1 / 18

Комплекс стандартов Банка России: новости 2008 года

Комплекс стандартов Банка России: новости 2008 года. А.Н.Велигура Председатель комитета по информационной безопасности Ассоциации российских банков Заместитель генерального директора ООО «АНДЭК Технолоджиз». Обеспечение ИБ. Основная деятельность. Информационно-технологическая среда.

giuseppe
Télécharger la présentation

Комплекс стандартов Банка России: новости 2008 года

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Комплекс стандартов Банка России: новости 2008 года А.Н.Велигура Председатель комитета по информационной безопасности Ассоциации российских банков Заместитель генерального директора ООО «АНДЭК Технолоджиз»

  2. Обеспечение ИБ Основная деятельность Информационно-технологическаясреда угрозы, воздействующие через ИТ-среду

  3. Обеспечение ИБ Основная деятельность Информационно-технологическаясреда меры информационнойбезопасности угрозы, воздействующие через ИТ-среду

  4. Вопрос №1:каковы допустимые пределы деградации процессов основной деятельности (бизнес-процессов)? Вопрос №2:какие отклонения в работе ИТ-инфраструктуры могут привести к этой деградации? Вопрос №3:реализация каких угроз ИБ может вызвать эти отклонения? Как защититься от этих угроз?

  5. Организация управления ИБ Организовать управление обеспечением информационной безопасности – задача руководства банка. Это задача решается путем создания соответствующих политик и процедур. Место стандартов: источник консолидированного опыта и лучших практик

  6. Некоторые международные стандарты ИБ, гармонизированные и введенные в Российской Федерации в 2006-2007 гг. Национальный стандарт ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» Национальный стандарт ГОСТ Р ИСО/МЭК 17799-2006 «Информационная технология. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности» Национальный стандарт ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» Национальный стандарт ГОСТ Р ИСО/МЭК 13335-3-2006 «Информационнаятехнология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» Национальный стандарт ГОСТ Р ИСО/МЭК 13335-4-2006 «Информационнаятехнология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер» Национальный стандарт ГОСТ Р ИСО/МЭК 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»

  7. Комплекс стандартов и рекомендаций по стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Методика оценки соответствия СТО БР ИББС – 1.2 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Руководство по самооценке РС БР ИББС – 2.1

  8. Внедрение СТО БР ИББС-1.0 и соответствие ему Индикаторы достижения определенного уровня соответствия положениям СТО БР ИББС-1.0-2006 – показатели Методики оценки (СТО БР ИББС-1.2-2007) – всего 266 показателей, объединенных в 32 группы.

  9. Индикаторы достижения определенного уровня соответствия положениям СТО БР ИББС-1.0-2006 – показатели Методики оценки (СТО БР ИББС-1.2-2007) – всего 266 показателей, объединенных в 32 группы.

  10. Направления оценки согласно «Методике оценки» (СТО БР ИББС – 1.2) • Оценка менеджмента информационной безопасности • Оценка осознания информационной безопасности • Оценка текущего состояния обеспечения информационной безопасности.

  11. Потребности и основные направления доработки СТО БР ИББС-1.0 • 1. Уточнение и введение ряда понятий: • система информационной безопасности (СИБ); • система менеджмента информационной безопасности (СМИБ); • система обеспечения информационной безопасности (СОИБ). • 2. По разделу 7 «Система информационной безопасности организаций БС РФ»: • более четкие и однозначные формулировки; • исключение требований, связанных с реализацией; • добавлены требования к дистанционному банковскому обслуживанию. • 3. Введение конкретных требований к СМИБ (раздел 8); • 4. Исключены разделы 4 («Основные принципы») • и 11 («Модель зрелости»).

  12. Комплекс стандартов и рекомендаций по стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Методика оценки соответствия СТО БР ИББС – 1.2 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.2 Методика классификации активов РС БР ИББС – 2.3 Методика назначения и описания ролей РС БР ИББС – 2.4

  13. СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Реализация СОИБ Планирование СОИБ СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Проверка СОИБ Совершенствование СОИБ СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  14. Потребности и основные направления доработки СТО БР ИББС-1.2 1. В связи с изменением формулировок разделов 7 и 8 СТО БР ИББС-1.0 меняется соответственно база частных показателей (Приложение А). 2. В формах групповых показателей появился рекомендуемый частный показатель с оценкой либо "1", либо "н/о". 3. Если частный показатель предназначен для оценки требований, которые на момент оценки не являются актуальными для организации, то он определяется как неоцениваемый. 4. Частные показатели, связанные с направлением "Осознание" берутся из тех требований раздела 8, которые характеризуют отношение руководства к проблеме ИБ.

  15. Проект РС БР ИББС-2.2 Методика оценки рисков нарушения ИБ 1. В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Оценка рисков нарушения ИБ проводится для типов информационных активов (с целью сокращения временных и прочих затрат на ее выполнение) на основе оценивания и последующего анализа двух величин: - Степень Тяжести Последствий от потери значимых свойств ИБ; - Степень Возможности Реализации угроз ИБ. 3. Оценка проводиться для всех значимых свойств ИБ всех типов информационных активов и всех соответствующих им комбинаций типов объектов защиты и воздействующих на них источников угроз. 4. Кредитная организации определяет для себя уровень приемлемого риска нарушения ИБ самостоятельно.

  16. Проект РС БР ИББС-2.3 Методика классификации информационных активов 1. В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Методика предлагает классификацию информационных активов в соответствии со степенью тяжести последствий (СТП), возникающих при потере значимых свойств ИБ. 3. СТП оценивается по следующим направлениям: - непрерывность деятельности; - объем финансовых и материальных затрат; - объем дополнительных людских ресурсов; - объем дополнительных временных затрат; - нарушение законодательных или договорных требований; - нарушение требований регулирующих и контролирующих (надзорных) органов в области ИБ.

  17. Резюмируя: 1. Управление ИБ есть частьуправления рисками организация этого – задача руководства банков. 2. Стандарты Банка России должны служить базой для выстраивания всего процесса обеспечения ИБ и применения рекомендаций других стандартов информационной безопасности. 3. Предполагаемые изменения в действующих стандартах направлены на конкретизацию их положений, достижение большей четкости и однозначности формулировок при сохранении преемственности. Разрабатываются новые документы для решения задач, возникающих при обеспечении информационной безопасности в соответствии со стандартами комплекса СТО/РС БР ИББС.

  18. Спасибо за внимание! Велигура Александр Николаевич Заместитель генерального директора Председатель комитета по информационной безопасности Ассоциации российских банков Адрес: Россия, Москва, ул.Серпуховской Вал,19-8 Телефон:+7 (495) 921-44-82 Сайт: www.andek.ru, E-mail:a.veligura@andek.ru 5 / 23

More Related