淺談俄羅斯銀行信息安全體系的建立

張寒坤

（廣州賽寶認證中心服務有限公司 廣東 510610）

0 引言

隨著科技的迅速發展，銀行系統面臨著越來越多的安全威脅，如網絡詐騙，病毒感染，黑客入侵，系統癱瘓等等。同時金融機構對信息資源的高度依賴，公共網絡與信息的共享加劇了組織的脆弱性。由于俄羅斯許多銀行現有的信息系統在當初構建時沒有設置必要的安全等級，信息安全的保障往往有限。因此，建立完整的信息安全體系對于當今銀行行業是必不可少的。信息安全體系的建立涉及到技術層面，如采用安全設備：使用防火墻、殺毒軟件、防垃圾郵件系統，安全監控系統，安全掃描技術等；此外還關聯到組織的管理。信息安全體系的建立可減小信息安全的威脅，降低組織風險成本。

1 俄羅斯銀行業現狀

銀行系統的內部威脅與網上銀行詐騙現已成為俄羅斯銀行行業信息安全方面最突出的問題。銀行員工具有訪問大量機密信息的權限，有意或無意的泄漏會給銀行帶來不可預知的財務風險和聲譽的損害；與網上銀行詐騙有關的風險，主要存在于銀行的遠程客服系統與在線支付系統，黑客針對上述系統的攻擊活動在不斷增多。為了解決以上問題，俄羅斯中央銀行在2010年頒布了新的《俄羅斯聯邦銀行組織信息安全保障準則》，對銀行的信息安全體系做了進一步規范。

2 俄羅斯銀行信息安全管理體系（ISMS）建立的準則

《俄羅斯聯邦銀行組織體系信息安全保障準則》總則（STO BR IBBS -1.0- 2010，以下簡稱俄羅斯銀行標準，于2010年6月頒布生效，取代了STO BR IBBS - 1.0 -2008標準），該標準是俄羅斯中央銀行建立信息安全體系準則的依據。

俄羅斯銀行標準參照ISO/ IEC 27001國際標準制定了俄羅斯聯邦銀行系統信息安全管理體系（ISMS），該體系是銀行組織管理體系的一部分。

此標準包含9個章節，核心內容為第5章“俄羅斯聯邦銀行系統的信息安全組織原始概念框架”。其主旨思想為：銀行的ISMS 應在信息資產擁有者的不斷努力下，以識別惡意行為、預防威脅為目標。

根據俄羅斯銀行標準規定，應使用過程管理方法建立銀行信息安全體系。有關信息安全的過程管理方法-這是以組織的過程系統結合驗證，分類，管理的形式保護信息安全的活動。根據俄羅斯銀行標準，銀行信息安全的過程管理方法需達到以下要求：

●在對信息安全概念及業務理解的基礎上制定信息安全目標和控制措施；

●在組織業務風險管理的環境下實施適當的保護措施（信息安全管理介質）；

●對ISMS 的效果實施監視和評審；

●在客觀評審的基礎上保持和改進ISMS。

為保護銀行系統的信息安全，俄羅斯銀行標準的建立基于以下基本原則：

●及時發現問題；

●不斷提升對問題的可預見性；

●評估業務目標出現問題后所帶來的影響；

●建立完善的保護措施；

●確保保護措施實施的有效性；

●借助經驗實施措施；

●確保安全保護功能執行的連續性；

●確保保護措施具有充分的可調控性。

俄羅斯銀行標準被看做是專業的銀行信息安全保護準則，旨在提高組織信息安全管理成熟度等級，以下為補充的標準準則：

●了解組織內員工與客戶，劃分其角色與職責；

●確定角色對應職責與流程以及他們與標準的符合性，對系統進行評估；

●銀行系統設備，客戶服務和合作伙伴在規定時間內的有效性在相關文檔（協議）中需說明；

●確保信息安全保護的可觀察性和可評測性。

ISMS的基本文件是信息安全的主要指導方針。在這份文件里應描述ISMS的目標與任務，并制定措施，銀行組織在其業務范圍內應遵守基于信息安全范圍的要求和指導方針。信息安全的方針應包含以下幾個方面：

