浅谈俄罗斯银行信息安全体系的建立

2014-03-20张寒坤

网络安全技术与应用 2014年8期

张寒坤

（广州赛宝认证中心服务有限公司广东 510610）

0 引言

随着科技的迅速发展，银行系统面临着越来越多的安全威胁，如网络诈骗，病毒感染，黑客入侵，系统瘫痪等等。同时金融机构对信息资源的高度依赖，公共网络与信息的共享加剧了组织的脆弱性。由于俄罗斯许多银行现有的信息系统在当初构建时没有设置必要的安全等级，信息安全的保障往往有限。因此，建立完整的信息安全体系对于当今银行行业是必不可少的。信息安全体系的建立涉及到技术层面，如采用安全设备：使用防火墙、杀毒软件、防垃圾邮件系统，安全监控系统，安全扫描技术等；此外还关联到组织的管理。信息安全体系的建立可减小信息安全的威胁，降低组织风险成本。

1 俄罗斯银行业现状

银行系统的内部威胁与网上银行诈骗现已成为俄罗斯银行行业信息安全方面最突出的问题。银行员工具有访问大量机密信息的权限，有意或无意的泄漏会给银行带来不可预知的财务风险和声誉的损害；与网上银行诈骗有关的风险，主要存在于银行的远程客服系统与在线支付系统，黑客针对上述系统的攻击活动在不断增多。为了解决以上问题，俄罗斯中央银行在2010年颁布了新的《俄罗斯联邦银行组织信息安全保障准则》，对银行的信息安全体系做了进一步规范。

2 俄罗斯银行信息安全管理体系（ISMS）建立的准则

《俄罗斯联邦银行组织体系信息安全保障准则》总则（STO BR IBBS -1.0- 2010，以下简称俄罗斯银行标准，于2010年6月颁布生效，取代了STO BR IBBS - 1.0 -2008标准），该标准是俄罗斯中央银行建立信息安全体系准则的依据。

俄罗斯银行标准参照ISO/ IEC 27001国际标准制定了俄罗斯联邦银行系统信息安全管理体系（ISMS），该体系是银行组织管理体系的一部分。

此标准包含9个章节，核心内容为第5章“俄罗斯联邦银行系统的信息安全组织原始概念框架”。其主旨思想为：银行的ISMS 应在信息资产拥有者的不断努力下，以识别恶意行为、预防威胁为目标。

根据俄罗斯银行标准规定，应使用过程管理方法建立银行信息安全体系。有关信息安全的过程管理方法-这是以组织的过程系统结合验证，分类，管理的形式保护信息安全的活动。根据俄罗斯银行标准，银行信息安全的过程管理方法需达到以下要求：

●在对信息安全概念及业务理解的基础上制定信息安全目标和控制措施；

●在组织业务风险管理的环境下实施适当的保护措施（信息安全管理介质）；

●对ISMS 的效果实施监视和评审；

●在客观评审的基础上保持和改进ISMS。

为保护银行系统的信息安全，俄罗斯银行标准的建立基于以下基本原则：

●及时发现问题；

●不断提升对问题的可预见性；

●评估业务目标出现问题后所带来的影响；

●建立完善的保护措施；

●确保保护措施实施的有效性；

●借助经验实施措施；

●确保安全保护功能执行的连续性；

●确保保护措施具有充分的可调控性。

俄罗斯银行标准被看做是专业的银行信息安全保护准则，旨在提高组织信息安全管理成熟度等级，以下为补充的标准准则：

●了解组织内员工与客户，划分其角色与职责；

●确定角色对应职责与流程以及他们与标准的符合性，对系统进行评估；

●银行系统设备，客户服务和合作伙伴在规定时间内的有效性在相关文档（协议）中需说明；

●确保信息安全保护的可观察性和可评测性。

ISMS的基本文件是信息安全的主要指导方针。在这份文件里应描述ISMS的目标与任务，并制定措施，银行组织在其业务范围内应遵守基于信息安全范围的要求和指导方针。信息安全的方针应包含以下几个方面：

