Информационная безопасность в банковской сфере
DESCRIPTION
Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры». Информационная безопасность в банковской сфере. АНДРЕЙ ДРОЗДОВ CISM, CISA - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/1.jpg)
Международная практика внедрения и эксплуатации СМИБ организаций
информационной безопасности банка.
Информационная безопасность в банковской сфере
IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры»
АНДРЕЙ ДРОЗДОВCISM, CISA
Старший менеджер KPMG,Вице-президент Российского отделения ISACA
г.Казань, 1 июня 2007 г.
![Page 2: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/2.jpg)
2
Содержание
• Что такое Информационная безопасность?• Что такое ISO17799/27001?• Преимущества для Компании?• Что это даст конкретным людям ?• Кто еще внедряет стандарт?• Как происходит внедрение стандарта?• Следующие шаги?• Вопросы
![Page 3: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/3.jpg)
3
Что такое информационная безопасность?
• “Защита от хакеров.”• “Средство управления доступа к системам посредством имен
пользователей и паролей”• “Процесс шифрования данных с целью обеспечения
конфиденциальности”• “Барьер, мешающий мне в работе.”• “Лишние затраты.”
![Page 4: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/4.jpg)
4
Что такое информационная безопасность?
ЦелостностьДоступность
Обеспечение защиты важной информации
Обеспечение целостности информации
Обеспечение возможности работы
с информацией
Конфиден-циальность
![Page 5: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/5.jpg)
5
Что такое информационная безопасность?
• Конфиденциальность – защита важной информации от несанкционированного доступа.
• Примеры:– Счета к оплате– Персональные данные
(зарплата, информация о клиенте)
ЦелостностьДоступность
Конфиден-циальность
![Page 6: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/6.jpg)
6
Что такое информационная безопасность?
• Целостность – обеспечение качества и достоверности данных.
• Примеры:– Выставленные счета не
должны подвергаться корректировкам
– Биллинговая система не должна подвергаться неавторизованным изменениям
Доступность
Конфиден-циальность
Целостность
![Page 7: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/7.jpg)
7
Что такое информационная безопасность?
• Доступность – возможность работы с данными.
• Примеры:– Счета могут обрабатываться 24
часа в день– Система зарплаты
поддерживает работу с авансовыми отчетами Целостность
Конфиден-циальность
Доступность
![Page 8: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/8.jpg)
8
Что такое информационная безопасность?
• Ключевые аспекты программы ИБ:– Люди – организация, права, обязанности, руководство– Процесс – политики, процедуры и практика– Технология – масштабируемая поддержка технических
решений автоматизации, включающая возможности обеспечения безопасности.
• Важно: Безопасность – не только и не столько техническая проблема.
![Page 9: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/9.jpg)
9
Что такое информационная безопасность?
• ИБ- метод, посредством которого организация обеспечиваетe контроль над данными и системами, обеспечивая защиту ИТ и поддержку бизнес-процессов.
![Page 10: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/10.jpg)
10
Предыстория ISO 17799/ISO 27001
• Начало положено как стандарт лучшей практики UK Department of Trade and Industry (DTI) – Британский стандарт (BS7799)– утвержден Британским институтом стандартов– КПМГ один из со-авторов стандарта, обладает
правами сертификации • Принят как ISO17799 (часть 1 BS 7799) в
декабре 2000• В 2005 принят ISO 27001 и последняя редакция
ISO 17799
![Page 11: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/11.jpg)
11
Что такое ISO 17799?
• Набор контролей лучшей практики ИБ• Организационные вопросы• Вовлечение руководства• Политики и процедуры, основанные на мерах контроля• Измеримость• Возможность сертификации• Основан на анализе рисками• Международное признание
![Page 12: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/12.jpg)
12
KPMG Global Information Security Survey
• Одной из ключевых задач, решаемых аудитором в сфере ИТ, является оценка защищенности информационных ресурсов клиентов. Особую актуальность работы в этом направлении приобрели после трагических событий в США11 сентября 2001 года. Компания КПМГ провела исследование относительно положения в области информационной безопасности в мире. Русская версия исследования была опубликована в апреле 2002 на сайте Росбизнесконсалтинг.
• http://www.rbc.ru/consulting/kpmg.shtml
![Page 13: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/13.jpg)
13
KPMG Global Information Security Survey –Внедрение ISO 17799 в мире
Из тех, кто уже использует этот стандарт, 49% организаций провели процедуру независимой сертификации на соответствие. Ноябрь 2006 – 3080 сертификатов BS7799/ISO 27001
Лидирует Финансовый сектор, на который приходится 42% организаций, которые уже используют или готовятся использовать этот стандарт. В Европе больше, чем в других регионах организаций, использующих или собирающихся использовать этот стандарт. 2006 – лидер Япония
![Page 14: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/14.jpg)
14
Что такое ISO17799?
• 11 Областей стандарта– Управление непрерывностью бизнеса– Контроль доступа– Закупка, разработка и сопровождение систем– Физическая безопасность и защита от воздействий окружающей среды– Соответствие требованиям– Вопросы ИБ, относящиеся к персоналу– Организация безопасности
![Page 15: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/15.jpg)
15
Что такое ISO 17799?
