張寒坤

（廣州賽寶認證中心服務有限公司 廣東 510610）

0 引言

隨著科技的迅速發(fā)展，銀行系統(tǒng)面臨著越來越多的安全威脅，如網(wǎng)絡詐騙，病毒感染，黑客入侵，系統(tǒng)癱瘓等等。同時金融機構(gòu)對信息資源的高度依賴，公共網(wǎng)絡與信息的共享加劇了組織的脆弱性。由于俄羅斯許多銀行現(xiàn)有的信息系統(tǒng)在當初構(gòu)建時沒有設置必要的安全等級，信息安全的保障往往有限。因此，建立完整的信息安全體系對于當今銀行行業(yè)是必不可少的。信息安全體系的建立涉及到技術(shù)層面，如采用安全設備：使用防火墻、殺毒軟件、防垃圾郵件系統(tǒng)，安全監(jiān)控系統(tǒng)，安全掃描技術(shù)等；此外還關(guān)聯(lián)到組織的管理。信息安全體系的建立可減小信息安全的威脅，降低組織風險成本。

1 俄羅斯銀行業(yè)現(xiàn)狀

銀行系統(tǒng)的內(nèi)部威脅與網(wǎng)上銀行詐騙現(xiàn)已成為俄羅斯銀行行業(yè)信息安全方面最突出的問題。銀行員工具有訪問大量機密信息的權(quán)限，有意或無意的泄漏會給銀行帶來不可預知的財務風險和聲譽的損害；與網(wǎng)上銀行詐騙有關(guān)的風險，主要存在于銀行的遠程客服系統(tǒng)與在線支付系統(tǒng)，黑客針對上述系統(tǒng)的攻擊活動在不斷增多。為了解決以上問題，俄羅斯中央銀行在2010年頒布了新的《俄羅斯聯(lián)邦銀行組織信息安全保障準則》，對銀行的信息安全體系做了進一步規(guī)范。

2 俄羅斯銀行信息安全管理體系（ISMS）建立的準則

《俄羅斯聯(lián)邦銀行組織體系信息安全保障準則》總則（STO BR IBBS -1.0- 2010，以下簡稱俄羅斯銀行標準，于2010年6月頒布生效，取代了STO BR IBBS - 1.0 -2008標準），該標準是俄羅斯中央銀行建立信息安全體系準則的依據(jù)。

俄羅斯銀行標準參照ISO/ IEC 27001國際標準制定了俄羅斯聯(lián)邦銀行系統(tǒng)信息安全管理體系（ISMS），該體系是銀行組織管理體系的一部分。

此標準包含9個章節(jié)，核心內(nèi)容為第5章“俄羅斯聯(lián)邦銀行系統(tǒng)的信息安全組織原始概念框架”。其主旨思想為：銀行的ISMS 應在信息資產(chǎn)擁有者的不斷努力下，以識別惡意行為、預防威脅為目標。

根據(jù)俄羅斯銀行標準規(guī)定，應使用過程管理方法建立銀行信息安全體系。有關(guān)信息安全的過程管理方法-這是以組織的過程系統(tǒng)結(jié)合驗證，分類，管理的形式保護信息安全的活動。根據(jù)俄羅斯銀行標準，銀行信息安全的過程管理方法需達到以下要求：

●在對信息安全概念及業(yè)務理解的基礎(chǔ)上制定信息安全目標和控制措施；

●在組織業(yè)務風險管理的環(huán)境下實施適當?shù)谋Ｗo措施（信息安全管理介質(zhì)）；

●對ISMS 的效果實施監(jiān)視和評審；

●在客觀評審的基礎(chǔ)上保持和改進ISMS。

為保護銀行系統(tǒng)的信息安全，俄羅斯銀行標準的建立基于以下基本原則：

●及時發(fā)現(xiàn)問題；

●不斷提升對問題的可預見性；

●評估業(yè)務目標出現(xiàn)問題后所帶來的影響；

●建立完善的保護措施；

●確保保護措施實施的有效性；

●借助經(jīng)驗實施措施；

●確保安全保護功能執(zhí)行的連續(xù)性；

●確保保護措施具有充分的可調(diào)控性。

俄羅斯銀行標準被看做是專業(yè)的銀行信息安全保護準則，旨在提高組織信息安全管理成熟度等級，以下為補充的標準準則：

●了解組織內(nèi)員工與客戶，劃分其角色與職責；

●確定角色對應職責與流程以及他們與標準的符合性，對系統(tǒng)進行評估；

●銀行系統(tǒng)設備，客戶服務和合作伙伴在規(guī)定時間內(nèi)的有效性在相關(guān)文檔（協(xié)議）中需說明；

●確保信息安全保護的可觀察性和可評測性。

ISMS的基本文件是信息安全的主要指導方針。在這份文件里應描述ISMS的目標與任務，并制定措施，銀行組織在其業(yè)務范圍內(nèi)應遵守基于信息安全范圍的要求和指導方針。信息安全的方針應包含以下幾個方面：

