"Особенности информационной безопасности коммерческих организаций"

"Особенности информационной
безопасности коммерческих
организаций"
…1101011110010100110101010111101…
СКОРОДУМОВ БОРИС
ИВАНОВИЧ, к.т.н.,
доцент кафедры
«Информационная
безопасность банковских
www.ibdarb.ru
систем» МИФИ,
исполнительный директор
института банковского дела
АРБ
www.infoforum.ru
… « менеджмент
должен
осуществляться,
прежде всего, на
основании
постоянного,
систематического и
целенаправленного
снижения издержек
производства»…
В АРБ летом2003 года
выступал, после семинара в ЦБ
РФ, Дэвид Хаген, Президент
Люксембургской ассоциации по
обеспечению безопасности
информационных систем
(CLUSSIL), начальник отдела
аудита информационных
технологий Комиссии по надзору
за финансовым сектором.
Дэвид Хаген сказал, в частности, что, в Европе
давно переходят от качественной оценки угроз
информационной безопасности к определению
количественных величин информационных рисков,
которые входят в состав операционных рисков и
актуализируются с дальнейшим развитием ИТ.
Рекомендации Базельского комитета
http:/www.bis.org/publ/
Эффективность банковской системы по Базель-1:
Эффективное корпоративное управление
Кредитный риск
Эффективная система внутреннего
Страновой (региональный) риск
контроля
Рыночный риск
Культура контроля
Процентный риск
Контроль рисков
Риск ликвидности
Операционный риск
источник: Сазыкин Б.В., д.т.н., профессор
Потери в долларах по типу атаки
CSI представляет отчет о результатах исследования в свободный доступ
на сайте GoCSI.com
«Report on Widening Gap»
"Отчет о расширяющейся пропасти"
Риски, вызванные постоянным
развитием бизнеса во всем мире,
эволюционируют так быстро, что
специалисты по информационной
безопасности не успевает
адекватно отреагировать на них.
Компания Ernst&Young выпустила очередную, восьмую, версию своего
ежегодного отчета "Global Information Security Survey 2005".
Определение операционного риска
Базельский комитет (2003 г).
Операционный риск – риск возникновения убытков в
результате
недостатков
или
ошибок
в ходе
осуществления внутренних процессов, связанных с
людьми и системами, а также вследствие внешних
воздействий.
Указание ЦБР №70Т от 23.06.04 г. «О типичных
банковских рисках». Операционный риск - риск возникновения
убытков в результате несоответствия характеру и масштабам
деятельности кредитной организации и (или) требованиям
действующего законодательства внутренних порядков и процедур
проведения банковских операций и других сделок, их нарушения
служащими кредитной организации и (или) иными лицами (вследствие
некомпетентности, непреднамеренных или умышленных действий или
бездействия), несоразмерности (недостаточности) функциональных
возможностей (характеристик) применяемых кредитной организацией
информационных, технологических и других систем и (или) их отказов
(нарушений функционирования), а также в результате воздействия
внешних событий.
Международная практическая
конференция по вопросам борьбы
с киберпреступностью и
кибертерроризмом
19 апреля 2006 года в Москве
В мероприятии приняли участие: Министр
внутренних дел РФ Рашид Нургалиев,
представители Государственной Думы РФ, Совета
Безопасности, международные эксперты.
«в
1998 году в системе Министерства внутренних дел были созданы
специализированные подразделения по борьбе с
киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев
«с 2001 года количество компьютерных преступлений на территории
России удваивается ежегодно».
Начальник управления специальных технических мероприятий МВД
генерал-лейтенант милиции Борис Мирошников
http://sartraccc.sgap.ru/Press/cyber_crim.htm
Журнал "Банковское обозрение", №1, январь 2007 г.
Заинтересованность коммерческих
банков в решении проблем
информационной безопасности
55%
Кооперация усилий
89%
82%
30%
Оценка стоимости решений
по защите информации
Учебно-методические
рекомендации
Трудности технического
характера
Нормативно-правовые
проблемы
69%
Результаты опроса АРБ
0%
50%
100%
200 респондентов
ppt
Секция «Кибернетический
терроризм» российскоамериканского семинара
(Президиум РАН, 2003 год)
«Истина состоит в том, что мы
не знаем, как создавать
надежные информационные
системы». …Главный вывод –
необходима «разработка
совершенно новых методов
обеспечения безопасности
информационных систем».
Из выступления руководителей
американской делегации Уильяма А.
Вульфа (Президент Национальной
инженерной академии США) и Аниты
К. Джонс (Виргинский университет
США).
Из выступления руководителей американской делегации
Уильяма А. Вульфа (Президент Национальной инженерной
академии США) и Аниты К. Джонс (Виргинский ун-т США).
Что необходимо сделать?
Чтобы повысить уровень кибернетической безопасности
необходимо решить следующие 4 первоочередные задачи:
• 1. Создать новую модель компьютерной защиты вместо
прежней модели «круговой обороны».
• 2. Ввести новое определение «компьютерной
безопасности».
