Опис критичних бізнес-процесів та програмно-технічних комплексів

           які забезпечують їх функціонування

 

Відповідно до вимог стандартів Національного банку України

сферою застосування СУІБ, яка має бути впроваджена, є банк у

цілому. Тому дуже важливо чітко визначити бізнес-процеси /

банківські продукти, які працюють з інформацією з обмеженим

доступом і повинні бути захищеними.

Відповідно до Положення про організацію операційної

діяльності в банках України, затвердженого постановою Правління

Національного  банку України від 18.06.2003 N 254 (z0559-03),

банківський продукт-це стандартизовані процедури, що забезпечують

виконання банками операцій, згрупованих за відповідними типами та

ознаками.

Поняття бізнес-процесу є багатозначним і не існує загально

прийнятого його визначення. Під бізнес-процесом у широкому

значенні розуміється структурована послідовність дій з виконання

певного виду діяльності на всіх етапах життєвого циклу предмета

діяльності. Кожен бізнес-процес має початок (вхід), вихід та

послідовність процедур, які забезпечують виконання операцій,

згрупованих за відповідними типами.

Не існує стандартного набору бізнес-процесів/банківських

продуктів для будь-якого банку. Тому банк має самостійно визначити

відповідні бізнес-процеси/банківські продукти,  які

використовуються всередині банку.

Для визначення бізнес-процесів/банківських продуктів, які має

охоплювати СУІБ, необхідно проаналізувати всі бізнес-процеси/

банківські продукти банку та створити перелік критичних процесів,

функціонування яких має великий вплив на успішну роботу банку.

Оскільки в банку бізнес-процеси/банківські продукти

взаємопов'язані, то рекомендується створити їх блок-схему з

визначенням усіх взаємозв'язків. Така візуалізація значно

спростить розуміння всього обсягу робіт, що виконуються банком.

Банк повинен створити перелік критичних бізнес-процесів/

банківських продуктів, які обробляють інформацію з обмеженим

доступом, розголошення якої може нанести шкоду банку. До цього

переліку повинні бути включеними всі бізнес-процеси/банківські

продукти, що обробляють:

- платіжні документи,

- внутрішні платіжні документи,

- кредитні документи,

- документи на грошові перекази,

- персональні дані клієнтів та працівників банку,

- статистичні звіти,

- інші документи, які містять інформацію з обмеженим

доступом.

Для кожного критичного бізнес-процесу/банківського продукту

рекомендується надати перелік бізнес-процесів/банківських

продуктів, з якими взаємодіє цей бізнес-процес/банківський

продукт.

Перелік критичних бізнес-процесів/банківських продуктів

повинен супроводжуватися коротким описом кожного бізнес-процесу/

банківського продукту з наданням інформації про програмно-технічні

комплекси, які забезпечують його функціонування.

Короткий опис кожного бізнес-процесу/банківського продукту

повинен містити таку інформацію:

- назва бізнес-процесу/банківського продукту;

- цілі бізнес-процесу/банківського продукту;

- гриф інформації з обмеженим доступом, яка обробляється

бізнес-процесом/банківським продуктом;

- власник бізнес-процесу/банківського продукту;

- підрозділи банку, які забезпечують функціонування

бізнес-процесу/банківського продукту;

- наявність зобов'язань перед третіми сторонами (угоди на

розроблення, доопрацювання, супроводження та технічне

обслуговування);

- вхідні та вихідні дані бізнес-процесу/банківського

продукту;

- перелік процедур бізнес-процесу та блок-схема послідовності

їх виконання з визначенням взаємозв'язків (у тому числі додаткової

вхідної інформації з інших бізнес-процесів);

- вимоги щодо забезпечення безперервності бізнес-процесу/

банківського продукту (максимально допустимий час простою);

- типи ролей (груп) для бізнес-процесу/банківського продукту;

- існування забороненого суміщення типів ролей;

- програмно-технічний(ні) комплекс(и), що забезпечує(ють)

функціонування бізнес-процесу;

- кількість користувачів програмно-технічного комплексу;

- архітектура і технологія роботи (зокрема, файловий обмін

або режим реального часу, в тому числі й для обміну інформацією з

іншими програмно-технічними комплексами в разі наявності);

- операційна система та тип бази даних програмно-технічного

комплексу, які  використовуються для функціонування

бізнес-процесу/банківського продукту;

- географічне розміщення (серверів та робочих місць)

програмно-технічного комплексу;

- засоби захисту, які вже існують у програмно-технічному

комплексі;

- взаємодія з іншими програмно-технічними комплексами;

- принципи резервування обладнання та інформації

програмно-технічного комплексу (за наявності окремих принципів для

цього програмно-технічного комплексу).

Зазначимо деякі аспекти формування цієї інформації.

Дуже важливо визначити власника бізнес-процесу / банківського

продукту, який повинен також бути власником програмно-технічного

комплексу. Саме власник бізнес-процесу / банківського продукту /

програмно-технічного комплексу повинен приймати рішення щодо

надання доступу до інформації, яка обробляється в цьому

бізнес-процесі / банківському продукту /  програмно-технічному

комплексі. Власником програмно-технічного комплексу не може бути

підрозділ банку, який відповідає за інформаційні технології і

забезпечує технічну підтримку роботи комплексу.

Перелік процедур бізнес-процесу та блок-схема послідовності

їх виконання з визначенням взаємозв'язків (у тому числі додаткової

вхідної інформації з інших бізнес-процесів) буде дуже корисним під

час аналізу та визначення вразливостей, притаманних цьому

бізнес-процесу / банківському продукту. Цей перелік та блок-схема

мають бути у достатньому ступені узагальненими. Дуже детальний

перелік може призвести до ускладнення під час визначення

вразливостей. Однак, якщо цей перелік та блок-схема будуть занадто

узагальненими, то це може призвести до пропуску небезпечних

вразливостей, які можуть створювати великі ризики.

