1 / 38

Дмитрий Зарахович Ирина Ивченко

Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины. Дмитрий Зарахович Ирина Ивченко. Предисловие.

jana-underwood
Download Presentation

Дмитрий Зарахович Ирина Ивченко

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины. Дмитрий Зарахович Ирина Ивченко

  2. Предисловие • Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову №474 від 28 жовтня 2010р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” http://bank.gov.ua/B_zakon/Acts/2010/28102010_474.pdf • З дня опублікування цієї постанови набирають чинності такі стандарти НБУ: • СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IEС 27001:2005, МОD); • СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IEС 27002:2005, МОD). • Також Банки України повинні впровадити системи управління інформаційною безпекою до 01.10.2011 відповідно до вищевказаних стандартів Національного банку України.

  3. Наш опыт - Нам доверили

  4. Откуда приходит ИБ?

  5. Необходимость внедрения системы управления информационной безопасностью (СУИБ) обусловлена: • наличием в банках большого количества систем автоматизации, между собой взаимодействуют, обмениваются данными; • наличием различных систем защиты информации в различных системах автоматизации банковской деятельности; • отсутствием подробного описания, что создает условия появления больших операционных рисков и зависимости от разработчиков и администраторов систем; • отсутствием ИТ аудита и анализа ИТ рисков; • условиями, когда информационной безопасностью занимаются только специалисты по безопасности, владельцы бизнес-процессов/банковских продуктов считают, что защита информации мешает бизнесу; • отсутствием поддержки со стороны руководства банка в вопросах информационной безопасности (руководство считает, что меры безопасности не приносят прибыли)

  6. Стандартизация и требования локального законодательства • Стандарты • ISO 9001 - Система Менеджмента Качества • ISO 20000 - Система Управления IT-Сервисами • ISO 27001 - Система Управления Информационной Безопасностью • BS 25999 - Система Управления Непрерывностью Бизнеса • ISO 14001 – Система Экологического Менеджмента • OHSAS 18001 - Система Управления Охраной Труда и Производственной Безопасностью • ISO 22000 – Система Управления Пищевой Безопасностью • ISO 31001 – Риск-менеджмент

  7. Стандартизация и требования локального законодательства • Законодательство (с ссылками на ИБ) • Об информации • О защите информации в информационно-телекоммуникационных системах • Об электронных документах и электронном документообороте • Об электронной цифровой подписи • О защите персональных данных • Кодекс Украины об административных правонарушениях • Уголовный кодекс Украины • Про Национальный Банк Украины • Про банки и банковскую деятельность • Нормативно-правовые акты НБУ

  8. Идеология построения ИБ: процесс «as is»

  9. Идеология построения ИБ:процесс «to be» • Вопрос подмены понятий: • «Информационная безопасность» не равна «безопасности ИТ-системы» ИБ

  10. Участие в процессе СУИБ: функциональные мотивы • СЕО – Председатель правления • Увеличение дохода • Снижение затрат • Управляемость бизнеса • CIO – ИТ-директор • Автоматизация бизнес-процессов • Поддержка систем автоматизации • Обеспечение непрерывности и устойчивости • Рационализация бизнес-процессов • CSO – Директор по безопасности • Найти/вернуть/наказать • Превентивная защита бизнеса • Служба внутреннего аудита • Соответствие бизнес-показателей установленным KPI • Применение стандартов и методик Владельцы БП

  11. Руководство банка должно обеспечить: • контроль разработки политики СУИБ • контроль того, что цели и планы СУИБ разработаны • контроль разработки ролей и обязанностей по информационной • безопасности • доведение до сведения персонала информации о важности достижения целей информационной безопасности и соответствия политике информационной безопасности, ответственности перед законом и потребности постоянного совершенствования • предоставление достаточных ресурсов для разработки, внедрения, функционирования, мониторинга, пересмотра, поддержания и совершенствования СУИБ • принятия решения относительно критериев принятия рисков и приемлемых уровней рисков • обеспечение проведения внутренних аудитов СУИБ • проведение пересмотров СУИБ

  12. Цели внедрения СУИБ • снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности; • постоянно отслеживать и оценивать риски с учетом всей бизнеса; • эффективно выявлять наиболее критические риски и избегать их реализации; • разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение; • эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса; • обеспечить понимание вопросов информационной безопасности руководством и всеми работниками; • обеспечить повышение репутации и рыночной привлекательности; • обеспечить защиту от рейдерских атак;

