Опыт практического проведения оценки соответствия
advertisement
Комплекс стандартов Банка России: новости 2008 года А.Н.Велигура Председатель комитета по информационной безопасности Ассоциации российских банков Заместитель генерального директора ООО «АНДЭК Технолоджиз» Обеспечение ИБ Основная деятельность Информационно-технологическая среда угрозы, воздействующие через ИТ-среду Обеспечение ИБ Основная деятельность Информационно-технологическая среда меры информационной безопасности угрозы, воздействующие через ИТ-среду Вопрос №1: каковы допустимые пределы деградации процессов основной деятельности (бизнес-процессов)? Вопрос №2: какие отклонения в работе ИТинфраструктуры могут привести к этой деградации? Вопрос №3: реализация каких угроз ИБ может вызвать эти отклонения? Как защититься от этих угроз? Организация управления ИБ Организовать управление обеспечением информационной безопасности – задача руководства банка. Это задача решается путем создания соответствующих политик и процедур. Место стандартов: источник консолидированного опыта и лучших практик Некоторые международные стандарты ИБ, гармонизированные и введенные в Российской Федерации в 2006-2007 гг. Национальный стандарт ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» Национальный стандарт ГОСТ Р ИСО/МЭК 17799-2006 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности» Национальный стандарт ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» Национальный стандарт ГОСТ Р ИСО/МЭК 13335-3-2006 «Информационная технология. Методы и средства обеспечения безопасности. ЧастьНациональный 3. Методы менеджмента безопасности информационных стандарт ГОСТ Р ИСО/МЭК 13335-4-2006 технологий » «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер » Национальный стандарт ГОСТ Р ИСО/МЭК 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети» Комплекс стандартов и рекомендаций по стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Внедрение СТО БР ИББС-1.0 и соответствие ему Индикаторы достижения определенного уровня соответствия положениям СТО БР ИББС-1.0-2006 – показатели Методики оценки (СТО БР ИББС-1.22007) – всего 266 показателей, объединенных в 32 группы. Индикаторы достижения определенного уровня соответствия положениям СТО БР ИББС-1.0-2006 – показатели Методики оценки (СТО БР ИББС-1.22007) – всего 266 показателей, объединенных в 32 группы. Направления оценки согласно «Методике оценки» (СТО БР ИББС – 1.2) • Оценка менеджмента информационной безопасности • Оценка осознания информационной безопасности • Оценка текущего состояния обеспечения информационной безопасности. Потребности и основные направления доработки СТО БР ИББС-1.0 1. Уточнение и введение ряда понятий: – система информационной безопасности (СИБ); – система менеджмента информационной безопасности (СМИБ); – система обеспечения информационной безопасности (СОИБ). 2. По разделу 7 «Система информационной безопасности организаций БС РФ»: – более четкие и однозначные формулировки; – исключение требований, связанных с реализацией; – добавлены требования к дистанционному банковскому обслуживанию. 3. Введение конкретных требований к СМИБ (раздел 8); 4. Исключены разделы 4 («Основные принципы») и 11 («Модель зрелости»). Комплекс стандартов и рекомендаций по стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Классификатор СТО БР ИББС – 0.0 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика оценки рисков РС БР ИББС – 2.2 Термины и определения СТО БР ИББС – 0.1 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика классификации активов РС БР ИББС – 2.3 Методика назначения и описания ролей РС БР ИББС – 2.4 СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Реализация СОИБ Планирование СОИБ СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Проверка СОИБ Совершенствование СОИБ Потребности и основные направления доработки СТО БР ИББС-1.2 1. В связи с изменением формулировок разделов 7 и 8 СТО БР ИББС-1.0 меняется соответственно база частных показателей (Приложение А). 2. В формах групповых показателей появился рекомендуемый частный показатель с оценкой либо "1", либо "н/о". 3. Если частный показатель предназначен для оценки требований, которые на момент оценки не являются актуальными для организации, то он определяется как неоцениваемый. 4. Частные показатели, связанные с направлением "Осознание" берутся из тех требований раздела 8, которые характеризуют отношение руководства к проблеме ИБ. Проект РС БР ИББС-2.2 Методика оценки рисков нарушения ИБ 1. В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Оценка рисков нарушения ИБ проводится для типов информационных активов (с целью сокращения временных и прочих затрат на ее выполнение) на основе оценивания и последующего анализа двух величин: - Степень Тяжести Последствий от потери значимых свойств ИБ; - Степень Возможности Реализации угроз ИБ. 3. Оценка проводиться для всех значимых свойств ИБ всех типов информационных активов и всех соответствующих им комбинаций типов объектов защиты и воздействующих на них источников угроз. 4. Кредитная организации определяет для себя уровень приемлемого риска нарушения ИБ самостоятельно. Проект РС БР ИББС-2.3 Методика классификации информационных активов 1. В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Методика предлагает классификацию информационных активов в соответствии со степенью тяжести последствий (СТП), возникающих при потере значимых свойств ИБ. 3. СТП оценивается по следующим направлениям: - непрерывность деятельности; - объем финансовых и материальных затрат; - объем дополнительных людских ресурсов; - объем дополнительных временных затрат; - нарушение законодательных или договорных требований; - нарушение требований регулирующих и контролирующих (надзорных) органов в области ИБ. Резюмируя: 1. Управление ИБ есть часть управления рисками организация этого – задача руководства банков. 2. Стандарты Банка России должны служить базой для выстраивания всего процесса обеспечения ИБ и применения рекомендаций других стандартов информационной безопасности. 3. Предполагаемые изменения в действующих стандартах направлены на конкретизацию их положений, достижение большей четкости и однозначности формулировок при сохранении преемственности. Разрабатываются новые документы для решения задач, возникающих при обеспечении информационной безопасности в соответствии со стандартами комплекса СТО/РС БР ИББС. Спасибо за внимание! Велигура Александр Николаевич Заместитель генерального директора Председатель комитета по информационной безопасности Ассоциации российских банков Адрес: Россия, Москва, ул.Серпуховской Вал,19-8 Телефон:+7 (495) 921-44-82 Сайт: www.andek.ru, E-mail: a.veligura@andek.ru 5 / 23
