Буду мелким шрифтом писать выдержки из положения, а крупным свои комментарии от имени ИБ банка.
3.1. Система внутреннего контроля кредитной организации должна включать следующие направления:
- контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности;
Как ни крути, кто-то в банке должен заниматься ИБ, а СВК должно контролировать подразделение ИБ.
3.3. Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков.
3.3.1. Контроль за функционированием системы управления банковскими рисками кредитная организация осуществляет на постоянной основе в порядке, установленном внутренними документами.
3.3.2. Оценка банковских рисков предусматривает выявление и анализ внутренних (сложность организационной структуры, уровень квалификации служащих, организационные изменения, текучесть кадров и т.д.) и внешних (изменение экономических условий деятельности кредитной организации, применяемые технологии и т.д.) факторов, оказывающих воздействие на деятельность кредитной организации.
В банковские риски входят следующие риски:
- Кредитный
- Рыночный
- Операционный
- Ликвидности
- Страновой
- Правовой
- Репутационный
- Стратегический
В общем и целом, ИТ и ИБ риски входят в категорию операционных рисков и поэтому должны нами обрабатываться.
Внутренними документами кредитной организации должен быть предусмотрен порядок информирования соответствующих руководителей о факторах, влияющих на повышение банковских рисков.
В документах по обработке рисков ИБ прописываем информирование подразделений банка о выявленных рисках.
3.3.3. Оценка банковских рисков в кредитной организации должна проводиться на консолидированной основе с учетом всех организаций, являющихся по отношению к ней дочерними или зависимыми.
Обработка рисков в банке должна быть для всех их видов, но имеем в виду, что риски ИБ это часть операционных рисков и поэтому мы должны их обрабатывать сами и возможно сообщать о них, тем кто занимается операционными рисками и тем, кто консолидирует все виды банковских рисков.
3.4.3. Кредитная организация должна установить порядок выявления и контроля за областями потенциального конфликта интересов, проверки должностных обязанностей служащих, занимающих должности, предусмотренные частью третьей статьи 11.1 Федерального закона "О банках и банковской деятельности", а также иных служащих кредитной организации, с тем, чтобы исключить возможность сокрытия ими противоправных действий. Прописываем в правилах ИБ для персонала о недопустимости конфликта интересов и если таковые могут быть, то пусть будет права та сторона, что более выгодна для бизнеса.
3.5. Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности.
Хорошо, что есть расшифровка понятия информационных потоков, в противном случае можно было бы притянуть за уши и мандатный принцип контроля доступа. Далее идет детализация этих требований.
3.5.1. Информация по направлениям деятельности кредитной организации должна быть своевременной, надежной, доступной и правильно оформленной. Информация состоит из сведений о деятельности кредитной организации и ее результатах, данных о соблюдении установленных требований нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации, а также из сведений о событиях и условиях, имеющих отношение к принятию решений. Форма представления информации должна быть определена с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной организации).
Мое мнение, что конфиденциальность нужна банкам больше на словах, чем на деле. В действительности банкам более важна доступность, так как простой ориентированных на клиентов сервисов часто соотносится с прямыми финансовыми убытками. Здесь и говорится о доступности, а также о производных свойствах информации: своевременности и надежности.
Порядок контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации с учетом положений данного и других подпунктов пункта 3.5 настоящего Положения и должен распространяться на все направления ее деятельности. Должны быть отдельные политики ИБ по процессам, ориентированным на клиентов.
3.5.2. Внутренний контроль за автоматизированными информационными системами и техническими средствами состоит из общего контроля и программного контроля.
Общий пункт, его разъяснения идут дальше.
3.5.3. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.
Это можно понимать как контроль доступности систем (ping), как контроль производительности систем (счетчики производительности), как контроль целостности систем и данных (хэш-функции), как протоколирование событий (логи). Сюда же использование кластеров (отказоустойчивых или с распределением нагрузки), сюда же резервирование по электропитанию и системы климат-контроля. Вообще, здесь широкое поле для творчества.
Общий контроль состоит из осуществляемых кредитной организацией процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа.
Делаем политики резервного копирования и восстановления данных. Должна быть техническая поддержка для всех важных подсистем банка. Физическая составляющая - это контроль доступа в здания и помещения банка, а также опечатка серверов и рабочих компьютеров.
3.5.4. Программный контроль осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т.п.).
Здесь можно смело рассуждать о двойном контроле, разделении обязанностей, разделении секретов и так далее.
3.5.5. Кредитная организация устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях.
НСД может быть осуществлен на любом уровне модели OSI, поэтому здесь можно говорить практически о чем угодно. Что касается распространения информации, то здесь можно говорить о DLP и о контроле потоков. Что касаемо использования конфиденциальной информации в личных целях, то это можно парировать и организационно, включив требования в правила для персонала.
3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.
Самое сложное, но зато интересное требование - должна быть политика по непрерывности бизнеса, а также регулярно тестируемый план действий в подобных ситуациях. Более чем уверен, что пока гром не грянет, банк не перекрестится. Для описания этого требования имеется даже отдельное приложение.
Приложение №2 также требует наличие политик ИБ, а также мер по непрерывности бизнеса.
Приложение №5 целиком посвящено мерам по обеспечению непрерывности бизнеса, но это уже совсем другая история…