IT & Security FORUM 2008. «Технологии роста». Информационная безопасность кредитно-финансового сектора (Казань, май 2008) Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. НПФ «КРИСТАЛЛ» А.В. Глазков начальник отдела эксперт по стандартизации (РОСС RU) Исходная постановка вопроса Казнить нельзя помиловать. Екатерина Вторая или: Внедрять нельзя не внедрять А.П. Курило май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 2 Отзывы специалистов кредитных организаций • • • • • май 16 По мнению специалистов кредитных организаций, членов ПК/3 и ABISS: Стандарт стал реальностью! Стандарт представляет собой методологию, позволяющую эффективно выстроить работу по построению системы безопасности и управление ей. Внедрение стандарта не требует увеличения финансовых расходов банка. Расходы возрастают в том случае, если самые важные меры безопасности не приняты. Напротив, он позволяет более эффективно обосновывать бюджет информационной безопасности. Особенно отмечается, что в результате организации работы по рекомендациям «Стандарта» получены следующие дополнительные результаты: Структурирована нормативная база и документация в области безопасности; Улучшилось взаимодействие с высшим менеджментом и смежными подразделениями, сократились сроки согласования документов, повысилось их качество; Улучшилась и стала прозрачной методика принятия решений по выделению финансирования, оценке рисков, оценке реального уровня информационной безопасности; Улучшилась готовность банка к действиям в условиях ЧС, например, при внезапном отключении электроэнергии; Появился методологический аппарат для инвентаризации информационных активов и оценки рисков информационной безопасности Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 3 Возникшие проблемы Центральный Банк Российской Федерации натолкнулся на неготовность ряда банков выполнять предъявленные требования по безопасности. В частности, выставив требования Стандарта к безопасности БЭСП в качестве обязательных, Банк России был вынужден часть из них смягчить или перевести в разряд рекомендательных. Особенно сказанное относится к многофилиальным банкам. Именно филиалам и маленьким банкам свойственно наибольшее число проблем в области информационной безопасности. Этим обстоятельством и объясняется не слишком пока высокий процент банков (5%), полностью внедривших Комплекс Стандартов (и методологию и требования), а также позицию «выжидания» или прямого отказа от внедрения до прямого указания регулятора. Также в некоторых банках создана архаическая система защиты, весьма слабо соответствующая современным требованиям, но переделывать которую сложно. Как правило, там работают специалисты, не знающие и не разделяющие современных подходов обеспечению информационной безопасности. Все это конечно до первого ЧП, но как говориться, пока их «Бог миловал». май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 4 Текущая ситуация Деятельность по обеспечению ИБ и соответствующая ей нормативная база банков сформировалась в основном по прецедентному принципу (по потребности организации регулирования по видимым проблемным областям) Менеджмент и бизнес банков и их службы контроля (СВК, риск-менеджмент), как правило, «слабо ощущают» вклад подразделений ИБ банков в совершенствование и развитие бизнеса Информационной безопасностью занимается только Служба безопасности май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 5 С чего начать? Оценка соответствия информационной безопасности? Разработка политик информационной безопасности? Оценка рисков информационной безопасности? Инвентаризация и оценка важности информационных активов? май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 6 Оценка соответствия информационной безопасности Внешний и внутренний аудит ИБ и самооценка ИБ реализуются с помощью оценки соответствия ИБ Банка установленным требованиям или критериям ИБ Оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям - любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации банковской системы Российской Федерации. май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 7 Оценка соответствия информационной безопасности. Результаты май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 8 Разработка политик информационной безопасности Требования к внутренним документам по обеспечению ИБ в соответствии с РС БР ИББС – 2.0 Возможные примеры Документы, содержащие положения корпоративной политики ИБ Документы, содержащие положения частных политик ИБ Документы, содержащие требования ИБ к процедурам Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ май 16 Концепция ИБ, Корпоративная политика ИБ Частные политики, Положения, Планы Регламенты на процедуры, Конфигурационные стандарты, Инструкции и др. Реестры, Регистрационные журналы, Протоколы, Акты, Договоры, Отчеты и др. Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 9 Международные рекомендации документационного обеспечения СМИБ (ISO27001/ISO17799 Documentation Toolkit) Цикл PDCA Структура документационного обеспечения (Mini-PDCA processes) Level 1: Policies, RTP, SoA Level 2: Procedures Level 3: Work Instructions Level 4: Records май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 10 Непрерывность системы обеспечения ИБ по пространству и времени Планирование t5 Высокоуровневый документ t4 Процедурные документы t3 Методики Процессы t2 T Корректировка Определение потребности ИБ (установка границ) Реализация Уровни представления деятельности. Рациональное отношение порядка БИЗНЕС Циклы «Планированиеà Совершенствованиеà Оценкаà Корректировкаà ...» обеспечивают самосовершенствование всей системы без чего она будет неработоспособна. Они должны работать на всех уровнях и каждый из них имеет свой период. t1 Оценка май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 11 Проблемы отсутствия документов верхнего уровня Отсутствие определения потребности и высокоуровневого документа означает, что бизнес не видит потребности в ИБ и никогда не будет использовать результаты деятельности по обеспечению ИБ. Все, что лежит ниже, для него просто не видно и непонятно. В результате менеджмент воспринимает риски ИБ как риски бизнеса и реагирует на них не методами улучшения качества и стабилизации информационных процессов, а через экономические, финансовые, юридические, организационные, контрольные и иные механизмы. май 16 БИЗНЕС Определение потребности ИБ (установка границ) Высокоуровневый документ Процедурные документы Методики Процессы Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 12 Проблемы отсутствия низкоуровневых документов Отсутствие методик означает, что не определены и процессы. Но это не значит, что они не выполняются. Деятельность при этом есть, только она не формализована, непрозрачна, неконтролируема. Реально при наличии специалистов высокой квалификации процессы могут быть хорошими и все будет на нижнем уровне работать, документироваться, но неструктурированные данные если и пойдут выше, то не смогут быть использованы. май 16 БИЗНЕС Определение потребности ИБ (установка границ) Высокоуровневый документ Процедурные документы Методики Процессы Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 13 Совершенствование внутренних документов ИБ. Возможные решения Типовая ситуация с документационным обеспечением информационной безопасности Действующий документ верхнего уровня – КОНЦЕПЦИЯ Разработана на основе шаблона АРБ Достаточно объемная Принята достаточно давно (старше 5 лет) Ряд положений устарели, например не отвечают действующему законодательству РФ Не полностью соответствует требованиям Банка России по обеспечению ИБ Внесение изменений, их согласование и утверждение затруднительно Определяет: • • • • • • • • • • • май 16 цели и задачи ИБ принципы организации и функционирования системы ИБ правовое обеспечение ИБ объекты защиты основные виды угроз объектам ИБ порядок проведения работ по обеспечению ИБ защита информации в АС и сетях защита речевой информации защита информации на материальных носителях управление информационной безопасностью ответственность Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 15 Предпосылки совершенствования нормативной базы по обеспечению ИБ Существенные изменения законодательства Российской Федерации Принятие Банком России пока еще рекомендуемых к использованию стандартов по обеспечению информационной безопасности организаций банковской системы Российской Федерации Осознание руководством Банка потребности в создании целостной сбалансированной нормативной базы по обеспечению ИБ Обеспечение возможности поддержания нормативной базы по обеспечению ИБ в актуальном состоянии май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 16 Источники пересмотра Концепции ИБ и разработки Политики ИБ Действующее законодательство Российской Федерации в области обеспечения ИБ Стандарт Банка России СТО БР ИББС-1.0 Действующие документы Банка и существующая практика по обеспечению ИБ ГОСТ Р ИСО/МЭК 17799-2005 ISO/IEC 27001:2005 ISO/IEC 17799:2005 май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 17 Концепция ИБ Высокоуровневый документ Отражает только систему взглядов руководства Банка на проблему обеспечения ИБ Является методологической основой практических шагов по обеспечению ИБ Банка Определяет: • стратегические цели и задачи