А.В. Глазков
Download
1 / 26

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. - PowerPoint PPT Presentation


  • 187 Views
  • Uploaded on

А.В. Глазков начальник отдела эксперт по стандартизации (РОСС RU ). IT & Security FORUM 2008. «Технологии роста». Информационная безопасность кредитно-финансового сектора (Казань, май 2008). Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. Исходная постановка вопроса.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.' - egan


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

А.В. Глазковначальник отдела

эксперт по стандартизации (РОСС RU)

IT & Security FORUM 2008. «Технологии роста».Информационная безопасность кредитно-финансового сектора(Казань, май 2008)

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Исходная постановка вопроса

Казнить нельзя помиловать.

Екатерина Вторая

или:

Внедрять нельзя не внедрять

А.П. Курило

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Отзывы специалистов кредитных организаций

По мнению специалистов кредитных организаций, членов ПК/3 и ABISS:

Стандарт стал реальностью!

  • Стандарт представляет собой методологию, позволяющую эффективно выстроить работу по построению системы безопасности и управление ей.

  • Внедрение стандарта не требует увеличения финансовых расходов банка. Расходы возрастают в том случае, если самые важные меры безопасности не приняты. Напротив, он позволяет более эффективно обосновывать бюджет информационной безопасности.

  • Особенно отмечается, что в результате организации работы по рекомендациям «Стандарта» получены следующие дополнительные результаты:

    • Структурирована нормативная база и документация в области безопасности;

    • Улучшилось взаимодействие с высшим менеджментом и смежными подразделениями, сократились сроки согласования документов, повысилось их качество;

    • Улучшилась и стала прозрачной методика принятия решений по выделению финансирования, оценке рисков, оценке реального уровня информационной безопасности;

    • Улучшилась готовность банка к действиям в условиях ЧС, например, при внезапном отключении электроэнергии;

    • Появился методологический аппарат для инвентаризации информационных активов и оценки рисков информационной безопасности

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Возникшие проблемы организаций

Центральный Банк Российской Федерации натолкнулся на неготовность ряда банков выполнять предъявленные требования по безопасности. В частности, выставив требования Стандарта к безопасности БЭСП в качестве обязательных, Банк России был вынужден часть из них смягчить или перевести в разряд рекомендательных.

Особенно сказанное относится к многофилиальным банкам. Именно филиалам и маленьким банкам свойственно наибольшее число проблем в области информационной безопасности.

Этим обстоятельством и объясняется не слишком пока высокий процент банков (5%), полностью внедривших Комплекс Стандартов (и методологию и требования), а также позицию «выжидания» или прямого отказа от внедрения до прямого указания регулятора.

Также в некоторых банках создана архаическая система защиты, весьма слабо соответствующая современным требованиям, но переделывать которую сложно. Как правило, там работают специалисты, не знающие и не разделяющие современных подходов обеспечению информационной безопасности. Все это конечно до первого ЧП, но как говориться, пока их «Бог миловал».

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Текущая ситуация организаций

  • Деятельность по обеспечению ИБ и соответствующая ей нормативная база банков сформировалась в основном по прецедентному принципу (по потребности организации регулирования по видимым проблемным областям)

  • Менеджмент и бизнес банков и их службы контроля (СВК, риск-менеджмент), как правило, «слабо ощущают» вклад подразделений ИБ банков в совершенствование и развитие бизнеса

  • Информационной безопасностью занимается только Служба безопасности

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


С чего начать? организаций

  • Оценка соответствия информационной безопасности?

  • Разработка политик информационной безопасности?

  • Оценка рисков информационной безопасности?

  • Инвентаризация и оценка важности информационных активов?

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Оценка соответствия информационной безопасности

  • Внешний и внутренний аудит ИБ и самооценка ИБ реализуются с помощью оценки соответствия ИБ Банка установленным требованиям или критериям ИБ

  • Оценка соответствия информационной безопасности организации банковской системы Российской Федерацииустановленнымтребованиям - любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации банковской системы Российской Федерации.

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Оценка соответствия информационной безопасности. Результаты

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Разработка политик информационной безопасности

Требования к внутренним документам по обеспечению ИБ в соответствии с РС БР ИББС – 2.0

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Iso27001 iso17799 documentation toolkit
Международные рекомендации документационного обеспечения СМИБ (ISO27001/ISO17799 Documentation Toolkit)

Структура документационного обеспечения (Mini-PDCA processes)

Цикл PDCA

Level 1: Policies, RTP, SoA

Level 2: Procedures

Level 3: Work Instructions

Level 4: Records

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Непрерывность системы обеспечения ИБ по пространству и времени

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Проблемы отсутствия документов верхнего уровня

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Проблемы отсутствия низкоуровневых документов

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Совершенствование внутренних документов ИБ.