●分配員工職責角色，對其予以充分信任；

●確定銀行系統的生命周期階段；

●管理員工與用戶對銀行資產的訪問；

●構建防病毒保護環境；

●使用互聯網資源；

●構建信息加密保護環境；

●銀行支付/信息處理過程管理。

3 ISMS的建立

俄羅斯銀行系統ISMS的建立包含四個階段。

第一階段 確定ISMS范圍

此階段需要確定風險評估的方法；完成信息安全風險的分析與評估，針對組織的業務流程與重要的信息資產確定風險處理方案；確定ISMS實施措施；根據必要的保護措施確定信息安全體系實施的目標；確定ISMS的建立和改善方案。

第二階段 實施建立ISMS計劃

此階段需要管理勞動力資源；實施對員工關于信息安全方面的的培訓（此步驟尤為重要）；檢測對安全事故發生的響應程度；確保業務在發生事故中斷后的恢復性與連續性。業務的連續性保障應響應ISO/IEC 17799第14條的要求。

第三階段 實施監控和控制保護措施，

此階段需要記錄有關ISMS的行為和事件；實施ISMS有效性分析，ISMS內部審核，ISMS高層管理人員的考核；定期進行ISMS外部審計。

第四階段 系統的改進

此階段需要從組織的戰略角度上進行ISMS優化；要告知相關人員（客戶，組織，合作伙伴）關于ISMS所有的變動和協調措施；評估已實現的目標與ISMS進一步發展的需求。

4 俄羅斯銀行ISMS與薩班斯-奧克斯利法案、巴塞爾協議Ⅱ

俄羅斯銀行標準含有大量的規范性引用條文。特別要指出的是，它融合了IT安全管理標準的基本要求（ISO 13335，17799，27001），規定了銀行系統自動化生命周期和在ISO / IEC 15408框架下信息安全評估準則，該標準采用了英國風險評估方法CRAMM的部分準則。

俄羅斯銀行標準與美國《薩班斯-奧克斯利法案》404條款在關于內部環境監控這一點上產生了關聯交集。因為，根據俄羅斯銀行標準第 5.10章節規定，“凡是在銀行業務流程中使用設備的員工與業務系統產生相互影響的節點，應仔細監控”，該準則與《薩班斯 - 奧克斯利法案》的要求相符合。

另外一條重要的與俄羅斯銀行信息安全有關的國際性公約為《巴塞爾協議Ⅱ》，該協議規定金融機構必須清算信用風險，市場風險和操作風險，以確保銀行充足的儲備面對抵償。巴塞爾協議II的一個重要特征是操作風險的清算要求，其被定義為“在組織內部，由于工作人員（或）系統的缺陷或失誤（事故）或外部事件造成損失的風險”。根據此規定，操作風險主要歸結為銀行員工的行為（如身份盜竊，欺詐，疏忽等等）和計算機威脅（如非法訪問，電腦病毒等等）。

IT安全威脅不僅僅是信息安全不可或缺的一部分，也是銀行操作風險重要組成部分。因此俄羅斯銀行標準規定要最大限度地減少IT安全風險，使銀行能夠建立起有效的操作風險管理體系。此外，俄羅斯銀行標準規定，在今后銀行體系改進的過程中要依照巴塞爾協議的要求，將過程流程簡化，降低成本。

除了以上所述，還有一則鼓勵實施的俄羅斯銀行標準-銀行聲譽保護準則。事實上，處理任何IT風險都會對組織的金融方面的聲譽帶來影響，對其客戶群帶來負面的影響。銀行聲譽的保護在兩個方面進行：預防銀行員工由于錯誤或非法的操作而可能會造成的銀行聲譽的損害（內部威脅）；查處傳播對銀行聲譽有關的虛假信息（外部威脅），并對傳播機構或個人要求賠償。俄羅斯大部分銀行（超過78%）贊成使用該標準。

