Построение эффективной СУИБ на основе опыта банков СНГ

Построение эффективной
СУИБ на основе опыта
банков СНГ
Дмитрий Лазученков, EY
3 Марта 2016 г.
Подходы к управлению информационной безопасностью
Факторы влияющие на функции ИБ, а также высокая зависимость бизнес-процессов от
информационных систем, требуют от банков системного и целостного подхода к управлению
информационной безопасностью
► Банки, избравшие проактивный подход, усилили курс на построение и
поддержание эффективных систем управления информационной
безопасностью (СУИБ), которые призваны минимизировать риски ИБ и
повысить эффективность защиты информации
1
Преимущества эффективной СУИБ
Цели руководства
► Минимизировать убытки связанные с утечкой
информации, ошибках в данных, мошенничестве
► Прозрачность инвестиций и понимание целевого
результата
Цели СУИБ
► Обеспечить конфиденциальность, доступность и
целостность критичной информации при ее обработке,
обмене и хранении
► Соответствовать требованиям регуляторов
► Выполнять требования Национального банка Украины
и международных регуляторов
Преимущества для Бизнеса
► Соответствие целей ИБ стратегии бизнеса
► Интеграция управления рисками ИБ с корпоративной
системой управления рисками
► Внедрение оправданных по стоимости решений по
защите информационных активов
► Прозрачность затрат на обеспечение ИБ
► Минимизация рисков и предотвращение убытков от
угроз ИБ
Преимущества для ИБ
► Переход к проактивному управлению ИБ – от тушения
пожаров к их предотвращению
► Риск-ориентированный подход – возможность показать
бизнесу необходимость и оправданность мер ИБ
► Достижение необходимого уровня защиты
информационных активов Банка
► Системный подход к внедрению защитных мер
► Вовлеченность руководства
2
Регуляторные требования в области ИБ в Украине
Согласно Постановлению Национального Банка Украины №474 от 28.10.2010 требования к системе управления
информационной безопасностью в банковской системе Украины регламентированы следующими стандартами
НБУ:
► СОУ Н НБУ 65.1 СУІБ 1.0:2010 "Методи захисту в
інформаційною безпекою. Вимоги" (ISO/IES 27001:2005, MOD)
банківській діяльності.
Система
управління
► СОУ Н НБУ 65.1 СУІБ 2.0:2010 "Методи захисту в банківській діяльності. Звід правил для управління
інформаційною безпекою" (ISO/IES 27002:2005, MOD).
Согласно данным стандартам в первую очередь банк должен создать перечень критичных
бизнес-процессов/ банковских продуктов, которые обрабатывают информацию с ограниченным
доступом.
Однако, согласно рекомендациям стандартов серии ISO 27000, ключевым шагом является
определение основных Информационных активов, которые необходимо защищать.
Информационный актив – уникальная совокупность данных в любой форме
(бумажной, электронной, устной), которые принадлежат, используются в рамках
деятельности и представляют ценность для организации.
