
686cd0693b23b0be000bd93d2aac3dd1.ppt
- Количество слайдов: 38
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления № 474 и стандартов Национального банка Украины. Дмитрий Зарахович Ирина Ивченко
Предисловие • Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову № 474 від 28 жовтня 2010 р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” http: //bank. gov. ua/B_zakon/Acts/2010/28102010_474. pdf • З дня опублікування цієї постанови набирають чинності такі стандарти НБУ: – СОУ Н НБУ 65. 1 СУІБ 1. 0: 2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IEС 27001: 2005, МОD); – СОУ Н НБУ 65. 1 СУІБ 2. 0: 2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IEС 27002: 2005, МОD). • Також Банки України повинні впровадити системи управління інформаційною безпекою до 01. 10. 2011 відповідно до вищевказаних стандартів Національного банку України.
Наш опыт - Нам доверили
Откуда приходит ИБ? Формирование бизнес идеи Постановка основных процессов Автоматизация основных процессов (Back Office & Front Office) Формирование информационных активов Организация информационной безопасности
Необходимость внедрения системы управления информационной безопасностью (СУИБ) обусловлена: • • • наличием в банках большого количества систем автоматизации, между собой взаимодействуют, обмениваются данными; наличием различных систем защиты информации в различных системах автоматизации банковской деятельности; отсутствием подробного описания, что создает условия появления больших операционных рисков и зависимости от разработчиков и администраторов систем; отсутствием ИТ аудита и анализа ИТ рисков; условиями, когда информационной безопасностью занимаются только специалисты по безопасности, владельцы бизнеспроцессов/банковских продуктов считают, что защита информации мешает бизнесу; отсутствием поддержки со стороны руководства банка в вопросах информационной безопасности (руководство считает, что меры безопасности не приносят прибыли)
Стандартизация и требования локального законодательства • Стандарты ISO 9001 - Система Менеджмента Качества ISO 20000 - Система Управления IT-Сервисами ISO 27001 - Система Управления Информационной Безопасностью BS 25999 - Система Управления Непрерывностью Бизнеса ISO 14001 – Система Экологического Менеджмента OHSAS 18001 - Система Управления Охраной Труда и Производственной Безопасностью – ISO 22000 – Система Управления Пищевой Безопасностью – ISO 31001 – Риск-менеджмент – – –
Стандартизация и требования локального законодательства • Законодательство (с ссылками на ИБ) – Об информации – О защите информации в информационно-телекоммуникационных системах – Об электронных документах и электронном документообороте – Об электронной цифровой подписи – О защите персональных данных – Кодекс Украины об административных правонарушениях – Уголовный кодекс Украины – Про Национальный Банк Украины – Про банки и банковскую деятельность – Нормативно-правовые акты НБУ
Идеология построения ИБ: процесс «as is» объект процесс субъект Найти Вернуть Наказать
Пре д охр ани ть Идеология построения ИБ: процесс «to be» ть аза Инвест иции Нак ь нут Вер Най ти Риски Активы • Вопрос подмены понятий: – «Информационная безопасность» не равна «безопасности ИТ-системы» ИБ
Участие в процессе СУИБ: функциональные мотивы • – Увеличение дохода – Снижение затрат – Управляемость бизнеса CEO Audit ИБ CSO СЕО – Председатель правления • CIO – ИТ-директор – Автоматизация бизнес-процессов – Поддержка систем автоматизации – Обеспечение непрерывности и устойчивости – Рационализация бизнес-процессов CIO • CSO – Директор по безопасности – Найти/вернуть/наказать – Превентивная защита бизнеса • Служба внутреннего аудита Владельцы БП – Соответствие бизнес-показателей установленным KPI – Применение стандартов и методик
Руководство банка должно обеспечить: • • • контроль разработки политики СУИБ контроль того, что цели и планы СУИБ разработаны контроль разработки ролей и обязанностей по информационной безопасности доведение до сведения персонала информации о важности достижения целей информационной безопасности и соответствия политике информационной безопасности, ответственности перед законом и потребности постоянного совершенствования предоставление достаточных ресурсов для разработки, внедрения, функционирования, мониторинга, пересмотра, поддержания и совершенствования СУИБ принятия решения относительно критериев принятия рисков и приемлемых уровней рисков обеспечение проведения внутренних аудитов СУИБ проведение пересмотров СУИБ
Цели внедрения СУИБ • снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности; • постоянно отслеживать и оценивать риски с учетом всей бизнеса; • эффективно выявлять наиболее критические риски и избегать их реализации; • разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение; • эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса; • обеспечить понимание вопросов информационной безопасности руководством и всеми работниками; • обеспечить повышение репутации и рыночной привлекательности; • обеспечить защиту от рейдерских атак;
