Обеспечение информационной безопасности организаций
advertisement
Комплекс стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации как инструмент повышения качества основной деятельности кредитных организаций» Андрей Петрович Курило Центральный Банк Российской Федерации Председатель ПК3/ТК 362 Ростехрегулирования .УФА 2007год 14 марта Г Процессы деятельности организации Правила Ресурсы Задачи Основные Информация Результат Контроля Аттестации Эксплуатации ИС Внедр. ТС, ПС Информационная Сертификации система Контроля Основные Вспомогательные: Первого уровня Второго уровня Третьего уровня Обесп. ИБ Экспл. Сист. ИБ Лицензирования деятельности Информационная безопасность Не увеличивает бизнес, а улучшает его надежность путем снижения подконтрольных ей рисков. Т.о информационная безопасность есть специфический вспомогательный процесс, способствующий бизнесу. Конечная цель информационной безопасности Обеспечение непрерывности бизнеса (реализации основных процессов) при минимизации рисков, присущих этим процессам В банковской деятельности к таким рискам относятся: • Операционные риски(все, что связано с нарушением доступности, мошенничеством, хакерством, угрозами из открытых сетей, терроризмом и т.д.) • Риски несоответствия (появление новых законов и правил) • Репутационные риски • системные риски (для системно значимых платежных систем) Примеры факторов влияния рисков безопасности на основную деятельность банка Риски несоответствия. Появление нового Федерального Закона, например « О персональных данных», требует быстрой доработки систем, обрабатывающих персональные данные под требования информационной безопасности. Невыполнение этих требований провоцирует репутационные риски, ведет к росту накладных расходов и влечет угрозу основному бизнесу банка. Что реально влияет (снижает) на уровень безопасности Расхождение между реальными угрозами и их отражением в принятой модели защиты (утрата адекватности политики безопасности) Игнорирование требований по безопасности при выборе архитектуры и построении информационной системы Нарушения, в ходе эксплуатации, конфигурации и настроек активного сетевого оборудования, МСЭ, ОС, СУБД Неконтролируемое вмешательство в программные комплексы, обеспечивающие выполнение функциональных задач Нарушения технологических и административных процедур управления безопасностью Нарушение персоналом технологических процессов и регламентов работы Утрата контроля за криптофункцией: 1. 2. 3. 4. 5. 6. 7. • • Утрата контроля за ключами подписи Утрата контроля за целостностью криптопродукта Комплекс Стандартов «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Стандарты и рекомендации по стандартизации Классификатор СТО БР ИББС – 0.0 Общие положения СТО БР ИББС – 1.0 Термины и определения СТО БР ИББС – 0.1 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – 2.2 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.3 Комплекс Стандартов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» построен на принципах стандартов управления качеством ISO 9000 Методика, заложенная в комплекс стандартов Идентификация актива Идентификация угроз Анализ результатов (оценка рисков) Организация контроля выполнения требований и регламентов Разработка политики безопасности корректировка Разработка регламентов эксплуатации Информационных комплексов и системы защиты Задание требований по безопасности Построение системы защиты Циклическая модель ШурхартаДеминга во времени - спираль Точки анализа с пересмотром активов и угроз время Требования к контролю • • • • • Полнота документов и требований Регулярность контроля Частота контроля Достоверность результатов контроля Доверие к результатам контроля Кто заинтересован? В Банке России 1. 2. 3. 4. 5. 6. Подразделения надзора Подразделения инспектирования Подразделения безопасности Подразделения надзора за частными платежными системами Внутренний аудит IT служба Создается общая непротиворечивая платформа оценки собственной деятельности Банка и кредитных организаций в единой системе объективных критериев Кто заинтересован? В кредитных организациях 1. Высший менеджмент Создается общая непротиворечивая платформа оценки собственной деятельности Банка и его офисов, в единой системе объективных критериев, Возникают дополнительные факторы добросовестной конкуренции и получения законных преимуществ в бизнесе, в том числе и при передаче функций в аутсорсинг 2. Подразделения безопасности 3. Внутренний аудит 4. IT служба 5. Служба внутреннего