СУИБ
advertisement
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины. Дмитрий Зарахович Ирина Ивченко Предисловие • Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову №474 від 28 жовтня 2010р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” http://bank.gov.ua/B_zakon/Acts/2010/28102010_474.pdf • З дня опублікування цієї постанови набирають чинності такі стандарти НБУ: – СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IEС 27001:2005, МОD); – СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IEС 27002:2005, МОD). • Також Банки України повинні впровадити системи управління інформаційною безпекою до 01.10.2011 відповідно до вищевказаних стандартів Національного банку України. Наш опыт - Нам доверили Откуда приходит ИБ? Формирование бизнес идеи Постановка основных процессов Автоматизация основных процессов (Back Office & Front Office) Формирование информационных активов Организация информационной безопасности Необходимость внедрения системы управления информационной безопасностью (СУИБ) обусловлена: • • • • • • наличием в банках большого количества систем автоматизации, между собой взаимодействуют, обмениваются данными; наличием различных систем защиты информации в различных системах автоматизации банковской деятельности; отсутствием подробного описания, что создает условия появления больших операционных рисков и зависимости от разработчиков и администраторов систем; отсутствием ИТ аудита и анализа ИТ рисков; условиями, когда информационной безопасностью занимаются только специалисты по безопасности, владельцы бизнеспроцессов/банковских продуктов считают, что защита информации мешает бизнесу; отсутствием поддержки со стороны руководства банка в вопросах информационной безопасности (руководство считает, что меры безопасности не приносят прибыли) Стандартизация и требования локального законодательства • Стандарты ISO 9001 - Система Менеджмента Качества ISO 20000 - Система Управления IT-Сервисами ISO 27001 - Система Управления Информационной Безопасностью BS 25999 - Система Управления Непрерывностью Бизнеса ISO 14001 – Система Экологического Менеджмента OHSAS 18001 - Система Управления Охраной Труда и Производственной Безопасностью – ISO 22000 – Система Управления Пищевой Безопасностью – ISO 31001 – Риск-менеджмент – – – – – – Стандартизация и требования локального законодательства • Законодательство (с ссылками на ИБ) – Об информации – О защите информации в информационно-телекоммуникационных системах – Об электронных документах и электронном документообороте – Об электронной цифровой подписи – О защите персональных данных – Кодекс Украины об административных правонарушениях – Уголовный кодекс Украины – Про Национальный Банк Украины – Про банки и банковскую деятельность – Нормативно-правовые акты НБУ Идеология построения ИБ: процесс «as is» объект процесс субъект Найти Вернуть Наказать Идеология построения ИБ: процесс «to be» Активы Риски Инвест иции • Вопрос подмены понятий: – «Информационная безопасность» не равна «безопасности ИТ-системы» ИБ Участие в процессе СУИБ: функциональные мотивы • – Увеличение дохода – Снижение затрат – Управляемость бизнеса CEO • Audit ИБ CSO СЕО – Председатель правления CIO – ИТ-директор – Автоматизация бизнес-процессов – Поддержка систем автоматизации – Обеспечение непрерывности и устойчивости – Рационализация бизнес-процессов CIO • CSO – Директор по безопасности – Найти/вернуть/наказать – Превентивная защита бизнеса • Служба внутреннего аудита Владельцы БП – Соответствие бизнес-показателей установленным KPI – Применение стандартов и методик Руководство банка должно обеспечить: • • • • • • • • • контроль разработки политики СУИБ контроль того, что цели и планы СУИБ разработаны контроль разработки ролей и обязанностей по информационной безопасности доведение до сведения персонала информации о важности достижения целей информационной безопасности и соответствия политике информационной безопасности, ответственности перед законом и потребности постоянного совершенствования предоставление достаточных ресурсов для разработки, внедрения, функционирования, мониторинга, пересмотра, поддержания и совершенствования СУИБ принятия решения относительно критериев принятия рисков и приемлемых уровней рисков обеспечение проведения внутренних аудитов СУИБ проведение пересмотров СУИБ Цели внедрения СУИБ • снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности; • постоянно отслеживать и оценивать риски с учетом всей бизнеса; • эффективно выявлять наиболее критические риски и избегать их реализации; • разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение; • эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса; • обеспечить понимание вопросов информационной безопасности руководством и всеми работниками; • обеспечить повышение репутации и рыночной привлекательности; • обеспечить защиту от рейдерских атак; Разница в международных стандартах ISO 27001 ISO 27002 и стандартов Национального Банка Украины: • Международные стандарты ISO 27001 и ISO 27002 являются стандартами высокого уровня и описывают общие подходы по построению и функционированию систем управления информационной безопасностью • В стандартах Национального банка Украины СОУ Н НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ 2.0:2010 часть требований уточнена и усилена требованиями нормативных документов Национального банка Украины • Это привело к регламентации вопросов информационной безопасности в стандартах Национального банка Украины вместо общих деклараций международных стандартов Соответствие стандартам • Соответствие стандартам Национального банка Украины практически означает соответствие международным стандартам но не наоборот • Национальный банк Украины не требует от банков Украины проведение сертификации на соответствие международным стандартам Особенности внедрения и функционирования СУИБ в банках Украины • СУИБ должна быть внедрена для банка в целом • при внедрении СУИБ необходимо подробно описать существующую инфраструктуру банка и средства защиты; • оценка рисков должна осуществляться на основе рассмотрения рисков бизнес-процессов/банковских продуктов, а не отдельных ресурсов СУИБ; • предложена методика оценки не предусматривает усреднения рисков по бизнес-процессам/банковским продуктам, что позволяет четко определить причины наибольших рисков и правильно выбрать дополнительные меры безопасности; • функционирования и совершенствования СУИБ является непрерывным процессом СУИБ в банках Украины должна включать: Банк в целом процессы и процедуры системы управления персонал физическую среду конфигурацию программно-технических комплексов, оборудование, программное обеспечение • системы телекоммуникации • зависимость от внешних организаций • • • • • • Этапность работ по создании системы Менеджмента Введение созданной системы в эксплуатацию Автоматизация снижения уровня рисков Подготовительный этап Экспертная оценка Создание проекта Оценка рисков Подготовительный этап • Подготовительный этап: Введение созданной системы в эксплуатацию Подготовительный этап Создание проекта Экспертная оценка Оценка рисков – определение границ СУИБ; – изучение Исполнителем предоставленной Заказчиком информации, касающейся общего описания информационнотелекоммуникационной системы (далее ИТС). • Анализ документации СУИБ Заказчика: – анализ разработанных и внедренных Заказчиком политик, стандартов, процедур и других распорядительных документов, касающихся функционирования ИТС; – разработка рекомендаций по доработке организационно-нормативной базы, необходимой для функционирования системы СУИБ. Назначение ответственных Назначение ответственных Создании комитета СУИБ Положение о комитете СУИБ Точка коммуникации со стороны Заказчика Анализ документации Документация База для экспертной оценки Экспертная оценка Введение Подготовительный созданной системы этап в эксплуатацию Создание проекта Экспертная оценка Оценка рисков • Существующая у Заказчика документация • Составляющие инвентаризации: – – – – Информационная среда Технологическая среда Физическая среда Среда пользователей Создание ТЗ на СУИБ • Результаты создания ТЗ на СУИБ – Техническое задание на создание СУИБ. – Отчет по результатам экспертной оценки информационной системы. – Рекомендации по доработке ИТС и связанной с ней нормативнораспорядительной документации, с целью соответствия ее требованиям международных и отраслевых стандартов по управлению информационной безопасностью. Создание ТЗ на СУИБ Документация Составляющие сред Описание БП База к оценке рисков Оценка рисков Введение Подготовительный созданной системы этап в эксплуатацию Экспертная оценка Создание проекта Оценка рисков • Перечень бизнес-процессов • Выделение критических бизнеспроцессов • Описание бизнес-процессов согласно методике НБУ Этап оценки рисков • • • • • • • • Определение основных бизнес-процессов организации и их взаимодействия; Инвентаризация ресурсов (определение существенных активов); Разработка и согласование с Заказчиком методики оценки рисков Проведение работ по оценке рисков с предоставлением отчета; Определение допустимых уровней риска и подготовка документа для принятия (утверждения) остаточных рисков. Исследование и анализ мер защиты, которые уже были определены и реализованы в организации (анализируются организационные мероприятия, осуществленные в области планирования, внедрения, аудита и модернизации способов обеспечения информационной безопасности, и программно-технические средства и механизмы защиты информации, уже используются); Разработка перечня дополнительных мероприятий по снижению уровней рисков; Документальное оформление общего плана обработки рисков. Возникающие вопросы • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики – Відповідно до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2006 N254 банківський продукт – це стандартизовані процедури, що забезпечують виконання банками операцій, згрупованих за відповідними типами та