 3.26 раскрытие информации (disclosure of information): Несанкционированный просмотр или потенциальная возможность несанкционированного просмотра информации. 3.27 двойной контроль (dual control): Процесс использования двух или более отдельных логических объектов (обычно людей), действующих совместно для обеспечения защиты важных функций или информации [3]. Примечания 1 Оба логических объекта несут равную ответственность за обеспечение физической защиты материалов, задействованных в уязвимых операциях. Ни один человек в отдельности не может получить доступ к материалам (например, криптографическому ключу) или использовать их. 2 При ручном формировании, передаче, загрузке, хранении и извлечении ключей и сертификатов двойной контроль требует, чтобы каждый из сотрудников знал только часть ключа. 3 При использовании двойного контроля следует позаботиться о том, чтобы обеспечить независимость лиц друг от друга. 3.28 шифрование (encryption): Процесс преобразования информации к виду, когда она не имеет смысла ни для кого, кроме обладателей криптографического ключа. Примечание - Использование шифрования защищает информацию в период между процессом шифрования и процессом дешифрования (который является противоположным шифрованию) от несанкционированного раскрытия. 3.29 межсетевой экран (firewall): Совокупность компонентов, помещенных между двумя сетями, которые вместе обладают следующими свойствами: - весь входящий и исходящий сетевой трафик должен проходить через межсетевой экран; - пропускается только сетевой трафик, авторизованный в соответствии с локальной политикой безопасности; - межсетевой экран сам по себе устойчив к проникновению. 3.30 идентификация (identification): Процесс установления единственным образом однозначной идентичности объекта [5]. 3.31 образ (image): Цифровое представление документа для обработки или хранения в системе обработки информации. 3.32 инцидент (incident): Любое непредвиденное или нежелательное событие, которое может нарушать деятельность или информационную безопасность [2]. Примечание - К инцидентам информационной безопасности относятся: - утрата услуг, оборудования или устройств; - системные сбои или перегрузки; - ошибки пользователей; - несоблюдение политик или рекомендаций; - нарушение физических защитных мер; - неконтролируемые изменения систем; - сбои программного обеспечения и отказы технических средств; - нарушение правил доступа. 3.33 средство(а) обработки информации (information processing facility): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения [2]. 3.34 информация (information): Любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки. 3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации. 3.36 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки [2]. 3.37 лицо, ответственное за информационную безопасность (information security officer): Лицо, отвечающее за внедрение и поддержку программы обеспечения информационной безопасности. 3.38 информационные ресурсы (information resource): Оборудование, используемое для обработки, передачи или хранения информации, независимо оттого, находится оно внутри организации или за ее пределами. Примечание - К подобному оборудованию относятся: телефоны, факсимильные аппараты и компьютеры. 3.39 целостность (integrity): Свойство сохранения правильности и полноты активов [2]. 3.40 ключ (key): По 3.23, термин «Криптографический ключ». 3.41 использование фальшивого чека (kiting): Использование фальшивого чека для получения кредита или денег. 3.42 правовой риск (legal risk): Риск потерь из-за непредвиденного применения закона или нормативного акта или из-за невозможности выполнения контракта [7]. 3.43 гарантийное письмо (letter of assurance): Документ, описывающий меры обеспечения информационной безопасности, применяемые для защиты информации, хранимой по поручению получателя письма. 3.44 риск ликвидности (liquidity risk): Риск того, что у контрагента в системе будет недостаточно средств для выполнения своих финансовых обязательств в системе в полном объеме в срок, хотя существует возможность, что он сможет сделать это в какой-то момент в будущем [7]. 3.45 код аутентификации сообщений (КАС) (message authentication code MAC): Код, который присоединяется к сообщению его автором, являющийся результатом обработки сообщения посредством криптографического процесса. Примечание - Если получатель может создать такой же код, возникает уверенность в том, что сообщение не было модифицировано и что оно исходит от владельца соответствующего криптографического ключа. 3.46 модификация информации (modification of information): Обнаруженное или необнаруженное несанкционированное или случайное изменение информации. 3.47 принцип необходимого знания (need to know): Концепция безопасности, ограничивающая доступ к информации и ресурсам обработки информации в объеме, необходимом для выполнения обязанностей данного лица. 3.48 сеть (network): Совокупность систем связи и систем обработки информации, которая может использоваться несколькими пользователями. 3.49 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты [1], [2]. [ИСО/МЭК 13888-1:2004] [9] 3.50 операционный риск (operational risk): Риск того, что операционные факторы, такие как технические нарушения функционирования или операционные ошибки, вызовут или усугубят кредитный риск или риск ликвидности [7]. 3.51 обладатель информации (owner of information): Работник или служба, отвечающие за сбор и сохранение данной совокупности информации. 3.52 пароль (password): Строка символов, служащая в качестве аутентификатора пользователя. 3.53 целесообразная бизнес-практика (prudent business practice): Совокупность практических приемов, которые были в целом признаны как необходимые. 3.54 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам [2]: 3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2]. 3.56 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов [2]. Примечание - Определяется как сочетание вероятности события и его последствий. 3.57 принятие риска (risk acceptance): Решение организации взять риск на себя, связанное с исключением в политике. 3.58 анализ риска (risk analysis): Систематический процесс определения величины рисков [2]. 3.59 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска [2]. 3.60 оценивание риска (risk evaluation): Процесс сравнения проанализированных уровней риска с заранее установленными критериями и идентификации областей, где требуется обработка риска. 3.61 идентификация риска (risk identification): Процесс идентификации рисков, рассматривающий бизнес-цели, угрозы и уязвимости как основу для дальнейшего анализа. 3.62 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшение последствий вероятных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий [2]. 3.63 обработка риска (risk treatment): Процесс выбора и реализации мер по изменению рисков. 3.64 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска [2]. Примечание - Следует заметить, что понятие «защитная мера» может считаться синонимом понятия «мера управления». 3.65 безопасность (security): Качество или состояние защищенности от несанкционированного доступа или неконтролируемых потерь или воздействий. Примечания 1 Абсолютная безопасность является практически недостижимой, а качество определенной системы безопасности - относительным. 2 В рамках системы безопасности «состояние - модель» безопасность является таким «состоянием», которое должно сохраняться при различных операциях. 3.66 сервер (server): Компьютер, действующий как поставщик некоторых услуг, таких как обработка коммуникаций, обеспечение интерфейса с системой хранения файлов или печатное устройство. 3.67 регистрация (sign-on): Завершение идентификации и аутентификации пользователя. 3.68 разделенное знание (split knowledge): Разделение критичной информации на множество частей так, чтобы требовалось наличие минимального числа частей, перед выполнением какого-либо действия. Примечание - Разделенное знание часто используется для осуществления двойного контроля. 3.69 карточка хранения ценностей (stored value card): Устройство, позволяющее хранить и осуществлять операции с электронными деньгами. 3.70 системный риск (systemic risk): Риск того, что неспособность одного из участников выполнить свои обязательства либо нарушения в функционировании самой системы могут привести к неспособности других участников системы или других финансовых учреждений в других частях финансовой системы выполнять свои обязательства в срок [7]. Примечание - Подобный сбой может вызвать распространение проблем с ликвидностью или кредитами и в результате поставить под угрозу стабильность системы или финансовых рынков. 3.71 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации [2]. 3.72 средство идентификации (token): Контролируемое пользователем устройство (например диск, смарт-карта, компьютерный файл), содержащее информацию, которая может использоваться в электронной торговле для аутентификации или управления доступом. 3.73 идентификатор пользователя (user ID): Строка символов, используемая для однозначной идентификации каждого пользователя системы. 3.74 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [2]. 4 Обозначения и сокращенияКПРС - комитет по платежным и расчетным системам; FTR -протокол передачи файлов; http - протокол передачи гипертекста; HTTPS - протокол защищенной передачи гипертекста; IP - протокол Интернет; IPSEC - протокол IPSec; ИТ - информационная технология; ПК - персональный компьютер; РЕАР - защищенный расширяемый протокол аутентификации; PIN - персональный идентификационный номер; SMTP - простой протокол электронной почты; SSH - вид терминального доступа к серверу с большей степенью защищенности сеанса связи; SSL - протокол безопасных соединений; WS - веб-серверы; XML - расширяемый язык разметки; ЕС - Европейский Союз. 5 Политика информационной безопасности организации5.1 НазначениеВсе учреждения финансовых услуг в значительной степени зависят от использования ИТ информационно-коммуникационных технологий и, следовательно, нуждаются в обеспечении защиты информации и менеджменте безопасности своих информационных активов. Следовательно, обеспечение информационной безопасности и менеджмент информационной безопасности должны стать важным компонентом плана руководства организации. Разработка программы обеспечения информационной безопасности является целесообразной бизнес-практикой, помогающей учреждениям, предоставляющим финансовые услуги, идентифицировать и осуществлять менеджмент риска. Настоящий стандарт устанавливает общий, основанный на политике безопасности подход к менеджменту информационной безопасности и рекомендации, которые могут быть адаптированы для бизнес-целей данной организации. Бизнес-целям должны способствовать политики и процедуры обеспечения защиты активов ИТ. Основанный на политике безопасности подход применим к учреждениям с различных масштабов, типов управления и организационных структур. В настоящем стандарте приводятся общие рекомендации руководству учреждения, предоставляющего финансовые услуги по различным аспектам менеджмента информационной безопасности в разработке и поддержке программы обеспечения информационной безопасности. Другие источники, в частности ИСО/МЭК 17799, предоставляют важную подробную информацию общего назначения, которая окажет неоценимую помощь в вопросах внедрения и поддержки программы обеспечения информационной безопасности. Настоящий стандарт устанавливает конкретные правовые и нормативные требования, которые должны учитываться финансовыми учреждениями при создании, основанной на политике безопасности менеджмента информационной безопасности. 5.2 Правовое и нормативное соответствие5.2.1 Общие положенияРаспорядительные органы в основном занимаются вопросами безопасности, устойчивости и соблюдения законов и положений. Одним из элементов безопасности и устойчивости является система защитных мер организации, которая обеспечивает защиту информации от недоступности, несанкционированного изменения, раскрытия и уничтожения. Последние национальные и международные законы, такие как Базель II [10], закон Сэрбэйнс-Оксли (SOX) [11], закон Грэма-Лича-Блили (GLB) [12] и Европейская директива 95/46/ЕС [13], определили среду правового и регулятивного риска для мировых поставщиков финансовых услуг. Политика безопасности организации должна учитывать этот риск. Сотрудники, ответственные за обеспечение соответствия требованиям политики безопасности, должны работать вместе с руководителем службы обеспечения информационной безопасности организации, руководителем финансовой службы организации, управляющими делами, лицами, занимающимися менеджментом риска, и аудиторами над тем, чтобы требования информационной безопасности национальных и международных законов и положений были доведены до работников организации и разъяснены им. Ответственные сотрудники за оценку соответствия информационной безопасности должны следить за появлением новых информационных технологий или методологий оценки информационной безопасности, которые могут стать объектом регулирования, например, за соответствием новых продуктов информационных технологий заранее определенным классам функциональных возможностей по информационной безопасности. 5.2.2 Требования к финансовым учреждениям5.2.2.1 Обзор Для учреждений финансового сектора существуют определенные правовые требования и нормы, оказывающие влияние на безопасность ИТ, которые должны соблюдаться. Основная проблема заключается в том, что эти требования в разных странах различны. Хотя ЕС проложил путь к устранению различий в правовых нормах, все еще остаются национальные правовые нормы, требующие особого отношения. Далее описываются наиболее важные законы с точки зрения поставщика финансовых услуг, действующего в глобальных условиях. Описание нормативных требований представлено в виде разделов: «Организационное управление», «Защита данных (неприкосновенность частной жизни)» и «Законодательство финансового сектора», характерное для поставщиков финансовых услуг (например, законы, касающиеся легализации криминальных доходов). Описание законодательной среды основано на требованиях финансовой отчетности и рекомендациях, установленных в [10]. 