3
Серия стандартов ISO/IEC 27000
ISO/IEC 27000
ISO/IEC 27001 –
Система
управления
информационной
безопасностью –
Требования
ISO/IEC 27002 Практические
правила
управления
информационной
безопасностью
ISO/IEC 27003 –
Рекомендации по
внедрению СУИБ
ISO/IEC 27004 –
Метрики и
измерения
ISO/IEC 27005 Управления
рисками
информационной
безопасности
ISO/IEC 27006 –
Требования к
организациям,
которые проводят
аудит и
сертификацию
СУИБ
Содержит
требования для
создания, внедрения,
поддержки и
развития системы
управления
информационной
безопасностью
(СУИБ)
Предоставляет
организациям
рекомендации для
отбора контролей
процесса внедрения
СУИБ
Выступает в
качестве ориентира
внедрения
общепринятых
контролей
информационной
безопасности для
организаций
Предоставляют
руководство по
внедрению для
поддержки
требований СУИБ
Детальные советы и
руководство
относительно
организации цикла
Деминга (PDCA
processes)
Руководство по
разработке
стандартов
измерения для
системы управления
информационной
безопасностью для
измерения
эффективности
внедрения СУИБ
(процессов и
контролей)
Охватывает процесс
управления рисками,
который
поддерживает ISO/IEC
27001:2013:
Требования к
организациям,
которые проводят
аудит и
сертификацию
системы управления
информационной
безопасностью
►Оценка
рисков
►Обработка
рисков
►Выбор
контролей
►Действующие
меры управления
рисками
ISO/IEC 27015 –
Рекомендации по
управлению ИБ для
организаций
предоставляющих
финансовые услуги
Руководство по
внедрению СУИБ
согласно стандартам
серии ISO/IEC 27000 для
организаций
предоставляющих
финансовых услуги
4
Непрекращающийся цикл улучшения
Жизненный цикл СУИБ
Оценка и Планирование
Планирование
работ
Оценка текущего
состояния
Внедрение СУИБ
Поддержка и
улучшение СУИБ
Проектирование и Реализация
Определение
решений
Plan
Act
Разработка плана
развития
Поддержка
Внедрение инициатив и
контролей
Do
Check
Постоянное
совершенствование
Выполнение
запланированных
процедур
Мониторинг и
оценка СУИБ
► Обеспечение безопасности является непрерывным процессом, поэтому система управления информационной
безопасностью требует постоянного пересмотра и обновления
► Только путем постоянных улучшений можно достичь эффективности в управлении безопасностью и улучшения
ключевых показателей
5
Составляющие эффективной СУИБ
Модель управления информационной безопасностью является набором взаимосвязанных стратегических и
операционных компонентов используемых для создания эффективной программы безопасности организации. Каждый
компонент является набором процессов и практик, используемых вместе и нацеленных на один из аспектов
безопасности организации. Эти компоненты нацелены на физическую и ИТ безопасность.
Ожидания и требования высшего
руководства к использованию и
защите физических, технических и
информационных активов
Факторы влияющие на развития
бизнеса, отраслевая специфика,
требования регулятора,
стратегические цели, которые
определяют требования к
информационной безопасности
Бизнес
факторы
Руководство, Политики,
Стандарты
Разработка сервисов технической
безопасности в соответствии с
бизнес требованиями
Структуризация активов
Инвентаризация, классификация и
характеристика рисков для
технических, физических и
информационных активов,
поддерживающих бизнес-процессы
Техническая архитектура системы безопасности
Процессы, процедуры и методы
управления программы по
безопасности
Непрерывное тестирование
соответствия требованиям и
отчетность об эффективной
программе безопасности
Процессы и
Операционная
деятельность
Технические
Спецификации
Управление
персоналом и
организацией
Мониторинг и Соответствие
Технические регламенты и
стандарты для безопасных настроек
операционных систем, баз данных ,
приложений и сетевого
оборудования
Организация, роли и
ответственность, персонал
ответственный за сопровождение и
выполняющий программу
безопасности
6
Опыт внедрения эффективной СУИБ
Этапы проекта
Перед украинскими банками стоит непростая задача: оптимизировать затраты и сохранить высокий уровень
безопасности. Но как этого достичь?