ознаками. – Не існує стандартного набору бізнеспроцесів/банківських продуктів для будь-якого банку. Тому банк має самостійно визначити відповідні бізнеспроцеси/банківські продукти, які використовуються всередині банку. Пример блок-схемы критичных бизнес-процессов Возникающие вопросы • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики – Банк повинен створити перелік критичних бізнеспроцесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якої може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнеспроцеси/банківські продукти, що обробляють: • • • • • • • платіжні документи, внутрішні платіжні документи, кредитні документи, документи на грошові перекази, персональні дані клієнтів та працівників банку, статистичні звіти, інші документи, які містять інформацію з обмеженим доступом. Корреляция сервисов и пользователей Бизнессервисы Бизнес-пользователи Приложения и базы данных Внедренцы и разработчики Программное и аппаратное обеспечение ИТспециалисты Коммуникационная сеть, каналообразующее и маршрутизирующее оборудование Админист раторы Этап оценки рисков • Результат этапа оценки рисков – Методика оценки рисков адаптирована к потребностям Заказчика; – Отчет по результатам оценки рисков; – Рекомендации по уменьшению уровней существенных рисков (в рамках плана обработки рисков). «Облако рисков» для пар угроза/уязвимость 25.00 20.00 15.00 10.00 5.00 0.00 31 «Облако рисков» и устранение рисков (денежная оценка) • Логично «срезать» риски радиусами • Принятие решений об инвестициях и бюджетах на снижение рисков на основании стоимости средств защиты и административных мероприятий 32 Документирование СУИБ • Задачи этапа – Создание нормативной и технической документации на СУИБ; – Разработка и адаптация механизмов внедрения требований СУИБ в ИТС. • Результат - Технический проект состоящий из нормативной и технической документации по следующим уровням: – уровень политики информационной безопасности; – уровень положений, методик и процедур, которые проводятся в рамках СУИБ; – уровень инструкций СУИБ; – уровень документов механизмов контроля (внутренние аудиты, контроле со стороны руководства) – уровень положений о структурных подразделениях и должностных инструкций. Реализация требований СУИБ • Этап внедрения решений и технологий – Перечень решений блочно на следующем слайде • Введение СУИБ в эксплуатацию – Разработка программы и методики испытания СУИБ; – Введение СУИБ в опытную и промышленную эксплуатацию; – Поддержка осведомленности персонала • Результат – – – – Программа и методики испытания СУИБ; Протокол по результатам испытаний; Проект акта ввода в опытную и промышленную эксплуатацию; Использование, модификация и улучшение СУИБ Продукты и решения по обеспечению ИБ Управление доступом пользователей Обеспечение безопасности платформ и инфраструктуры Решения по аутентификации Антивирусное ПО Решения по автоматизации разграничения доступа ПО для защиты рабочих станций и серверов Управление идентификацией Специализирова нное ПО для устройств вводавывода ПО для защиты систем управления базами данных (СУБД) Специализирова нное ПО для предотвращения утечек (DLP, больше чем DLP) Системы обнаружения и предотвращения вторжений Системы защиты периметра сети (Firewall, UTM) Proxy серверы, фильтрация URL и электронной почты Устройства для организации криптографическ и защищенных соединений SSL, VPN Средства регистрации и мониторинга Системы для сбора и обработки событий Сканеры уязвимостей ПО для оценки защищенности систем и приложений Обеспечение непрерывности функционирования IT Системы обеспечения бесперебойного эл. питания Системы охлаждения и климат-контроля Системы резервного копирования и восстановления Услуги по обеспечению ИБ Консалтинг Анализ рисков ИТ Аудит бизнес приложений (ПО) Организация систем управления ИБ Аудит ИТ инфраструктуры Организация кризисного менеджмента Проведение систем в соответствие с требованиями регуляторов Системы по расчету и оценке экономической эффективности мер по ИБ Обучение Аудит Оценка защищенности систем управления базами данных Тесты на проникновение в системы Аудит на соответствие требованиям по ISO 27001 Тренинги по организации ИБ для специалистов и менеджеров Аудит на соответствие требованиям PCI DSS Повышение осведомленности персонала предприятия по вопросам ИБ Аудит на соответствие ИБ Третьими лицами Аутсорсинг услуг по безопасности Внешнее сканирование на уязвимость Криптографическая защита процессов Облачные системы для обработки и хранения данных Мониторинг, управление и расследование инцидентов ИБ • • • • Уровень предоставления сервисов Уровень приложений и баз данных Уровень программного и аппаратного обеспечения Сетевой уровень – каналы связи и канало образующее оборудование • Интеграция с системами информационной безопасности • Интеграция с системами расследования инцидентов Дмитрий Зарахович Dmitry.Zarakhovych@sicenter.net +380 98 124-0-126 Ирина Ивченко Irina.Ivchenko@sicenter.net +380 67 715-13-69