5.2.2.2 Правовые требования 5.2.2.2.1 Руководство организации В последние годы многие национальные и региональные законодательные органы выдвинули законы, касающиеся руководства организации. Среди них известны следующие: закон Сэрбэйнс-Оксли (SOX) в США, закон Kontrolle- und Transparenz Gesetz (KonTraG) в Германии и проект директивы ЕС «О руководстве организации». Эти три закона изменили систему правовых рисков, с которыми сталкиваются поставщики финансовых услуг. Закон SOX требует, чтобы все компании, ведущие свободную торговлю на фондовых биржах США, предоставляли свидетельство наличия у них адекватных средств контроля для финансовой отчетности. Говоря более подробно, закон SOX обязывает руководителя компании и руководителя ее финансовой службы проводить оценку эффективности внутренней системы контроля организации, а также принимать на себя всю ответственность за ежегодные финансовые отчеты организации. В этих целях в отношении ИТ необходимо проводить оценку и контроль функционирования критических бизнес-приложений и связанных с ними рисков. Весь жизненный цикл бизнес-приложений - от первоначальной разработки до обеспечения непрерывности бизнеса - должен подвергаться оценке и контролю с целью гарантирования наличия адекватных защитных мер. Хотя этот закон является национальным, его применяют к любой компании, чьи акции свободно продаются в США. Немецкий закон KonTraG требует от организации внедрения внутреннего процесса мониторинга, определяющего внутренние разработки и решения, которые могут представлять высокий уровень риска для этой организации. Это требование подразумевает, что руководство должно внедрять внутреннюю систему менеджмента риска в масштабе организации. Данный закон также обязывает руководство сообщать об идентифицированном серьезном риске в своей системе отчетности (представляемой дважды в год и ежегодно). В отношении ИТ в нем рассматривается тот же аспект, что в законе SOX. Однако, поскольку немецкие компании, ведущие свободную торговлю, имеют двухуровневый совет директоров, требуется более строгая система отчетности совета директоров наблюдательному совету. Несоответствие данному закону может приводить к снижению банковского рейтинга организации и, следовательно, оказывать влияние на процентные ставки за кредиты. ЕС разрабатывает проект директивы, который окажет влияние на национальное законодательство ЕС, и заключается в том, что от всех компаний, чьи акции зарегистрированы на фондовой бирже, требуется публикация отчета об управлении организации. Данный отчет должен содержать подробную информацию о совете директоров, его решениях, финансовом положении компании и соблюдении законодательства ЕС. Кроме этого, отчет должен также включать в себя результаты независимых аудитов. Директива имеет похожие следствия для ИТ, что и законы SOX и KonTraG. Существуют и другие национальные законы, но ни один из них не является настолько строгим, чтобы оказывать влияние на директиву ЕС. 5.2.2.2.2 Защита данных (неприкосновенность частной жизни) Вопрос защиты данных привлекает все больше и больше внимания, что обусловлено различными законами регионального, федерального и государственного уровней. Появление этих законов определено тем, что использование Интернета создает дополнительные риски, касающиеся злоупотребления в этой сфере, и люди, использующие этот носитель информации, нуждаются в соответствующей защите. Для защиты информации потребителей, хранимой в финансовых учреждениях, предназначен закон GLB [12]. Он требует, чтобы эти учреждения предоставляли своим клиентам уведомление о гарантии неприкосновенности частной жизни, объясняющее практические приемы (практику) учреждений в отношении коллективного использования информации. В свою очередь потребители имеют право на коллективное использование своей информации. Закон также требует, чтобы финансовые учреждения защищали информацию, собранную об отдельных лицах; но не относится к информации, собранной в ходе коммерческой или бизнес-деятельности. Федеральная торговая комиссия (ФТК) опубликовала комплекс стандартов, который должен применяться для обеспечения соответствия закону GLB. Совместное усилие по достижению неприкосновенности частной жизни для всех стран-участниц на высоком уровне представляет собой [13]. Данная директива защищает информацию о физических лицах во время всего жизненного цикла, проще говоря требует, чтобы любое учреждение запрашивало разрешение в случае использования информации образом, отличным от официального (и утвержденного). Директива также ограничивает передачу персональных данных тем странам, где обеспечивается их неадекватная защита. Физические лица должны давать недвусмысленное разрешение на последующую обработку своей персональной информации. Требования, установленные в директиве, отличаются от процедур в США, где физических лиц не запрашивают о разрешении о запрещении дальнейшей обработки персональной информации. Европейская директива внедряется в национальное законодательство всех стран - членов ЕС. Швейцарский закон о защите данных [14] идентичен законам других европейских стран. Данный закон упоминается здесь по двум причинам: Швейцария не является частью ЕС. С другой стороны, швейцарский закон запрещает передачу персональных данных в другие страны при отсутствии адекватной защиты и требует от передающей организации информировать о ее передаче орган, отвечающий за защиту персональных данных. Другим важным законом, связанным с финансовыми учреждениями, является закон о тайне вкладов клиентов швейцарского банка (Schweizer Bankkundengeheimnis) [15], обеспечивающий безусловную защиту информации о клиентах, хранимой банками. 5.2.2.2.3 Легализация криминальных доходов Почти во всех странах имеются законы по борьбе с легализацией криминальных доходов, которые обычно предписывают, чтобы все переводы денег, превышающие определенную сумму, подвергались расследованию с целью проверки их источников и адресата. Еще в 90-х годах такие законы не имели явного отношения к безопасности, так как они применялись на практике без учета решения проблем безопасности. Атаки террористов, совершенные в США 11 сентября 2001 г., ясно показали важность законов, направленных против легализации криминальных доходов и связанных с ними мер защиты. Эти атаки стимулировали осознание важности сотрудничества в сфере борьбы с легализацией криминальных доходов по всему миру. Это осознание оживило международное сотрудничество и привело к значительным изменениям законов, направленных против легализации криминальных доходов и вносящих свой вклад в способность мирового сообщества отслеживать денежные средства тех, кто финансирует международный терроризм. С 2001 года США продолжают проводить активную межведомственную международную обучающую программу по борьбе с легализацией криминальных доходов с целью повышения международных усилий по борьбе с легализацией криминальных доходов и финансовыми преступлениями. Правительства США и других стран, а также международные организации тоже усилили свои программы, направленные против легализации криминальных доходов. Европейский Союз расширил свою директиву по борьбе с легализацией криминальных доходов и возложил обязанности противодействия легализации криминальных доходов на «сторожей», профессионалов, таких, как юристы и бухгалтеры, которые должны препятствовать вовлечению криминальных доходов в финансовые системы государств. Продолжают эффективно работать региональные организации по борьбе с легализацией криминальных доходов в Европе, Азии и странах Карибского бассейна и начинают действовать зарождающиеся региональные организации по борьбе с легализацией криминальных доходов в странах Южной Америки и Африки. Основное внимание в сфере борьбы с легализацией криминальных доходов в 2005 г. сосредоточилось на работе Финансовой оперативной группы (FATF), всемирно признанной международной организации по борьбе с легализацией криминальных доходов, которая продолжила свою работу со странами и территориями, которые не входят в состав международной организации. После 11 сентября 2001 г. FATF быстро отреагировала и созвала чрезвычайное пленарное заседание по вопросу борьбы с финансированием терроризма, принявшее решение расширить свою задачу за рамки борьбы с легализацией криминальных доходов и сосредоточить свою энергию и опыт на мировых усилиях по борьбе с финансированием терроризма. С этого времени FATF приняла восемь специальных рекомендаций по вопросу противодействия финансирования терроризма. Атаки террористов послужили сильным импульсом для многих стран к внесению изменений и усилению законов по борьбе с легализацией криминальных доходов. В США закон об объединении и укреплении США обеспечением соответствующих средств, необходимых для противодействия терроризму от 2001 года внес значительные изменения в систему борьбы с легализацией криминальных доходов. Новые широкие полномочия, предоставленные этим законом, окажут существенное влияние на взаимоотношения между финансовыми учреждениями США и их индивидуальными клиентами и клиентами на уровне учреждений. Программа менеджмента информационной безопасности может помочь финансовым учреждениям разрушить схемы легализации криминальных доходов. И, что более важно, эти программы могут использоваться для демонстрации регулирующим органам и организациям того, что конкретное финансовое учреждение соблюдает законодательство и предоставляет документацию о принятии систематических и активных мер для соблюдения законодательства. 5.2.2.2.4 Законы, относящиеся к финансовым рынкам Большинство законов, регулирующих финансовый сектор, в основном определяет обязанности финансового учреждения, что включает в себя обязательство по предоставлению квалифицированных услуг. Некоторые органы власти государства интерпретируют это обязательство так, что оно распространяется на всю полноту используемых услуг ИТ. На конкретные вопросы безопасности ИТ указывают следующие законы различных государств. По аргентинскому банковскому законодательству, финансовые учреждения должны иметь в своем составе руководителя службы обеспечения информационной безопасности (ИСО), который предоставляет ежегодный отчет центральному банку Аргентины. В отчете содержатся требования к осуществлению и поддерживанию внутренних мер защиты финансового учреждения для обеспечения надлежащих услуг. Директива ЕС 82/121/ЕЭС [16] регулирует отчетность финансовых учреждений и была недавно обновлена для осуществления более регулярной отчетности на всей территории ЕС. Директива ЕС 2000/31/ЕС (об электронной торговле) [17] определяет правовую структуру электронной торговли. Данная директива должна включать в себя вопросы неприкосновенности частной жизни клиентов, регулирование проблем спама, налогообложение, электронные контракты и их обработку, конфиденциальность обмена информацией. Директива также определяет кодекс поведения вовлеченных организаций как средство обмена информацией о правах. Закон Kreditwesengesetz (KWG) [18] регулирует практически все вопросы, характерные для финансовых учреждений в Германии. Данный закон определяет, как должны функционировать банки, кому разрешается возглавлять финансовое учреждение, что должно содержаться в отчетности и т.д. Три параграфа этого закона представляют особый интерес. В первом рассматривается проблема автоматического доступа финансовых органов к данным клиентов (§ 24с), для которых требуются дополнительные меры безопасности. Во втором (§ 25а) определяются особые обязательства для финансовых учреждений, охватывающие такие вопросы, как менеджмент внутреннего риска, меры безопасности и внутренний аудит, а также их сотрудничество с надзорными органами. Наконец, существуют предписания на случай невыполнения конкретным финансовым учреждением или его руководством своих обязанностей, что может привести к утрате руководством права ведения бизнеса в финансовом секторе. 5.2.2.3 Нормативные требования Два направления нормативных требований к финансовым учреждениям являются актуальными. Первое направление касается обязательств учреждения по финансовой отчетности (обычно надзор осуществляется национальными финансовыми органами). Вторым направлением является обязательство финансовой устойчивости, которое описывается в [10]. Эти требования включают в себя необходимость рассмотрения финансовым учреждением операционных рисков. Базельский комитет по банковскому надзору предлагает ряд рекомендаций, касающихся национальных стандартов, принципов и лучших практических приемов надзора. Комитет надеется, что национальные финансовые органы предпримут шаги по внедрению этих рекомендаций посредством мероприятий, предусмотренных соглашением, которые лучше всего соответствуют их национальным системам. Нормативные требования вызывают необходимость проведения аудита финансовых учреждений. Во избежание ущерба, который могут нагнести аудиты обычным бизнес-операциям, конкретные финансовые учреждения должны ввести системы (внутреннего аудита, менеджмента информационной безопасности и т.д.), предоставляющие нормативным органам все необходимое для проверки соответствия финансового учреждения всем требованиям. Каждое финансовое учреждение должно интерпретировать «операционный риск» в показателях собственной бизнес-деятельности и определять риски, которым оно подвергается. Анализ операционных рисков должен включать в себя мошенничество и другие преступные действия, сбои системы, человеческий фактор, природные бедствия и террористические акты. Цунами, вызвавшее большие человеческие жертвы и разрушения в Азии в декабре 2004 г., и террористические атаки в сентябре 2001 г., нацеленные на индустрию финансовых услуг в городе Нью-Йорке, являются примерами событий с крайне низкой степенью вероятности. Но такие события имеют место и должны приниматься во внимание. В [10] подчеркивается необходимость проведения учреждением систематического анализа риска. Для управления непредвиденными обстоятельствами необходимо использовать как качественные, так и количественные методы, а выбор средств контроля для индивидуальной организационной единицы должен основываться на анализе стоимости и эффективности, который рассматривает вероятность конкретного непредвиденного обстоятельства, его вероятности частоту, прогнозируемые потери и влияние на бизнес-операцию в случае наступления события. Следует отметить различие между банковским надзором для обеспечения финансового благосостояния банков и банковским контролем, который рассматривает системы финансовых учреждений с точки зрения операционного риска. Этот контроль основан не на требованиях, установленных в [10], а на Ключевых принципах Банка международных расчетов [19], направленных на системно значимые платежные системы. Платежные системы классифицируются как «системно значимые» для благополучия и нормальных операций финансовых рынков и должны соответствовать всем десяти ключевым принципам. «Значимые системы» должны соответствовать только, по крайней мере, семи ключевым принципам. Для других платежных систем требования соответствия ключевым принципам различаются, но финансовые учреждения могут использовать свое соответствие в виде рекламного акта, так как это соответствие рассматривается как мера качества. 5.3 РазработкаПосле определения целей информационной безопасности организации и оценки воздействия положений и законодательства необходимо разработать план действий, согласованный с установленными бизнес-целями. План действий должен использоваться как руководство для разработки политики информационной безопасности организации (далее - политика)1). Важно, чтобы организация разработала политику, которая принимает в расчет цели организации и ее конкретные аспекты. Политика должна согласовываться с бизнесом организации, культурой, нормативной и правовой обстановкой, в которых действует предприятие. Разработка политики необходима для обеспечения целесообразности и эффективности процесса менеджмента риска программы обеспечения безопасности. Для разработки и эффективного внедрения политики нужна поддержка руководства всей организации. Адаптировав политику к бизнес-целям организации, политика будет способствовать наиболее эффективному использованию ресурсов и реализует последовательный подход к обеспечению безопасности во всем спектре разных информационных систем. 5.4 Иерархия документации5.4.1 Общий обзор5.4.1.1 Общие положения В настоящем стандарте приводятся три уровня документации программы обеспечения информационной безопасности. Эти три уровня состоят из документации политики, документации практических приемов обеспечения безопасности и документации операционных процедур обеспечения безопасности2). Иерархия документации и значение каждого уровня показаны на рисунке 1. 1) В настоящем стандарте термин «политика» является синонимом термина «общая политика информационной безопасности». 2) Номенклатура и иерархия документации не являются фиксированными. Конкретные организации могут использовать большее число уровней иерархии и различную номенклатуру документации.