Оценка
Определение и анализ
Цели:
►Определить текущую
ИБ среду, составить
список информационных
активов
Активности:
►Отображение потока
данных
►Определение мест
хранения
конфиденциальной
информации
►Определение объема
системы и внешних
поставщиков услуг
Проведение
предварительной оценки
Цели:
►Оценить текущее
состояние
информационной
безопасности Банка
Активности:
►Сбор данных на
основании опросников
►Оценка текущих
параметров систем,
выявление угроз и
уязвимостей
Улучшение
Анализ недостатков и
план действий
Цели:
►Определить недостатки в
нынешних системах и
процессах и сравнить их с
ведущими мировыми
практиками и стандартами
►Разработать стратегический
план действий по обеспечению
соответствия стандартам
информационной безопасности
Активности:
►Разработка списка
несоответствий и проблем
►Оценка действий для
исправления
►Разработка стратегического
плана обеспечения
соответствия стандартам
Улучшение/
внедрение
Цели:
►Разработать процессные и
технологические контроли
и процедуры для
устранения выявленных
недостатков
Активности:
►Внедрить и/или
усовершенствовать
политики, процедуры и
стандарты
►Внедрить технологические
решения
►Внедрить необходимые
процессы поддержки
7
Организация и внедрение СУИБ
Система управления информационной безопасностью
Организация СУИБ
(ISMS Organization)
► Определение предмета и границ СУИБ
► Определение Положения о применимости
(SoA)
Внедрение СУИБ
(ISMS Implementation)
► Идентификация, классификация и оценка
рисков
► Разработка плана управления рисками (RTP)
► Определение организационной структуры
СУИБ
► Разработка плана действия по управлению
рисками (RTAP)
► Создание управляющего комитета СУИБ
► Внедрения контрольных мероприятий по
управлению рисками
► Разработка политик и процедур СУИБ
► Разработка методологии оценки рисков
► Оценка эффективности СУИБ
8
Опыт внедрения эффективной СУИБ
Вызовы при внедрении
Компания EY имеет успешный опыт реализации проектов по внедрению СУИБ в нескольких банках-лидерах
стран СНГ.
В ходе данных проектов мы столкнулись с рядом вызовов, которые имеют значительное влияние на
успешность внедрения СУИБ в целом, а именно:
► Недостаточное понимание стандарта ISO/IEC 27001 банком
► Определение предмета и границ системы
► Недостаточная вовлеченность менеджмента в процесс управления ИБ
► Определение структуры информационных активов
► Выбор методики оценки рисков
► Определение целесообразности внедрения контрольных мероприятий
► Обеспечение оценки эффективности внедрения системы.
9
Вызовы при внедрении СУИБ
Недостаточное понимание стандарта ISO/IEC 27001 банком
Вызовы
► Сложности в понимании основных понятий СУИБ, а также требований
стандарта ISO/IEC 27001 при внедрении системы
► Отсутствие специалистов на стороне Клиента, обладающих
необходимыми компетенциями.
Способы достижения результата
► Проведение обучения персонала у сертифицированных тренинг-провайдеров перед началом проекта по
внедрению СУИБ
► Привлечение внешних экспертов не только для выполнения работ по внедрению СУИБ, но и для передачи опыта
проектной команде Клиента на всех этапах проекта
► Совместная реализация пилотного проекта, после разработки методологии, на ограниченном объеме внедрения
► Постоянное наращивание внутренней компетенции персонала, вовлеченного в работу функции ИБ, независимо
от того, какими ресурсами (внешними или внутренними) был выполнен проект.
10
Вызовы при внедрении СУИБ
Определение предмета и границ системы
Вызовы
► В соответствии требованию регулятора, объем внедрения – весь банк.
Однако при внедрении СУИБ крайне важно ставить цели, достижимые
в конечные сроки.
► Выбор предмета СУИБ – первый шаг на этапе планирования. Во
многом он является ключевым для успешной реализации внедрения.
Способы достижения результата
► Определение подхода к формированию предмета и границ системы. В качестве границ СУИБ возможно
использовать:
► Бизнес-процессы
► Организационные единицы (подразделения)
► Информационные системы
► Как предмет может быть выбрана категория информации согласно классификации либо по типу
зарождения/обработки
► Внедрение СУИБ на ограниченном объеме бизнес-процессов/ подразделений/ информационных систем
позволяет получить реальные результаты в конечные сроки, и в дальнейшем расширять границы СУИБ на
каждом последующем PDCA цикле.
11
Вызовы при внедрении СУИБ
Недостаточная вовлеченность менеджмента в процесс упр-я ИБ
Вызовы
► Вовлеченность менеджмента при внедрении СУИБ продиктована:
► Необходимостью полноты полномочий для реализации проекта
по внедрению СУИБ
► Требованиями стандарта для прохождения сертификации.