контроля Повышается прозрачность, Управляемость системой. Улучшается мотивация проводимых работ Кто заинтересован? Кто еще? Органы законодательной и исполнительной власти Органы Государственного регулирования Высший орган регулирования банковской деятельности (НБС) Аудиторские компании Иностранные партнеры Повышается уверенность в декларируемом уровне безопасности Растет качество государственного Регулирования Снижаются риски ошибок аудита Растет доверие в результате повышения прозрачности Задачи и направления развития Комплекса «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» 1. Практическое внедрение с охватом на первом этапе приблизительно 20% наиболее крупных или 50% организаций от общего числа объектов регулирования (на первом этапе практического внедрения) 2. Обеспечение точности измерений, включая: – – Повышение точности методики измерений Обеспечение повторяемости измерений Задачи регулятора 1. Нормативное введение «Комплекса» в банковской системе. 2. Контроль, на базе «Комплекса», состояния систем информационной безопасности в кредитных организациях методом: • Сбора отчетности по отработанным показателям • Периодического контроля на местах качества выполнения работ и правильности отчетности 3. Решение проблемы признания результатов работ по оценке соответствия требованиям стандарта, выполненных третьей стороной (Аудиторскими компаниями, уполномоченными организациями) Форма организации работ /вариант/ 1. Самоконтроль с проведением самооценки и официальной фиксацией результатов 2. Контроль со стороны регулятора полноты и отчетности по работам в части внедрения и исполнения комплекса стандартов, включая оценку качества самоконтроля 3. Проведение работ по внедрению комплекса стандартов силами сторонних организаций, включая оценку соответствия 4. Проведение аудита Объекты, к которым применяется «Комплекс» • Банковская автоматизированная система в целом; • Платежная система; • Конкретное приложение, например, Банк-клиент; • Терминалы или интерфейсы платежной системы Банка России. Ключевая проблема: Обеспечение доверия к результатам работ по оценке соответствия требованиям «Стандарта», выполненных третьей стороной Сообщество ABISS – инструмент обеспечения доверия Проблемы доверия • На рынке много непрофессионалов, не владеющих методикой, разработанной Банком России, но проводящих работы и предлагающих услуги в этой области • На рынке много фирм, предлагающих проведение аудита по стандартам ISO 17799. При этом соответствие между различными стандартами не установлено и Банком России не признается. Это недопустимо «размягчает» среду безопасности в КО и чрезвычайно сильно затрудняет какие-либо сравнительные оценки в данной области Оценки Банковского сообщества 1. Крайне положительные, бурный рост числа желающих вступить в сообщество ABISS 2. Пожелания скорейшего введения системы документов как обязательной 3. Особо отмечается положительный эффект от структуризации деятельности и повышения системности в работе подразделений безопасности 4. Имеются опасения небольших банков в высокой затратности реализации Вопросы внедрения комплекса стандартов • Проведены совещания с руководством кредитных организаций (в том числе и с участием представителей ABISS) • Направлены методические материалы в кредитные организации • В ряде ТУ проведено анкетирование кредитных организаций по вопросам информационной безопасности • Имеется практика включения положений стандарта в методики проверки кредитных организаций • В ряде ТУ организованно проведение кредитными организациями самооценки на соответствие требованиям и рекомендациям стандарта Информирование Открытие раздела на интернет-представительстве Банка России Внедрение Более 40 региональных банков Более 10 банков Московского региона Готовность к внедрению в течении года – более 50 региональных банков Темпы роста внедрения стандарта в кредитных организациях 50 25 2005 год 2006 год 2006 год 2005 год Мнение кредитных организаций приступили к внедрению или планируют в течении 2007 года единая политика во всех филиалах отказываются внедрять полагают регулирование ИБ излишним Планируют внедрять в ближайшей перспективе (2008-2010 г.г.) ожидают высокие расходы на внедрение Метод внедрения в практику • Рекомендательный • Прямой директивный, устанавливающий обязательность исполнения • Частичный директивный, через применение к отдельным элементам БАС Спасибо за внимание Андрей Петрович Курило, Банк России Председатель ПК3/ТК362 Ростехрегулирования