Рисунок 1 - Документация программы В документах, относящихся к информационной безопасности, должны быть охвачены как высокоуровневые цели организации, так и конкретные, относящиеся к безопасности, настройке устройств, реализующих политику. Диапазон охвата целей лучше всего представить множественными уровнями документации. Число уровней должно быть сведено к минимуму, и настоящий стандарт рекомендует использование трех уровней: документация о политике, документация практических приемов обеспечения безопасности и документация операционных эксплуатационных процедур безопасности. По мере внедрения в конкретной организации новой прогрессивной технологии потребуются дополнительные документы. В то время как документация политики обычно представляется на одной странице, документация процедур может состоять из нескольких многостраничных документов, представляющих отдельные специфические условия, организационные единицы и вопросы политики в организации. В некоторых случаях отдельная, вполне самостоятельная система может также иметь собственную документацию практических приемов. Все практические приемы и процедуры должны переходить с более высокого уровня на детальный уровень, поддерживая согласованность с оценками риска организации с общей политикой. 5.4.1.2 Политика информационной безопасности организации Документ политики является наименьшим по объему из всех документов в иерархии документов программы обеспечения информационной безопасности. Обычно политика состоит из нескольких параграфов, объясняющих, что руководство рассматривает информацию в любой форме как ценный ресурс организации, который нуждается в защите. Политика должна быть широкой по масштабу и сформулированной, как можно более просто и сжато, предоставлять конкретную информацию об активах, нуждающихся в защите, например данные о клиентах, сотрудниках, партнерские соглашения и процессы. Очень простой документ политика безопасности может содержать следующее единственное утверждение: «Конфиденциальность, доступность и целостность всех информационных активов организации должны быть обеспечены посредством соответствующих защитных мер». Политика безопасности - это документ, всеобъемлющий по своему масштабу и являющийся наиболее важной частью программы информационной безопасности организации, которая влияет на ее работу. Должен существовать только единственный вариант документации политики в конкретный момент, который должен быть доведен до сведения всех сотрудников организации. Данный вариант должен быть подписан членами правления организаций, имеющими отношение к информационной безопасности, например, руководителем организации и руководителем службы информационной безопасности. Документ политики безопасности должен быть открытым, широко распространенным и доступным всем заинтересованным сторонам организации. В документе необходимо подчеркнуть, что защита и обеспечение информационных активов являются обязанностью руководства и всех служащих и что обучение и обеспечение осведомленности в области безопасности поручено руководству на самом высоком уровне. Всем заинтересованным сторонам должно быть ясно, что документ политики вступает в силу при согласовании и утверждении его соответствующими должностными лицами организации. Документ должен содержать заявление о намерении организации действовать согласованно с соответствующими местными и международными правовыми и нормативными структурами и основывать свою программу информационной безопасности на твердых принципах и практических приемах, признанных в национальных и международных стандартах по безопасности. Документ политики безопасности должен быть практически неизменным. Его изменение должно быть обусловлено изменениями стратегических целей, воспринимаемого бизнес-риска или событиями, влияющими на нормативную и правовую обстановку, в которой функционирует организация. Должностные лица организации и персонал на уровне правления должны предписывать процедуры и параметры контроля за внесением изменений. 5.4.1.3 Представительство В разработке политики должны принимать участие представители различных видов деятельности. Группа разработки должна включать в себя членов совета директоров, административных лиц, представителей юридической службы, членов комитета по менеджменту риска и аудиторского комитета. Формулируя политику, группа разработки должна получить данные от специалистов всего предприятия, например специалистов по финансам, физической безопасности и информационным технологиям. 5.4.1.4 Классификация информации Одним из аспектов реализации политики является классификация информации ограниченного доступа. Во многом схожие с «совершенно секретными», «секретными» и «несекретными» военными системами финансовые учреждения обладают информацией различной степени. Результаты классификации информационных активов показывают, когда следует внедрять «хорошие», «лучшие» или «наилучшие» меры управления. Существует много типов системы классификации. Важным моментом для финансового учреждения является определение классификационных уровней и использование классификации информации при вынесении решений о принятии риска. Например, риск, являющийся приемлемым для общественной информации, вероятно, будет неприемлемым для «совершенно секретной» информации. Преимущество классификации информации заключается в обеспечении поддержки руководства в отношении того, как служащие должны обращаться с информацией. Если документ, файл или база данных содержат информацию, относящуюся к различным иерархическим уровням, с ними следует обращаться в соответствии с процедурами, установленными для наивысшего классификационного уровня содержащейся в них информации. Важно отметить, что классификационный уровень информации может меняться в течение срока ее действия. Внесение изменения должно контролироваться согласно политике организации. 5.4.2 Документы практики обеспечения безопасностиДокументы практики обеспечения безопасности (далее - документы практики) основаны на содержании документации политики. Данные документы определяют общие стандарты безопасности, которым должна следовать организация. Документы практики отражают намерения и цели, установленные руководством самого высокого уровня при создании программы информационной безопасности, и документируют намерение реализовать политику независимым от технологии способом. Область действия документа практики значительно уже действия документа политики. В документ практики включают требования обеспечения безопасности организации и технологии выполнения работ по ее обеспечению. Объем документа практики является переменным и зависит от его содержания. Число документов практики должно быть сведено к минимуму. Число необходимых документов зависит от величины организации и ее бизнес-потребностей, а также объема и сложности деятельности организации. Правовая и нормативная среды, оказывающие воздействие на организацию, могут также влиять на число необходимых документов практики. Документ практики не является общедоступным1). По своему характеру этот документ общего назначения является технологически нейтральным. Он является менее абстрактным, чем документ политики и может оказывать меньшее влияние на всю организацию, поскольку применим только к некоторым аспектам деятельности организации. 1) Возможны обстоятельства, при котором документ практики должен быть представлен регулирующим органам. Например, очень простой документ практики может содержать следующее простое утверждение: «Аутентификация доступа к информационным активам организации должна осуществляться в соответствии с уровнем конфиденциальности активов». Аутентификация по двум факторам представляет собой минимально приемлемый уровень аутентификации; доступ к активам, классифицированным обладателем информации как «конфиденциальные» должен осуществляться только посредством аутентификации потрем параметрам1). Системы управления доступом по двум факторам (биометрии и паролях) должны следовать следующим положениям...» 1) Толкование термина «аутентификация» по трем параметрам часто выражается фразой «то, что вы имеете, то, что вы знаете, и то, чем вы являетесь». «То, что вы имеете» может быть карточкой или маркером. «То, что вы знаете» может быть пин-кодом или паролем. А для представления «того, кем вы являетесь» используются биометрические данные. Полномочия документов практики основаны на политике, поэтому должны строго следовать ей, они более подвержены изменениям. Данный фактор обусловлен более частными изменениями, возникающими при идентификации новых рисков и мер управления безопасностью. Каждый документ практики имеет ограниченный круг пользователей, так как он обычно затрагивает определенную часть организации или организационной единицы и не оказывает влияния на общую программу менеджмента безопасности организации. Целесообразно включать в документ практики обзорный раздел, в котором указывается круг пользователей и владелец каждого документа практики. Владельцем документа практики может быть управляющий делами, руководитель ИТ или руководитель группы технического сопровождения. Следует также включать в документацию сведения о том, как классифицируется информация, связанная сданными практики, так как уровень классификации указывает на уровень защиты, необходимый для информации. 5.4.3 Документы операционных процедур обеспечения безопасностиДокументы операционных процедур обеспечения безопасности являются производным одного или более документов практики обеспечения безопасности. Объем этих документов зависит от темы и сложности процедур. Эти документы являются самыми краткими по своему объему из всех документов в иерархии документации. Данные документы описывают технологию реализации политики. Документы операционных процедур обеспечения безопасности относятся к реальным бизнес-системам, а определяемые поставщиком подробности о продукции приводятся в документации. Документов операционных процедур должно быть необходимое число и при их разработке следует следить, чтобы они были полными, точными и целесообразными и не противоречили любой другой практике или политике. Примерные рекомендации, которые можно найти в любом документе операционных процедур, могут содержать следующие инструкции: «Используйте команду «pwadmin» для обеспечения соответствия паролей пользователей критериям, установленным в документации «Корпоративная практика аутентификации и управления доступом», «Дайте следующие команды...». Документы процедур должны соответствовать общей политике организации и практическим приемам, на которых основаны эти процедуры. Документы процедур не должны противоречить основанной на политике практике. Необходимо принимать в расчет нормативные ограничения, создаваемые за пределами организаций, стандарты и другие документы процедур. Документы процедур должны включать в себя результаты предыдущего анализа риска безопасности и проводимых руководством проверок, включая идентификацию любых остаточных рисков, результаты последующих действий (например проверки внедренных мер управления на соответствие безопасности), перечень действий, которые нужно предпринять для мониторинга и анализа информационной безопасности при повседневном использовании, и отчеты о связанных с безопасностью инцидентах. 6 Менеджмент информационной безопасности. Программа обеспечения безопасности6.1 Общие положенияДля реализации политики требуются программы обеспечения информационной безопасности. Распоряжения руководства организации должны распространяться и подкрепляться действиями руководства более низкого уровня и персонала на высшем уровне. Обеспечение информационной безопасности является как коллективной, так и индивидуальной обязанностью. Разработка, сохранение, улучшение и мониторинг программы обеспечения информационной безопасности требуют участия большинства служб и отделов организации. Необходима тесная координация между управляющими делами и персоналом обеспечения информационной безопасности. Для поддержки программы обеспечения информационной безопасности должны использоваться такие дисциплины организации, как аудит, страхование, нормативное соответствие, физическая безопасность, обучение, кадровая и правовая дисциплины и др. 6.2 Создание программыНаиболее важная рекомендация настоящего стандарта состоит в том, чтобы организации создавали свою программу обеспечения информационной безопасности. Эта программа должна исходить из политики, установленной для организации на высшем уровне руководства. Программа обеспечения информационной безопасности должна предусматривать разработку и поддержку детальных процессов обеспечения безопасности в масштабе организации, совместимых с политикой. Для разработки детальных процедур и процессов обеспечения информационной безопасности может потребоваться координация различных бизнес-функций организации (включая аудит, менеджмент риска), соответствие требованиям страхования, а также координация действий работников организации, отвечающих за нормативное и правовое соответствие, партнеров и клиентов. 6.3 ОсведомленностьПрограмма улучшения осведомленности о безопасности должна включать в себя функцию обучения и улучшения осведомленности о безопасности, гарантирующую достаточную осведомленность и бдительность всех работников в отношении своих действий и действий окружающих их людей с учетом последствий для безопасности. Программа улучшения осведомленности о безопасности должна быть структурирована для поддержания осведомленности работников о своих обязанностях, связанных с безопасностью, предоставлять ресурсы и поощрять лиц, интересующихся вопросами обеспечения безопасности с целью расширения их знаний. 6.4 АнализОдно или несколько должностных лиц организации должны быть назначены ответственными за программу обеспечения информационной безопасности. Установленные в программе практические приемы обеспечения информационной безопасности должны быть основанием для анализа и обновления программы, а при появлении новых угроз и уязвимостей - обеспечивать предоставление необходимых инвестиций для защитных мер. Программа должна включать в себя подробные процессы и процедуры, устанавливающие отчетность и ответственность за определение надежности программы обеспечения информационной безопасности и ее соответствие всем требованиям, и доклад об этом. Все отчеты об анализе и мониторинге должны быть доступны руководству всех уровней, включая исполнительное руководство. Необходимо идентифицировать и документировать процедуры рассмотрения любых исключений из политики или отклонений от нее. Также должны существовать процедуры создания необходимых записей результатов аудита и записей о соответствии требованиям безопасности, а также мониторинга безопасности информации журналов аудита. Особое внимание следует уделить идентификации рисков для информации журналов аудита и требованиям, установленным для снижения этих рисков, гарантии адекватности защиты информационных активов. 6.5 Менеджмент инцидентовОбо всех событиях информационной безопасности следует быстро сообщать, документировать их и разрешать их в соответствии с практическими приемами организации. Если нежелательные или неожиданные события информационной безопасности имеют высокий показатель вероятности компрометации бизнес-операций и создания угрозы для информационной безопасности, они становятся инцидентами информационной безопасности, подлежащими изучению. Как инциденты, так и события информационной безопасности должны использоваться специалистами в сфере безопасности при повторной оценке ими риска и выборе и внедрении мер управления безопасностью. События и инциденты должны использоваться при последующем улучшении программы обеспечения информационной безопасности. 6.6 МониторингНеобходимо создать формальные процессы оповещения о вторжениях, неправильном срабатывании систем и других инцидентах безопасности, а также о результатах расследования инцидентов безопасности. Результаты документирования менеджмента инцидентов должны использоваться в процессе анализа с целью оказания влияния на разработку защитных мер, а также инициирования переоценки и изменения с течением времени мер управления, используемых для обеспечения защиты активов. 6.7 Соответствие требованиямНезависимый анализ должен обеспечивать соответствие практических приемов организации установленной политике и адекватность и эффективность мер управления. Все разрешенные отступления от политики для проведения их периодических переоценок должны документироваться и ограничиваться во времени. 6.8 ПоддержкаВсе установленные защитные средства, такие, как межсетевые экраны и программные средства обнаружения вирусов, должны регулярно обновляться с целью поддержания их эффективности в отношении новых возникающих угроз. 6.9 Восстановление после любых прерываний деятельности организацииПрограмма обеспечения информационной безопасности должна определять информационные активы, являющиеся критичными для продолжения ведения деятельности (бизнеса) организации в случае ее (его) прерывания. Программа должна создавать подробные письменные планы возобновления деятельности (бизнеса) после ее (его) прерывания. Для выполнения программы обеспечения информационной безопасности необходимо использовать квалифицированный персонал, правовые соглашения (договоры), системы резервирования информации, ресурсы обработки и специальные помещения, в которых поддерживается критическая деятельность организации. Планы восстановления деятельности (бизнеса) организации после прерывания должны регулярно тестироваться и оцениваться. 7 Структура информационной безопасности7.1 Приверженность целям организацииВыполнение целей программы обеспечения информационной безопасности в масштабе организации должно основываться на понимании как глобальных, так и внутренних потребностей информационной безопасности организации. Организация должна демонстрировать приверженность программе обеспечения информационной безопасности посредством своей готовности выделять ресурсы для мероприятий, связанных с информационной безопасностью, и изучать потребности информационной безопасности. На самом высоком уровне необходимо осознание значения информационной безопасности для организации, а также ее масштаба и объема деятельности. Все работники организации должны знать цели информационной безопасности. Каждый служащий или подрядчик должен осознавать свои роль и обязанности, а также свой вклад в обеспечение информационной безопасности и обладать полномочиями для достижения этих целей. 7.2 Структура организации7.2.1 Роли и обязанностиНазначение программы обеспечения информационной безопасности заключается в обеспечении конфиденциальности, целостности и доступности информационных активов путем комплексного решения сформированных целей и задач безопасности в программе. Соответствующее назначение и разграничение обязанностей должно быть связано с определенными ролями (функциями деятельности). Процедуры обеспечения информационной безопасности должны обеспечивать эффективное выполнение и осуществление всех важных задач. 