СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе составляет основу нашей уверенности в других» Франсуа де Ларошфуко ГОСУДАРСТВЕННЫЕ И ОТРАСЛЕВЫЕ СТАНДАРТЫ ПО ОБЕСПЕЧЕНИЮ ИБ • ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью; • ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования; • ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности; • ГОСТ Р ИСО/МЭК 13335-1-5 Информационная технология. Методы и средства обеспечения безопасности; • ГОСТ Р 53110 - 2008 «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения» (СОИБ ССОП); • Стандарт Банка России СТО БР ИББС-1.0-2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. НОВАЯ ВЕРСИЯ СТАНДАРТА БАНКА РОССИИ Распоряжением Банка России от 25.12.2008 N Р-1674 введена в действие третья редакция СТО БР ИББС-1.0-2008. СИСТЕМА ОБЕСПЕЧЕНИЯ ИБ БАНКА СЗ ПД СОИБ Головного Офиса СМИБ СИБ СОИБ филиала СОИБ филиала СОИБ филиала СУ ИТ ОСНОВНЫЕ СТАДИИ СОВЕРШЕНСТВОВАНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИБ БАНКА 1 стадия 2 стадия 3 стадия Подготовка к совершенствованию СОИБ Совершенствование СОИБ (Проектирование, внедрение, опытная эксплуатация) Внешний аудит СОИБ 1 СТАДИЯ - ПОДГОТОВКА К СОВЕРШЕНСТВОВАНИЮ СОИБ ГО БАНКА Обследование СОИБ на соответствие Стандарта Банка России 1 стадия Оценка и обработка рисков ИБ 2 стадия 3 стадия Разработка Концепции сов. СОИБ Утверждение Концепции сов. СОИБ КОНЦЕПЦИЯ СОВЕРШЕНСТВОВАНИЯ СОИБ БАНКА Цель разработки Концепции – определить основные направления работ по обеспечению ИБ Банка и подготовить План мероприятий по созданию СМИБ и совершенствованию СИБ ГО и филиалов Банка ПЛАН МЕРОПРИЯТИЙ ПО СОВЕРШЕНСТВОВАНИЮ СОИБ БАНКА Этап 1 2008 Этап 2.1 1-4 кв. 2009 Подготовка к совершенствованию СОИБ Создание СМИБ ГО (Проектирование, внедрение, опытная эксплуатация) Этап 2.2 1-4 кв. 2009 (Проектирование, внедрение, опытная эксплуатация) Этап 3 1 кв. 2010 Внешний аудит СОИБ ГО на соответствие СТО БР Этап 4 2010-2011 Создание интегрированной СОИБ ГО и филиалов Банка Этап 5 4 кв. 2011 Внешний аудит интегрированной СОИБ на соответствие СТО БР Совершенствование СИБ ГО ОСНОВНЫЕ ЭТАПЫ СОВЕРШЕНСТВОВАНИЯ СОИБ ГО БАНКА 2009 1 квартал 2 квартал 3 квартал 2010 4 квартал 1 квартал Проектир. СМИБ Внедрение СМИБ Проектир. СИБ Опыт. эксп. Внедрение СИБ Внеш. аудит Опыт. эксп. СТРУКТУРА СТАНДАРТА БАНКА РОССИИ Концептуальная схема обеспечения ИБ Модели угроз и нарушителей СИБ СМИБ Проверка и оценка ИБ ОСНОВНЫЕ НАПРАВЛЕНИЯ РАБОТ ПО СОВЕРШЕНСТВОВАНИЮ СОИБ ГО БАНКА Цели в области обеспечения ИБ ИБ Система обеспечения ИБ К Ц Д Политики и процедуры С К П ОРД СОИБ Р Процессы Роли Концептуальная схема обеспечения ИБ Модели угроз и нарушителей СИБ СМИБ Проверка и оценка ИБ Требования стандарта СТО БР ИББС-1.0-2008 Документы СОЗДАНИЕ СМИБ ГО БАНКА Этап 1 Этап 2.1 Этап 2.2 Этап 3 Этап 4 Этап 5 Разработка Политик СМИБ Создание службы ИБ Разработка Процедур СМИБ Обучение сотрудников Расширение Функций Комитета Внедрение СМИБ Эксплуатация СМИБ Тактический уровень Стратегический уровень ПЕРЕЧЕНЬ ПРОЦЕССОВ СМИБ СП-1 Принятие стратегических решений по обеспечению ИБ СП-2 Выделение ресурсов на обеспечение ИБ СП-3 Распределение ролей и ответственности по обеспечению ИБ ТП-15 Совершенствовани е СОИБ ТП-2 Определение/ уточнение высокоуровневой Концепции обеспечения ИБ ТП-3 Определение/ уточнение Политики СОИБ ТП-4 Определение/ уточнение Политики ИБ СП-5 Анализ СОИБ высшим руководством ТП-5 Анализ и оценка рисков ИБ ТП-6 Выбор/ уточнение целей ИБ и защитных мер ТП-14 Внешний аудит СОИБ ТП-15 Управление документами ТП-1 Управление выделенными ресурсами ТП-16 Управление записями ТП-7 Разработка/ уточнение плана обработки рисков ИБ ТП-13 Внутренний аудит СОИБ ТП-12 Анализ эффективности СОИБ Операционный