Разница в международных стандартах ISO 27001 ISO 27002 и стандартов Национального Банка Украины: • Международные стандарты ISO 27001 и ISO 27002 являются стандартами высокого уровня и описывают общие подходы по построению и функционированию систем управления информационной безопасностью • В стандартах Национального банка Украины СОУ Н НБУ 65. 1 СУИБ 1. 0: 2010 и СОУ Н НБУ 65. 1 СУИБ 2. 0: 2010 часть требований уточнена и усилена требованиями нормативных документов Национального банка Украины • Это привело к регламентации вопросов информационной безопасности в стандартах Национального банка Украины вместо общих деклараций международных стандартов
Соответствие стандартам • Соответствие стандартам Национального банка Украины практически означает соответствие международным стандартам но не наоборот • Национальный банк Украины не требует от банков Украины проведение сертификации на соответствие международным стандартам
Особенности внедрения и функционирования СУИБ в банках Украины • СУИБ должна быть внедрена для банка в целом • при внедрении СУИБ необходимо подробно описать существующую инфраструктуру банка и средства защиты; • оценка рисков должна осуществляться на основе рассмотрения рисков бизнес-процессов/банковских продуктов, а не отдельных ресурсов СУИБ; • предложена методика оценки не предусматривает усреднения рисков по бизнес-процессам/банковским продуктам, что позволяет четко определить причины наибольших рисков и правильно выбрать дополнительные меры безопасности; • функционирования и совершенствования СУИБ является непрерывным процессом
СУИБ в банках Украины должна включать: Банк в целом процессы и процедуры системы управления персонал физическую среду конфигурацию программно-технических комплексов, оборудование, программное обеспечение • системы телекоммуникации • зависимость от внешних организаций • • •
Этапность работ по создании системы Менеджмента Введение созданной системы в эксплуатацию Автоматизация снижения уровня рисков Подготовительный этап Экспертная оценка Создание проекта Оценка рисков
Подготовительный этап • Подготовительный этап: Введение созданной системы в эксплуатацию Подготовительный этап Создание проекта Экспертная оценка Оценка рисков – определение границ СУИБ; – изучение Исполнителем предоставленной Заказчиком информации, касающейся общего описания информационнотелекоммуникационной системы (далее ИТС). • Анализ документации СУИБ Заказчика: – анализ разработанных и внедренных Заказчиком политик, стандартов, процедур и других распорядительных документов, касающихся функционирования ИТС; – разработка рекомендаций по доработке организационно-нормативной базы, необходимой для функционирования системы СУИБ.
Назначение ответственных Создании комитета СУИБ Положение о комитете СУИБ Точка коммуникации со стороны Заказчика
Анализ документации Документация База для экспертной оценки
Экспертная оценка Введение Подготовительный созданной системы этап в эксплуатацию Создание проекта Экспертная оценка Оценка рисков • Существующая у Заказчика документация • Составляющие инвентаризации: – – Информационная среда Технологическая среда Физическая среда Среда пользователей
Создание ТЗ на СУИБ • Результаты создания ТЗ на СУИБ – Техническое задание на создание СУИБ. – Отчет по результатам экспертной оценки информационной системы. – Рекомендации по доработке ИТС и связанной с ней нормативнораспорядительной документации, с целью соответствия ее требованиям международных и отраслевых стандартов по управлению информационной безопасностью.
Создание ТЗ на СУИБ Документация Составляющие сред Описание БП База к оценке рисков
Оценка рисков Введение Подготовительный созданной системы этап в эксплуатацию Экспертная оценка Создание проекта Оценка рисков • Перечень бизнес-процессов • Выделение критических бизнес-процессов • Описание бизнес-процессов согласно методике НБУ
Этап оценки рисков • • Определение основных бизнес-процессов организации и их взаимодействия; Инвентаризация ресурсов (определение существенных активов); Разработка и согласование с Заказчиком методики оценки рисков Проведение работ по оценке рисков с предоставлением отчета; Определение допустимых уровней риска и подготовка документа для принятия (утверждения) остаточных рисков. Исследование и анализ мер защиты, которые уже были определены и реализованы в организации (анализируются организационные мероприятия, осуществленные в области планирования, внедрения, аудита и модернизации способов обеспечения информационной безопасности, и программно-технические средства и механизмы защиты информации, уже используются); Разработка перечня дополнительных мероприятий по снижению уровней рисков; Документальное оформление общего плана обработки рисков.
Возникающие вопросы • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п. 4. 2 методики – Відповідно до Положення про організацію операціи ноі діяльності в банках Украі ни, затвердженого постановою Правління Національного банку Украі ни від 18. 06. 2006 N 254 банківськии продукт – це стандартизовані процедури, що забезпечують виконання банками операціи , згрупованих за відповідними типами та ознаками. – Не існує стандартного набору бізнес-процесів/банківських продуктів для будь-якого банку. Тому банк має самостіи но визначити відповідні бізнес- процеси/банківські продукти, які використовуються всередині банку.