обеспечения ИБ Банка • принципы организации и функционирования системы обеспечения ИБ Банка Может быть опубликована на сайте Банка май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 18 Политика ИБ Высокоуровневый документ Отражает основные направления практической деятельности Банка по обеспечению ИБ Определяет: • актуальные угрозы ИБ • организационную основу деятельности по обеспечению ИБ • способы реализации принципов, отраженных в Концепции • способы контроля май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 19 Поддерживающие частные политики ИБ • Политика классификации и обработки информации • Политика по обеспечению ИБ при распределении и назначении ролей информационной безопасности • Политика информационной безопасности, связанной с персоналом • Политика по обеспечению ИБ на стадиях жизненного цикла автоматизированных систем • Политика менеджмента рисков ИБ • Политика обеспечения непрерывности бизнеса в информационной сфере • Политика мониторинга и менеджмента инцидентов ИБ • Политика аудита ИБ • Политика по обеспечению ИБ при использовании сети Интернет и электронной почты • Политика по обеспечению ИБ при использовании электронной вычислительной техники и вычислительной сети • … май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 20 Пример фрагмента структуры документов, обеспечивающих реализацию частной политики ИБ Политика менеджмента рисков ИБ (частная политика ИБ) Регламент оценки и обработки рисков ИБ Методика оценки рисков ИБ Методические рекомендации по обработке рисков ИБ Классификатор угроз и уязвимостей Классификатор защитных мер План обработки рисков ИБ май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 21 Пример формулировки политики «Политика ответственности за информационные активы и их учетности» 3 Положения политики ……………….. 3.2 Ответственность за информационные активы Банка 3.2.1 Для важных информационных активов в соответствии с решением руководства Банка должны быть определены и назначены исполнители следующих ролей: – ответственный за информационный актив; – пользователи информационного актива. Целесообразно определять указанные роли на совокупность информационных активов, представляющих собой функционально законченный комплекс (например – автоматизированную систему). При создании информационных активов, до принятия иного решения, роль ответственного за информационный актив возлагается на лицо его создавшее. май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 22 Пример формулировки политики «Политика ответственности за информационные активы и их учетности» 3 Положения политики ……………….. 3.3 Инвентаризация информационных активов 3.3.1 Инвентаризации подлежат все существующие и вновь создаваемые информационные активы Банка. В отношении информации инвентаризация должна проводиться только для информации, определенной «Перечнем сведений, составляющих коммерческую тайну Банка». В отношении иных категорий информации решение об инвентаризации должно приниматься в установленном порядке. ...................................... 3.3.5 Держателем формуляров информационных активов является Департамент информационных технологий Банка. май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 23 Пример формулировки политики «Политика ответственности за информационные активы и их учетности» 3 Положения политики …………………………………… 3.5 Контроль соблюдения положений политики 3.5.1 Контроль соблюдения настоящей политики осуществляет Служба безопасности совместно со Службой внутреннего контроля Банка. Контроль осуществляется на основе проведения мониторинга информационной безопасности и анализа инцидентов информационной безопасности, реализуемых в соответствии с положениями «Политики мониторинга и менеджмента инцидентов информационной безопасности», на основе результатов внутренних аудитов информационной безопасности, осуществляемых в соответствии с положениями «Политики аудита информационной безопасности», а также в рамках иных контрольных мероприятий. 3.5.2 Сотрудники Банка всех уровней, временные сотрудники, представители сторонних организаций, а также администраторы систем и администраторы безопасности, получившие/разрешившие доступ к объектам доступа в обход официальной процедуры, несут ответственность ……….. май 16 Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 24 Перспектива Политика ИБ Имеющая место ситуация май 16 Регламенты по обеспечению ИБ Первоочередные задачи Политика ИБ Цель Опыт внедрения стандартов комплекса СТО БР ИББС. Практика ведущих банков. 25 Спасибо за внимание! Глазков Алексей Викторович начальник отдела НПФ «КРИСТАЛЛ» г. Пенза Email: [email protected] www.npf-crystall.ru