  13. Разница в международных стандартах ISO 27001 ISO 27002 и стандартов Национального Банка Украины: • Международные стандарты ISO 27001 и ISO 27002 являются стандартами высокого уровня и описывают общие подходы по построению и функционированию систем управления информационной безопасностью • В стандартах Национального банка Украины СОУ ННБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ2.0:2010 часть требований уточнена и усилена требованиями нормативных документов Национального банка Украины • Это привело к регламентации вопросов информационной безопасности в стандартах Национального банка Украины вместо общих деклараций международных стандартов

  14. Соответствие стандартам • Соответствие стандартам Национального банка Украины практически означает соответствие международным стандартам но не наоборот • Национальный банк Украины не требует от банков Украины проведение сертификации на соответствие международным стандартам

  15. Особенности внедрения и функционирования СУИБ в банках Украины • СУИБ должна быть внедрена для банка в целом • при внедрении СУИБ необходимо подробно описать существующую инфраструктуру банка и средства защиты; • оценка рисков должна осуществляться на основе рассмотрения рисков бизнес-процессов/банковских продуктов, а не отдельных ресурсов СУИБ; • предложена методика оценки не предусматривает усреднения рисков по бизнес-процессам/банковским продуктам, что позволяет четко определить причины наибольших рисков и правильно выбрать дополнительные меры безопасности; • функционирования и совершенствования СУИБ является непрерывным процессом

  16. СУИБ в банках Украины должна включать: • Банк в целом • процессы и процедуры • системы управления • персонал • физическую среду • конфигурацию программно-технических комплексов, оборудование, программное обеспечение • системы телекоммуникации • зависимость от внешних организаций

  17. Этапность работ по создании системы Менеджмента

  18. Подготовительный этап • Подготовительный этап: • определение границ СУИБ; • изучение Исполнителем предоставленной Заказчиком информации, касающейся общего описания информационно-телекоммуникационной системы (далее - ИТС). • Анализ документации СУИБ Заказчика: • анализ разработанных и внедренных Заказчиком политик, стандартов, процедур и других распорядительных документов, касающихся функционирования ИТС; • разработка рекомендаций по доработке организационно-нормативной базы, необходимой для функционирования системы СУИБ.

  19. Назначение ответственных

  20. Анализ документации

  21. Экспертная оценка • Существующая у Заказчика документация • Составляющие инвентаризации: • Информационная среда • Технологическая среда • Физическая среда • Среда пользователей

  22. Создание ТЗ на СУИБ • Результаты создания ТЗ на СУИБ • Техническое задание на создание СУИБ. • Отчет по результатам экспертной оценки информационной системы. • Рекомендации по доработке ИТС и связанной с ней нормативно-распорядительной документации, с целью соответствия ее требованиям международных и отраслевых стандартов по управлению информационной безопасностью.

  23. Создание ТЗ на СУИБ

  24. Оценка рисков • Перечень бизнес-процессов • Выделение критических бизнес-процессов • Описание бизнес-процессов согласно методике НБУ

  25. Этап оценки рисков • Определение основных бизнес-процессов организации и их взаимодействия; • Инвентаризация ресурсов (определение существенных активов); • Разработка и согласование с Заказчиком методики оценки рисков • Проведение работ по оценке рисков с предоставлением отчета; • Определение допустимых уровней риска и подготовка документа для принятия (утверждения) остаточных рисков. • Исследование и анализ мер защиты, которые уже были определены и реализованы в организации (анализируются организационные мероприятия, осуществленные в области планирования, внедрения, аудита и модернизации способов обеспечения информационной безопасности, и программно-технические средства и механизмы защиты информации, уже используются); • Разработка перечня дополнительных мероприятий по снижению уровней рисков; • Документальное оформление общего плана обработки рисков.

  26. Возникающие вопросы • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики • Відповідно до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2006 N254 банківський продукт – це стандартизовані процедури, що забезпечують виконання банками операцій, згрупованих за відповідними типами та ознаками. • Не існує стандартного набору бізнес-процесів/банківських продуктів для будь-якого банку. Тому банк має самостійно визначити відповідні бізнес- процеси/банківські продукти, які використовуються всередині банку.

