ВЛАДИМИР ГОЛОВАНОВ Зам. научного директора ООО НПФ «Кристалл», ответственный секретарь ПК№3 ТК362

1. IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры» Информационная безопасность в банковской сфере Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная модель обеспечения информационной безопасности в соответствии с СТО БР ИББС-1.0 ВЛАДИМИР ГОЛОВАНОВ Зам. научного директора ООО НПФ «Кристалл», ответственный секретарь ПК№3 ТК362 г.Казань, 1 июня 2007 г.

2. История создания стандарта СТО БР ИББС-1.0(Совещание в Центре подготовки персонала Банка России, 24.01.2003) Требования к стандарту безопасности БС РФ: • Простота и понятность • Непротиворечивость терминов и определений • Открытость • Стандарт должен быть прямого действия • Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ • Стандарт должен содержать механизмы егоактуализации

3. Организационная структура деятельности по согласованию стандартов в области ИБ для кредитно-финансовой сферы Ростехрегулирования ФСТЭК России ТК 362 Банк России ПК№3/ТК 362 Члены Подкомитета (http://www.techcom3623.ru/) Банк России: Главное управление безопасности и защиты информации, Департамент информационных систем, Департамент банковского регулирования и надзора, Департамент внутреннего аудита и ревизий; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий Сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа-банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Банк Российский кредит, Банк Русский стандарт, Метробанк, Импэксбанк, Банк «Возрождение»; Федеральные службы: ФСТЭК России, ГНИИИ ПТЗИ ФСТЭК России, ФТС; Аудиторские фирмы: КПМГ, Эрнст и Янг; Разработчики: НПФ «Кристалл», «Линс-М», «Криптоком», «Фирма «АйТи». Информационные технологии», «Андэк» Учредили «Защита информации» Учредили «Защита информации в кредитно-финансовой сфере»

4. Содействие использованию стандартов «Сообщество ABISS» С целью обеспечения методологического единства, повторяемости и точности, для дальнейшего развития и применения Стандарта Банка России, по инициативе членов Подкомитета ПК-3/ТК362 Ростехрегулирования (http://www.techcom3623.ru): • аудиторских компаний "Эрнст энд Янг" (http://www.ey.com) и "КПМГ"(http://www.kpmg.ru); • компаний ЗАО "Андэк" (http://andek.ru), ГНИИИ ПТЗИ ФСТЭК России, ООО "Линс-М» и ООО НПФ "Кристалл" (http://www.npf-crystall.ru) было создано Сообщество пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации ABISS - Association for Banking Information Security Standards (http://www.abiss.ru).

5. Комплекс Стандартов «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Стандарты (СТО) и рекомендации по стандартизации (РС) Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Методика оценки соответствия СТО БР ИББС – 1.2 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Руководство по самооценке РС БР ИББС – 2.1 Методика классификации активов РС БР ИББС – 2.2 Методика оценки рисков РС БР ИББС – 2.3

6. Методика, заложенная в комплекс стандартов Идентификация актива Идентификация угроз Разработка политики безопасности Анализ результатов (оценка рисков) корректировка Задание требований по безопасности Организация контроля выполнения требований и регламентов Разработка регламентов эксплуатации Информационных комплексов и системы защиты Построение системы защиты

7. Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Модель угроз и нарушителя Формирование целей ИБ Политика ИБ Реализация целей ИБ Система менеджмента ИБ Контрольдостижения целей ИБ Оценка зрелости ИБ Проверка и оценка ИБ

8. СТО БР ИББС – 1.0 «Общие положения» Готовится к внедрению в 2008 году третья редакция стандарта. Основные направления развития стандарта: 1. Уточнение и введение понятий: - система информационной безопасности (СИБ); - система менеджмента информационной безопасности (СМИБ); - система обеспечения информационной безопасности (СОИБ). 2. Формулирование требований по новым направлениям обеспечения информационной безопасности: - электронный банкинг; - платежные системы с использованием пластиковых карт; - вспомогательные автоматизированные системы. 3. Введение конкретных требований для процессов СМИБ; 4. Подробное рассмотрение очередности выполнения этапов цикла «Деминга».

