Гармонизация стандартов информационной безопасности в кредитно-финансовой сфере (20.01.2006) Овчинников В.В., научный руководитель Комиссии Совета Федерации ФС РФ, д.т.н., д.э.н., профессор |
Информационная безопасность определяется исходя из стратегической цели развития кредитных учреждений и других финансовых институтов. В ближайшей перспективе стратегической целью развития рынка услуг в кредитно-финансовой сфере России остается встраивание процессов российских кредитных и иных финансовых учреждений в мировой рынок финансовых услуг. Частично это происходит уже сейчас, но только в рамках отдельных продуктов и отдельных крупных по российским меркам банков. Те, кто это осуществляет, вынуждены применять те стандарты своей деятельности, которые не противоречат стандартам, применяемым в практике их иностранных партнеров, особенно в области кредитных рисков. Кредитные риски по-прежнему остаются основными рисками банковского бизнеса в России и превалируют над рисками информационной безопасности. В связи с этим основной задачей в кредитно-финансовой сфере остается применение тех стандартов, которые обеспечивают наращивание достаточного собственного капитала из собственных и внешних источников, а также совершенствование менеджмента рисков российских банков для успешной конкуренции на мировом рынке финансовых услуг с крупными, продвинутыми в модельном и технологическом смыслах, авторитетными в мире финансовыми институтами. Большинство наиболее развитых мировых кредитно-финансовых рыночных институтов закладывает в свои стратегии ускоренный переход в течение 2-3 лет на стандарты БАЗЕЛЬ-2, а в ближайшие 5-7 лет освоение и следующего поколения стандартов БАЗЕЛЬ-3. Одним из главных требований этих стандартов является сочетание эффективности методов снижения рисков и совершенствования информационной безопасности, связанной с этими рисками. Информационная безопасность в этом случае приобретает глобальный характер, на первое место выходят вопросы совместимости и качества стандартов информационной безопасности. Это связано с тем, что используемые на глобальных финансовых рынках национальные и международные технические регламенты и стандарты качества информационной безопасности для различных продуктов в кредитно-финансовой сфере должны быть гармонизированы с международными стандартами ISO (ИСО), ориентирующимися на мировые достижения (world best practice). Это одно из основных требований стандартов БАЗЕЛЬ-2 и 3. Стандарты информационной безопасности должны основываться на иных технологиях менеджмента, обеспечивающих возможность встраивания в общемировые процессы банковского субподряда, техническое регулирование финансовых рисков гражданской и профессиональной ответственности финансового бизнеса перед обществом, гармонизации процессов поставки и потребления финансовых ресурсов с целью роста конкурентоспособности банковских продуктов, управленческих, основных и вспомогательных процессов защиты информации от несанкционированного доступа, роста компетентности в вопросах обеспечения информационной безопасности, а также гармонизации стандартов качества информационной безопасности со стандартами качества менеджмента. Что это значит? Прежде всего, это освоение нового класса технологий управления безопасностью банковского бизнеса, устраняющих противоречие между локальным характером многочисленных корпоративных стандартов безопасности и их совместимостью в глобальной экономике, в которую они уже помещены. Такое освоение становится возможным при условии использования стратегической модели. Данная модель основана на использовании различных локальных стандартов безопасности на каждом из 7-ми уровней управления рисками и полностью согласована с эталонной моделью стандарта БАЗЕЛЬ-2 и 3. Все локальные стандарты гармонизированы с основным стандартом менеджмента качества услуг ИСО 9001:2000. Гармонизация происходит с помощью единых стандартов использования результатов процессов производства различных банковских продуктов. Глобальные многоязычные корпоративные стандарты банковской системы TOPAS KKS 001, SKS 001, KKS 002/ 1, разработанные и используемые швейцарскими и многими иностранными банками на глобальном рынке финансовых услуг, фактически представляют собой совокупность требований по форме представления и защиты результатов процессов. Пример такого представления изображен в виде стандарта отображения отчетности и внесенных изменений международного корпоративного банковского стандарта ZRG 001. Результат каждого процесса в стандарте защищается от несанкционированного доступа с помощью многоуровневого 12-тизначного пароля и шифруется в той последовательности, в какой этот результат помещается на экране. Кроме этого свои методы защиты могут осуществляться по желанию кредитного учреждения на уровне кодовых таблиц, описывающих алгоритмы самих процессов реализации банковских продуктов. В результатах этих процессов на всех уровнях должны быть гармонизированы стандарты электронной цифровой подписи. В ряде случаев это достигается введением специального регламента проверки подписи и права на эту подпись. На первом уровне BACK OFFICE банка реализует функции использования глобальных финансовых телекоммуникаций с целью встраивания в общемировые процессы покупки или продажи ценных бумаг на мировых биржах, финансовых трансфертов или платежей по поручению своих клиентов. Здесь доминируют стандарты шифрования сообщений, принятые и сертифицированные как международные такими глобальными организациями, как SWIFT и INTERSETTLE. Эти стандарты не противоречат основным положениям