●分配員工職責角色，對其予以充分信任；

●確定銀行系統(tǒng)的生命周期階段；

●管理員工與用戶對銀行資產(chǎn)的訪問；

●構(gòu)建防病毒保護環(huán)境；

●使用互聯(lián)網(wǎng)資源；

●構(gòu)建信息加密保護環(huán)境；

●銀行支付/信息處理過程管理。

3 ISMS的建立

俄羅斯銀行系統(tǒng)ISMS的建立包含四個階段。

第一階段 確定ISMS范圍

此階段需要確定風險評估的方法；完成信息安全風險的分析與評估，針對組織的業(yè)務流程與重要的信息資產(chǎn)確定風險處理方案；確定ISMS實施措施；根據(jù)必要的保護措施確定信息安全體系實施的目標；確定ISMS的建立和改善方案。

第二階段 實施建立ISMS計劃

此階段需要管理勞動力資源；實施對員工關(guān)于信息安全方面的的培訓（此步驟尤為重要）；檢測對安全事故發(fā)生的響應程度；確保業(yè)務在發(fā)生事故中斷后的恢復性與連續(xù)性。業(yè)務的連續(xù)性保障應響應ISO/IEC 17799第14條的要求。

第三階段 實施監(jiān)控和控制保護措施，

此階段需要記錄有關(guān)ISMS的行為和事件；實施ISMS有效性分析，ISMS內(nèi)部審核，ISMS高層管理人員的考核；定期進行ISMS外部審計。

第四階段 系統(tǒng)的改進

此階段需要從組織的戰(zhàn)略角度上進行ISMS優(yōu)化；要告知相關(guān)人員（客戶，組織，合作伙伴）關(guān)于ISMS所有的變動和協(xié)調(diào)措施；評估已實現(xiàn)的目標與ISMS進一步發(fā)展的需求。

4 俄羅斯銀行ISMS與薩班斯-奧克斯利法案、巴塞爾協(xié)議Ⅱ

俄羅斯銀行標準含有大量的規(guī)范性引用條文。特別要指出的是，它融合了IT安全管理標準的基本要求（ISO 13335，17799，27001），規(guī)定了銀行系統(tǒng)自動化生命周期和在ISO / IEC 15408框架下信息安全評估準則，該標準采用了英國風險評估方法CRAMM的部分準則。

俄羅斯銀行標準與美國《薩班斯-奧克斯利法案》404條款在關(guān)于內(nèi)部環(huán)境監(jiān)控這一點上產(chǎn)生了關(guān)聯(lián)交集。因為，根據(jù)俄羅斯銀行標準第 5.10章節(jié)規(guī)定，“凡是在銀行業(yè)務流程中使用設備的員工與業(yè)務系統(tǒng)產(chǎn)生相互影響的節(jié)點，應仔細監(jiān)控”，該準則與《薩班斯 - 奧克斯利法案》的要求相符合。

另外一條重要的與俄羅斯銀行信息安全有關(guān)的國際性公約為《巴塞爾協(xié)議Ⅱ》，該協(xié)議規(guī)定金融機構(gòu)必須清算信用風險，市場風險和操作風險，以確保銀行充足的儲備面對抵償。巴塞爾協(xié)議II的一個重要特征是操作風險的清算要求，其被定義為“在組織內(nèi)部，由于工作人員（或）系統(tǒng)的缺陷或失誤（事故）或外部事件造成損失的風險”。根據(jù)此規(guī)定，操作風險主要歸結(jié)為銀行員工的行為（如身份盜竊，欺詐，疏忽等等）和計算機威脅（如非法訪問，電腦病毒等等）。

IT安全威脅不僅僅是信息安全不可或缺的一部分，也是銀行操作風險重要組成部分。因此俄羅斯銀行標準規(guī)定要最大限度地減少IT安全風險，使銀行能夠建立起有效的操作風險管理體系。此外，俄羅斯銀行標準規(guī)定，在今后銀行體系改進的過程中要依照巴塞爾協(xié)議的要求，將過程流程簡化，降低成本。

