Опыт практического проведения оценки соответствия

реклама
Комплекс стандартов Банка России:
новости 2008 года
А.Н.Велигура
Председатель комитета по
информационной безопасности
Ассоциации российских банков
Заместитель генерального директора
ООО «АНДЭК Технолоджиз»
Обеспечение ИБ
Основная деятельность
Информационно-технологическая среда
угрозы, воздействующие через ИТ-среду
Обеспечение ИБ
Основная деятельность
Информационно-технологическая среда
меры информационной безопасности
угрозы, воздействующие через ИТ-среду
Вопрос №1: каковы допустимые пределы
деградации процессов основной
деятельности (бизнес-процессов)?
Вопрос №2: какие отклонения в работе ИТинфраструктуры могут привести к этой
деградации?
Вопрос №3: реализация каких угроз ИБ
может вызвать эти отклонения?
Как защититься от этих угроз?
Организация управления ИБ
Организовать управление обеспечением
информационной безопасности – задача
руководства банка.
Это задача решается путем создания
соответствующих политик и процедур.
Место стандартов: источник консолидированного
опыта и лучших практик
Некоторые международные стандарты ИБ, гармонизированные
и введенные в Российской Федерации в 2006-2007 гг.
Национальный стандарт ГОСТ Р ИСО/МЭК 27001-2006
«Информационная технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования»
Национальный стандарт ГОСТ Р ИСО/МЭК 17799-2006
«Информационная технология. Методы и средства обеспечения безопасности.
Практические правила менеджмента информационной безопасности»
Национальный стандарт ГОСТ Р ИСО/МЭК 13335-1-2006
«Информационная технология. Методы и средства обеспечения безопасности.
Часть 1. Концепция и модели менеджмента безопасности информационных
и телекоммуникационных
технологий»
Национальный
стандарт ГОСТ Р
ИСО/МЭК 13335-3-2006
«Информационная технология. Методы и средства обеспечения безопасности.
ЧастьНациональный
3. Методы менеджмента
безопасности
информационных
стандарт ГОСТ
Р ИСО/МЭК
13335-4-2006 технологий »
«Информационная технология. Методы и средства обеспечения безопасности.
Часть 4. Выбор защитных мер »
Национальный стандарт ГОСТ Р ИСО/МЭК 13335-5-2006
«Информационная технология. Методы и средства обеспечения безопасности.
Часть 5. Руководство по менеджменту безопасности сети»
Комплекс
стандартов и рекомендаций по стандартизации
«Обеспечение информационной безопасности
организаций банковской системы Российской Федерации»
Общие положения
СТО БР ИББС – 1.0
Аудит информационной
безопасности
СТО БР ИББС – 1.1
Документы по обеспечению
информационной
безопасности
РС БР ИББС – 2.0
Методика оценки
соответствия
СТО БР ИББС – 1.2
Руководство по самооценке
РС БР ИББС – 2.1
Внедрение СТО БР ИББС-1.0
и соответствие ему
Индикаторы достижения определенного уровня
соответствия положениям СТО БР ИББС-1.0-2006
–
показатели Методики оценки (СТО БР ИББС-1.22007) – всего 266 показателей, объединенных в 32
группы.
Индикаторы достижения определенного уровня
соответствия положениям СТО БР ИББС-1.0-2006
– показатели Методики оценки (СТО БР ИББС-1.22007) – всего 266 показателей, объединенных в 32
группы.
Направления оценки согласно «Методике
оценки» (СТО БР ИББС – 1.2)
• Оценка менеджмента информационной
безопасности
• Оценка осознания информационной
безопасности
• Оценка текущего состояния обеспечения
информационной безопасности.
Потребности и основные направления
доработки СТО БР ИББС-1.0
1. Уточнение и введение ряда понятий:
– система информационной безопасности (СИБ);
– система менеджмента информационной безопасности
(СМИБ);
– система обеспечения информационной безопасности
(СОИБ).
2. По разделу 7 «Система информационной безопасности
организаций БС РФ»:
– более четкие и однозначные формулировки;
– исключение требований, связанных с реализацией;
– добавлены требования к дистанционному
банковскому обслуживанию.