• 3. Перейти к активной обороне.
• 4. Скоординировать действия «кибернетических
сообществ», законодательной системы и систем надзора…
Практическое определение понятия безопасности должно
быть более сложным, чем конфиденциальность,
целостность и отказ в предоставлении услуги. Свое
понятие безопасности должно быть выработано для каждой
существующей реалии….
«Настоящая наука
начинается там,
где начинаются
измерения»
Дмитрий Иванович
Менделеев
Очередное заседание ПК 3
состоялось 14 января 2008 г.
в г.Москве
Технический комитет №362 «Защита
информации»
Подкомитет №3 «Защита
информации в кредитнофинансовой сфере»
(Сберегательный банк РФ, “Альфа-банк”,
Россельхозбанк, банки «Петрокоммерц» и «Российский
кредит», ММВБ, Институт банковского дела АРБ,
международная аудиторская фирма KPMG и другие)
http://www.techcom3623.ru
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ
БАНКА РОССИИ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ
• МЕТОДИКА КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ
АКТИВОВ
• МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
(БАНК РОССИИ)
СТО БР ИББС-1.0-2006
Вестник № 6, 2006 год
СТАНДАРТ БАНКА РОССИИ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ.
ОБЩИЕ ПОЛОЖЕНИЯ
Москва 2006
http://www.cbr.ru/
СТАНДАРТЫ 2007
РЕКОМЕНДАЦИИ В ОБЛАСТИ
СТАНДАРТИЗАЦИИ 2007
Федеральный закон
от 29.07.2004 г. N 98-ФЗ
"О коммерческой тайне"
• Статья 3. Основные понятия, используемые в
настоящем Федеральном законе.
Для целей настоящего Федерального закона
используются следующие основные понятия:
• 1) коммерческая тайна - конфиденциальность
информации, позволяющая ее обладателю при
существующих или возможных обстоятельствах
увеличить доходы, избежать неоправданных расходов,
сохранить положение на рынке товаров, работ, услуг
или получить иную коммерческую выгоду.
Федеральный закон от 10 июля 2002
г. N 86-ФЗ
"О Центральном банке Российской
Федерации (Банке России)"
Статья 3. Целями деятельности Банка России
являются:
……………………………………………………………
……………………………….
обеспечение эффективного и бесперебойного
функционирования платежной системы.
Получение прибыли не является целью
деятельности Банка России.
Федеральный закон
«О банках и банковской
деятельности»
(с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г.,
19 июня, 7 августа 2001 г.,21 марта 2002 г.)
Глава I. Общие положения
Статья 1. Основные понятия
настоящего Федерального закона
Кредитная организация - юридическое
лицо, которое для извлечения
прибыли как основной цели своей
деятельности . . . . . . . . .
Разные цели – разные архитектуры
23
Закон «О техническом регулировании»
Статья 2. Основные понятия
• «риск - вероятность причинения
вреда…..»
• «безопасность - состояние, при котором
отсутствует недопустимый риск,
связанный с причинением вреда…….»
Предложение по определению термина
«информационная безопасность»
(на «законных» основаниях ФЗ
«О техническом регулировании»)
«информационная безопасность –
состояние информации при
допустимом риске ее уничтожения,
изменения или раскрытия, связанном
с причинением вреда владельцу или
пользователю информации»
Достоинства нового определения:
• Гармонизация положений новых стандартов (ГОСТ Р
ИСО/МЭК 15408-1-2002, 27001, 17799) и прежнего научнотехнического задела.
• Получение метрик информационной безопасности.
Обобщенный критерий защищенности
информации в коммерческой АС
С защита
<
системы
С выгода
нарушителя
< У
ущерб
владельца
n
R   ( Ai  Bi  Ci )  Rmax
i 1
R-суммарные издержки
n-количество рисков
А-вероятный риск
В-стоимостная оценка риска
С-стоимость реализации мер защиты
ИЗ МЕТОДИКИ
Rmax-оценка допустимого риска ИЗВЛЕЧЕНИЕ
ФРАНЦУЗСКОЙ БАНКОВСКОЙ
КОМИССИИ
Особенности защиты
коммерческой i:
• частная собственность;
• цель – экономическая
профиль
эффективность;
n
• модель угроз и
Оранжевая книга,
нарушителя;
• работа в открытых
Радужная Коммерческая
серия
финансовый
системах;
профиль
информация• юридическая сила ЭД;
• страхование i рисков;
• неоднородность
организаций;
Другая информация
• определение ценности i;
• динамичность
(врачебная
и т.п.)
профиль
(мониторинг) защиты;
m
• открытые средства
защиты и т.д.
Гос. Тайна
Требования профиля (стандарта)
информационной безопасности
коммерческих банков позволят:
• оптимизировать расходы на
защиту информации;
• обеспечить качественный аудит
автоматизированных систем;
• решить вопросы внутреннего
контроля организации.
Основы защиты информации
Спасибо за
Ваше внимание!
СКОРОДУМОВ
БОРИС ИВАНОВИЧ
bisko2003@list.ru