7.2.2 Совет директоровСовет директоров финансовых учреждений должен иметь обязательства перед организацией и ее членами по осуществлению надзора за практическими приемами менеджмента бизнес-деятельности организации. Эффективные практические приемы обеспечения информационной безопасности должны входить в целесообразную бизнес-практику и демонстрировать заинтересованность в формировании общественного доверия. Совет директоров должен пропагандировать важность информационной безопасности и поддерживать программу обеспечения информационной безопасности. 7.2.3 Комитет по аудитуКомитет по аудиту в финансовом учреждении должен оказывать содействие совету директоров в осуществлении надзора и служить независимым органом проведения объективного анализа, основанного на внутренних мерах защиты и финансовой отчетности. Мониторинг и тестирование внутренних защитных мер, являющихся частью программы обеспечения информационной безопасности, входят в обязанности комитета по аудиту, обычно осуществляемые посредством внутреннего аудита организации и внешних аудиторов. 7.2.4 Комитет по менеджменту рискаКомитет по менеджменту риска, подчиняющийся совету директоров, должен анализировать программу обеспечения безопасности и поддерживать финансирование проектов обеспечения информационной безопасности в том случае, когда эти проекты снижают операционный риск (и, следовательно, финансовый риск) организации. Комитет по менеджменту риска должен демонстрировать приверженность организации обеспечению безопасности путем финансирования и поддержки проектов, способствующих осуществлению политики информационной безопасности организации. Комитет по менеджменту риска должен определять степень воздействия на программу обеспечения информационной безопасности положений и законодательств. Этот аспект см. 5.2. 7.2.5 Правовая функцияОрганизации могут полагаться на опыт своего юридического отдела в отношении некоторых аспектов менеджмента информационной безопасности. Юридическому отделу может быть вменено в обязанность осуществление мониторинга поправок в законодательстве, постановлениях и судебных делах, которые могут влиять на программу обеспечения информационной безопасности организации. От юридического отдела может потребоваться проверка контрактов, касающихся служащих, клиентов, провайдеров услуг, подрядчиков и поставщиков с тем, чтобы гарантировать адекватное рассмотрение связанных с информационной безопасностью юридических проблем. Такие проверки могут включать в себя вопросы неприкосновенности частной жизни или техники безопасности на рабочем месте, а также процедуры увольнения и рассмотрения жалоб служащих. При рассмотрении правовых аспектов инцидентов безопасности и их влияния на организацию могут потребоваться консультации юридического отдела. Организации могут затребовать экспертные заключения при оценке последствий процедур урегулирования инцидентов безопасности и обеспечения их соответствия правовым требованиям среды функционирования, так как в соответствии с юридическим статусом организации правовые нормы могут иметь различия. Необходимо вовлекать юридический отдел в разработку, поддержание и улучшение процедур обработки последствий инцидентов безопасности, таких как сохранение свидетельств. 7.2.6 Должностные лицаРуководитель организации или управляющий как самое главное должностное лицо в организации несет всю полноту ответственности за ее функционирование. Руководитель организации должен санкционировать создание программы обеспечения информационной безопасности в соответствии с действующими нормативно-правовыми документами и стандартами, оказывать поддержку в ее осуществлении, следить за выполнением важных решений, связанных с оценкой риска, и участвовать в пропаганде значимости обеспечения информационной безопасности. В то время как во многих организациях имеются должности руководителя организации, финансовой службы организации, технического отдела и административной службы, многие организации стали вводить также дополнительные должности руководителя по информационным технологиям и руководителя службы обеспечения информационной безопасности на верхнем уровне структуры организации. Хотя руководитель технического отдела, руководитель по информационным технологиям и службы обеспечения информационной безопасности выполняют много взаимозаменяемых функций, каждое финансовое учреждение должно также иметь руководителя службы обеспечения информационной безопасности, который, в конечном счете, должен быть подотчетен руководителю технического отдела или руководителю по информационным технологиям. 7.2.7 Управляющие деламиУправляющие делами в частности и управляющие всей организации в целом должны осуществлять надзор и мониторинг деятельности организации и ее работников, что делает их ключевыми участниками программ обеспечения информационной безопасности. Каждый управляющий должен понимать и поддерживать политику, практические приемы и процедуры организации, следовать им, а также обеспечивать соответствующее поведение служащих, поставщиков и подрядчиков. Управляющие делами должны создавать в организации атмосферу, поощряющую служащих, поставщиков и подрядчиков сообщать о проблемах, связанных с информационной безопасностью. 7.2.8 СотрудникиТребования программы обеспечения безопасности должны быть включены в контракты о найме служащих. Весь персонал должен быть осведомлен о последствиях своих действий и действий окружающих в отношении безопасности. Служащие должны незамедлительно сообщать обо всех подозрительных событиях, связанных с информационной безопасностью. 7.2.9 Сотрудники (персонал), не относящиеся к организацииТребования программы обеспечения безопасности должны быть включены в соглашения с подрядчиками и поставщиками услуг. Подрядчики и поставщики услуг должны быть осведомлены о практических приемах и процедурах обеспечения информационной безопасности организации и ее подразделений и оказывать им поддержку. Они обязаны соблюдать политику информационной безопасности организации. Так как по экономическим или иным причинам организации могут предпочесть привлечение внешних ресурсов для выполнения определенных банковских функций, менеджмент риска не может быть передан сторонним организациям и должен оставаться под ответственностью организации. 7.2.10 Должности, связанные с безопасностью7.2.10.1 Введение В настоящем пункте определяются три связанные с безопасностью должности в рамках программы обеспечения информационной безопасности, которые наделяются разными уровнями обязанностей и функциями, необходимыми для выполнения программы обеспечения информационной безопасности. Данные должности функционально определены, хотя способы административного управления персоналом организации могут различаться. В некоторых организациях отвечающей за информационную безопасность персонал может представлять собой отдельную структурную единицу, а в других организациях персоналу функциональных структур (отделов, служб) могут быть поручены обязанности, связанные с обеспечением информационной безопасности в дополнение к собственным. Возможно также совмещение двух обязанностей. Какую бы структуру не имела программа обеспечения информационной безопасности, должностные лица и управляющие должны оказывать данной программе поддержку для повышения ее эффективности. В больших организациях может быть полезно создать дополнительные должности для эффективного выполнения специализированных функций, например, разработчик архитектуры безопасности. В более мелких организациях персоналу, вероятно, придется выполнять несколько обязанностей одновременно. 7.2.10.2 Руководитель службы обеспечения информационной безопасности Руководитель службы обеспечения информационной безопасности отвечает за проектирование, внедрение программы обеспечения информационной безопасности и управлению ею. Под управлением руководителя службы обеспечения информационной безопасности персонал на других уровнях выполняет обязанности по осуществлению политики и практических приемов программы обеспечения информационной безопасности. Руководитель службы обеспечения информационной безопасности может иметь специальный штат и осуществлять административное управление персоналом, отвечающим за информационную безопасность. Также руководитель службы обеспечения информационной безопасности может осуществлять ограниченный оперативный контроль за персоналом, выполняющим обязанности, связанные с информационной безопасностью, в дополнение к своим основным обязанностям. Независимо от величины организации или стиля руководства, руководитель службы обеспечения информационной безопасности является лицом, несущим всю ответственность перед советом директоров и управляющими за выполнение программы обеспечения информационной безопасности. Руководитель службы обеспечения информационной безопасности должен управлять выполнением программы обеспечения информационной безопасности в соответствии с условиями, определенными организацией как необходимые для успеха в бизнесе. Руководитель службы обеспечения информационной безопасности отвечает за: - подготовку финансовой сметы и обоснование программы обеспечения информационной безопасности перед управляющими; - разработку архитектуры безопасности, которая согласуется со стратегией бизнеса; - руководство персоналом разных уровней, который внедряет архитектуру безопасности и выполняет связанные с обеспечением информационной безопасности обязанности; - проведение оценок риска, которые подтверждают правильность архитектуры безопасности, и раскрытие недостатков, требующих особого внимания; - придание огласке политики, практических приемов и процедур обеспечения безопасности и управление программы повышения осведомленности о безопасности; - осведомленность о текущих угрозах и уязвимости, а также новых методах и средствах обеспечения информационной безопасности для противодействия этим угрозам и уязвимостям; - обеспечение соответствующего вовлечения организации в деятельность по защите критической инфраструктуры в странах, где организация ведет свой бизнес. 7.2.10.3 Ответственный за информационную безопасность Ответственный за информационную безопасность - это любое лицо в организации, отвечающее за разработку, внедрение и поддержку программы обеспечения информационной безопасности под руководством руководителя службы обеспечения информационной безопасности. Лица, ответственные за информационную безопасность, могут входить в штат руководителя службы обеспечения информационной безопасности или быть внештатными сотрудниками, находясь в административном подчинении в другом структурном подразделении организации. Ответственный за информационную безопасность, имея обширные знания и опыт, может быть назначен на особую должность, например на должность разработчика архитектуры безопасности. Сотрудники, ответственные за информационную безопасность, могут обладать специализированными значениями в области таких методов и средств обеспечения информационной безопасности, как оценка риска, осведомленность об угрозах и т.д., и являться важным потенциалом для организации. Другие ответственные за информационную безопасность лица должны консультировать и давать рекомендации организационным единицам по проблемам информационной безопасности. Деятельность ответственных за информационную безопасность будет наиболее эффективной, если они знают бизнес-цели, а также внутренние процессы организации. Ответственные за информационную безопасность должны: - знать архитектуру, практические приемы и процедуры безопасности; - разрабатывать локальные практические приемы, доводить до сотрудников организации и обновлять их при необходимости; - проводить оценки риска; - осуществлять мониторинг и аудит практических приемов обеспечения безопасности; - содействовать восстановлению системы ИТ после атак; - давать рекомендации по улучшению практических приемов и процедур; - быть в курсе развития угроз информационной безопасности, технологий, а также методов и средств обеспечения информационной безопасности; - способствовать осведомленности руководства и сотрудников службы безопасности в информационной безопасности. 7.2.10.4 Операторы обеспечения безопасности Операторы обеспечения безопасности выполняют подробные действия для достижения целей программы обеспечения информационной безопасности. Операторы обеспечения безопасности могут состоять в штате руководителя службы обеспечения информационной безопасности или административно относиться к другим подразделениям организации и должны быть хорошо осведомлены об аппаратных и программных средствах и процедурах безопасности, необходимых для своих подразделений. Из-за разнообразия технологий, которые могут использоваться в архитектуре безопасности, от операторов обеспечения безопасности требуется выполнение многих процедур. Некоторые специфические обязанности, возлагаемые на операторов безопасности, включают в себя: - установку и сохранение связанных с безопасностью настроек на сетевом оборудовании; - установку обновленных версий защиты в операционные системы; - сохранение и модернизацию точных файлов управления доступом; - сбор информации, относящейся к информационной безопасности, и информации об аудите, а также мониторинг системной и сетевой деятельности с целью обнаружения связанных с безопасностью проблем. Широкое разнообразие выполняемых задач определяет значимость операторов обеспечения безопасности в успешном функционирования программы обеспечения информационной безопасности. Операторы обеспечения безопасности отвечают за: - знание своей роли в выполнении программы и архитектуры обеспечения безопасности; - внедрение и поддержание практических приемов и процедур безопасности; - мониторинг процедур безопасности и сообщение об их состоянии исходя из обстановки; - работу над исправлением сбоев в обеспечении безопасности и противодействием атакам; - восстановление соответствующих процедур безопасности во взаимодействии с восстановлением бизнес-процесса после сбоя или атаки; - предоставление рекомендаций по улучшению практических приемов и процедур. 8 Анализ и оценка риска8.1 ПроцессыОрганизации, желающие получить доступ к информации о состоянии своих дел по безопасности, должны внедрить один или несколько процессов анализа риска как часть программы обеспечения информационной безопасности. Эти процессы должны использоваться для оценки состояния безопасности всей организации, а также безопасности конкретных проектов, систем и продуктов. Поскольку стили руководства, масштаб и структура организаций различаются, могут потребоваться несколько стратегий для адаптации анализа риска к среде, в которой риск используется1). Результатом процесса оценки риска должны быть рекомендации по снижению рисков безопасности организации до приемлемого уровня. Данные рекомендации должны способствовать выбору соответствующих защитных мер. Защитные меры являются результатом оценки и определения величины возможных потерь, которые могут произойти в случае использования идентифицированных уязвимостей системы одной или более угрозами. К активам организации, которые обычно подвергаются оценке риска, относят: аппаратуру и оборудование, прикладные программы, базы данных организации, системы связи и компьютерные операционные системы. 1) Дополнительную информацию можно найти в [2], [5], [20], [21]. Примеры метода проведения оценок риска и типичного процесса оценки риска приведены в приложении С. Дополнительные модели оценки риска представлены в [2], [5], [20], [21]. Дополнительные модели в качестве примера также приведены в приложении С и не предполагают их использования организацией непосредственно в качестве технологических карт внедрения. 