Пример блок-схемы критичных бизнес-процессов
Возникающие вопросы • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п. 4. 2 методики – Банк повинен створити перелік критичних бізнеспроцесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якоі може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнеспроцеси/банківські продукти, що обробляють: • • платіжні документи, внутрішні платіжні документи, кредитні документи, документи на грошові перекази, персональні дані клієнтів та працівників банку, статистичні звіти, інші документи, які містять інформацію з обмеженим доступом.
Корреляция сервисов и пользователей Бизнессервисы Бизнес-пользователи Приложения и базы данных Внедренцы и разработчики Программное и аппаратное обеспечение ИТспециалисты Коммуникационная сеть, каналообразующее и маршрутизирующее оборудование Админист раторы
Этап оценки рисков • Результат этапа оценки рисков – Методика оценки рисков адаптирована к потребностям Заказчика; – Отчет по результатам оценки рисков; – Рекомендации по уменьшению уровней существенных рисков (в рамках плана обработки рисков).
«Облако рисков» для пар угроза/уязвимость 30. 00 25. 00 20. 00 15. 00 10. 00 5. 00 0. 00 31
«Облако рисков» и устранение рисков (денежная оценка) • Логично «срезать» риски радиусами • Принятие решений об инвестициях и бюджетах на снижение рисков на основании стоимости средств защиты и административных мероприятий 32
Документирование СУИБ • Задачи этапа – Создание нормативной и технической документации на СУИБ; – Разработка и адаптация механизмов внедрения требований СУИБ в ИТС. • Результат - Технический проект состоящий из нормативной и технической документации по следующим уровням: – уровень политики информационной безопасности; – уровень положений, методик и процедур, которые проводятся в рамках СУИБ; – уровень инструкций СУИБ; – уровень документов механизмов контроля (внутренние аудиты, контроле со стороны руководства) – уровень положений о структурных подразделениях и должностных инструкций.
Реализация требований СУИБ • Этап внедрения решений и технологий – Перечень решений блочно на следующем слайде • Введение СУИБ в эксплуатацию – Разработка программы и методики испытания СУИБ; – Введение СУИБ в опытную и промышленную эксплуатацию; – Поддержка осведомленности персонала • Результат – – Программа и методики испытания СУИБ; Протокол по результатам испытаний; Проект акта ввода в опытную и промышленную эксплуатацию; Использование, модификация и улучшение СУИБ
Продукты и решения по обеспечению ИБ Управление доступом пользователей Обеспечение безопасности платформ и инфраструктуры Решения по аутентификации Антивирусное ПО Решения по автоматизации разграничения доступа ПО для защиты рабочих станций и серверов Управление идентификацией Специализирова нное ПО для устройств вводавывода ПО для защиты систем управления базами данных (СУБД) Специализирова нное ПО для предотвращения утечек (DLP, больше чем DLP) Системы обнаружения и предотвращения вторжений Системы защиты периметра сети (Firewall, UTM) Proxy серверы, фильтрация URL и электронной почты Устройства для организации криптографическ и защищенных соединений SSL, VPN Средства регистрации и мониторинга Системы для сбора и обработки событий Сканеры уязвимостей ПО для оценки защищенности систем и приложений Обеспечение непрерывности функционирования IT Системы обеспечения бесперебойного эл. питания Системы охлаждения и климат-контроля Системы резервного копирования и восстановления
Услуги по обеспечению ИБ Консалтинг Анализ рисков ИТ Аудит бизнес приложений (ПО) Организация систем управления ИБ Аудит ИТ инфраструктуры Организация кризисного менеджмента Проведение систем в соответствие с требованиями регуляторов Системы по расчету и оценке экономической эффективности мер по ИБ Обучение Аудит Оценка защищенности систем управления базами данных Тесты на проникновение в системы Аудит на соответствие требованиям по ISO 27001 Аудит на соответствие требованиям PCI DSS Аудит на соответствие ИБ Третьими лицами Тренинги по организации ИБ для специалистов и менеджеров Повышение осведомленности персонала предприятия по вопросам ИБ Аутсорсинг услуг по безопасности Внешнее сканирование на уязвимость Криптографическая защита процессов Облачные системы для обработки и хранения данных
Мониторинг, управление и расследование инцидентов ИБ • • Уровень предоставления сервисов Уровень приложений и баз данных Уровень программного и аппаратного обеспечения Сетевой уровень – каналы связи и канало образующее оборудование • Интеграция с системами информационной безопасности • Интеграция с системами расследования инцидентов
Дмитрий Зарахович Dmitry. Zarakhovych@sicenter. net +380 98 124 -0 -126 Ирина Ивченко Irina. Ivchenko@sicenter. net +380 67 715 -13 -69