Комплекс стандартов Банка России новости 2008 года А

Зарегистрируйтесь, чтобы просмотреть полный документ!

Комплекс стандартов Банка России: новости 2008 года А. Н. Велигура Председатель комитета по информационной безопасности Ассоциации российских банков Заместитель генерального директора ООО «АНДЭК Технолоджиз»

Обеспечение ИБ Основная деятельность Информационно-технологическая среда угрозы, воздействующие через ИТ-среду

Обеспечение ИБ Основная деятельность Информационно-технологическая среда меры информационной безопасности угрозы, воздействующие через ИТ-среду

Вопрос № 1: каковы допустимые пределы деградации процессов основной деятельности (бизнес-процессов)? Вопрос № 2: какие отклонения в работе ИТинфраструктуры могут привести к этой деградации? Вопрос № 3: реализация каких угроз ИБ может вызвать эти отклонения? Как защититься от этих угроз?

Организация управления ИБ Организовать управление обеспечением информационной безопасности – задача руководства банка. Это задача решается путем создания соответствующих политик и процедур. Место стандартов: источник консолидированного опыта и лучших практик

Некоторые международные стандарты ИБ, гармонизированные и введенные в Российской Федерации в 2006 -2007 гг. Национальный стандарт ГОСТ Р ИСО/МЭК 27001 -2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» Национальный стандарт ГОСТ Р ИСО/МЭК 17799 -2006 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности» Национальный стандарт ГОСТ Р ИСО/МЭК 13335 -1 -2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» Национальный стандарт ГОСТ Р ИСО/МЭК 13335 -3 -2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента. ГОСТ Р ИСО/МЭК 13335 -4 -2006 технологий » Национальный стандарт безопасности информационных «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер » Национальный стандарт ГОСТ Р ИСО/МЭК 13335 -5 -2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»

Комплекс стандартов и рекомендаций по стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения СТО БР ИББС – 1. 0 Аудит информационной безопасности СТО БР ИББС – 1. 1 Документы по обеспечению информационной безопасности РС БР ИББС – 2. 0 Методика оценки соответствия СТО БР ИББС – 1. 2 Руководство по самооценке РС БР ИББС – 2. 1

Внедрение СТО БР ИББС-1. 0 и соответствие ему Индикаторы достижения определенного уровня соответствия положениям СТО БР ИББС-1. 0 -2006 – показатели Методики оценки (СТО БР ИББС-1. 22007) – всего 266 показателей, объединенных в 32 группы.

Индикаторы достижения определенного уровня соответствия положениям СТО БР ИББС-1. 0 -2006 – показатели Методики оценки (СТО БР ИББС-1. 22007) – всего 266 показателей, объединенных в 32 группы.

Направления оценки согласно «Методике оценки» (СТО БР ИББС – 1. 2) • Оценка менеджмента информационной безопасности • Оценка осознания информационной безопасности • Оценка текущего состояния обеспечения информационной безопасности.

Потребности и основные направления доработки СТО БР ИББС-1. 0 1. Уточнение и введение ряда понятий: – система информационной безопасности (СИБ); – система менеджмента информационной безопасности (СМИБ); – система обеспечения информационной безопасности (СОИБ). 2. По разделу 7 «Система информационной безопасности организаций БС РФ» : – более четкие и однозначные формулировки; – исключение требований, связанных с реализацией; – добавлены требования к дистанционному банковскому обслуживанию. 3. Введение конкретных требований к СМИБ (раздел 8); 4. Исключены разделы 4 ( «Основные принципы» ) и 11 ( «Модель зрелости» ).

Комплекс стандартов и рекомендаций по стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Классификатор СТО БР ИББС – 0. 0 Общие положения СТО БР ИББС – 1. 0 Аудит информационной безопасности СТО БР ИББС – 1. 1 Документы по обеспечению информационной безопасности РС БР ИББС – 2. 0 Методика оценки рисков РС БР ИББС – 2. 2 Термины и определения СТО БР ИББС – 0. 1 Методика оценки соответствия СТО БР ИББС – 1. 2 Руководство по самооценке РС БР ИББС – 2. 1 Методика классификации активов РС БР ИББС – 2. 3 Методика назначения и описания ролей РС БР ИББС – 2. 4

СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Реализация СОИБ Планирование СОИБ СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Проверка СОИБ Совершенствование СОИБ

Потребности и основные направления доработки СТО БР ИББС-1. 2 1. В связи с изменением формулировок разделов 7 и 8 СТО БР ИББС-1. 0 меняется соответственно база частных показателей (Приложение А). 2. В формах групповых показателей появился рекомендуемый частный показатель с оценкой либо "1", либо "н/о". 3. Если частный показатель предназначен для оценки требований, которые на момент оценки не являются актуальными для организации, то он определяется как неоцениваемый. 4. Частные показатели, связанные с направлением "Осознание" берутся из тех требований раздела 8, которые характеризуют отношение руководства к проблеме ИБ.

Проект РС БР ИББС-2. 2 Методика оценки рисков нарушения ИБ 1. В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Оценка рисков нарушения ИБ проводится для типов информационных активов (с целью сокращения временных и прочих затрат на ее выполнение) на основе оценивания и последующего анализа двух величин: - Степень Тяжести Последствий от потери значимых свойств ИБ; - Степень Возможности Реализации угроз ИБ. 3. Оценка проводиться для всех значимых свойств ИБ всех типов информационных активов и всех соответствующих им комбинаций типов объектов защиты и воздействующих на них источников угроз. 4. Кредитная организации определяет для себя уровень приемлемого риска нарушения ИБ самостоятельно.

Проект РС БР ИББС-2. 3 Методика классификации информационных активов 1. В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Методика предлагает классификацию информационных активов в соответствии со степенью тяжести последствий (СТП), возникающих при потере значимых свойств ИБ. 3. СТП оценивается по следующим направлениям: - непрерывность деятельности; - объем финансовых и материальных затрат; - объем дополнительных людских ресурсов; - объем дополнительных временных затрат; - нарушение законодательных или договорных требований; - нарушение требований регулирующих и контролирующих (надзорных) органов в области ИБ.

Резюмируя: 1. Управление ИБ есть часть управления рисками организация этого – задача руководства банков. 2. Стандарты Банка России должны служить базой для выстраивания всего процесса обеспечения ИБ и применения рекомендаций других стандартов информационной безопасности. 3. Предполагаемые изменения в действующих стандартах направлены на конкретизацию их положений, достижение большей четкости и однозначности формулировок при сохранении преемственности. Разрабатываются новые документы для решения задач, возникающих при обеспечении информационной безопасности в соответствии со стандартами комплекса СТО/РС БР ИББС.

Спасибо за внимание! Велигура Александр Николаевич Заместитель генерального директора Председатель комитета по информационной безопасности Ассоциации российских банков Адрес: Россия, Москва, ул. Серпуховской Вал, 19 -8 Телефон: +7 (495) 921 -44 -82 Сайт: www. andek. ru, E-mail: a. veligura@andek. ru 5 / 23

Скачать презентацию Комплекс стандартов Банка России новости 2008 года А

0e085e1000326a25edd0f5119da09498.ppt

Количество слайдов: 18