Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Для функционирования в штатном режиме финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ).
Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры.

Регуляторы предоставляют компаниям необходимую нормативную базу, позволяющую правильно выстроить систему ЗИ в компании. Требований, необходимых для соблюдения, достаточно много, поэтому к построению системы ЗИ необходимо подходить комплексно.

Нормативная база

Документ, на который необходимо обратить внимание в первую очередь — это Стандарт БР СТО БР ИББС-1.0-2014.

Данный документ является базовым, поэтому в нем подробно описаны все процессы, которые необходимо реализовать в организации для обеспечения информационной безопасности (далее – ИБ).

Стандартом определяются необходимые требования для следующих областей системы ЗИ:

• Назначение и распределение ролей
• Управление доступом
• Регистрация действий
• Антивирусная защита
• Поддержка ИБ на стадиях жизненного цикла автоматизированной банковской системы (далее – ЖЦ АБС)
• Ресурсы Интернета
• Использование средств криптографической защиты информации (далее – СКЗИ)
• Банковские платежные и технологические процессы

Список областей системы ЗИ необходимо расширять согласно потребностям своей организации и возможным рискам

Например, в документе ГОСТ Р 57580.1 количество областей защиты больше.

Помимо приведенных выше он выделяет области:

• Защита вычислительных сетей
• Контроль целостности и защищенности информационной инфраструктуры
• Предотвращение утечек информации
• Управление инцидентами
• Защита среды виртуализации
• Защита информации при осуществлении удаленного доступа с использованием мобильных устройств

Многие требования данных документов дублируют друг друга, но ГОСТ содержит в себе четкие меры, выполнение которых обязательно.

Стандарт БР СТО БР ИББС-1.0-2014, в отличие от таких документов как: ГОСТ Р 57580.1, 1, 719-П, 757-П, 683-П, 802-П, 747-П, 779-П, 787-П, не является обязательным для исполнения документом.

Он носит рекомендательный характер, позволяя специалистам компании самостоятельно построить систему защиты информации и произвести самооценку соответствия ИБ.

Также помимо этих документов есть различные Положения, Приказы, Рекомендации от регуляторов, требования которых необходимо принимать во внимание и выполнять.

План построения системы защиты информации

Перед началом построения системы ЗИ необходимо узнать, какую информацию нужно защищать, то есть определить активы и бизнес-процессы компании.

После чего следует разработать модель угроз и нарушителей, которые будут описывать возможные источники угроз, уязвимости, риски и ущерб. Затем на основе этой информации возможно приступить к созданию самой системы.
Систему ЗИ условно можно разделить на две составляющие.

Первая включает в себя документы, которые будут описывать абсолютно все процессы ЗИ, происходящие в компании. Например, СТО БР ИББС -1.0-2014 ссылается на документ РС БР ИББС-2.0, в котором содержатся методические рекомендации по документам в области ИБ.

Правильно написанные документы позволяют донести всем сотрудникам организации правила и порядок защиты информации.

Существует четыре уровня организационно-распорядительной документации (далее – ОРД):

1. Первый уровень (Политика ИБ)
2. Второй уровень (Частная политика ИБ)
3. Третий уровень (Порядок, Регламент)
4. Четвертый уровень (Акты, Приказы, Журналы)

Важно, чтобы требования ОРД были:

1. Обязательны, а не рекомендательными
2. Выполнимы и контролируемы работниками компании
3. Адекватными и непротиворечивыми

Вторая составляющая – это технические решения, позволяющие реализовать защиту информации.

К выбору технических средств защиты информации (далее – СЗИ) стоит подходить исходя из финансовых возможностей организации, угроз ИБ, учитывая рекомендации регуляторов.

Например, вышеописанные документы рекомендуют устанавливать антивирусы разных производителей на серверном оборудовании, АРМ и межсетевых экранов. Поэтому обойтись одним средством не получится.

Особое внимание стоит уделить информационным системам (далее – ИС),которые функционируют в компании, так как их ИБ должна реализовываться на всех стадиях жизненного цикла (далее – ЖЦ).

Необходимо контролировать:

• Процесс создания технического задания
• Проектирование
• Создание и проверку
• Утверждение и развертывание
• Эксплуатацию
• Сопровождение и изменения
• Снятие с эксплуатации

Все это достаточно сложные процессы, поэтому ЦБ приводит документ РС БР ИББС-2.6-2014, в котором содержатся рекомендации по обеспечению ИБ на стадиях ЖЦ АБС.

Best practices

Следует подчеркнуть существование такого подхода как «best practices». Данный подход подразумевает под собой применение лучших практик при построении системы ЗИ.

Суть подхода заключается в использовании методов ЗИ, которые наилучшим образом проявили себя в деле, то есть подход основывается не на стандартах, которые предлагает нам регулятор, а на основе опыта специалистов ИБ.

В качестве примера «best practices» можно привести использование программы для инвентаризации машинных носителей информации (далее – МНИ).

Многие компании осуществляют контроль за МНИ вручную, посредством бумажного журнала, так как регулятор не указывает как конкретно необходимо вести контроль за МНИ.
Использование бумажного журнала – это очень трудоемкий процесс, который требует время на запись и поиск, также он не позволяет хранить много доступной информации о носителе.
Поэтому специалисты советуют приобрести программу для инвентаризации машинных носителей информации. Кроме того, инвентаризация не защищает МНИ в полном объеме, поэтому эксперты согласно «best practices» советуют полностью исключить физический доступ рядовых пользователей к носителям.

Жизненный цикл системы защиты информации

Важно понимать, что недостаточно просто построить систему ЗИ, ее необходимо постоянно поддерживать. Для этого существует система менеджмента ИБ (далее – СМИБ).

Основной идеей СМИБ является реализация цикла Деминга для каждого процесса системы ЗИ.

То есть, каждая область системы должна проходить четыре стадии:

1. Планирование
2. Реализация
3. Контроль
4. Совершенствование

Планирование подразумевает под собой определение области системы ЗИ и ее возможную корректировку.

Реализация заключается в выполнении требований, определенных этапом планирования. Стоит отметить, что данная стадия предполагает обучение и повышение осведомленности персонала компании в области ИБ, а также обнаружение и реагирование на инциденты ИБ.

Стадия контроля обозначает проведение проверок системы ЗИ на правильность функционирования учитывая существующие угрозы.

Процесс совершенствования определяет стратегические улучшения системы ЗИ.

Заключение

Построение системы ЗИ можно свести к следующему плану действий:

1. Определение активов и бизнес-процессов
2. Построение модели угроз
3. Анализ рисков
4. Создание ОРД
5. Применение и использование технических средств защиты информации
6. Контроль и управление
7. Совершенствование разработанной системы

В заключение стоит отметить, что ОРД компании должна быть не только разработана согласно иерархии, но и соответствовать требованиям законодательства РФ, БР и других регуляторов.

К тому же применяемые меры защиты информации должны быть адекватны требованиям внутренних документов.

Построение системы ЗИ это трудоемкий процесс, который следует постоянно поддерживать в дальнейшем.

Именно поэтому в организации необходимо наличие отдела ИБ, где квалифицированные кадры смогут в полной мере реализовывать все требования регуляторов.

Также можно обратиться к сторонним специализированным компаниям, сотрудники которых имеют достаточный опыт и помогут построить систему согласно подходу «best practices».