• 11 областей стандарта (продолжение)– Управление операционными процессами и коммуникациями– Управление активами– Политика безопасности– Управление инцидентами ИБ
![Page 16: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/16.jpg)
16
Внедрение стандарта ISO 17799
Причины
Следствия
Стратегия
Управление
Знания
Поддержка
Технологии
Общее руководство ИБ
Программа внедрения ИБ
Политики ИБ
Процедуры ИБ
Обучение пользователей
Безопасность информационных активов
Защита технологической инфраструктурыОбеспечение непрерывности
Модель КПМГ
![Page 17: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/17.jpg)
17
ISO 27001Внедрение, мониторинг и аудит СУИБ
![Page 18: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/18.jpg)
18
Преимущества для компании
• Стандартизация, лучшая практика• Управление рисками• Эффективность затрат• Превентивный подход• Утвержденная корпоративная политика ИБ• Участие и поддержка высшего руководства
![Page 19: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/19.jpg)
19
Преимущества для компании
• Совершенствование процессов• Соблюдение требований клиентов и партнеров• Соответствие законодательству• Способ оценки эффективности ИБ (ROI!)• Маркетинговые и конкурентные преимущества
– клиенты– партнеры– инвесторы– страховщики
![Page 20: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/20.jpg)
20
Что это даст конкретным людям ?
• Усиление контроля за информационными активами• Снижение риска дисциплинарных наказаний• Четко определенная личная ответственность• Обеспечение требований аудита• Личный вклад в снижение риска для клиентов компании –
ключевой момент
![Page 21: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/21.jpg)
21
Как компании используют стандарт?
• Основа для Политики ИБ– Использование мер контроля как основа для политик ИБ
• Соответствие требованиям– Внедрение необходимых мер контроля и внутренний аудит соответствия
требованиям
• Официальная сертификация– Получения официальной сертификации через уполномоченного аудитора
![Page 22: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/22.jpg)
22
Выводы
• ISO 17799 – основа для корпоративной политики ИБ• Фокус на людей и процессы – а не на технологию• Не надо изобретать велосипед• Стандарт, который может использоваться, а не лежать на полке
![Page 23: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/23.jpg)
23
Следующие шаги?
• Идентификация имеющихся недостатков по требованиям ISO 17799
• Определение необходимых приоритетов и мероприятий с целью внедрения требований ISO 17799
• Разработка плана внедрения стандарта• Реализация плана• Достижение соответствия требованиям ISO 27001!• Постоянные усовершенствования с целью минимизации рисков
![Page 24: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/24.jpg)
24
Сертификация по ISO 27001
• Что сертифицируем?• Сертификация по ISO 27001?• Кто уполномочен проводить “настоящую” сертификацию и
выдавать сертификат? • Возможна ли официальная сертификация в России? • Как организован процесс сертификации?• Сколько времени потребуется? • Сколько стоит?
![Page 25: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/25.jpg)
25
Согласованиепредоставленияуслуг
Установлениерамок применимос-ти Системы Управ-ления ИБISO 27001
Обсуждениерамок СистемыУправления ИБ
Этап 2 –Сертифи-кация
Этап 1 –Диагнос-тика
Этап 1 – ОбзорСистемы
Надзорный аудит – раз в 12 месяцев3-летний цикл
Выпуск ISO 27001 UKASСертификата
Шаг 1 Шаг 2 Шаг 3
Шаг 7Шаг 6Шаг 5Шаг 4 Шаг 8
ОпционнаяПредварительная
ОценкаВнедрение
Рекомендаций.Консалтинг
Процесс сертификации
![Page 26: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/26.jpg)
26a
nd
Dev
elo
pm
en
t
BS7799 summary of ten sections
0
10
20
30
40
50
60
70
80
90
100
Sec
uri
ty P
olic
y
Org
an
isat
ion
al
Sec
uri
ty
Ass
et
Cla
ssifi
catio
na
nd
Co
ntr
ol
Per
son
nel
Sec
uri
ty
Phy
sica
l and
Env
iro
nm
en
tal
Sec
uri
ty
Com
mu
nic
atio
ns
an
d O
per
atio
ns
Ma
na
gem
en
t
Acc
ess
Co
ntr
ol
Sys
tem
Ma
inte
nan
ce
Bus
ine
ssC
ontin
uity
Ma
na
gem
en
t
Com
plia
nce
3 4 5 6 7 8 9 10 11 12
Section
Per
cen
tag
e
Level of Compliance
N/A
Предварительная оценка системы управления ИБ и диагностика (пример результатов)
![Page 27: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/27.jpg)
27
Пример проекта по внедрению и сертификации
Этапы проекта
УчастиеKПМГ
• Анализ Политик с учетом Стандарта и передовой практики
• Разработка рекоменда-ций
• Анализ основных принципов и процедур
• Разработка рекомендаций
• Консультации по внедрению при необходи-мости
• Анализ расхождений между ISO 27001 и реальной ситуацией
• Разработка плана действий -
• Сертифика-ционный аудит
Сроки 4-6 Недель 6-8 Недель По требованию 6-8 Недель 3-4 Недели
Этап I:Корпоратив-ные Политикии Стандарты
Этап II:Справочные руководства и процедуры СУИБ
Этап III:Внедрение политик и процедур
Этап IV:Анализ недостатков
Этап V:Сертификация
![Page 28: Информационная безопасность в банковской сфере](https://reader036.vdocuments.us/reader036/viewer/2022081501/56813110550346895d975037/html5/thumbnails/28.jpg)
Дроздов Андрей ВалентиновичCISM, CISA
Старший менеджер KPMG,Вице-президент Российского отделения ISACA
E-mail: [email protected]
1 июня 2007 года
СПАСИБО ЗА ВНИМАНИЕ!
ПОЖАЛУЙСТА, ВОПРОСЫ?