除了以上所述，還有一則鼓勵實施的俄羅斯銀行標準-銀行聲譽保護準則。事實上，處理任何IT風險都會對組織的金融方面的聲譽帶來影響，對其客戶群帶來負面的影響。銀行聲譽的保護在兩個方面進行：預防銀行員工由于錯誤或非法的操作而可能會造成的銀行聲譽的損害（內(nèi)部威脅）；查處傳播對銀行聲譽有關(guān)的虛假信息（外部威脅），并對傳播機構(gòu)或個人要求賠償。俄羅斯大部分銀行（超過78%）贊成使用該標準。

5 信息安全管理成熟度等級

為了評估 ISMS成熟度，俄羅斯銀行標準采用一種基于COBIT標準的通用過程成熟度模型。

該模型分為6個等級。

第0級 特點表現(xiàn)為在組織里不存在任何信息安全管理過程；

第1級（初始級）特點表現(xiàn)為組織存在文件方面的記錄證據(jù)表明存在信息安全問題，然而使用信息安全管理過程并不是十分規(guī)范，使用方式為非系統(tǒng)性非長期性。通用的信息安全管理方法并沒有制定；

第2級（重復級）特點表現(xiàn)為由信息安全管理體系的構(gòu)思設計上升到信息安全過程可重復周期性運作的程度。然而關(guān)于過程的標準缺乏定期培訓，其實施的責任在于執(zhí)行人員。

第3級（定義級）特點表現(xiàn)為組織通過培訓，信息安全管理過程標準化，記錄化并傳達給員工。然而使用的過程并不是最優(yōu)化，完成的順序由員工酌情選擇，與操作規(guī)程存在可能偏差。

第4級（管理級）特點表現(xiàn)為在良好實踐的基礎(chǔ)上，開展信息安全管理過程的監(jiān)控與評估，使其處在不斷改進的狀態(tài)。然而信息安全管理的自動化環(huán)境是在銀行系統(tǒng)內(nèi)有限的范圍里。

第5級（優(yōu)化級）特點表現(xiàn)為由信息安全管理過程的構(gòu)思設計上升到基于持續(xù)改進并與其他組織成熟度結(jié)果比較而得出的最佳實踐的程度。因此，組織能迅速適應環(huán)境和業(yè)務的變化。

6 俄羅斯銀行標準使用的軟件評測工具

為了達到俄羅斯銀行標準關(guān)于過程評測的要求，俄羅斯銀行體系使用以下符合STO BR IBBS -1.0組織信息安全要求的系統(tǒng)評測工具：

Bank Security Assessment Tool（BSAT），用于針對俄羅斯銀行標準組織的信息安全要求匹配度的評測軟件。

軟件開發(fā)公司：LeetSoft，國家：俄羅斯

ISM Revision：Audit Manager，用于針對銀行審計和自我評估的管理軟件。

軟件開發(fā)公司：ISM SYSTEMS，國家：俄羅斯

MaxPartol，用于組織的安全審計管理軟件。

軟件開發(fā)公司：Positive Technologies，國家：俄羅斯

Estimate Tool，用于在信息安全范圍內(nèi)組織的文件監(jiān)控軟件。

軟件開發(fā)公司：Crystall，國家：俄羅斯

STO BR Auditor，用于針對俄羅斯銀行標準金融信貸組織的信息系統(tǒng)要求匹配度的評測軟件。

軟件開發(fā)公司：INLINE，國家：俄羅斯

7 結(jié)語

以采用俄羅斯銀行標準STO BR IBBS-1.0-2010并結(jié)合過程管理的方法可建立有效的銀行信息安全管理體系。我們從俄羅斯銀行信息安全管理體系的建立可得出以下兩點啟示：

1.在今后組織信息安全體系的建立及改進上，盡量使用國產(chǎn)化軟硬件設備，進一步減少對國外軟硬件技術(shù)的依賴，打破其壟斷地位，降低信息泄漏風險。

2.銀行信息安全管理體系的建立及風險管理的關(guān)鍵因素不是銀行的內(nèi)外部環(huán)境，而是員工本身。提高員工信息安全風險防范意識，可通過加強信息安全培訓，以理論知識結(jié)合實踐的方式，組織人員針對信息安全規(guī)章制度進行實際操作，在規(guī)范和流程上深入落實。

[1]Lavrushin O.I Меры защиты деловой репутации банка 2009.

[2]BS ISO/1EC 17799：2000.Информационные технологии -практические правила управления информационной безопас ностью.

[3]Стандарт Банка России СТО БР ИББО-1.0-2010 2010

[4]А.Dolia Стандарт，ориентированный на консолидацию 2006.

[5]Andrew Makosko，Peremyshlennikov Nicholas Управление рисками нарушения информационной безопасности в банка х，2013.

[6]Viktor Serdyuk Управление рисками информационной бе зопасности в банках：акценты года 2010.