5 信息安全管理成熟度等級

為了評估 ISMS成熟度，俄羅斯銀行標準采用一種基于COBIT標準的通用過程成熟度模型。

該模型分為6個等級。

第0級 特點表現為在組織里不存在任何信息安全管理過程；

第1級（初始級）特點表現為組織存在文件方面的記錄證據表明存在信息安全問題，然而使用信息安全管理過程并不是十分規范，使用方式為非系統性非長期性。通用的信息安全管理方法并沒有制定；

第2級（重復級）特點表現為由信息安全管理體系的構思設計上升到信息安全過程可重復周期性運作的程度。然而關于過程的標準缺乏定期培訓，其實施的責任在于執行人員。

第3級（定義級）特點表現為組織通過培訓，信息安全管理過程標準化，記錄化并傳達給員工。然而使用的過程并不是最優化，完成的順序由員工酌情選擇，與操作規程存在可能偏差。

第4級（管理級）特點表現為在良好實踐的基礎上，開展信息安全管理過程的監控與評估，使其處在不斷改進的狀態。然而信息安全管理的自動化環境是在銀行系統內有限的范圍里。

第5級（優化級）特點表現為由信息安全管理過程的構思設計上升到基于持續改進并與其他組織成熟度結果比較而得出的最佳實踐的程度。因此，組織能迅速適應環境和業務的變化。

6 俄羅斯銀行標準使用的軟件評測工具

為了達到俄羅斯銀行標準關于過程評測的要求，俄羅斯銀行體系使用以下符合STO BR IBBS -1.0組織信息安全要求的系統評測工具：

Bank Security Assessment Tool（BSAT），用于針對俄羅斯銀行標準組織的信息安全要求匹配度的評測軟件。

軟件開發公司：LeetSoft，國家：俄羅斯

ISM Revision：Audit Manager，用于針對銀行審計和自我評估的管理軟件。

軟件開發公司：ISM SYSTEMS，國家：俄羅斯

MaxPartol，用于組織的安全審計管理軟件。

軟件開發公司：Positive Technologies，國家：俄羅斯

Estimate Tool，用于在信息安全范圍內組織的文件監控軟件。

軟件開發公司：Crystall，國家：俄羅斯

STO BR Auditor，用于針對俄羅斯銀行標準金融信貸組織的信息系統要求匹配度的評測軟件。

軟件開發公司：INLINE，國家：俄羅斯

7 結語

以采用俄羅斯銀行標準STO BR IBBS-1.0-2010并結合過程管理的方法可建立有效的銀行信息安全管理體系。我們從俄羅斯銀行信息安全管理體系的建立可得出以下兩點啟示：

1.在今后組織信息安全體系的建立及改進上，盡量使用國產化軟硬件設備，進一步減少對國外軟硬件技術的依賴，打破其壟斷地位，降低信息泄漏風險。

2.銀行信息安全管理體系的建立及風險管理的關鍵因素不是銀行的內外部環境，而是員工本身。提高員工信息安全風險防范意識，可通過加強信息安全培訓，以理論知識結合實踐的方式，組織人員針對信息安全規章制度進行實際操作，在規范和流程上深入落實。

[1]Lavrushin O.I Меры защиты деловой репутации банка 2009.

[2]BS ISO/1EC 17799：2000.Информационные технологии -практические правила управления информационной безопас ностью.

[3]Стандарт Банка России СТО БР ИББО-1.0-2010 2010

[4]А.Dolia Стандарт，ориентированный на консолидацию 2006.

[5]Andrew Makosko，Peremyshlennikov Nicholas Управление рисками нарушения информационной безопасности в банка х，2013.

[6]Viktor Serdyuk Управление рисками информационной бе зопасности в банках：акценты года 2010.