8.2 Процесс оценки рискаФинансовые и другие организации испытывают влияние рисков, связанные с их бизнесом. Риски, относящиеся к информационным активам организации, принимают различные формы и должны подвергаться тщательному анализу. Оценки риска нужны при изучении уязвимостей, угроз и рисков для информации. Каждое банковское приложение должно обеспечивать контекст и знание рабочих процессов, а также потенциальные угрозы и зоны уязвимости. Данное знание имеет значение для проведения оценки риска. Оценка риска представляет собой трехступенчатый процесс: Первая ступень - оценка рисков потенциальных угроз для каждой зоны уязвимости путем заполнения таблицы оценки риска (см. приложение С); Вторая ступень •- присвоение комбинированного уровня риска каждой зоне уязвимости путем заполнения таблицы оценки риска (см. приложение С); Третья ступень - определение подходящих политик безопасности и защитных мер, используя результаты второй ступени и имеющиеся меры управления. Более подробный список категорий риска и их применение в процессе оценки риска представлены в приложении С. 8.3 Рекомендации по обеспечению безопасности и принятие рискаОценка риска может проводиться: - для оценивания риска на уровне организации; - в рамках взаимосвязанной совокупности систем; - для отдельной системы или приложений; - для конкретных критических функций внутри системы. Не следует ожидать, что оценка риска на уровне организации является только комбинацией всех критических функций организации. Уязвимости и угрозы постоянно меняются по мере появления новых технологий обнаружения уязвимостей в системах, введения новых или модернизированных продуктов, определяемых ростом и развитием организации. Поэтому степень детализации и выводы оценки риска для разных систем могут сильно различаться в рамках организации и для сходных систем в разных организациях. Тем не менее любая оценка риска должна завершаться формированием набора рекомендаций по обеспечению информационной безопасности оцененной системы. В наборе рекомендаций риски, связанные с системой, рассматриваются как реализованные. В обязанность управляющих делами входит принятие этих рисков. Во многих случаях допускается применять дополнительные меры управления (или они могут быть применены на этапе проектирования или разработки) для снижения рисков до более приемлемого уровня. Принятие рисков должно регулироваться практическими приемами обеспечения безопасности организации. При рассмотрении исключений из политики управляющий делами должен работать над гарантированием соответствия политике в будущем или принятием долговременной исключительной ситуации как остаточного риска вместе с группой по обеспечению информационной безопасности. 9 Выбор и внедрение защитных мер9.1 Снижение рискаЛюбая система обладает уязвимостями, посредством которых нарушители могут угрожать организации финансовыми убытками, падением продуктивности или утратой престижа. Минимизация и ослабление этих рисков является общей обязанностью управляющих делами и группы по обеспечению информационной безопасности, работающих вместе с другими группами в финансовом учреждении. Существует много аспектов менеджмента риска, и наиболее значимые уже обсуждались, например, приверженность высшего руководства к обеспечению информационной безопасности; ответственность руководителя службы обеспечения информационной безопасности, отвечающего за внедрение и управление программой обеспечения безопасности, и в целом за программу обеспечения безопасности. Значимые процессы и технологии, обычно используемые или учитываемые для ослабления риска, приведены в 9.2 - 9.7. Данные процессы и технологии могут использоваться во время процесса разработки, после оценки слишком высокого риска или идентификации новой уязвимости. Управляющие делами должны помнить о преимуществах документирования встраиваемой системы безопасности вместо попыток произвольного исправления имеющихся нарушений безопасности системы. Использование данных технологий может обеспечить непосредственное управление рисками, которое организация берет на себя. Организация должна оценить, как запланированные и существующие меры управления снижают риски, идентифицированные при анализе риска, определить дополнительные меры защиты, которые имеются или могут быть разработаны, спроектировать архитектуру информационной безопасности и определить ограничения различных типов. Затем необходимо выбрать адекватные и обоснованные меры управления для снижения оцененных рисков до приемлемого уровня остаточного риска. Дополнительные подробности, касающиеся выбора мер управления, см. в [2], [5], [20], [21]. 9.2 Идентификация и анализ ограниченийНа выбор мер управления могут оказать влияние многие ограничения. Эти ограничения следует принимать в расчет при составлении рекомендаций и во время внедрения. Ограничения и соображения приведены в таблице 1. Таблица 1 - Характеристики ограничений и соображений
9.3 Логический контроль доступа9.3.1 Общие положенияЛогический контроль доступа относится к техническим методам и мерам управления, используемым в системах и приложениях для ограничения доступа к информации в соответствии с практическими приемами организации. В основном пользователям должен предоставляться минимальный доступ, необходимый для выполнения их рабочих функций, но часто ограниченность системы, конструктивные или другие ограничения могут приводить к тому, что пользователи имеют дополнительный доступ. Тем не менее пользователю необходима регистрация доступа к системе, то есть фиксация того, кому предоставляется право доступа, какие сотрудники имеют доступ, когда он осуществлялся. Наиболее важной функцией является необходимость соблюдения определенных ограничений доступа. Меры управления для осуществления эффективного контроля доступа приведены ниже. 9.3.2 Идентификация пользователяУ многих пользователей должна быть причина для получения доступа к информации и информационным системам финансового учреждения. Такими пользователями являются служащие, клиенты, системные администраторы и управляющие. В большинстве случаев необходимо с некоторой степенью определенности знать, какая категория пользователей пытается получить доступ к определенному приложению. Очень часто необходимо знать не только категорию, но также личность того, кто пытается получить доступ. Традиционно каждая информационная система имеет собственный процесс идентификации пользователя. Из-за быстрого расширения систем появилась необходимость в процессе идентификации, общем для всех и удовлетворяющим многие системы. Может также потребоваться для услуг по идентификации привлечение внешних ресурсов. Приведенные ниже рекомендации должны применяться независимо от того, кто предоставляет услуги по идентификации. Для обеспечения большей уверенности в тождестве личности пользователя организация должна создавать и осуществлять политику, требующую подтверждения личности пользователя перед выдачей идентификатора пользователя. Целесообразная бизнес-практика требует интегрирования требований «знай своего клиента» и «знай своих служащих» в мероприятия по выдаче идентификатора пользователя. Более того, организация должна выполнять процедуры выдачи идентификатора и контролировать их для гарантии того, что каждый идентификатор нового пользователя являлся уникальным и может быть отслежен до идентифицированного сотрудника и сотрудника, выдавшего идентификатор. 9.3.3 СанкционированиеСанкционирование является действием по предоставлению пользователю возможности выполнения конкретных действий в системе на основе аутентификации его личности. Организация должна определить права доступа каждого пользователя. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению. Существует несколько принципов сохранения записей средств контроля доступа, основанных на ролях (должностях). Одним из традиционных принципов является поддержка централизованного списка привилегий для каждого пользователя. Администраторы безопасности информационных систем, обычно работающие под двойным контролем, отслеживают и сохраняют такие записи. Программные средства защиты данных должны сопоставлять идентификатор пользователя с записями и разрешать пользователям доступ к информации или приложениям в соответствии с записями. Другой принцип предназначен для распределенного сохранения записей с листингом управления доступом по каждой системе или отдельным доступом для различных видов приложений (например «тонкий» клиент, «толстый» клиент, сеть, многозвенное приложение, веб-сервесы и т.д.). 9.3.4 Аутентификация пользователей9.3.4.1 Механизмы аутентификации Аутентификация пользователей относится к процессу (например, процедурному, физическому или выполняемому с помощью аппаратных/программных средств), посредством которого идентификатор пользователя проверяется системой. Пользователи могут принадлежать к организации или внешним организациям, и неспособность аутентифицировать личность пользователя снижает возможность данной организации обеспечить подотчетность действий отдельного лица и может допустить несанкционированный доступ к данным и компьютерным ресурсам. Существует несколько типов механизмов аутентификации. Их действие основывается на одной или нескольких следующих характеристиках: - что-то, что пользователь знает (например, пароли); - нечто, известное пользователю (например, смарт-карта); - какие-либо физические характеристики пользователя (например, отпечатки пальцев или другие биометрические данные). Комбинация разнообразных механизмов аутентификации может обеспечить более высокий уровень аутентификации. 9.3.4.2 Цифровые сертификаты Цифровые сертификаты могут использоваться для подписания или шифрования информации и обеспечения аутентификации пользователя, кода программы или устройства. Цифровые подписи, основанные на сертификатах, могут использоваться для аутентификации источника информации, целостности данных и услуг по обеспечению свойства неотказуемости. Основанные на сертификатах услуги по защите данных могут быть предоставлены с помощью шифрования. Меры управления и синтаксис, необходимый для управления сертификатами Х.509 в сфере финансовых услуг, определены в [3]. Подробная информация об управлении информацией о политике безопасности сертификатов в организации и необходимых элементах формулировок практики, связанной с сертификатами, предоставлена в ИСО 21188 [22]. 9.3.4.3 Пароли В настоящее время наиболее распространенным методом аутентификации являются пароли. Пароль представляет собой строку символов, составленную из любой комбинации букв, цифр и специальных символов клавиатуры. Знание пароля, ассоциирующегося с пользователем, является подтверждением санкционирования использования возможностей, связанных с этим пользователем (например, доступ к определенным программам, возможностям и файлам системы). Пароли могут быть динамическими (например, генерируемые и изменяемые автоматически и, часто, программными средствами) либо статическими (например, редко изменяемые по усмотрению пользователя). Рекомендации по формированию и контролю за использованием паролей можно найти во многих публикациях и в сети. Например «Рекомендации по управлению паролями Министерства обороны США» от 12 апреля 1985 г. (CSC-STD-002-85) [23] предоставляют техническую трактовку генерации, контроля и использования паролей в организации. Обсуждение на сайте http://computing.fnal.gov/security/UserGuide/ password.htm [24] предоставляет более общую трактовку темы об использовании паролей и включает в себя дискуссию о составе и длине, изменении, хранении паролей и их совместном использовании. 9.3.4.4 Биометрия Биометрия является методом идентификации людей по некоторым физическим характеристикам, которые могут быть измерены и с высокой степенью вероятности являются уникальными для человека. Отпечатки пальцев являются наиболее известными биометрическими данными. Существуют электронные устройства, способные считывать отпечаток пальца и сравнивать его с отпечатком, уже хранящимся в системе. Другие физические характеристики, которые могут быть использованы в биометрической системе идентификации, включают в себя узор сетчатки глаза, геометрию ладони, черты лица и голос. Способы осуществления менеджмента биометрической информации в сфере финансовых услуг в качестве части программы менеджмента информационной безопасности организации представлены в ИСО 19092 [25]. Настоящий стандарт устанавливает цели контроля, меры управления и подробные требования к журналу регистрации событий управления биометрической информацией и результатов контроля. 9.4 Журнал аудитаЖурнал аудита представляет собой журнал, создаваемый системой записи осуществленной деятельности, используемый организацией как средство восстановления событий и ведения подотчетности. Информация, содержащаяся в журнале аудита, необходима для разрешения проблем или споров, а также для предоставления свидетельств о соответствии требованиям информационной безопасности. Журнал аудита способствует ограничению несанкционированной деятельности, и обеспечивает раннее обнаружение подобной деятельности. Все системы записи должны обеспечивать определенную степень детализации журнала аудита в соответствии с политикой организации. Более того, уровень детализации должен быть как можно более высоким и согласовываться с практическими потребностями и политикой организации. По возможности, регистрация в журнале аудита должна обеспечивать предупреждение ответственного лица в режиме реального времени о важных событиях, связанных с безопасностью. Система аудита должна сообщать о любой подозрительной деятельности содействия ограничению и обнаружению несанкционированной деятельности и способствовать их быстрому расследованию. Анализ информации журнала аудита должен проводиться регулярно (обычно ежедневно) руководством, и все исключительные и необычные ситуации, связанные с безопасностью, должны расследоваться и оформляться в виде отчета. Информация журнала аудита должна храниться в течение периода времени, соответствующего требованиям бизнеса. Информация должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. 9.5 Контроль за внесением измененийДля защиты целостности средств обработки информации организации необходимо внедрять процедуры контроля за внесением изменений. Отсутствие такого контроля может привести к финансовым убыткам или падению продуктивности из-за неправильных технологических процессов или невыполненного обслуживания. Для изменений аппаратных средств, изменений средств программирования, включая приложения и управление патчами для операционных систем, а также изменений неавтоматизированных процедур, должны существовать процедуры контроля таких изменений. Процедуры контроля после внесения изменений должны также включать в себя управление такими изменениями в чрезвычайных ситуациях. Управляющие делами должны обеспечивать надлежащие процессы контроля за внесением изменений в системы, находящиеся под их управлением. Группа обеспечения информационной безопасности должна быть готова к оказанию помощи в управлении связанных с безопасностью изменениями и изменениями систем безопасности, за управление которыми непосредственно отвечает группа информационной безопасности. 9.6 Осведомленность об информационной безопасностиЧастью программы обеспечения информационной безопасности должна быть программа по повышению осведомленности о безопасности с целью обучения служащих организации мерам защиты ценной информации. Программа предназначена оказывать позитивное влияние на отношение сотрудников к информационной безопасности. Повышение осведомленности сотрудников о безопасности должно осуществляться постоянно. Программа повышения осведомленности о безопасности должна предусматривать ознакомительный курс для новых сотрудников и сотрудников другой организации. В случае введения новых приложений или внесения значительных изменений в существующие приложения в данную программу целесообразно проводить обучение сотрудников. Данной программой также должно быть предусмотрено постоянное изучение проблем безопасности, появляющихся в прессе. Для различных уровней управления и кадровой структуры характерны разные проблемы безопасности. При обращении к каждому уровню необходимо учитывать их конкретные проблемы. Проблемы должны быть в такой форме представлены, чтобы работники всех уровней и с различными навыками смогли их понять. Управляющие делами должны быть осведомлены о внешних воздействиях, рисках и потенциале потерь, а также нормативных требованиях к информационной безопасности и требованиях аудита. Условие по осведомленности должно соблюдаться как в условиях бизнес-деятельности, так и в сфере ответственности управляющего делами. 