уровень СП-4 Координация обеспечения ИБ ТП-11 Управление работой СИБ ОП-1 Управление ИБ при работе с персоналом ОП-2 Управление ИБ ИС на стадиях жизненного цикла ОП-7 Управление использованием СКЗИ ОП-8 Управление ИБ банк. платеж. тех. процессов ТП-10 Обучение и информирование в области ИБ ОП-3 Управление доступом ОП-9 Управление ИБ банк. информ. тех. процессов ТП-9 Определение способов измерения эффективности выбранных защитных мер ТП-8 Реализация плана обработки рисков ИБ и защитных мер ОП-4 Управление антивирусной безопасностью ОП-5 Управление физической безопасностью ОП-6 Управление ИБ при использовании сети Интернет и электронной почты ОП-10 Управление сетевой безопасностью ОП-11 Управление непрерывностью бизнеса ОП-12 Управление инцидентами ИБ С М И Б РЕКОМЕНДАЦИИ БАНКА РОССИИ ПО ДОКУМЕНТАЦИИ СОИБ ПРИМЕР ПЕРЕЧНЯ ПРОЦЕДУР СОИБ (8.10.) обнаружение и реагирование на инциденты ИБ: Процедура обнаружения инцидентов ИБ; Процедура информирования об инцидентах; Процедура классификации инцидентов; Процедура реагирования на инциденты; Процедура анализа причин инцидентов и оценка реагирования на инцидент. ОРГАНИЗАЦИЯ СЛУЖБЫ SERVICE DESK И ВНЕДРЕНИЕ ПРОЦЕССА УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ОТ АСТЕРОС 1-ая линия поддержки 2-ая линия 3-ая линия N-ая линия Конец Разработанный, описанный и формализованный Процесс Обученный персонал Разрешение и восстановление Владение, мониторинг, отслеживание. Проведение эскалации. Коммуникации Настроенная в соответствии с Процессом система автоматизации (АС Service Desk) Закрытие Разрешение и восстановление Процедура Запроса на обслуживание Да Решен? Нет Привязка Да Нет Сбой? Начальная поддержка Классификация и оценка Выявление и регистрация Начало Разрешение и восстановление Да Решен? Нет, и т.д. Да Решен? Нет Диагностика и расследование Диагностика и расследование ... СОЗДАНИЕ СИБ ГО БАНКА Этап 1 Этап 2 Этап 2.2 Этап 3 Этап 4 Разработка Политик СИБ Разработка процедур СИБ Обследование подсистем ИБ Проектирование/ модернизация подсистем ИБ ИС Обучение сотрудников Внедрение СИБ Этап 5 Эксплуатация СИБ Тактический уровень Стратегический уровень ПЕРЕЧЕНЬ ПРОЦЕССОВ СИБ СП-1 Принятие стратегических решений по обеспечению ИБ СП-2 Выделение ресурсов на обеспечение ИБ СП-3 Распределение ролей и ответственности по обеспечению ИБ ТП-15 Совершенствовани е СОИБ ТП-2 Определение/ уточнение высокоуровневой Концепции обеспечения ИБ ТП-3 Определение/ уточнение Политики СОИБ ТП-4 Определение/ уточнение Политики ИБ СП-5 Анализ СОИБ высшим руководством ТП-5 Анализ и оценка рисков ИБ ТП-6 Выбор/ уточнение целей ИБ и защитных мер ТП-14 Внешний аудит СОИБ ТП-15 Управление документами ТП-1 Управление выделенными ресурсами ТП-16 Управление записями ТП-7 Разработка/ уточнение плана обработки рисков ИБ ТП-13 Внутренний аудит СОИБ ТП-12 Анализ эффективности СОИБ Операционный уровень СП-4 Координация обеспечения ИБ ТП-11 Управление работой СИБ ОП-1 Управление ИБ при работе с персоналом ОП-2 Управление ИБ ИС на стадиях жизненного цикла ОП-7 Управление использованием СКЗИ ОП-8 Управление ИБ банк. платеж. тех. процессов ТП-10 Обучение и информирование в области ИБ ОП-3 Управление доступом ОП-9 Управление ИБ банк. информ. тех. процессов ТП-9 Определение способов измерения эффективности выбранных защитных мер ТП-8 Реализация плана обработки рисков ИБ и защитных мер ОП-4 Управление антивирусной безопасностью ОП-5 Управление физической безопасностью ОП-6 Управление ИБ при использовании сети Интернет и электронной почты ОП-10 Управление сетевой безопасностью ОП-11 Управление непрерывностью бизнеса ОП-12 Управление инцидентами ИБ С И Б Диаграмма процедуры управления документами СМИБ Банка А1 Управление документами СМИБ Руководитель