Опис принципів забезпечення безперервності роботи

 

Однією з основних функцій банку є забезпечення безперервності

його роботи. Основні вимоги до банку з цього питання викладені у

Положенні про забезпечення безперервного функціонування

інформаційних систем Національного банку України та банків

України, затвердженому постановою Правління Національного банку

України від 17.06.2004 N 265 (z0857-04), зареєстрованою в

Міністерстві юстиції України 09.07.2004 за N 857/9456.

Банк повинен мати опис принципів та заходів щодо забезпечення

безперервності роботи, в якому надати опис процедур та обладнання,

а також обов'язків працівників банку, в тому числі методи

резервування інформації для відновлення роботи в разі виникнення

надзвичайних ситуацій. У цьому документі повинні бути визначені

терміни відновлення роботи банку та необхідні ресурси (зокрема

програмно-технічні засоби, обладнання, резервне електроживлення

тощо).

Банк повинен регулярно проводити тестування всіх складових,

що потрібні для виконання плану забезпечення безперервної

діяльності та дій у разі виникнення надзвичайних ситуацій, у тому

числі можливість відновлення резервної інформації, яка

зберігається у віддаленому резервному пункті.

                     

Аналіз ризиків

Загальні положення

 

Методичні рекомендації щодо управління ризиками інформаційної

безпеки розроблені на основі міжнародного стандарту ISO/IEC 27005

"Information technology - Security techniques - Information

security risk management" (Управління ризиками інформаційної

безпеки) з урахуванням особливостей банківської діяльності,

стандартів та вимог Національного банку України з питань

інформаційної безпеки.

Ризиком інформаційної безпеки вважається ймовірність того, що

визначена загроза, впливаючи на вразливості ресурсу або групи

ресурсів, може спричинити шкоду банку.

Управління інформаційними ризиками повинно включати:

- аналіз і ідентифікацію ризиків;

- оцінку ризиків з точки зору їх впливу на бізнес та

ймовірності їх появи;

- інформування особи, яка вправі приймати рішення та

акціонерів банку про ймовірності та впливи цих ризиків;

ймовірність і наслідки ризику мають бути зрозумілими;

- встановлення порядку та пріоритетів оброблення ризиків;

- встановлення пріоритетів виконання дій щодо зниження

ризиків;

- участь керівництва в процесі прийняття рішень щодо

управління ризиками та його поінформованість щодо стану справ в

управлінні ризиками;

- ефективний моніторинг та регулярний перегляд ризиків і

процесу управління ризиками;

- інформування керівництва та персоналу щодо ризиків і дій

щодо управління ними.

Процес управління ризиками інформаційної безпеки повинен

здійснюватися для банку в цілому.

Процес управління ризиками інформаційної безпеки є

безперервним процесом і до нього може бути застосована модель ПВПД

(плануй - виконуй - перевіряй - дій), яка наведена у вступі

стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010.

Порівняння СУІБ та процесу управління ризиками інформаційної

безпеки можна описати у вигляді таблиці:

 

------------------------------------------------------------------

|Фаза СУІБ| Процес управління ризиками інформаційної безпеки |

|---------+------------------------------------------------------|

|Плануй |Аналіз ресурсів СУІБ Оцінка ризиків План оброблення |

|    |ризиків Прийняття залишкових ризиків             |

|---------+------------------------------------------------------|

|Виконуй |Впровадження плану оброблення ризиків            |

|---------+------------------------------------------------------|

|Перевіряй|Постійний моніторинг та перегляд ризиків         |

|---------+------------------------------------------------------|

|Дій |Підтримка та покращення процесу управління ризиками |

|    |інформаційної безпеки                            |

------------------------------------------------------------------

 

Процес управління ризиками інформаційної безпеки стосується

всіх підрозділів банку і, у першу чергу, керівників підрозділів -

власників бізнес-процесів / банківських продуктів. Тому ці

відповідальні особи повинні брати участь у вирішенні питань, що

належать до сфери їх відповідальності.