Способы достижения результата
► Перед началом проекта по внедрению СУИБ логичным и необходимым шагом является определение спонсора
проекта
► Проведение сессии с высшим руководством организации с целью донесения важности проекта, а также
необходимости их постоянного вовлечения в непрерывный процесс управления и совершенствования функции
ИБ
► Дополнение карты КПЭ для высшего руководства (к примеру, CIO или CISO) требованием к периодическому
вовлечению в процесс управления СУИБ и ответственности за соответствие стандарту ISO/IEC 27001.
12
Вызовы при внедрении СУИБ
Определение структуры информационных активов
Вызовы
► Определение структуры и связей информационных активов является
нетривиальным процессом и требует однозначного обозначения
понятия информационного актива
► Каждый информационный актив должен быть рассмотрен в
совокупности со всеми возможными местами его хранения.
Способы достижения результата
► Определить понятие информационный актив и провести их инвентаризацию в рамках границ СУИБ
► Проанализировать все возможные места хранения информационных активов с учетом их мест хранения,
передачи и обработки
► Задокументировать структуру информационных активов в инвентаризационной ведомости.
13
Вызовы при внедрении СУИБ
Выбор методики оценки рисков
Вызовы
► Согласно стандарту организация самостоятельно выбирает методику
для оценки рисков, при этом важно использовать понятные и
реализуемые методики, которые, в первую очередь, релевантны для
бизнеса организации
► Важным шагом является документирование и согласование методики с
руководством организации.
Способы достижения результата
► Выбор и разработка методики оценки рисков должна быть выполнена компетентными риск-офицерами
организации совместно со специалистами ИБ и ИТ
► Методика оценки рисков должна описывать модель угроз ИБ
► Определение риск-аппетита – ответственность руководства
► Поскольку методика будет неоднократно дорабатываться, рекомендуется проведение пилотной оценки рисков на
примере одного бизнес-процесс/ подразделения/ информационной системы.
14
Вызовы при внедрении СУИБ
Определение целесообразности внедрения контрольных мер
Вызовы
► Контрольные меры должны быть разработаны и внедрены на
основании анализа их целесообразности (сравнения совокупной
стоимости владения контролем с совокупными возможными потерями)
► Для всех контролей должны быть определены владельцы, метрики и
КПЭ для оценки их эффективности.
Способы достижения результата
► Для определения перечня контрольных мер, которые необходимы для управления рисками организации,
необходимо определение экономической и технической целесообразности с учетом требований организации,
совокупной стоимости внедрения и владения контролем, совокупного ущерба от реализации релевантных
рисков
► Каждая контрольная мера (контроль) должна быть однозначно закреплена за «Владельцем контроля», который
несет полную ответственность за её внедрение и функционирование
► Каждый контроль должен оставлять следы своего выполнения, позволяющие воспроизвести каждую
контрольную процедуру с гарантированным результатом
► Для каждой контрольной меры необходимо разработать метрики, которые будут использоваться для контроля их
операционной эффективности. При этом, необходимо также определить пороговые показатели эффективности
для каждой метрики.
15
Вызовы при внедрении СУИБ
Обеспечение оценки эффективности внедрения системы
Вызовы
► Анализ и оценка эффективности системы управления информационной
безопасности должны выполняться компетентными специалистами в
области аудита информационной безопасности.
Способы достижения результата
► Для проведения анализа и оценки эффективности СУИБ привлекать специалистов имеющих компетенции в
аудиторских техниках и в информационной безопасности
► Проведение обучения сотрудников организации у сертифицированных тренинг-провайдеров для формирования
внутренней компетенции
► Экономическая целесообразность построения собственной функции аудита ИБ для негрупповых учреждениях
является неоправданной.
16
Спасибо за внимание!