9.7 Человеческий факторСотрудники представляют собой один из наиболее важных активов финансового учреждения. Заинтересованность и взаимодействие сотрудников очень важны для успешной реализации программы обеспечения информационной безопасности. Благодаря возросшей осведомленности о безопасности сотрудники станут более внимательны и смогут замечать отклонения от выполнения норм информационной безопасности в технологических процессах или операционных процедурах организации, которые могут указывать на возникновение проблемы безопасности. С другой стороны, сотрудники могут совершать ошибки, неправильно использовать технологию, совершать преступные действия, что создает необходимость в переговорах руководителя службы обеспечения информационной безопасности со всеми отделами организации при разработке программы обеспечения информационной безопасности и повышения осведомленности сотрудников. Другие отделы могут вносить свой вклад в виде представления мнения о сотрудниках организации с целью минимизации вероятности ошибок и предотвращения криминальной деятельности. Некоторые должности в организации могут быть регламентированы как «доверенные», так как эти должности дают право разрешать или запрашивать доступ к конфиденциальной кадровой или финансовой информации. Другую доверенную должность может занимать сотрудник, имеющий широкие полномочия или возможности, связанные с компьютерами или активами ИТ организации. Сотрудник, выбираемый на «доверенные» должности, должен отличаться высокой честностью и проходить проверку биографии. Сотрудники, занимающие доверенные должности, должны быть осведомлены о необходимости ограничения обсуждения с семьей и знакомыми конфиденциальных подробностей о бизнесе. Конкуренты по бизнесу могут пытаться прибегнуть к социотехнике или подстрекательству человека к раскрытию информации несанкционированным лицам, а также использовать ложный интерес человека к работе, технические дискуссии и лесть, чтобы побудить служащего нечаянно раскрыть конфиденциальную информацию. 10 Меры защиты систем информационных технологий10.1 Защита систем информационных технологийСуществует много способов обеспечения защиты систем ИТ. Меры защиты систем ИТ могут включать в себя политику организации. Однако, учитывая вопросы рассматриваемого раздела, меры управления и защиты систем ИТ будут представлены настройками системы и внешними мерами противодействия (например шифрование), которые могут использоваться для обеспечения аутентификации, санкционирования, конфиденциальности, целостности, доступности и других услуг безопасности. Применяемые в настоящее время меры противодействия и управления будут также обсуждены и в будущем. В дополнение к первоначальному размещению мер управления и противодействия внешним воздействиям организация должна предпринять шаги для обеспечения их долгосрочного функционирования и поддержки. Иначе с течением времени, когда будут известны новые уязвимости, а установленные патчи - проигнорированы, безопасность системы ухудшится. Эффективно действующая программа обеспечения безопасности должна включать в себя процессы и процедуры поддержки, обеспечивающие наличие необходимых мер управления и защиты и их постоянное обновление. 10.2 Защитные меры аппаратных системЗащита аппаратных систем в среде ИТ является решающей предпосылкой для поддержания целостности информационных активов. Некоторые из наиболее важных мер управления защитой критических ресурсов приведены в приложении D. Настоящий стандарт не содержит попытки включить в него список всех ресурсов ИТ, которые может использовать организация, а скорее содержит краткое обсуждение каждого из нескольких главных типов ресурсов, а также некоторые меры управления, которые могут использоваться для предотвращения угроз этим ресурсам (см. приложение D, раздел D.1). Каждое обсуждение должно происходить по одной схеме и рассматривать ключевые вопросы, включающие в себя изучение следующих аспектов: - почему та или иная система является важной; - какие зоны безопасности могут быть наиболее важными; - какие меры управления должны быть рассмотрены. Одной из проблем, которой не уделяется должного внимания и которую организации, иногда вообще игнорируют, является проблема производителей (поставщиков) аппаратных систем. Обычно принимается на веру, что производители (поставщики) оборудования действуют по поручению финансового учреждения и достаточно осведомлены о целях и политике безопасности. Однако есть вероятность, что аппаратные средства, поставляемые производителем или торговым посредником, могут быть сконфигурированы на предоставление несанкционированного доступа к информации или сетевым соединениям. Произвольное приобретение и случайное распределение аппаратных средств в сети могут содействовать защите от этого вида преднамеренной или непреднамеренной угрозы безопасности. Для применения аппаратных средств, требующих высокой степени безопасности, возможно, следует рассмотреть меры управления, укрепляющие доверие между организацией и поставщиком. Проведение оценки аппаратных средств в соответствии с FIPS 140-21) [26] считается необходимым, в особенности в отношении криптографических устройств. Для других устройств при выборе и использовании прибора следует полагаться на оценки по соответствующим общепринятым критериям или специализированным профилям защиты. 10.3 Безопасность систем программного обеспеченияПоскольку современные финансовые учреждения полагаются на автоматизацию при обработке практически всех своих бизнес-операций, в основу программы обеспечения информационной безопасности должно быть положено обеспечение безопасности совокупности программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности автоматизированных систем [далее - программное обеспечение (ПО)]. Обеспечение безопасности систем ПО затруднено вследствие его сложности, множества его взаимодействий и разнообразных способов доступа к различным программам. Многие программы, подобные межсетевым экранам, веб-серверам и серверам приложений, предназначены для работы на многих аппаратных платформах. Безопасность систем ПО на высоком уровне рассматривается в приложении А, раздел А.2. Кроме того, существует большое число работ, в которых подробно обсуждается вопрос обеспечения безопасности программ различных типов. 10.4 Меры защиты сетей и сетевых системХотя часто считается наиболее критичным вычислительный комплекс организации, включающий в себя конечные системы и различные виды серверов, большая часть трафика между системами проходит через сеть, которая не шифруется и не защищается. Значительная часть Интернета и специализированные линии многих компаний используют одинаковые открытые протоколы, системы маршрутизации и в некоторых случаях используют одни и те же сетевые устройства и коммутаторы с трафиком других компаний. Сетевой трафик уязвим к внешним атакам, связанным с изменением маршрутизации, копированием и сетевым «анализатором пакетов»2), которые легко могут пройти полностью необнаруженными сетью и системами, использующими сеть и системы. Хотя шифрование часто рассматривается в качестве основного решения проблемы обеспечения безопасности, шифрование сетевого уровня может быть слишком дорогостоящим сточки зрения эксплуатации, пропускной способности и создания задержки информации для многих организаций. Даже в случае использования протоколов SSL, IPSEC и других протоколов безопасности связи, они не обязательно являются первым этапом обеспечения защиты сетевой безопасности. Для управления безопасностью сети следует обратить внимание на требования, изложенные в стандартах серии ИСО/МЭК18028. Первым этапом защиты часто является заключение соглашения между организацией и провайдером телекоммуникационных услуг с учетом доверия к этим провайдерам. Поэтому использование известных провайдеров телекоммуникационных услуг с четкими соглашениями об уровне сервиса и соблюдение положений контракта часто является первой и наиболее важной мерой защиты. Следующей наиболее важной мерой защиты сети является система мер защиты границ организации (см. 10.5), используемая для обеспечения безопасности, мониторинга и управления соединениями между внутренними и внешними сетями организации. 1) FIPS 140-2 развивается как международный стандарт ИСО/МЭК 19790 [35]. 2) «Анализатор пакетов» является программой, анализирующей информационные пакеты во время их перемещения по сети и осуществляющей поиск информации, которая может использоваться для совершения атаки, например, на содержание сообщений электронной почты, имена и пароли пользователей или сетевые адреса. 10.5 Меры защиты границ организации и ее связанности с внутренними и внешними сетями10.5.1 Общие положенияАнализ источников [1] - [26] показывает увеличение открытости корпоративных сетей. То, что когда-то было прочной, жесткой контролируемой границей организации, стало открыто для веб-сервисов, делового сотрудничества, поддержки сторонними организациями, а также для взаимодействия клиентов с системами регистрации, временных работников с работниками по договору, и для доступа сотрудников - как удаленного из дома, так и их внешних соединений с другими фирмами. Все увеличивающаяся проницаемость границы организации означает, что она и системы взаимодействия продолжают являться критическими элементами информационной безопасности организации. Проницаемость границы организации также означает, что все больше устройств являются местами возможного проникновения для злоумышленников. Необходимо рассмотреть возможность применения для данных устройств межсетевых экранов, систем обнаружения вторжения и, возможно, других мер защиты (см. конечные системы в приложении D, раздел D.1). Все границы между организацией и более крупной средой с сетевой структурой являются критичными; любая граница представляет возможность угрозам совершить атаку, используя уязвимости систем организации. Организации должны определить собственную политику, касающуюся путей применения мер защиты границы. Например, организация может потребовать изолирования корпоративной сети для создания безопасной среды с высокой степенью защиты, например, такой, при которой все пользователи и конечные системы будут физически связаны внутри здания организации. С другой стороны, организация может обеспечить защиту всех своих активов в безопасной базе данных за защитным сервером веб-приложений, при помощи многоуровневых межсетевых экранов и программных средств обнаружения вторжения или строгой аутентификации пользователей. Что из этих средств защиты является приемлемым, зависит от активов организации, оценки риска и принятых политик. 10.5.2 Межсетевые экраныМежсетевые экраны представляют собой развитую технологию обеспечения защиты границы на сетевом уровне. В то время как существуют варианты реальных возможностей и способов функционирования, все межсетевые экраны располагаются между граничным маршрутизатором или коммутатором, соединяющими предприятие с другими объектами или Интернетом, и внутренними сетевыми маршрутизаторами организации. Хорошо спроектированный межсетевой экран является необходимым элементом обеспечения защиты сети организации. Межсетевой экран осуществляет мониторинг сетевого трафика на основе адресации, портов, протоколов и, в некоторых случаях, содержания пакетов. Для многих организаций межсетевой экран открыт только для очень небольшого набора из всех доступных адресов, портов и протоколов. В качестве примера межсетевой экран, защищающий комплекс веб-сервера, может разрешать только протокол HTTP для порта 80 или протокол HTTPS для порта 443 (также известный как SSL). Другие обычные порты для FTP сервисов, SMTP (электронной почты) могут быть также открыты или закрыты в соответствии с потребностями и политиками организации. Многие организации применяют два уровня межсетевых экранов для создания так называемой «демилитаризационной» зоны. Веб-серверы и другие направленные вовне серверы и сервисы размещают между уровнями межсетевых экранов и переформатируют и перенаправляют запросы трафика на услуги или данные внутри более крупного предприятия. Внешний межсетевой экран может поддерживать только http трафик, тогда как внутренний межсетевой экран может разрешать SSH или другие сервисы для поддержки доступа к управлению веб-серверами или разрешать доступ веб-серверов к внутренним базам данных. Обычной практикой является использование межсетевых экранов двух различных типов (производителей) на внутренних и внешних позициях. Изначально межсетевые экраны считали программными средствами специального назначения или специальными устройствами, размещающимися на сетевом тракте и защищающими крупные участки организации. Межсетевые экраны были важным элементом прочности укрепленных периметров. В последние два-три года межсетевые экраны были включены в состав конечных систем, часто в качестве так называемых персональных межсетевых экранов. Обе тенденции - использование межсетевых экранов специального назначения для важных сетевых соединений и персональных межсетевых экранов на персональных компьютерах и других конечных системах - находятся в стадии развития. Новейшей тенденцией является комбинация функциональных возможностей межсетевых экранов с возможностью обнаружения вторжений. 10.5.3 Система обнаружения вторженийМежсетевые экраны часто принимают или отвергают соединения на основе адреса, порта и протокола. В пределах этих параметров может существовать множество возможных потоков данных, фактически являющихся атаками или вредоносными программами (вирусами), а также множество легальных потоков данных, предназначенных для поддержки легального бизнеса. Системы обнаружения вторжений рассматривают данные в пакетах и сравнивают их с характеристиками известных атак. Затем системы обнаружения вторжений посылают предупреждения соответствующему персоналу организации при помощи электронного почтового сообщения, телефонного звонка или сообщения на пейджер. Существуют два основных вида систем обнаружения вторжения: первый - сетевые детекторы, подключенные к сетевым маршрутизаторам, коммутаторам и серверам и проверяющие трафик в сети; второй - детекторы на базе хоста, представляющие собой программное обеспечение, загруженное на серверы и конечные системы, проверяющие трафик, связанный с определенным устройством. Оба типа детекторов все шире используются в организациях1). Одним из главных недостатков систем обнаружения вторжения является зависимость от атак с известными характеристиками, тогда как новые атаки с неизвестными характеристиками могут пройти незамеченными. Системы обнаружения вторжения начались с поиска отклонений в поведении систем, например, с появления http трафика там, где обычно присутствует только http трафик, или появления трафика в необычное время или в необычных объемах. Эти возможности обнаружения отклонений становятся все более изощренными и сложными, но их ценность по-прежнему в основном не доказана. Тем не менее, многие организации и большинство поставщиков систем обнаружения вторжения начали внедрять аналитические возможности систем обнаружения вторжения или проводить анализ поиска отклонений не только на внешних границах, но также в самой сети организации. Некоторые аналитические средства зависят от других устройств для сбора данных, используемых для поиска отклонений. Существует тенденция к объединению систем обнаружения вторжений и межсетевых экранов; часто поставщик предлагает комбинированные средства, выполняющие функции межсетевого экрана и системы обнаружения вторжений. Данные комбинированные средства также используются в настоящее время - особенно если система обнаружения вторжений включает в себя свойства обнаружения отклонений для предотвращения вторжений. В этих новых системах предотвращения вторжений сетевое соединение, использованное для обнаруженной атаки, закрывается, чтобы остановить или предотвратить атаку до ее завершения. Хотя это является совершенно приемлемой практикой, существует возможность прохождения другого законного трафика через то же соединение. Каждая организация должна определить, перевешивает ли цена разрешения законного трафика убытки от возможного ущерба, нанесенного атакой. Данная субъективная оценка в отношении допущения возможных атак в сопоставлении с вероятным ущербом от атаки выявляет один из недостатков систем обнаружения вторжений. Практически любая система обнаружения вторжений выдает некоторое число ошибочных результатов, то есть в некоторых случаях система обнаружения вторжений выдает предупреждение о трафике, выглядящим как атака, но в действительности являющимся легальным. Аналогичным образом существует (очень незначительная) вероятность того, что атака останется необнаруженной. Системы обнаружения вторжений обеспечивают организациям значительную гибкость в настройке систем с целью минимизации ошибочных результатов и ошибочных реагирований на атаки. 10.5.4 Другие защитные меры противодействия сетевым атакамСуществует много других защитных мер по противодействию сетевым атакам. Для разных способов атак требуются разные меры противодействия. Например, бизнес-партнер может иметь прямое соединение с внутренней сетью, маршрут может быть проложен через один (а не через два) межсетевой экран. Маршрутизаторы и коммутаторы, составляющие внутренние сети организации, должны быть надежно защищены и хорошо управляемы. Многие функции межсетевого экрана действуют как защитный уровень после функций маршрутизации, уже выполненных сетевой инфраструктурой. Вне сети межсетевых экранов и систем обнаружения вторжения существуют две другие основные меры противодействия: шифрование и аутентификация. Очевидно, что шифрование может использоваться для защиты частной информации. Его можно выполнить на многих уровнях и во многих местах, но за конкретную цену. Данные меры противодействия должны оцениваться с учетом политики и ценности информации организации. 