Дмитрий Зарахович Ирина Ивченко
DESCRIPTION
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины. Дмитрий Зарахович Ирина Ивченко. Предисловие. - PowerPoint PPT PresentationTRANSCRIPT
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины.Дмитрий ЗараховичИрина Ивченко
Предисловие
• Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову №474 від 28 жовтня 2010р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” http://bank.gov.ua/B_zakon/Acts/2010/28102010_474.pdf
• З дня опублікування цієї постанови набирають чинності такі стандарти НБУ:– СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській
діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IEС 27001:2005, МОD);
– СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IEС 27002:2005, МОD).
• Також Банки України повинні впровадити системи управління інформаційною безпекою до 01.10.2011 відповідно до вищевказаних стандартів Національного банку України.
Наш опыт - Нам доверили
Откуда приходит ИБ?
Необходимость внедрения системы управления информационной безопасностью (СУИБ) обусловлена:• наличием в банках большого количества систем
автоматизации, между собой взаимодействуют, обмениваются данными;
• наличием различных систем защиты информации в различных системах автоматизации банковской деятельности;
• отсутствием подробного описания, что создает условия появления больших операционных рисков и зависимости от разработчиков и администраторов систем;
• отсутствием ИТ аудита и анализа ИТ рисков;• условиями, когда информационной безопасностью
занимаются только специалисты по безопасности, владельцы бизнес-процессов/банковских продуктов считают, что защита информации мешает бизнесу;
• отсутствием поддержки со стороны руководства банка в вопросах информационной безопасности (руководство считает, что меры безопасности не приносят прибыли)
Стандартизация и требования локального законодательства• Стандарты
– ISO 9001 - Система Менеджмента Качества– ISO 20000 - Система Управления IT-Сервисами – ISO 27001 - Система Управления Информационной
Безопасностью – BS 25999 - Система Управления Непрерывностью Бизнеса– ISO 14001 – Система Экологического Менеджмента– OHSAS 18001 - Система Управления Охраной Труда и
Производственной Безопасностью– ISO 22000 – Система Управления Пищевой Безопасностью– ISO 31001 – Риск-менеджмент
Стандартизация и требования локального законодательства• Законодательство (с ссылками на ИБ)
– Об информации– О защите информации в информационно-
телекоммуникационных системах– Об электронных документах и электронном
документообороте– Об электронной цифровой подписи– О защите персональных данных – Кодекс Украины об административных правонарушениях– Уголовный кодекс Украины
– Про Национальный Банк Украины– Про банки и банковскую деятельность– Нормативно-правовые акты НБУ
Идеология построения ИБ: процесс «as is»
Идеология построения ИБ:процесс «to be»
ИБИБ
• Вопрос подмены понятий: – «Информационная
безопасность» не равна «безопасности ИТ-системы»
Участие в процессе СУИБ: функциональные мотивы
• СЕО – Председатель правления– Увеличение дохода– Снижение затрат– Управляемость бизнеса
• CIO – ИТ-директор– Автоматизация бизнес-процессов– Поддержка систем автоматизации– Обеспечение непрерывности и
устойчивости– Рационализация бизнес-процессов
• CSO – Директор по безопасности– Найти/вернуть/наказать– Превентивная защита бизнеса
• Служба внутреннего аудита– Соответствие бизнес-показателей
установленным KPI– Применение стандартов и методик
Владельцы БПВладельцы БП
Руководство банка должно обеспечить:• контроль разработки политики СУИБ• контроль того, что цели и планы СУИБ разработаны• контроль разработки ролей и обязанностей по информационной• безопасности• доведение до сведения персонала информации о важности
достижения целей информационной безопасности и соответствия политике информационной безопасности, ответственности перед законом и потребности постоянного совершенствования
• предоставление достаточных ресурсов для разработки, внедрения, функционирования, мониторинга, пересмотра, поддержания и совершенствования СУИБ
• принятия решения относительно критериев принятия рисков и приемлемых уровней рисков
• обеспечение проведения внутренних аудитов СУИБ• проведение пересмотров СУИБ
Цели внедрения СУИБ
• снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности;
• постоянно отслеживать и оценивать риски с учетом всей бизнеса;
• эффективно выявлять наиболее критические риски и избегать их реализации;
• разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение;
• эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса;
• обеспечить понимание вопросов информационной безопасности руководством и всеми работниками;