●分配员工职责角色，对其予以充分信任；

●确定银行系统的生命周期阶段；

●管理员工与用户对银行资产的访问；

●构建防病毒保护环境；

●使用互联网资源；

●构建信息加密保护环境；

●银行支付/信息处理过程管理。

3 ISMS的建立

俄罗斯银行系统ISMS的建立包含四个阶段。

第一阶段确定ISMS范围

此阶段需要确定风险评估的方法；完成信息安全风险的分析与评估，针对组织的业务流程与重要的信息资产确定风险处理方案；确定ISMS实施措施；根据必要的保护措施确定信息安全体系实施的目标；确定ISMS的建立和改善方案。

第二阶段实施建立ISMS计划

此阶段需要管理劳动力资源；实施对员工关于信息安全方面的的培训（此步骤尤为重要）；检测对安全事故发生的响应程度；确保业务在发生事故中断后的恢复性与连续性。业务的连续性保障应响应ISO/IEC 17799第14条的要求。

第三阶段实施监控和控制保护措施，

此阶段需要记录有关ISMS的行为和事件；实施ISMS有效性分析，ISMS内部审核，ISMS高层管理人员的考核；定期进行ISMS外部审计。

第四阶段系统的改进

此阶段需要从组织的战略角度上进行ISMS优化；要告知相关人员（客户，组织，合作伙伴）关于ISMS所有的变动和协调措施；评估已实现的目标与ISMS进一步发展的需求。

4 俄罗斯银行ISMS与萨班斯-奥克斯利法案、巴塞尔协议Ⅱ

俄罗斯银行标准含有大量的规范性引用条文。特别要指出的是，它融合了IT安全管理标准的基本要求（ISO 13335，17799，27001），规定了银行系统自动化生命周期和在ISO / IEC 15408框架下信息安全评估准则，该标准采用了英国风险评估方法CRAMM的部分准则。

俄罗斯银行标准与美国《萨班斯-奥克斯利法案》404条款在关于内部环境监控这一点上产生了关联交集。因为，根据俄罗斯银行标准第 5.10章节规定，“凡是在银行业务流程中使用设备的员工与业务系统产生相互影响的节点，应仔细监控”，该准则与《萨班斯 - 奥克斯利法案》的要求相符合。

另外一条重要的与俄罗斯银行信息安全有关的国际性公约为《巴塞尔协议Ⅱ》，该协议规定金融机构必须清算信用风险，市场风险和操作风险，以确保银行充足的储备面对抵偿。巴塞尔协议II的一个重要特征是操作风险的清算要求，其被定义为“在组织内部，由于工作人员（或）系统的缺陷或失误（事故）或外部事件造成损失的风险”。根据此规定，操作风险主要归结为银行员工的行为（如身份盗窃，欺诈，疏忽等等）和计算机威胁（如非法访问，电脑病毒等等）。

IT安全威胁不仅仅是信息安全不可或缺的一部分，也是银行操作风险重要组成部分。因此俄罗斯银行标准规定要最大限度地减少IT安全风险，使银行能够建立起有效的操作风险管理体系。此外，俄罗斯银行标准规定，在今后银行体系改进的过程中要依照巴塞尔协议的要求，将过程流程简化，降低成本。

除了以上所述，还有一则鼓励实施的俄罗斯银行标准-银行声誉保护准则。事实上，处理任何IT风险都会对组织的金融方面的声誉带来影响，对其客户群带来负面的影响。银行声誉的保护在两个方面进行：预防银行员工由于错误或非法的操作而可能会造成的银行声誉的损害（内部威胁）；查处传播对银行声誉有关的虚假信息（外部威胁），并对传播机构或个人要求赔偿。俄罗斯大部分银行（超过78%）赞成使用该标准。