 

               5.2. Аналіз ресурсів СУІБ

       та бізнес-процесів / банківських продуктів

 

Аналіз ресурсів СУІБ та бізнес-процесів / банківських

продуктів виконується на основі даних, які були отримані та

систематизовані на етапі опису існуючої інфраструктури та заходів

безпеки (див. розділ 4). На цьому етапі рекомендується розглянути

критичні бізнес-процеси / банківські продукти / програмно-технічні

комплекси, які були визначені та описані раніше, з точки зору

інформаційної безпеки та можливих втрат у разі порушень

інформаційної безпеки. Цей аналіз виконується тільки на якісному

рівні, але дозволить в подальшому більш докладно виконати оцінку

ризиків та визначити план оброблення ризиків. Для кожного

бізнес-процесу / банківського продукту / програмно-технічного

комплексу необхідно розглянути наскільки виконуються та як можуть

впливати на бізнес основні сервіси інформаційної безпеки:

цілісність, конфіденційність, доступність та спостережність. Такий

аналіз повинен виконуватися власниками   бізнес-процесів /

банківських продуктів / програмно-технічних комплексів разом з

фахівцями з питань інформаційної безпеки.

Нагадаємо визначення термінів основних сервісів інформаційної

безпеки:

конфіденційність (confidentiality) - властивість інформації,

яка полягає в тому, що інформація не може бути отримана

неавторизованим користувачем і/або процесом;

цілісність (integrity) - властивість інформації, яка полягає

в тому, що інформація не може бути модифікована неавторизованим

користувачем і/або процесом. Цілісність системи (system

integrity) - властивість системи, яка полягає в тому, що жоден її

компонент не може бути усунений, модифікований або доданий з

порушенням політики безпеки;

доступність (availability) - властивість ресурсу системи, яка

полягає в тому, що користувач і/або процес, який володіє

відповідними повноваженнями, може використовувати ресурс

відповідно до правил, встановлених політикою безпеки, не очікуючи

довше заданого (малого) проміжку часу, тобто коли він знаходиться

у вигляді, необхідному користувачеві, в місці, необхідному

користувачеві, і в той час, коли він йому необхідний;

спостережність (accountability) - властивість системи, що

дозволяє фіксувати діяльність користувачів і процесів,

використання пасивних об'єктів, а також однозначно установлювати

ідентифікатори причетних до певних подій користувачів і процесів з

метою запобігання порушення політики безпеки і/або забезпечення

відповідальності за певні дії.

Слід зазначити, що для різних бізнес-процесів / банківських

продуктів можуть бути виявлені однакові ризики втрати основних

сервісів безпеки, що буде свідчити про те, що певним питанням

інформаційної безпеки не приділяється необхідної уваги. У такому

випадку рекомендується вирішувати питання зменшення ризиків

однаково для всіх бізнес-процесів / банківських продуктів банку.

Однак, найбільш поширеним випадком буде наявність в різних

бізнес-процесах / банківських продуктах різних за рівнем небезпеки

питань, які потребують впровадження конкретних заходів безпеки для

конкретного бізнес-процесу / банківського продукту.

Тому докладна оцінка ризиків не може бути загальною для банку

в цілому та потребує розгляду як загальних для банку питань, так і

конкретних питань для кожного бізнес-процесу / банківського

продукту. Крім того, особливу увагу слід приділити розгляду обміну

інформацією між різними бізнес-процесами / банківськими

продуктами / програмно-технічними комплексами.

Після виконання такого аналізу з точки зору впливу порушень

інформаційної безпеки на бізнес-процеси / банківські продукти /

програмно-технічні комплекси можна переходити до більш докладної

оцінки ризиків інформаційної безпеки.

 

       5.3. Ідентифікація загроз та вразливостей

 

Загрози потенційно можуть завдати шкоди ресурсам СУІБ,

зокрема інформації, персоналу, клієнтам, обладнанню, процесам і

програмно-технічним комплексам, бізнес-процесам / банківським

продуктам і, відповідно, банку. Загрози можуть мати природні та

людські джерела і можуть бути випадковими або навмисними. Повинні

бути ідентифіковані як випадкові, так і навмисні джерела загроз.