Ответственный за Ответственный за банковской организации разработку актуализацию Разработчик документа Сотрудник службы ИБ Согласующие лица Ответственный за документацию Возникновение потребности в новом документе или изменении действующего документа Приказ о разработке, изменении, приобретении документации Планирование разработки или актуализации документа Документ от поставщика Приобретение документа Составленный план разработки или актуализации документа Приобретенный документ Документ не утвержден Изменение не утверждено Разработка изменения Разработка документа Разработанный документ Разработанное изменение к документу Изменение, не прошедшее экспертизу Документ, не прошедший экспертизу Экспертиза Документ, прошедший документа или экспертизу изменения на соответствие требованиям СМИБ Изменение, прошедшее экспертизу Согласование документа или изменения Документ не согласован Изменение не согласовано Изменение согласовано Документ согласован Утверждение документа Документ утвержден Изменение утверждено Регистрация документа или изменения Зарегистрированный документ Издание документа Изданный документ Рассылка по подразделениям Документ для регистрации в подразделении Регистрация документа или изменения в подразделении Документ или изменение, зарегистрированные в подразделении Ознакомление сотрудников с документом или изменениями Документ к хранению Хранение документа Документ к изъятию из обращения Изъятие документа из обращения Документ, изъятый из обращения Аннулирование документа Аннулированный документ Действующая и актуальная документация в подразделениях Основные документы определяющие роли и ответственности по обеспечению ИБ Документы СОИБ Руководит., ответств. за ИБ Департаменты биз. подразд. Контракт Руководство по обеспечению ИБ Банка Положение о подразделении Должностные инструкции Департамент управления рисками Положение о подразделении Должностные инструкции Департамент ИТ Положение о подразделении Должностные инструкции Департамент Безопасности Положение о подразделении Должностные инструкции СВК Положение о подразделении Должностные инструкции Администрат. управление Положение о подразделении Хозяйствен. управление Положение о подразделении Должностные инструкции Должностные инструкции Внешний аудит Этап 1 Этап 2.1 Проведение предварительного аудита на соответствие СТО БР Этап 2.2 Устранение выявленных несоответствий Этап 3 Повторный аудит Этап 4 Этап 5 Оформление заключения о соответствии Создание СМИБ филиалов Банка Этап 1 Этап 2.1 Этап 2.2 Этап 3 Этап 4 Этап 5 Разработка Политик СМИБ-Ф Создание службы ИБ филиалов Разработка Процедур СМИБ-Ф Обучение сотрудников Внедрение СМИБ - Ф Эксплуатация СМИБ - Ф Создание СИБ филиалов Банка Этап 1 Этап 2 Этап 2.2 Этап 3 Этап 4 Разработка Политик СИБ-Ф Разработка процедур СИБ-Ф Обследование подсистем ИБ Проектирование/ модернизация подсистем ИБ ИС Обучение сотрудников Внедрение СИБ-Ф Этап 5 Эксплуатация СИБ-Ф Внешний аудит интегрированной СОИБ ГО и филиалов Банка Этап 1 Этап 2.1 Этап 2.2 Этап 3 Проведение предварительного аудита на соответствие СТО БР Устранение выявленных несоответствий Повторный аудит Этап 4 Этап 5 Оформление заключения о соответствии Планируемые результаты Повышение стабильности функционир. Банка Снижение ущерба в случае инцидентов ИБ Управление рисками ИБ Оптимизация затрат на обеспечение ИБ Повыш. эффективности используемых мер ИБ Повышение ответственности за обеспечение ИБ 1. Повышение уровня ИБ Банка 2. Соответствие Стандарту СТО БР ИББС-1.02008 СПАСИБО ЗА ВНИМАНИЕ! Кузнецов Владимир Михайлович Начальник отдела построения СУИБ Группа «Астерос» 109052, г. Москва ул. Новохохловская, д. 23, стр. 1 Телефон: +7 (495) 787-24-50 Факс: +7 (495) 787-24-89 [email protected] www.asteros.ru