9. СТО БР ИББС – 1.1 «Аудит информационной безопасности» Стандарт аудита информационной безопасности: • основан на положениях ГОСТ Р ИСО 19011-2003; • регламентирует взаимоотношения сторон при проведении внешнего аудита; • рекомендован к вводу в действие ПК3/ТК362; • одобрен к утверждению аудиторскими организациями – членами сообщества ABISS; • введен в действие с 1 мая 2007 года.

10. СТО БР ИББС – 1.2 «Методика оценки соответствия» Методика оценки соответствия: • имеет статус стандарта Банка России; • определяет способ оценки степени выполнения требований стандарта Банка России (СТО-1.0 «Общие положения»); • рекомендована к вводу в действие ПК3/ТК362; • апробирована в ряде кредитных организаций и структурных подразделений Банка России; • введена в действие с 1 мая 2007 года.

11. Определение понятия «аудит ИБ организаций БС РФ» Федеральный закон «Об аудиторской деятельности» № 119-ФЗ Аудит- предпринимательская деятельность по независимой проверке бухгалтерского учета и финансовой (бухгалтерской) отчетности организаций и индивидуальных предпринимателей (далее - аудируемые лица) ГОСТ Р ИСО 19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента» Аудит (проверка) - Систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита Аудит информационной безопасности организации банковской системы РФ – на основе определения понятия «аудит» по ГОСТ Р ИСО 19011-2003 (в соответствии с международной практикой) Критерии аудита – требования СТО БР ИББС-1.0

12. Пример использования результатов аудита ИБ. Оптимизация инвестирования в обеспечение ИБ организации 32-й Групповой показатель ниже 1-го уровня Частные показатели: М.32.1 - Да М.32.2 - Нет М.32.3 - Нет М.32.4 - Нет М.32.5 - Нет Как оптимально вложить средства для «выхода» 32-го группового показателя изкрасного сектора вжелтый? Дополнительные возможности аудита ИБ – оптимизация инвестиций в обеспечение ИБ.

13. РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» Рекомендации по документационному обеспечению: • определяют состав и содержание совокупности документов кредитной организации в области информационной безопасности; • носят рекомендательный характер; • рекомендованы к вводу в действие ПК3/ТК362; • введены в действие с 1 мая 2007 года.

14. РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» (структура документов) Требования к внутренним документам по обеспечению ИБ

15. РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» (ЖЦ документов ИБ) Менеджмент документов по обеспечению ИБ

16. РС БР ИББС – 2.1 «Руководство по самооценке» Руководство по самооценке: • определяет порядок проведения самооценки информационной безопасности с использованием методики оценки соответствия (СТО БР ИББС – 1.2); • носит рекомендательный характер; • основано на положениях методики оценки соответствия (СТО БР ИББС – 1.2) и стандарте аудита (СТО БР ИББС – 1.1); • введено в действие с 1 мая 2007 года.

17. РС БР ИББС – 2.2 «Методика классификации активов» (проект) Проект методики классификации активов: • определяет порядок выполнения классификации информационных активов по степени их важности для целей кредитной организации; • носит рекомендательный характер; • разработана первая редакция; • проходит апробация в одном из ГУ Банка России (первое полугодие 2007 года); • планируется к введению со второй половины 2007 года.

18. РС БР ИББС – 2.3 «Методика оценки рисков» (проект) Проект методики оценки рисков: • разработаны первые редакции двух методик: • методики детальной оценки рисков информационной безопасности; • методики риск-ориентированной интерпретации результатов оценки соответствия требованиям стандарта Банка России; • носит рекомендательный характер; • проходит апробация в одном из ГУ Банка России (первое полугодие 2007 года); • планируется к введению со второй половины 2007 года.

19. Информация для использования Стандарты Банка России доступны на: • Официальном сайте Банка России http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd и http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Met • Официальном сайте ПК№3/ТК362 http://www.techcom3623.ru/doc.14.htm?loc=5 • Официальном сайте Сообщества ABISS http://www.abiss.ru/doc

20. СПАСИБО ЗА ВНИМАНИЕ!ПОЖАЛУЙСТА, ВОПРОСЫ? Голованов Владимир Борисович Заместитель научного директора ЗАО НПФ «Кристалл», Ответственный секретарь ПК3/ТК362 E-mail: gvb@crystall.tl.ru 1 июня 2007 года