Возможные решения


Типовая ситуация с документационным обеспечением информационной безопасности

Действующий документ верхнего уровня – КОНЦЕПЦИЯ

  • Разработана на основе шаблона АРБ

  • Достаточно объемная

  • Принята достаточно давно (старше 5 лет)

  • Ряд положений устарели, например не отвечают действующему законодательству РФ

  • Не полностью соответствует требованиям Банка России по обеспечению ИБ

  • Внесение изменений, их согласование и утверждение затруднительно

  • Определяет:

    • цели и задачи ИБ

    • принципы организации и функционирования системы ИБ

    • правовое обеспечение ИБ

    • объекты защиты

    • основные виды угроз объектам ИБ

    • порядок проведения работ по обеспечению ИБ

    • защита информации в АС и сетях

    • защита речевой информации

    • защита информации на материальных носителях

    • управление информационной безопасностью

    • ответственность

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Предпосылки совершенствования нормативной базы по обеспечению ИБ

  • Существенные изменения законодательства Российской Федерации

  • Принятие Банком России пока еще рекомендуемых к использованию стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации

  • Осознание руководством Банка потребности в создании целостной сбалансированной нормативной базы по обеспечению ИБ

  • Обеспечение возможности поддержания нормативной базы по обеспечению ИБ в актуальном состоянии

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Источники пересмотра Концепции ИБ и разработки Политики ИБ

  • Действующее законодательство Российской Федерации в области обеспечения ИБ

  • Стандарт Банка России СТО БР ИББС-1.0

  • Действующие документы Банка и существующая практика по обеспечению ИБ

  • ГОСТ Р ИСО/МЭК 17799-2005

  • ISO/IEC 27001:2005

  • ISO/IEC 17799:2005

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Высокоуровневый документ ИБ и разработки Политики ИБ

Отражает только систему взглядов руководства Банка на проблему обеспечения ИБ

Является методологической основой практических шагов по обеспечению ИБ Банка

Определяет:

стратегические цели и задачи обеспечения ИБ Банка

принципы организации и функционирования системы обеспечения ИБ Банка

Концепция ИБ

Может быть опубликована на сайте Банка

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Политика ИБ ИБ и разработки Политики ИБ

  • Высокоуровневый документ

  • Отражает основные направления практической деятельности Банка по обеспечению ИБ

  • Определяет:

    • актуальные угрозы ИБ

    • организационную основу деятельности по обеспечению ИБ

    • способы реализации принципов, отраженных в Концепции

    • способы контроля

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Поддерживающие частные политики ИБ

  • Политика классификации и обработки информации

  • Политика по обеспечению ИБ при распределении и назначении ролей информационной безопасности

  • Политика информационной безопасности, связанной с персоналом

  • Политика по обеспечению ИБ на стадиях жизненного цикла автоматизированных систем

  • Политика менеджмента рисков ИБ

  • Политика обеспечения непрерывности бизнеса в информационной сфере

  • Политика мониторинга и менеджмента инцидентов ИБ

  • Политика аудита ИБ

  • Политика по обеспечению ИБ при использовании сети Интернет и электронной почты

  • Политика по обеспечению ИБ при использовании электронной вычислительной техники и вычислительной сети

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Пример фрагмента структуры документов, обеспечивающих реализацию частной политики ИБ

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Пример формулировки политики документов, обеспечивающих реализацию частной политики ИБ

«Политика ответственности за информационные активы и их учетности»

3 Положения политики

………………..

3.2 Ответственность за информационные активы Банка

3.2.1 Для важных информационных активов в соответствии с решением руководства Банка должны быть определены и назначены исполнители следующих ролей:

– ответственный за информационный актив;

– пользователи информационного актива.

Целесообразно определять указанные роли на совокупность информационных активов, представляющих собой функционально законченный комплекс (например – автоматизированную систему).

При создании информационных активов, до принятия иного решения, роль ответственного за информационный актив возлагается на лицо его создавшее.

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Пример формулировки политики документов, обеспечивающих реализацию частной политики ИБ

«Политика ответственности за информационные активы и их учетности»

3 Положения политики

………………..

3.3 Инвентаризация информационных активов

3.3.1 Инвентаризации подлежат все существующие и вновь создаваемые информационные активы Банка. В отношении информации инвентаризация должна проводиться только для информации, определенной «Перечнем сведений, составляющих коммерческую тайну Банка». В отношении иных категорий информации решение об инвентаризации должно приниматься в установленном порядке.

......................................

3.3.5 Держателем формуляров информационных активов является Департамент информационных технологий Банка.

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Пример формулировки политики документов, обеспечивающих реализацию частной политики ИБ

«Политика ответственности за информационные активы и их учетности»

3 Положения политики

……………………………………

3.5 Контроль соблюдения положений политики

3.5.1 Контроль соблюдения настоящей политики осуществляет Служба безопасности совместно со Службой внутреннего контроля Банка. Контроль осуществляется на основе проведения мониторинга информационной безопасности и анализа инцидентов информационной безопасности, реализуемых в соответствии с положениями «Политики мониторинга и менеджмента инцидентов информационной безопасности», на основе результатов внутренних аудитов информационной безопасности, осуществляемых в соответствии с положениями «Политики аудита информационной безопасности», а также в рамках иных контрольных мероприятий.

3.5.2 Сотрудники Банка всех уровней, временные сотрудники, представители сторонних организаций, а также администраторы систем и администраторы безопасности, получившие/разрешившие доступ к объектам доступа в обход официальной процедуры, несут ответственность ………..

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Перспектива документов, обеспечивающих реализацию частной политики ИБ

Имеющая место ситуация

Первоочередные задачи

Цель

Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков.


Спасибо за внимание! документов, обеспечивающих реализацию частной политики ИБ

Глазков Алексей Викторович

начальник отдела

НПФ «КРИСТАЛЛ»

г. Пенза

Email: [email protected]

www.npf-crystall.ru


ad