1) Следует отметить, что в группе методов и средств обеспечения безопасности ИТ JTC 1/SC 27 начата работа по определению стандарта ИСО/МЭК 18043 [27]. Аутентификация может использоваться для идентификации устройств, а также пользователей устройств (включая пользователей программного обеспечения). Устройства можно идентифицировать, используя IPSEC, или (в некоторой степени) через протокол безопасности SSL. Конечный пользователь может быть аутентифицирован через SSL, хотя SSL не может реально аутентифицировать фактического пользователя - физическое лицо (некоторые браузеры, например, запоминают имена пользователей и пароли так, что сотрудник, использующий определенный компьютер и браузер для веб-сервера, будет казаться одинаковым). Использование различных факторов, а не только идентификатора пользователя и пароля, может улучшить качество аутентификации, но этого можно добиться также обладанием маркером или смарт-картой, секретным ключом, связанным с цифровым сертификатом, или отпечатками пальцев пользователя (или другими его биометрическими характеристиками). 11 Внедрение специальных средств защиты11.1 Банковские карточки для финансовых операций11.1.1 Общие положенияБанковские карточки для финансовых операций могут быть карточками с магнитной полосой, которые могут хранить информацию на магнитном носителе, или «смарт-картами»1) способными обрабатывать информацию, выполнять криптографические функции и хранить гораздо больше информации, чем на магнитном носителе. Поскольку смарт-карты обладают большей гибкостью, чем карточки с магнитной полосой, в будущем может быть разработан и другой метод использования этих карт. О безопасности смарт-карт см. стандарты серии ИСО 10202. Ассоциации пользователей финансовых карточек поддерживают собственные стандарты минимальной безопасности для финансовых учреждений и подрядчиков, предоставляющих услуги финансовым учреждениям. В дополнение к этим программам обеспечения безопасности организации, использующие банковские карточки для финансовых операций, должны применять перечисленные ниже меры защиты. 11.1.2 Физическая безопасностьДля защиты от уничтожения, раскрытия или модификации информации на карточках для финансовых операций на стадиях обработки аппаратура персонализации карточек должна располагаться на территории, регулярно патрулируемой службами обеспечения правопорядка и обслуживаемой службами противопожарной защиты. Аппаратура должна быть защищена системой охранной сигнализации с автономным источником питания. 11.1.3 Злоупотребление со стороны инсайдеровДля предупреждения мошеннических операций, осуществляемых в результате доступа к информации на банковских карточках, все носители, содержащие значимую информацию о счетах, номера счетов, личные идентификационные номера, кредитные лимиты и состояние счетов, должны храниться в помещении, доступ к которому ограничивается персоналом службы информационной безопасности. Функции изготовления и выпуска карточек должны быть физически отделены от функций изготовления и выпуска персональных идентификационных номеров. 11.1.4 Перемещение личных идентификационных номеровДля предупреждения потерь из-за перехвата личных идентификационных номеров несанкционированными лицами с личными идентификационными номерами следует обращаться в соответствии с ИСО 9564-1-4 ил и ИСО 10202-1-8. Стандарты серии ИСО 9564 определяют основные принципы и методы обеспечения мер минимальной безопасности, необходимые для эффективного международного менеджмента личных идентификационных номеров. Они также определяют методы защиты личных идентификационных номеров, применяемые для операций с использованием банковских карточек для финансовых операций в условиях режима реального времени, и средства обмена данными личных идентификационных номеров. Стандарты серии ИСО 9564 также распространяются на менеджмент и безопасность личных идентификационных номеров в условиях режима реального времени и условиях электронной торговли. Данные методы и средства должны использоваться организациями, отвечающими за внедрение методов менеджмента и защиты информации личных идентификационных номеров в банкоматах и финансируемых покупателями кассовых терминалах. 1) «Смарт-карта» определяет класс устройств размера платежной карточки, имеющих различные функциональные возможности и мощности. Эти устройства выглядят практически так же, как карточки с магнитной полосой, используемые для стандартных кредитовых, дебетовых, банкоматных и кассовых операций, и включают в себя карты на интегральных схемах (ICC), карточки с хранимой суммой и бесконтактные карточки. Примечание - ИСО 13491-1 [5] определяет средства управления распределения ключей, необходимые для устройств, предоставляющих финансовые услуги (кассовые терминалы, банкоматы). Требования настоящего стандарта не распространяются на неприкосновенность данных об операциях, не имеющих личных идентификационных номеров, защиту личных идентификационных номеров от потерь или преднамеренного неправильного использования со стороны клиента или санкционированных служащих эмитента, защиту сообщений об операциях от изменений или замены, например реакцию санкционирования на верификацию личного идентификационного номера, защиту от воспроизведения личного идентификационного номера или операции, или определенные методы распределения ключей. Эти методы должны использоваться организациями, отвечающими за внедрение методов менеджмента и защиты персональных идентификационных номеров в банкоматах и финансируемых покупателями кассовых терминалах. Стандарты серии ИСО 10202 определяют принципы защиты интегральных микросхем в течение их жизненного цикла от производства и выпуска, использования клиентами и служащими до истечения срока службы. В стандартах серии ИСО 10202 также определяется минимальный уровень безопасности, требуемый для обмена, наряду с опциями безопасности, позволяющими эмитенту банковской карточки для финансовых операций или поставщику выбирать уровень безопасности, соответствующий политике приложений. Взаимосвязь с криптографическими ключами, надлежащее использование криптографических алгоритмов и методы распределения ключей, необходимые для обеспечения безопасности обработки финансовых операций, также определяются в стандартах серии ИСО 10202. В них также описываются требования безопасности для модулей приложений, которые могут быть добавлены к устройству считывания карточек. 11.1.5 ПерсоналДля исключения обработки кредитных карточек персоналом, не имеющим права обработки, должны проводиться кредитные проверки и проверки уголовного прошлого всех служащих, имеющих дело с проштампованными или неиндоссированными карточками там, где это допускается нормативно-правовыми документами в области обеспечения безопасности, включая сотрудников, занятых неполный рабочий день, и временных работников. 11.1.6 АудитДля обеспечения целостности управляющей и регистрационной информации требуется мерами защиты и с использованием журнала аудита сохранять информацию о номерах счетов владельцев карточек и используемом оборудовании на пластиковых карточках с отпечатанными данными, в печатных формах, штамповочном и шифрующем оборудовании, на защитной фольге, голограммах, магнитной ленте, полуфабрикатах карточек и готовых карточках, карточках образцов. 11.1.7 Предупреждение подделки карточекДля предупреждения создания фальшивых карточек с магнитной полосой использования информации, отражаемой на товарных чеках, должны быть зашифрованы цифры криптографической проверки, и эти цифры должны быть подтверждены как можно большему числу операций. Для предупреждения создания фальшивых карточек с использованием перехваченной информации необходимо использовать физический метод идентификации карточки с целью подтверждения ее подлинности. 11.1.8 БанкоматыБанкоматы представляют собой устройства, позволяющие клиенту проверять остаток на счете, изымать и вносить наличные, оплачивать счета или осуществлять другие функции, которые обычно ассоциируются с банковскими кассирами. Данные устройства могут находиться внутри зданий организации, размещаться за пределами такого здания или располагаться вдалеке от помещений организации. Рекомендуются дополнительные меры предосторожности для снижения возможности ограбления клиентов и вандализма в отношении устройств, но они не рассматриваются в настоящем стандарте. Производители данных устройств и поставщики сети банкоматов обычно издают руководства по безопасности пользования банкоматами. Рекомендуется изучить эти документы. При работе с банкоматами необходимо соблюдать требования безопасности, которые определены в процедурах оплаты по карточкам. 11.1.9 Идентификация и аутентификация владельцев карточекНаиболее распространенным средством аутентификации владельца карточки является PIN. Он используется для управления доступом к банкоматам и кассовым терминалам. Пользователи должны знать, что обеспечение секретности персонального идентификационного номера является их обязанностью. В дополнение к персональному идентификационному номеру для идентификации владельцев карточек начинают применяться проверка биометрических данных и другие технологии. Для предотвращения несанкционированных операций, вызванных угадыванием личного идентификационного номера карточки, используемых несанкционированным лицом, число попыток ввода личного идентификационного номера должно быть не более трех. После трех неудачных попыток рекомендуется задержание карточки и установление контакта с ее владельцем. 11.1.10 Аутентичность информацииДля предотвращения несанкционированного изменения информации, передаваемой в банкомат и из него, при каждой передаче следует требовать использования кода аутентификации сообщений, созданного в соответствии с требованиями ИСО 16609 и распространяемого в соответствии с требованиями стандартов серии ИСО 11568. Для предупреждения несанкционированного изменения, уничтожения или раскрытия информации, хранящейся в банкомате, физический контроль доступа к внутренней части банкомата должен соответствовать физическим средствам контроля защиты на денежных контейнерах. 11.1.11 Раскрытие информацииДля предотвращения несанкционированного использования банкоматов или кассовых терминалов посредством несанкционированного раскрытия информации о личном идентификационном номере, вводимого пользователем, должны использоваться только устройства с шифрующими клавиатурами, соответствующие требованиям стандартов серии ИСО 9564 [28]. Следует рассмотреть возможность шифрования всей информации, передаваемой из банкомата. Управление личными идентификационными номерами должно осуществляться в соответствии с требованиями международных стандартов. 11.1.12 Предупреждение мошеннического использования банкоматовДля обнаружения и предотвращения мошеннического использования банкоматов, например подделки чеков, депозиты пустых конвертов или дезавуированные операции, рекомендуется целый ряд практических приемов. Данные приемы оправдываются в случае включения ограничения числа операций и суммы денежных средств, снимаемых в день с одного счета, ежедневного подведения баланса банкомата под двойным контролем, установки видеокамер, где вероятность совершения мошенничества велика, а также обеспечение поддержки работы банкомата в режиме «он-лайн», где это возможно, то есть требование, чтобы банкомат имел возможность проверки состояния счета до совершения операции. Если работа в данном режиме невозможна, следует установить более строгие требования к выпуску карточек, чем в случае работы в режиме «он-лайн». 11.1.13 Техническое обслуживание и текущий ремонтДля предотвращения несанкционированного доступа к информации во время технического обслуживания и технического ремонта банкоматов следует убедиться, что для клиентов банкоматы находятся в состоянии «оф-лайн» перед проведением любого технического обслуживания. Для текущего ремонта банкоматов, включающего в себя открытые хранилища, необходимо установить процедуры двойного контроля. 11.2 Системы электронного перевода платежей11.2.1 Несанкционированный источникУгрозы и средства контроля, связанные с применениями электронного перевода платежей, могут оцениваться независимо от технологии, которую они используют. Для предотвращения потерь из-за принятия запроса о платежах от несанкционированного источника необходимо аутентифицировать источник сообщений, запрашивающих перевод платежей. Аутентификация источника должна быть основана на процедуре обеспечения безопасности, определенной в договоре с клиентом или корреспондентом. Применение этого средства контроля рекомендуется при условии целесообразности затрат на проведения криптографической аутентификации. Криптографическая аутентификация обеспечивается кодом аутентичности сообщений, генерируемым в соответствии с требованиями стандартов серии ИСО 16609, с помощью криптографического ключа, распределенного в соответствии с требованиями ИСО 11568. В качестве альтернативы для установления подлинности источника сообщения может быть использовано успешное дешифрование сообщения, зашифрованного в соответствии со стандартами серии ИСО/МЭК18033 (в соединении с ИСО ТО 19038 [29] или ANSI Х.9.52 [30] или FIPS 197 [31]) ключом, распространяемым в соответствии со стандартами серии ИСО 11568. Также может использоваться цифровая подпись. 11.2.2 Несанкционированные измененияДля предотвращения неправильного платежа из-за преднамеренного или случайного изменения содержания сообщения необходимо удостоверить дату платежа, дату зачисления денег, сумму, национальную валюту, имя бенефициария и, возможно, номер счета бенефициария или IBAN-компоненты сообщения, используя процедуру обеспечения безопасности, определенную в договоре с клиентом или корреспондентом. Там, где это осуществимо, следует использовать полную аутентификацию текста. Рекомендуется применение криптографической аутентификации. 11.2.3 Воспроизведение сообщенийДля предотвращения несанкционированного повторного платежа, вызванного повторным введением сообщения, следует настоять на использовании и верификации уникальной идентификации сообщения. Рекомендуется включать эту идентификацию в любую проводимую аутентификацию. 11.2.4 Сохранение записейВ целях сохранения свидетельств, которые могут потребоваться для доказательства санкционирования при совершении платежа, регистрируйте сообщения с запросом о переводе платежей независимо от носителей, используемых для передачи сообщений. Следует сохранять материал, необходимый для подтверждения аутентификации, включая вспомогательный криптографический материал. 11.2.5 Правовая основа платежейДля гарантии осуществления платежей в соответствии с подписанным договором, следует создать систему обеспечения наличия и корректности договоров, лежащих в основе запросов об электронном переводе платежей. 11.3 Банковские чеки11.3.1 Общие положенияБанковские чеки, также известные как «платежные приказы» и «средства сберегательного счета клиента в банке», представляют собой письменные распоряжения, предписывающие финансовому учреждению выплатить деньги. Новые методы обработки чеков должны усилить озабоченность финансовых учреждений проблемами безопасности. Повышение престижа банковского чека и других средств сокращения процедуры работы с банковскими документами является примером методов, создающих проблемы с безопасностью. Национальными организациями многих стран были разработаны и опубликованы национальные стандарты по различным аспектам операций обработки чеков1). 11.3.2 Новые клиентыТребование «знай своего клиента» создает особые проблемы, если услуги предоставляются через открытую сеть. Как бы ни были заманчивы услуги с применением базовой веб-страницы или другого электронного носителя, личное посещение офиса финансового учреждения остается необходимым условием для открытия нового счета (за исключением действия в соответствии с юридически установленным методом), пока не будет доступен повсеместно признанный и имеющий исковую силу электронный метод позитивной личной идентификации. Следует соблюдать обычные процедуры оценки квалификации клиентов. 