стандарта ИСО/МЭК 15048, но постепенно приобретают свой официальный статус благодаря усилиям рабочей группы ПК 6 "Розничные финансовые услуги" в составе ИСО/ТК 68. Все стандарты SWIFT и INTERSETTLE гармонизированы со стандартом ИСО 9001:2000. На втором уровне производится контроль за выполнением стандартов на первом уровне и применяются стандарты надзора за правильностью заполнения платежных документов и документов, сопровождающих транзакции с ценными бумагами на глобальном фондовом рынке. Эти стандарты также предусматривают применение защитных мер для предотвращения несанкционированного внесения изменений в документы с помощью автоматических механизмов сверки документов и соответствующих им проводок в Главной бухгалтерской книге. Большинство подобных стандартов носит корпоративный характер и принято мировым сообществом как стандарты де-факто. Но все эти стандарты гармонизированы со стандартом ИСО 9001:2000. На третьем уровне модели действуют стандарты безопасности внутрибанковской системы для таких продуктов, как кредитное бюро или информационная база данных клиентов, кассовые транзакции, платежные транзакции, информация о счетах клиентов, оформление, обслуживание и возврат долгосрочных кредитов (ипотека), управление кредитными рисками в соответствии с требованиями стандарта БАЗЕЛЬ-2, финансовые трансферты на глобальном валютном рынке, а также депозиты и биржевые операции с ценными бумагами на глобальном фондовом рынке. Здесь доминируют такие стандарты, как ИСО 9564-1 "Банковское дело. Управление PIN и его безопасность". Часть 1 "Высокая степень обнаружения несанкционированного доступа к PIN", ИСО 9564-2 "Алгоритм для шифрования", ИСО 9564-3 "Требования к обращению с банкоматом", ИСО 9564-4 "Открытие сети банкоматов" и так далее. На четвертом уровне модели сосредоточены функции ведения общих баз данных различных Агентств по сбору информации о клиентах, их платежеспособности и благополучии их бизнеса. Такие Агентства обязывают своих клиентов хранить конфиденциальные данные и не предоставлять их добровольно или в ином порядке другим клиентам. Данные закрываются от несанкционированного доступа в соответствии с требованиями стандартов, разработанных Агентствами. Но все эти стандарты должны быть совместимы между собой на основе гармонизации с требованиями стандарта ИСО 9001:2000. На пятом уровне модели производится защита различных категорий платежных документов одного банка, направляемых другому или группе других банков с помощью стандартов, совместимых с требованиями ИСО 9001:2000. Здесь имеет место также требование совместимости стандартов защиты платежей со стандартами на первом и втором уровнях с минимальными издержками и рисками. На шестом уровне производится интеграция стандартов микроэкономических систем, применяемых для разработки стратегии снижения рисков банка при проведении операций на глобальном фондовом и валютном рынках. Здесь каждый банк разрабатывает свои собственные стандарты, снижающие издержки и риски доступа на мировые рынки. На седьмом уровне содержатся результаты процессов анализа стратегии развития банка в данной макроэкономической обстановке. С подобной информацией работают аналитики, и результаты их работы должны охраняться от несанкционированного доступа с особой тщательностью. Здесь применяют свои собственные корпоративные стандарты, но с условием их гармонизации с системным стандартом ИСО 9001:2000. Только в этом случае можно получить нужные банку результаты по анализу стратегической обстановки на финансовых рынках. Таким образом, концепция гармонизации системы безопасности кредитно-финансовых учреждений должна учитывать сложившуюся на глобальном рынке модель, приведенную на рис. 1 и описанную выше. Только с учетом реализации вышеперечисленных функций на 7-ми уровнях можно добиться успехов в конкуренции на мировых финансовых рынках. Отсюда следует то, что необходимо создавать системы защиты и информационной безопасности с учетом требований стандартов каждого из уровней модели. Если на одном уровне будет осуществлена прекрасная защита от несанкционированного доступа, а на другом подобная защита не будет осуществлена соответствующим образом, то неизбежно возникают две проблемы, требующие решения. Первая проблема заключена в несовместимости стандартов безопасности, что приводит с росту издержек и рисков обеих сторон. Вторая проблема заключена в бесполезности самых лучших систем безопасности на одном из уровней, если должным образом не защищены другие уровни. При этом нужно учитывать, что использование на каждом уровне модели программных продуктов, отвечающих требованиям международных стандартов ИСО/МЭК 15408 и CMM (Capability Maturity Model) вовсе не означает завершения строительства надежной информационной безопасности банка. Это служит только началом работы в данной области и для завершения её нужно гармонизировать все вышеупомянутые корпоративные стандарты с основополагающим стандартом ИСО 9001:2000. Особое внимание следует уделить качеству перевода терминологии международных стандартов. Так, стандарты ИСО/МЭК 15048 и ИСО 9001:2000 страдают множеством неточностей в русскоязычной версии ГОСТа и поэтому не могут признаваться юридически полноценными документами, признаваемыми международными судами. К этому следует добавить то, что система информационной безопасности должна быть сертифицирована не только на соответствие требованиям корпоративных стандартов на каждом уровне модели на рис.1, но и на соответствие всех применяемых корпоративных стандартов требованиям гармонизации со стандартом ИСО 9001:2000. |