  27. Пример блок-схемы критичных бизнес-процессов

  28. Возникающие вопросы • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики • Банк повинен створити перелік критичних бізнес-процесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якої може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнес-процеси/банківські продукти, що обробляють: • платіжні документи, • внутрішні платіжні документи, • кредитні документи, • документи на грошові перекази, • персональні дані клієнтів та працівників банку, • статистичні звіти, • інші документи, які містять інформацію з обмеженим доступом.

  29. Корреляция сервисов и пользователей

  30. Этап оценки рисков • Результат этапа оценки рисков • Методика оценки рисков адаптирована к потребностям Заказчика; • Отчет по результатам оценки рисков; • Рекомендации по уменьшению уровней существенных рисков (в рамках плана обработки рисков).

  31. «Облако рисков» для пар угроза/уязвимость

  32. «Облако рисков» и устранение рисков (денежная оценка) • Логично «срезать» риски радиусами • Принятие решений об инвестициях и бюджетах на снижение рисков на основании стоимости средств защиты и административных мероприятий

  33. Документирование СУИБ • Задачи этапа • Создание нормативной и технической документации на СУИБ; • Разработка и адаптация механизмов внедрения требований СУИБ в ИТС. • Результат - Технический проект состоящий из нормативной и технической документации по следующим уровням: • уровень политики информационной безопасности; • уровень положений, методик и процедур, которые проводятся в рамках СУИБ; • уровень инструкций СУИБ; • уровень документов механизмов контроля (внутренние аудиты, контроле со стороны руководства) • уровень положений о структурных подразделениях и должностных инструкций.

  34. Реализация требований СУИБ • Этап внедрения решений и технологий • Перечень решений блочно на следующем слайде • Введение СУИБ в эксплуатацию • Разработка программы и методики испытания СУИБ; • Введение СУИБ в опытную и промышленную эксплуатацию; • Поддержка осведомленности персонала •  Результат • Программа и методики испытания СУИБ; • Протокол по результатам испытаний; • Проект акта ввода в опытную и промышленную эксплуатацию; • Использование, модификация и улучшение СУИБ

  35. Продукты и решения по обеспечению ИБ Управление доступом пользователей Обеспечение безопасности платформ и инфраструктуры Средства регистрации и мониторинга Обеспечение непрерывности функционирования IT Решения по аутентификации Антивирусное ПО Системы для сбора и обработки событий Системы обнаружения и предотвращения вторжений Системы обеспечения бесперебойного эл. питания ПО для защиты рабочих станций и серверов Решения по автоматизации разграничения доступа Сканеры уязвимостей Системы защиты периметра сети (Firewall, UTM) Системы охлаждения и климат-контроля Специализированное ПО для устройств ввода- вывода Управление идентификацией ПО для оценки защищенности систем и приложений Системы резервного копирования и восстановления ПО для защиты систем управления базами данных (СУБД) Proxy серверы, фильтрация URL и электронной почты Специализированное ПО для предотвращения утечек (DLP, больше чем DLP) Устройства для организации криптографически защищенных соединений SSL, VPN

  36. Услуги по обеспечению ИБ Консалтинг Обучение Аутсорсинг услуг по безопасности Аудит Анализ рисков ИТ Аудит бизнес приложений (ПО) Тренинги по организации ИБ для специалистов и менеджеров Аудит на соответствие требованиям по ISO 27001 Внешнее сканирование на уязвимость Аудит ИТ инфраструктуры Организация систем управления ИБ Повышение осведомленности персонала предприятия по вопросам ИБ Аудит на соответствие требованиям PCI DSS Криптографическая защита процессов Оценка защищенности систем управления базами данных Организация кризисного менеджмента Облачные системы для обработки и хранения данных Аудит на соответствие ИБ Третьими лицами Проведение систем в соответствие с требованиями регуляторов Тесты на проникновение в системы Системы по расчету и оценке экономической эффективности мер по ИБ

  37. Мониторинг, управление и расследование инцидентов ИБ • Уровень предоставления сервисов • Уровень приложений и баз данных • Уровень программного и аппаратного обеспечения • Сетевой уровень – каналы связи и канало образующее оборудование • Интеграция с системами информационной безопасности • Интеграция с системами расследования инцидентов

  38. Дмитрий Зарахович Dmitry.Zarakhovych@sicenter.net +380 98 124-0-126 Ирина Ивченко Irina.Ivchenko@sicenter.net +380 67715-13-69

More Related