• обеспечить повышение репутации и рыночной привлекательности;
• обеспечить защиту от рейдерских атак;
Разница в международных стандартах ISO 27001 ISO 27002 и стандартов Национального Банка Украины:
• Международные стандарты ISO 27001 и ISO 27002 являются стандартами высокого уровня и описывают общие подходы по построению и функционированию систем управления информационной безопасностью
• В стандартах Национального банка Украины СОУ Н НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ 2.0:2010 часть требований уточнена и усилена требованиями нормативных документов Национального банка Украины
• Это привело к регламентации вопросов информационной безопасности в стандартах Национального банка Украины вместо общих деклараций международных стандартов
Соответствие стандартам• Соответствие стандартам
Национального банка Украины практически означает соответствие международным стандартам но не наоборот
• Национальный банк Украины не требует от банков Украины проведение сертификации на соответствие международным стандартам
Особенности внедрения и функционирования СУИБ в банках Украины
• СУИБ должна быть внедрена для банка в целом• при внедрении СУИБ необходимо подробно описать
существующую инфраструктуру банка и средства защиты;
• оценка рисков должна осуществляться на основе рассмотрения рисков бизнес-процессов/банковских продуктов, а не отдельных ресурсов СУИБ;
• предложена методика оценки не предусматривает усреднения рисков по бизнес-процессам/банковским продуктам, что позволяет четко определить причины наибольших рисков и правильно выбрать дополнительные меры безопасности;
• функционирования и совершенствования СУИБ является непрерывным процессом
СУИБ в банках Украины должна включать:• Банк в целом• процессы и процедуры• системы управления• персонал• физическую среду• конфигурацию программно-технических
комплексов, оборудование, программное обеспечение
• системы телекоммуникации• зависимость от внешних организаций
Этапность работ по создании системы Менеджмента
Подготовительный этап
• Подготовительный этап:– определение границ СУИБ;– изучение Исполнителем предоставленной
Заказчиком информации, касающейся общего описания информационно-телекоммуникационной системы (далее - ИТС).
• Анализ документации СУИБ Заказчика:– анализ разработанных и внедренных
Заказчиком политик, стандартов, процедур и других распорядительных документов, касающихся функционирования ИТС;
– разработка рекомендаций по доработке организационно-нормативной базы, необходимой для функционирования системы СУИБ.
Назначение ответственных
Анализ документации
Экспертная оценка
• Существующая у Заказчика документация
• Составляющие инвентаризации:– Информационная среда– Технологическая среда– Физическая среда– Среда пользователей
Создание ТЗ на СУИБ
• Результаты создания ТЗ на СУИБ– Техническое задание на создание СУИБ.– Отчет по результатам экспертной оценки информационной
системы.– Рекомендации по доработке ИТС и связанной с ней
нормативно-распорядительной документации, с целью соответствия ее требованиям международных и отраслевых стандартов по управлению информационной безопасностью.
Создание ТЗ на СУИБ
Оценка рисков
• Перечень бизнес-процессов• Выделение критических бизнес-
процессов• Описание бизнес-процессов
согласно методике НБУ
Этап оценки рисков
• Определение основных бизнес-процессов организации и их взаимодействия;
• Инвентаризация ресурсов (определение существенных активов);• Разработка и согласование с Заказчиком методики оценки рисков• Проведение работ по оценке рисков с предоставлением отчета;• Определение допустимых уровней риска и подготовка документа
для принятия (утверждения) остаточных рисков.• Исследование и анализ мер защиты, которые уже были определены
и реализованы в организации (анализируются организационные мероприятия, осуществленные в области планирования, внедрения, аудита и модернизации способов обеспечения информационной безопасности, и программно-технические средства и механизмы защиты информации, уже используются);
• Разработка перечня дополнительных мероприятий по снижению уровней рисков;
• Документальное оформление общего плана обработки рисков.
Возникающие вопросы• Какие критичные бизнес-процессы выбирать для области
применения и как их описывать - ответ дает п.4.2 методики
– Відповідно до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2006 N254 банківський продукт – це стандартизовані процедури, що забезпечують виконання банками операцій, згрупованих за відповідними типами та ознаками.
– Не існує стандартного набору бізнес-процесів/банківських продуктів для будь-якого банку. Тому банк має самостійно визначити відповідні бізнес- процеси/банківські продукти, які використовуються всередині банку.
