внедрение системы управления информационной

реклама
Подписной индекс 48386
защита информации
Говорят специалисты
ВНЕДРЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
В БАНКАХ
КОМПАНИЯ АМИ
ул. Куйбышева, 143г, г. Донецк, 83060
тел./факс: +380 62 385-48-88
http://ami.ua/
[email protected]
Игорь Квитко,
Начальник управления инфраструктурных
решений компании АМИ
– Игорь, какова на сегодняшний
день ситуация с внедрением CУИБ
в украинских банках?
– На практике не все банки сразу активно включились в процесс
создания СУИБ, ожидая методических рекомендаций со стороны
НБУ и анализа результатов работы
коллег. Это привело к тому, что сегодня во многих банках остро стоит
вопрос формального приведения
организационных мер информационной безопасности (ИБ) в соответствие с требованиями стандартов посредством оперативного
«латания» наиболее существенных
«дыр» в системе безопасности. При
42
С момента принятия постановления Национального банка Украины № 474 «О введении в действие стандартов по управлению информационной безопасностью в банковской системе Украины»,
обязывающего банки Украины внедрить систему управления
информационной безопасностью (СУИБ), прошло уже более 2-х
лет. Что успели реализовать банки за это время? Каковы причины
низкой эффективности целого ряда реализованных мер? Как максимально эффективно начать реализацию СУИБ? На эти и многие
другие вопросы отвечает Игорь Квитко, начальник управления
инфраструктурных решений компании АМИ.
этом уже доказано на практике, что
формальный подход в большинстве
случаев обусловливает низкую эффективность организационных мер
ИБ и необходимость их последующего повторного пересмотра. Подобный способ решения вопроса не
позволяет банкам быть уверенными
в успешном прохождении процедур
внешнего аудита в рамках процессов оценки рисков, что негативно
влияло и влияет на прогнозы, а также может сказаться на ухудшении
показателей рейтинга банка. Для
ряда банков, которые уже начали
процесс внедрения СУИБ, характерны задержки с реализацией организационных и технических мер или
их низкая эффективность, что связано с изначально неверной оценкой бизнес-процессов в связи с их
неполным или некорректным описанием и сложностью определения
владельцев бизнес-процессов.
– Какой должен быть первый
шаг в процессе создания СУИБ?
– Прежде всего, необходимо
заручиться поддержкой руководства банка. Без понимания ТОПменеджментом важности и необходимости внедрения СУИБ, усилия,
направленные на ее реализацию,
будут малоэффективными, и велики
риски остановки процесса создания
СУИБ. И, конечно, первостепенную
важность имеет правильное опреде-
F+S: технологии безопасности и противопожарной защиты № 2 (62) 2013
ление владельцев бизнес-процессов
банка. К критичным бизнес-процессам можно отнести следующие: управление обслуживанием физических и
юридических лиц, управление рисками, управление ИТ-инфраструктурой,
персоналом.
– Что включает в себя процесс
реализации мер ИБ?
– Система управления информационной безопасностью, являющаяся
частью общей системы управления
банком, базируется на анализе информационных рисков и предназначена для обеспечения эффективной
защиты важной для банка информации вне зависимости от вида данной
информации, а также от носителя, на
котором данная информация находится физически.
В целом, план реализации мер
информационной
безопасности
можно представить в виде следующей схемы (cм. рис. 1).
Очень важный момент, на который хочу обратить особое внимание,
– это то, что в настоящее время выполнение требований национальных
стандартов не требует от украинских
банков реализации в короткие сроки
всех мер ИБ для каждого из направлений, будь то политика ИБ, контроль
доступа, управление персоналом или
непрерывность бизнеса.
Тем банкам, которые в качестве
основной цели создания СУИБ в соответствии с требованиями стандарта
www.security-info.com.ua
Говорят специалисты
защита информации
РИС. 1. ПЛАН РЕАЛИЗАЦИИ МЕР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
НБУ видят фактическое эффективное функционирование системы, в
качестве первоочередного решения
мы предлагаем реализацию проекта,
обеспечивающего:
определение области действия
СУИБ, перечня основных и вспомогательных банковских процессов, подлежащих защите;
подготовку рабочей группы,
проведение тренингов для персонала
службы ИБ;
диагностику процессов ИБ и
оценку степени соответствия требованиям стандартов;
планирование внедрения СУИБ,
формирование базовых организационных документов СУИБ;
разработку методики оценки рисков ИБ и ее проверку на пилотном
наборе информационных активов.
Реализация данных мер позволит
оптимальным образом спланировать последующие шаги внедрения
СУИБ, в том числе реализацию организационных и технических мер ИБ.
Дополнительным
преимуществом
выбора услуг нашей компании является предоставление специалистами
АМИ оценки уровня зрелости ИТинфраструктуры, обеспечивающей
работу критичных для бизнеса ИТсистем, а также разработка плана
проектов по совершенствованию ИТ,
согласованного с планом реализации СУИБ.
– Какие основные преимущества внедрения СУИБ в банке Вы
бы отметили?
– В результате создания СУИБ будет обеспечено соответствие процессов ИБ банка требованиям стандар-
тов по управлению информационной
безопасностью в банковской системе
Украины. Банк будет готов к проведению проверок ИТ-рисков как составляющей технологических рисков,
проводимых во время инспекционных
проверок. Помимо обеспечения соответствия требованиям НБУ, отмечу
следующие важные преимущества,
которые получает банк при внедрении
СУИБ:
снижение рисков утечки конфиденциальной информации и коммерческой (банковской) тайны;
обоснованные и прогнозируемые затраты на информационную
безопасность;
непрерывность ключевых и
вспомогательных критичных бизнеспроцессов;
централизованный и непрерывный контроль за состоянием ИБ;
повышение степени доверия
клиентов и партнеров;
возможность сертификации по
ISO 27001.
– Расскажите о возможностях
компании АМИ в области обеспечения информационной безопасности.
– Компания АМИ является одним
из крупнейших системных интеграторов на территории Украины. За
20 лет работы на рынке системной
интеграции, АМИ приобрела большой опыт создания уникальных по
своему масштабу проектов в области обеспечения информационной
безопасности и предлагает полный
комплекс услуг в данном направлении: от аудита информационной
безопасности до проектирования и
внедрения комплексных систем защиты информации (КСЗИ). Наша
компания является партнером TUV
SUD Ukraine – украинского филиала международной сертифицирующей организации. Свою деятельность в сфере защиты информации
АМИ осуществляет на основании
лицензии Государственной службы
специальной связи и защиты информации Украины на выполнение
работ в сфере технической защиты
информации (Серия АВ №611947 от
20.04.2012 г.).
– Как обеспечить успех в деле
повышения уровня зрелости процессов информационной безопасности банка?
– По оценкам наших специалистов, повышение уровня зрелости
процессов информационной безопасности напрямую связано с уровнем
знаний персонала, ответственного за
ИБ и проведение внутренних аудитов.
Повышение квалификации собственного персонала банка вместе с привлечением внешних консультантов,
имеющих опыт создания СУИБ, позволяет максимально эффективно
начать реализацию СУИБ, обеспечить понимание руководством банка необходимости внедрения СУИБ,
объяснить
бизнес-подразделениям
цели и задачи внедрения системы,
их роль в данном процессе. Данный
подход также позволяет исключить
возможность ошибочного понимания
СУИБ как набора программных, аппаратных и организационных мер ИБ,
предоставляя персоналу банка комплексное видение работы СУИБ как
«системы управления».
Редакционная подписка: (044) 369-51-11
43
Скачать