Дмитрий Лазученков, CISA, CISM,
ISO 27001 CLA
Dmytro.Lazuchenkov@ua.ey.com
+380 44 499 3367
Дополнительная информация
18
Материалы от EY
Under cyber attack:
EY’s Global Information Security
Survey 2013
Beating cybercrime:
Security Program Management
from the Board’s perspective
Cyber Program Management:
identifying ways to get ahead
of cybercrime
www.ey.com/giss2013
www.ey.com/sp
www.ey.com/CPM
Building trust in the cloud
www.ey.com/cloudtrust
Security Operations Centers — helping
you get ahead of cybercrime
Privacy trends 2014: privacy protection in
the age of technology
Maximizing the value of a
data protection program
www.ey.com/SOC
www.ey.com/privacy2014
www.ey.com/dataprotect
Identity and access management:
beyond compliance
Big data: changing the way
businesses operate
www.ey.com/IAM
www.ey.com/bigdatachange
19
Услуги компании EY в области ИТ и ИТ-рисков (1/2)
Компания EY это:
► Более 300 консультантов в странах СНГ
► Глобальная методологическая база
► Отраслевой и технический опыт
► Независимость от поставщиков и технических решений.
Основные направления:
Внедрение и
построение СУИБ
Аудит СУИБ
Информационная
безопасность
Сертификационный
аудит ISO 27001
Управление ИТпроектами
20
Услуги компании EY в области ИТ и ИТ-рисков (2/2)
Внедрение и
построение СУИБ
• Обзор состояния функции ИБ на предмет соответствия требованиям бизнеса и стандарта ISO 27001
• Трансформация функции ИБ (определение целевого состояния СУИБ, разработка и построение СУИБ)
• Разработка и помощь в реализации проектов по внедрение СУИБ и системы оценки эффективности
контрольных мер.
• Оценка состояния ИБ, включая проверку соответствия стандарту ISO 27001
Аудит СУИБ
• Организация работы и оценка эффективности служб информационной безопасности
• Косорсинг/аутсорсинг внутреннего аудита ИБ
• Проведение пред-сертификационного аудита ISO 27001
Сертификационный
аудит ISO 27001
Информационная
безопасность
• Проведение сертификационного аудита ISO/IEC 27001:2013 независимым и уполномоченным органом и выдача
отчета о соответствии системы управления информационной безопасности требованиям международных
стандартов. EY CertifyPoint работает по всему миру в качестве органа по сертификации.
• Создание системы управления информационной безопасностью, включая разработку необходимых политик,
регламентов и процедур
• Аудит информационной безопасности и проверка соответствия требованиям международных стандартов (ISO
27000, COBIT, ISF, NIST и др.) и локальных регуляторов (СУИБ НБУ)
• Комплексный анализ уровня защищенности информационных систем.
Управление ИТпроектами
• Независимый контроль качества проектов по внедрению информационных систем
• Сопровождение проектов по реализации крупномасштабных ИТ-преобразований
• Помощь в формировании требований к новым системам
• Помощь в проведении тестирования информационных систем перед их вводом в эксплуатацию.
21
Контакты
EY | Assurance | Tax | Transactions | Advisory
About EY
EY является международным лидером в области аудита,
налогообложения, сопровождения сделок и консультирования. Наши
знания и качество услуг помогают укреплять доверие
общественности к рынкам капитала и экономике в разных странах
мира. Мы формируем команду выдающихся лидеров, под
руководством которых наш коллектив выполняет взятые на себя
обязательства. Тем самым мы вносим значимый вклад в улучшение
деловой среды на благо наших сотрудников, клиентов и общества в
целом.
Константин Невядомский
Партнер, руководитель отдела
консультационных услуг
EY Украина
Название EY относится к глобальной организации и может относиться
к одной или нескольким компаниям, входящим в состав Ernst & Young
Global Limited, каждая из которых является отдельным юридическим
лицом. Ernst & Young Global Limited − юридическое лицо, созданное в
соответствии с законодательством Великобритании, − является
компанией, ограниченной гарантиями ее участников, и не оказывает
услуг клиентам. Более подробная информация представлена на нашем
сайте: ey.com.
Дмитрий Лазученков
Менеджер отдела по оказанию услуг
в области ИТ и ИТ-рисков
EY Украина
© 2014 ТОВ «Эрнст энд Янг»
Тел. +380 44 499 2025
Факс +380 44 490 3030
Kostiantyn.Neviadomskyi@ua.ey.com
Тел. +380 44 499 3367
Факс +380 44 490 3030
Dmytro.Lazuchenkov@ua.ey.com
Все права защищены.
22