11.3.3 Вопросы целостностиКаждая финансовая операция должна быть защищена с целью гарантирования идентификации, аутентичности пользователя, аутентичности сообщения, конфиденциальности информации ограниченного доступа и неотказуемости операций. Запросы на финансовую операцию должны быть снабжены цифровой подписью с использованием ключа, санкционированного органом сертификации организации. При надлежащей реализации данной меры возможна гарантия, что пользователь идентифицирован, содержание сообщения не изменено и пользователь связан юридическими обязательствами в своих действиях. Номера счетов, личные идентификационные номера или другие сведения, которые в случае их раскрытия сделают возможным несанкционированное использование счета, должны быть защищены с помощью шифрования. 12 Дополнительная информация12.1 СтрахованиеПланируя программу обеспечения информационной безопасности, работник службы информационной безопасности и управляющий делами должны консультироваться со страховым отделом и, по возможности, со страховой компанией, что должно привести к созданию более эффективной программы обеспечения информационной безопасности и более эффективному использованию страховых премий. 1) Подкомитетом В Х9 (США) были опубликованы стандарты по операциям обработки чеков, например ANSI X9 TG-2. Понимание и разработка чеков и ANSI X9TG-8 Принципы безопасности чеков. Для согласованного действия финансовых учреждений и улучшения качества обработки этим финансовым учреждения настоятельно рекомендуется следовать указаниям Технического руководства 2 (TG-2) X9 и Технического руководства 8 (TG-8)X9. Страховые компании могут потребовать, чтобы до того, как страховое требование было удовлетворено, были осуществлены определенные меры управления, называемые «условиями до наступления ответственности или предшествующими условиями». «Условия до наступления ответственности» часто связаны с мерами управления информационной безопасности. Поскольку эти меры управления используются для страховых целей, они должны быть включены в программу обеспечения информационной безопасности организации. Может также потребоваться гарантирование некоторых мер управления, т. е. демонстрация того, что они постоянно присутствовали с момента принятия политики. Страховая компенсация прерываний бизнес-процесса и, в частности, ошибок и невыполнений, должна быть включена в планирование обеспечения информационной безопасности. 12.2 АудитПриведенная ниже цитата из «Заявления Института внутренних аудиторов» [32] определяет роль аудитора следующим образом: «Внутренний аудит является независимой и объективной деятельностью по консультированию и обеспечению доверия, предназначенной для придания значимости операциям организации и их совершенствованию, что содействует организации в достижении ее целей путем введения систематического и упорядоченного подхода к оцениванию и повышению эффективности процессов менеджмента риска, контроля и управления. При внутреннем аудите проверяется надежность и целостность информации, соответствие политикам и положениям, защита активов, экономное и эффективное использование ресурсов и действующие оперативные задачи и цели». Говоря конкретнее, в сфере информационной безопасности аудиторы должны оценивать и тестировать защитные меры информационных активов финансового учреждения и постоянно взаимодействовать с работниками службы информационной безопасности и другими лицами для выработки соответствующих перспектив идентификации угроз и рисков, а также адекватности защитных мер для существующей и новой продукции. Аудиторы должны предоставлять руководству объективные отчеты о состоянии среды управления, рекомендовать усовершенствования, которые могут быть оправданы необходимостью и анализом стоимости и эффективности, и предписывать порядок хранения и анализа информации журнала регистрации. В тех случаях, когда функция аудиторской проверки объединяется с другими функциями, для минимизации возможности конфликта интересов требуется особое внимание руководства. 12.3 Планирование восстановления деятельности организации после ее прерыванияВажной частью программы обеспечения информационной безопасности является план по продолжению критического бизнеса в случае его прерывания. Восстановление деятельности организации после ее прерывания является частью планирования возобновления бизнеса, которое гарантирует быстрейшее восстановление информации и средств обработки информации. В плане восстановления деятельность организации после ее прерывания определена совокупностью факторов воздействия, против которых необходимо обеспечить защиту, и функциями и обязанностями персонала в условиях прерывания. План восстановления бизнеса после его прерывания должен включать в себя точный список действий, которые считаются наиболее важными, предпочтительно с категориями приоритета, а также периоды времени восстановления, являющиеся адекватными для выполнения бизнес-обязательств организации. В плане восстановления бизнеса должны быть определены запасные помещения для замены, обеспечивающие критически важную деятельность организации. В случае неспособности персонала организации содействовать восстановлению деятельности организации после прерывания необходимо определить замещающий персонал, способный восстановить и эксплуатировать ресурсы обработки информации. По возможности, организация должна стараться заключить соглашения с поставщиками услуг об их приоритетном восстановлении. План восстановления деятельности организации после ее прерывания должен обеспечивать доступность адекватных дублирующих информационных систем, способных своевременно обнаруживать и извлекать критическую информацию. Важно, чтобы в плане восстановления деятельности организации после его прерывания была определена информация, подлежащая резервированию, и было обеспечено безопасное хранение этой информации по установленной программе. Необходимо также определить местоположение хранения информации с учетом требований локального и удаленного расположения организации. План восстановления после бедствия должен проверяться по мере необходимости для обнаружения проблем и продолжения обучения персонала в процессе его деятельности. Должна проводиться периодическая переоценка плана восстановления после прерывания бизнеса с целью проверки его актуальности. Организация должна определить минимальную периодичность проведения как проверок, так и переоценки восстановления после прерывания бизнеса. 12.4 Внешние поставщики услугФинансовые учреждения требуют, чтобы к предоставляемым извне критическим услугам, например, к обработке данных, финансовым операциям, сетевым услугам и созданию программного обеспечения применялись защитные меры и защита информации такого же уровня, что и в самой организации. Контракты с внешними поставщиками услуг должны включать в себя элементы, необходимые для убеждения финансового учреждения в том, что: - поставщики подчиняются практическим приемам и политике безопасности организации; - отчеты, подготовленные консалтинговой бухгалтерской фирмой поставщиков, доступны организации; - внутренние аудиторы организации имеют право проводить аудиты поставщиков, связанные с процедурами и защитными мерами организации; - поставщики подчиняются условным соглашениям о поставленных системах, продукции или услугах. В дополнение к вышеизложенному, специалисты конкретного финансового учреждения должны провести независимую финансовую проверку поставщика услуг до заключения с ним контракта. До получения гарантийного письма, подтверждающего наличие защитных мер информационной безопасности, деловых отношений с поставщиком услуг быть не должно. Руководитель службы обеспечения информационной безопасности должен проверить программу обеспечения безопасности поставщика услуг для определения, согласуется ли она с программой организации. Любые разногласия должны разрешаться путем обсуждения условий с поставщиком услуг либо посредством процесса принятия риска в организации. В дополнение к требованиям информационной безопасности договоры с поставщиками услуг должны включать в себя требования о неразглашении информации и четкое определение ответственности за убытки, являющиеся следствием недостатков в обеспечении информационной безопасности. 12.5 Группы тестирования на проникновение в компьютерные системыИспользование специалиста по тестированию на проникновение (как правило, подрядчика) для оценки эффективности безопасности системы посредством попытки проникновения в систему с ведома и при согласии соответствующего должностного лица организации является одной из предпосылок создания доверия к программе обеспечения безопасности. По мере усложнения компьютерных систем поддержание безопасности становится все более затруднительным. Использование групп тестирования на проникновение может содействовать обнаружению слабых мест в системе организации. Однако необходимо учитывать некоторые дополнительные вопросы. Подрядчик должен быть связан соответствующими обязательствами или обладать достаточными возможностями для выполнения любых обязательств, возникающим в результате его действий. Для контроля за своей программой обеспечения безопасности организация не должна полагаться только на отчеты тестирования на проникновение. Проблема неразглашения результатов тестирования должна быть решена в контракте со специалистами по тестированию на проникновение. Любое разглашение проблемы безопасности должно осуществляться по усмотрению организации. 12.6 Криптографические операцииРазвитие ИТ значительно усложнило традиционные методы контроля информации. Популяризация криптографических устройств предоставила финансовым учреждениям возможность вновь достичь ранее установленного уровня безопасности, связанного с банковским делом, с учетом усовершенствования технологии обработки информации. Как в случае с любой новой технологией, существует опасность неправильного использования криптографических методов решения проблем обеспечения безопасности. Важно, чтобы организации принимали адекватные решения по выбору, использованию и постоянному оцениванию своих защитных мер, основанных на применении криптографии. Предполагается, что потребность в криптографических защитных мерах общепризнана. В защитных мерах, предлагаемых в разделах 9 - 15, используются шифрование, коды аутентификации сообщений и цифровая подпись. Для каждой из этих мер также требуется разделение ключей и оказание услуг по их сертификации. Криптографические защитные меры могут противодействовать угрозам нарушения конфиденциальности и целостности информации. Криптографические защитные меры, такие как шифрование и аутентификация, требуют сохранения секретности определенного материала, например криптографических ключей. Для поддержки криптографических защитных мер могут потребоваться одно или несколько средств, генерирующих, распределяющих и несущих ответственность за криптографический материал. По возможности, должны использоваться международные стандарты по распределению ключей в банковском деле. Средства, обеспечивающие управление криптографическим материалом, должны быть физически защищены на высшем уровне, и на таком же уровне должно быть управление доступом к ним. В целях безопасности информационной системы распределение ключей должно осуществляться по принципу разделенного знания. При использовании надежных криптографических практических приемов и при эффективном планировании восстановления бизнеса после его прерывания могут возникнуть цели, противоречащие друг другу. Необходимы тесные консультации лиц, отвечающих за восстановление после бедствия, и лиц, ответственных за криптографическую поддержку, с тем, чтобы одна цель не противоречила другой. Криптографический материал должен быть предоставлен клиентам так, чтобы минимизировать возможность компрометации. Клиент должен быть осведомлен о важности мер защиты криптографического материала. Взаимодействие с криптографической системой провайдера услуг, корреспондента или клиента должно допускаться только в соответствии с документированным гарантийным письмом. Качество безопасности, создаваемой криптографической продукцией, зависит от постоянной целостности этой продукции. Как аппаратная, так и программная криптографическая продукция требует защиты целостности, сопоставимой с уровнем безопасности, который она предназначена обеспечивать. Использование сертифицированных интегральных схем, надежных корпусов и обнуления ключей упрощает защиту аппаратных систем в отличии от программных средств. При защите наиболее важной информации целесообразно использовать криптографическое программное обеспечение продукции. Для повышения целостности системы следует максимально использовать такие свойства, как самотестирование. Использование, импорт и экспорт криптографической продукции регламентируются национальными нормативными правовыми актами государств. Национальные нормативные правовые акты в отношении использования, производства, продажи, экспорта и импорта криптографических устройств очень различаются. Рекомендуется консультация с юристом или местной властью. 12.7 Распределение криптографических ключейКак и в любой технологии, существуют относительно простые, а также другие элементы, выполнение которых требует существенных усилий реализации и поддержки. Одной из таких технологий, применение которой требует тщательного планирования, обучения и точной реализации, является распределение криптографических ключей. Распределение криптографических ключей см. в стандартах серии ИСО 11568. Распределение криптографических ключей представляет собой часть криптографии, которая обеспечивает методы безопасной генерации, обмена, использования, хранения и прерывания действия криптографических ключей, используемых криптографическим механизмом. Внедрение криптографических методов, таких как шифрование и аутентификация, в компьютерные системы и сеть может способствовать достижению многих целей безопасности. Однако эти методы бесполезны без надежного распределения криптографических ключей. Основные функции распределения криптографических ключей состоят в предоставлении криптографических ключей, необходимых для криптографических методов, и защите данных ключей от любого вида компрометации. Конкретные процедуры и требования безопасности для распределения данных ключей зависят от вида системы криптографии, на которой основаны криптографические методы, их характера, характеристик и требований безопасности защищаемой компьютерной системы или сети. Наиболее важным для изучения является вопрос о достаточной гибкости распределения криптографических ключей для эффективного использования в компьютерной системе или сети, и его соответствие требованиям безопасности системы. Услуги по распределению криптографических ключей должны быть доступны в любое время и там, где они потребуются, включая резервные помещения. Распределение данных ключей должно быть частью плана организации по восстановлению компьютерной системы или сети. 12.8 Неприкосновенность частной жизниФинансовые учреждения обладают некоторой особо важной информацией об отдельных лицах и организациях. Национальные нормативные правовые акты требуют, чтобы эта информация обрабатывалась и хранилась в соответствии с определенными правилами обеспечения безопасности и неприкосновенности частной жизни. Некоторые технические и бизнес-разработки, например сети, графическое представление документов, целевой маркетинг и совместное использование информации между отделами, вызвали повышенный интерес к проблемам обеспечения неприкосновенности внутренней жизнедеятельности банков. Организационно-распорядительные документы финансовых учреждений должны учитывать нормы обеспечения неприкосновенности частной жизни, например положения (руководства), связанные с информацией о кредитах. Следует также быть в курсе новых принимаемых национальных нормативных правовых актов о неприкосновенности частной жизни путем использования источников банковской индустрии или других независимых источников информации, а также консультации специалистов юридических отделов банков. Кроме того, банковские служащие, осуществляющие международные операции, должны обладать знаниями о региональных, международных и других законах и связанных с ними положениях обеспечения неприкосновенности частной жизни. Финансовые учреждения должны анализировать свои операции с целью определения адекватности защиты информации о своих клиентах и служащих. Необходимо разработать конкретную политику и процедуры, касающиеся сбора, использования и защиты информации. Данная политика и процедуры должны быть доведены до сведения соответствующих служащих. Политика и процедуры обеспечения неприкосновенности частной жизни должны предусматривать: - сбор достоверных и точных сведений, которые обеспечивают получение обозначенной финансовой потребности; - обработку информации с целью обеспечения соответствующих ограничений доступа, включая определение круга лиц, которые должны иметь доступ к информации, контроль качества во избежание ошибок при вводе |