Пример блок-схемы критичных бизнес-процессов
Возникающие вопросы• Какие критичные бизнес-процессы выбирать для области
применения и как их описывать - ответ дает п.4.2 методики
– Банк повинен створити перелік критичних бізнес-процесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якоі може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнес-процеси/банківські продукти, що обробляють:
• платіжні документи,• внутрішні платіжні документи,• кредитні документи,• документи на грошові перекази,• персональні дані клієнтів та працівників банку,• статистичні звіти,• інші документи, які містять інформацію з обмеженим доступом.
Корреляция сервисов и пользователей
Этап оценки рисков
• Результат этапа оценки рисков– Методика оценки рисков адаптирована к потребностям
Заказчика;– Отчет по результатам оценки рисков;– Рекомендации по уменьшению уровней существенных
рисков (в рамках плана обработки рисков).
«Облако рисков» для пар угроза/уязвимость
31
«Облако рисков» и устранение рисков (денежная оценка)
32
• Логично «срезать» риски радиусами
• Принятие решений об инвестициях и бюджетах на снижение рисков на основании стоимости средств защиты и административных мероприятий
Документирование СУИБ
• Задачи этапа– Создание нормативной и технической документации на СУИБ;– Разработка и адаптация механизмов внедрения требований
СУИБ в ИТС.
• Результат - Технический проект состоящий из нормативной и технической документации по следующим уровням:– уровень политики информационной безопасности;– уровень положений, методик и процедур, которые проводятся
в рамках СУИБ;– уровень инструкций СУИБ;– уровень документов механизмов контроля (внутренние
аудиты, контроле со стороны руководства)– уровень положений о структурных подразделениях и
должностных инструкций.
Реализация требований СУИБ
• Этап внедрения решений и технологий– Перечень решений блочно на следующем слайде
• Введение СУИБ в эксплуатацию– Разработка программы и методики испытания СУИБ;– Введение СУИБ в опытную и промышленную
эксплуатацию;– Поддержка осведомленности персонала
• Результат – Программа и методики испытания СУИБ;– Протокол по результатам испытаний;– Проект акта ввода в опытную и промышленную
эксплуатацию;– Использование, модификация и улучшение СУИБ
Продукты и решения по обеспечению ИБ
Управление доступом
пользователей
Обеспечение безопасности платформ и
инфраструктуры
Средства регистрации и мониторинга
Обеспечение непрерывности
функционирования IT
Решения по аутентификации
Решения по автоматизации разграничения
доступа
Управление идентификацией
Системы обеспечения
бесперебойного эл. питания
Системы охлаждения и
климат-контроля
Системы резервного
копирования и восстановления
Системы для сбора и
обработки событий
Сканеры уязвимостей
ПО для оценки защищенности
систем и приложений
Антивирусное ПО
ПО для защиты рабочих станций
и серверов
Специализированное ПО для
устройств ввода- вывода
ПО для защиты систем
управления базами данных
(СУБД)
Специализированное ПО для
предотвращения утечек (DLP,
больше чем DLP)
Системы обнаружения и
предотвращения вторжений
Системы защиты периметра сети (Firewall, UTM)
Proxy серверы, фильтрация URL
и электронной почты
Устройства для организации
криптографически защищенных
соединений SSL, VPN
Услуги по обеспечению ИБ
КонсалтингАудит Обучение
Аутсорсинг услуг по безопасности
Анализ рисков ИТ
Организация систем
управления ИБ
Организация кризисного
менеджмента
Внешнее сканирование на
уязвимость
Криптографическая защита процессов
Облачные системы для обработки и
хранения данных
Тренинги по организации ИБ
для специалистов и
менеджеров
Повышение осведомленности
персонала предприятия по
вопросам ИБ
Аудит бизнес приложений (ПО)
Аудит ИТ инфраструктуры
Оценка защищенности
систем управления
базами данных
Тесты на проникновение в
системы
Аудит на соответствие
требованиям по ISO 27001
Аудит на соответствие
требованиям PCI DSS
Аудит на соответствие ИБ
Третьими лицами
Проведение систем в
соответствие с требованиями регуляторов
Системы по расчету и оценке экономической эффективности
мер по ИБ
Мониторинг, управление и расследование инцидентов ИБ
• Уровень предоставления сервисов• Уровень приложений и баз данных• Уровень программного и аппаратного обеспечения• Сетевой уровень – каналы связи и канало образующее
оборудование
• Интеграция с системами информационной безопасности• Интеграция с системами расследования инцидентов