У разі якщо функціонування одного бізнес-процесу /

банківського  продукту  забезпечується   декількома

програмно-технічними комплексами, тоді короткі описи кожного

комплексу та їх взаємозв'язків повинні також бути надані.

У разі якщо один програмно-технічний комплекс забезпечує

функціонування декількох бізнес-процесів / банківських продуктів,

тоді визначається єдиний власник програмно-технічного комплексу

(але не підрозділ, який відповідає за інформаційні технології) або

група власників бізнес-процесів, які надають та контролюють доступ

до інформації, що обробляється різними модулями комплексу.

У разі відсутності централізованих програмно-технічних

комплексів мають бути надані короткі описи програмно-технічних

комплексів у структурних підрозділах банку (обласних дирекціях,

філіях тощо) та описаний взаємозв'язок між ними.

Для більшого розуміння зв'язків між бізнес-процесами /

банківськими продуктами / програмно-технічними комплексами

рекомендується створити блок-схему цих зв'язків із додаванням

структурних підрозділів банку, які забезпечують     ці

бізнес-процеси / банківські продукти / програмно-технічні

комплекси вхідною інформацією, та підрозділів банку, які

використовують вихідні дані.

Типи ролей (груп) для бізнес-процесу / банківського продукту

фактично означають різні рівні доступу до інформації, яка

обробляється цим бізнес-процесом / банківським продуктом. При

цьому слід пам'ятати про необхідність надання мінімальних прав

доступу, необхідних для виконання службових обов'язків.

Обов'язковим також є визначення заборонених суміщень прав доступу

(ініціювання та подальше виконання операції) для запобігання

підготовки фальсифікованих банківських документів або

несанкціонованої модифікації документів. Наприклад, для платіжних

документів забороненим є суміщення обов'язків операціоніста та

бухгалтера.

 

           4.3. Опис організаційної структури

                банку, яку охоплює СУІБ

 

На основі вихідних документів попереднього пункту банк має

визначити всі підрозділи, які відносяться до сфери застосування

СУІБ. Це підрозділи, які є власниками та учасниками критичних

бізнес-процесів, підрозділи, які супроводжують та забезпечують

технічну підтримку програмно-технічних комплексів, користувачі

програмно-технічних комплексів, служба безпеки, яка забезпечує

фізичну безпеку приміщень банку, тощо. Наявність такого переліку

підрозділів дозволить чітко визначити обов'язки та

відповідальності всіх причетних до виконання вимог безпеки сторін

та планувати їх навчання у разі необхідності. Такий перелік може

створюватися на основі структурної схеми підрозділів банку.

Окрім того, у разі наявності передавання частини послуг, що

пов'язані з критичними бізнес-процесами / банківськими

продуктами/програмно-технічними комплексами, третім сторонам, ці

організації також повинні бути включені до опису організаційної

структури банку з поміткою, що вони не є структурними підрозділами

банку.

 

            4.4. Опис структури мережі банку

 

Для подальшого аналізу захищеності мережі банку необхідно

зробити опис структури мережі банку, засобів захисту та

управління, які вже існують. Банк повинен мати внутрішнє положення

про мережу банку, у якому надається така інформація:

- принципи побудови мережі з описом принципів резервування

мережевого обладнання;

- принципи розподілу мережі на сегменти (підмережі) - за

наявності;

- принципи розподілу адресного простору;

- система управління мережею;

- побудова вузла доступу до ресурсів мережі Інтернет;

- принципи доступу до мереж інших організацій - за наявності;

- наявність та правила роботи через канали зв'язку зовнішніх

провайдерів телекомунікаційних послуг, у тому числі опис принципів

резервування каналів зв'язку;

- засоби захисту мережі від зовнішнього та внутрішнього

несанкціонованого доступу, у тому числі антивірусного захисту;

- принципи надання доступу працівникам банку до мережі та

ресурсів мережі Інтернет;

- принципи та процедура надання віддаленого доступу

працівникам банку до мережі банку - за наявності;

- принципи та процедура надання бездротового доступу до

мережі банку - за наявності;

- принципи резервного копіювання інформації.

Для спрощення розуміння особливостей побудови мережі банку

рекомендується створити окремі внутрішні положення (політики) за

різними питаннями управління мережею, а в загальному положенні про

мережу описати основні принципи побудови та функціонування мережі

з наданням посилань на окремі політики.

 

             4.5. Опис фізичного середовища

 

Питання захисту інфраструктури банку також входять до СУІБ.

Банк повинен мати такі документи:

- опис географічного та територіального розташування

приміщень банку, включаючи відокремлені підрозділи банку (обласні

дирекції, філії, відділення тощо) для визначення загроз з боку

навколишнього середовища;

- опис принципів пропускного режиму;

- наказ із визначення приміщень з обмеженим доступом та опис

відповідного захисту цих приміщень із забезпеченням контролю

доступу до таких приміщень;

- опис принципів побудови систем відео спостереження;

- опис системи електроживлення та заземлення;

- опис охоронної та пожежної сигналізації;

- опис умов зберігання магнітних, оптомагнітних, паперових та

інших носіїв інформації, у тому числі електронних архівів.

Вимоги до приміщень банків наведені у Правилах технічного

захисту приміщень банків, де обробляються електронні банківські

документи, затверджені постановою Правління Національного банку

України від 04.07.2007 N 243 (z0955-07), зареєстрованою в

Міністерстві юстиції України 17.08.2007 за N 955/14222, та інших

нормативно-правових актах Національного банку України.