3. Введение конкретных требований к СМИБ (раздел 8);
4. Исключены разделы 4 («Основные принципы»)
и 11 («Модель зрелости»).
Комплекс
стандартов и рекомендаций по стандартизации
«Обеспечение информационной безопасности
организаций банковской системы Российской Федерации»
Классификатор
СТО БР ИББС – 0.0
Общие положения
СТО БР ИББС – 1.0
Аудит информационной
безопасности
СТО БР ИББС – 1.1
Документы по обеспечению
информационной
безопасности
РС БР ИББС – 2.0
Методика оценки рисков
РС БР ИББС – 2.2
Термины и определения
СТО БР ИББС – 0.1
Методика оценки
соответствия
СТО БР ИББС – 1.2
Руководство по самооценке
РС БР ИББС – 2.1
Методика классификации
активов
РС БР ИББС – 2.3
Методика назначения
и описания ролей
РС БР ИББС – 2.4
СИСТЕМА ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Реализация
СОИБ
Планирование
СОИБ
СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Проверка
СОИБ
Совершенствование
СОИБ
Потребности и основные направления
доработки СТО БР ИББС-1.2
1. В связи с изменением формулировок разделов 7 и 8 СТО
БР ИББС-1.0 меняется соответственно база частных
показателей (Приложение А).
2. В формах групповых показателей появился
рекомендуемый частный показатель с оценкой либо "1",
либо "н/о".
3. Если частный показатель предназначен для оценки
требований, которые на момент оценки не являются
актуальными для организации, то он определяется как
неоцениваемый.
4. Частные показатели, связанные с направлением
"Осознание" берутся из тех требований раздела 8, которые
характеризуют отношение руководства к проблеме ИБ.
Проект РС БР ИББС-2.2
Методика оценки рисков нарушения ИБ
1. В рамках Комплекса БР ИББС документ будет иметь
рекомендательный характер.
2. Оценка рисков нарушения ИБ проводится для типов
информационных активов (с целью сокращения временных
и прочих затрат на ее выполнение) на основе оценивания и
последующего анализа двух величин:
- Степень Тяжести Последствий от потери значимых
свойств ИБ;
- Степень Возможности Реализации угроз ИБ.
3. Оценка проводиться для всех значимых свойств ИБ всех
типов информационных активов и всех соответствующих
им комбинаций типов объектов защиты и воздействующих
на них источников угроз.
4. Кредитная организации определяет для себя уровень
приемлемого риска нарушения ИБ самостоятельно.
Проект РС БР ИББС-2.3
Методика классификации
информационных активов
1. В рамках Комплекса БР ИББС документ будет иметь
рекомендательный характер.
2. Методика предлагает классификацию информационных
активов в соответствии со степенью тяжести последствий
(СТП), возникающих при потере значимых свойств ИБ.
3. СТП оценивается по следующим направлениям:
- непрерывность деятельности;
- объем финансовых и материальных затрат;
- объем дополнительных людских ресурсов;
- объем дополнительных временных затрат;
- нарушение законодательных или договорных
требований;
- нарушение требований регулирующих и
контролирующих (надзорных) органов в области ИБ.
Резюмируя:
1. Управление
ИБ есть часть управления рисками
организация этого – задача руководства
банков.
2. Стандарты Банка России должны служить базой
для выстраивания всего процесса обеспечения
ИБ и применения рекомендаций других
стандартов информационной безопасности.
3. Предполагаемые изменения в действующих
стандартах направлены на конкретизацию их
положений, достижение большей четкости и
однозначности формулировок при сохранении
преемственности.
Разрабатываются новые документы для решения
задач, возникающих при обеспечении
информационной безопасности в соответствии со
стандартами комплекса СТО/РС БР ИББС.
Спасибо за внимание!
Велигура Александр Николаевич
Заместитель генерального директора
Председатель комитета
по информационной безопасности
Ассоциации российских банков
Адрес: Россия, Москва, ул.Серпуховской Вал,19-8
Телефон:+7 (495) 921-44-82
Сайт: www.andek.ru,
E-mail: a.veligura@andek.ru
5 / 23
Скачать