Загрози можуть бути ідентифіковані в загальному вигляді або за

типами (наприклад, неавторизовані дії, фізичне пошкодження,

технічні пошкодження тощо).

Деякі загрози можуть впливати на декілька ресурсів СУІБ. У

такому випадку вони можуть викликати різний вплив на різні

ресурси.

До ідентифікації загроз необхідно залучати власників

бізнес-процесів/банківських продуктів та користувачів, підрозділи

управління персоналом та фізичної безпекою, спеціалістів з

інформаційної безпеки, юридичні підрозділи тощо.

Приклади загроз наведені у додатку 1. Цей перелік не є

вичерпаним і повинен доповнюватися в залежності від ситуації в

банку, технологій, що використовуються, організаційної структури,

процедур тощо.

Вразливості, які можуть бути використані загрозами для впливу

на ресурси СУІБ / бізнес-процеси / банківські продукти, також

повинні бути ретельно розглянути та ідентифіковані.

Вразливості можуть бути ідентифіковані в таких областях:

- банк у цілому;

- процеси та процедури;

- системи управління;

- персонал;

- фізичне середовище;

- конфігурація програмно-технічних комплексів, обладнання,

програмне забезпечення або телекомунікаційне обладнання;

- залежність від зовнішніх організацій.

Наявність вразливостей не може впливати на ресурси та

бізнес-процеси / банківські продукти самостійно, оскільки має бути

наявна загроза, яка буде використовувати ці вразливості. Для

вразливості, якій не відповідає відповідна загроза, не потрібно

впровадження заходів безпеки, але вона повинна бути ідентифікована

та відслідковуватися під час внесення будь-яких змін, які

пов'язані з цим ресурсом СУІБ і бізнес-процесом / банківським

продуктом.

Некоректно запроваджені чи недієві заходи безпеки є одним з

видів вразливостей.

Вразливості можуть бути пов'язаними із властивостями ресурсу

СУІБ.

Приклади вразливостей наведені у додатку 2. Цей перелік не є

вичерпаним і повинен доповнюватися в залежності від ситуації в

банку, технологій, що використовуються, організаційної структури,

процедур тощо.

Для виявлення вразливостей в залежності від критичності

інформації та бізнес-процесу / банківського продукту, а також від

інформаційно-телекомунікаційних    технологій     можуть

використовуватися різні проактивні методи тестування. Такі методи

тестування включають:

- спеціальний автоматичний інструментарій для сканування

вразливостей;

- тестування та оцінку безпеки;

- тести на проникнення;

- перегляд коду програмно-технічних комплексів;

- аналіз відомих порушень безпеки;

- аналіз відомих вразливостей (наприклад, операційних систем,

баз даних, телекомунікаційних технологій та протоколів тощо).

Такі методи допоможуть ідентифікувати вразливості.

Слід зазначити, що іноді ці методи можуть надавати інформацію

про вразливості, які не представляють реальної загрози. Тому

необхідно чітко задавати параметри програмно-технічних комплексів

та їх конфігурацію для тестування.

 

     5.4. Ідентифікація наслідків реалізації загроз

 

Наслідками реалізації загроз можуть бути втрати ефективності,

бізнес-процесів, зниження репутації тощо. Необхідно проаналізувати

негативні наслідки для банку, які можуть виникати якщо

ідентифіковані загрози будуть використовувати відповідні

вразливості або набір вразливостей і призведуть до інциденту

інформаційної безпеки. Такий інцидент інформаційної безпеки може

впливати на один або більше ресурсів СУІБ / бізнес-процес /

банківський продукт. Таким чином, ресурсам СУІБ можуть бути

приписані значення їх фінансової вартості, а також бізнес

наслідків, якщо ці ресурси будуть пошкоджені або скомпрометовані.

 

                       

Оцінка ризиків