Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная.

Презентация:



Advertisements
Похожие презентации
НПФ «КРИСТАЛЛ» О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ (первичный блок от мая 2007г.) IT.
Advertisements

Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами.
Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы.
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч.
О роли отраслевых сообществ по информационной безопасности: пример кредитно-финансовой сферы А.Н.Велигура, CISA Председатель комитета по информационной.
Обзор ситуации со стандартами НАПФ в свете изменения законодательства Касина Светлана Алексеевна Исполнительный директор «Национального НПФ» - члена Совета.
Практический опыт реализации положений Федерального закона от ФЗ «О персональных данных» в повседневной банковской деятельности Казакевич.
Состояние работ по стандартизации в области информационной безопасности Доклад начальника отдела ГНИИИ ПТЗИ ФСТЭК России, ответственного секретаря ТК 362.
Отраслевой подход к вопросу обработки и защиты персональных данных Бондаренко Александр Руководитель отдела внешнего аудита и консалтинга, CISA +7 (495)
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Направления взаимодействия СРО и банковской ассоциации А.Н.Велигура, CISA Председатель комитета по информационной безопасности Ассоциации российских банков.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Переход на международные стандарты финансовой отчетности в банковском секторе Ричард Грегсон Директор Проекта, Партнер PricewaterhouseCoopers.
Переход на международные стандарты финансовой отчетности в банковском секторе Проект финансируется Европейским Союзом.
1 Государственная политика в области технического регулирования Мигин С.В., Национальный институт системных исследований проблем предпринимательства II.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
©Ассоциация Российских Банков, 2005 А.И. Милюков О ходе разработки стандартов качества банковской деятельности (первые итоги и проблемы). Милюков А.И.
О подготовке отраслевых стандартов и рекомендаций для НПФ по исполнению требований закона 152-ФЗ Касина Светлана Алексеевна Исполнительный директор «Национального.
Транксрипт:

Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная модель обеспечения информационной безопасности в соответствии с СТО БР ИББС-1.0 ВЛАДИМИР ГОЛОВАНОВ Зам. научного директора ООО НПФ «Кристалл», ответственный секретарь ПК3 ТК362 IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ- инфраструктуры» г.Казань, 1 июня 2007 г. Информационная безопасность в банковской сфере

2 История создания стандарта СТО БР ИББС-1.0 ( Совещание в Центре подготовки персонала Банка России, ) Требования к стандарту безопасности БС РФ: Простота и понятность Непротиворечивость терминов и определений Открытость Стандарт должен быть прямого действия Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ Стандарт должен содержать механизмы его актуализации

3 Ростехрегулирования ФСТЭК РоссииТК 362 «Защита информации» Учредили Банк РоссииПК3/ТК 362 «Защита информации в кредитно-финансовой сфере» Учредили ( Члены Подкомитета ( Банк России: Главное управление безопасности и защиты информации, Департамент информационных систем, Департамент банковского регулирования и надзора, Департамент внутреннего аудита и ревизий; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий Сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа- банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Банк Российский кредит, Банк Русский стандарт, Метробанк, Импэксбанк, Банк «Возрождение»; Федеральные службы: ФСТЭК России, ГНИИИ ПТЗИ ФСТЭК России, ФТС; Аудиторские фирмы: КПМГ, Эрнст и Янг; Разработчики: НПФ «Кристалл», «Линс-М», «Криптоком», «Фирма «АйТи». Информационные технологии», «Андэк» Организационная структура деятельности по согласованию стандартов в области ИБ для кредитно-финансовой сферы

4 Содействие использованию стандартов «Сообщество ABISS» С целью обеспечения методологического единства, повторяемости и точности, для дальнейшего развития и применения Стандарта Банка России, по инициативе членов Подкомитета ПК-3/ТК362 Ростехрегулирования ( –аудиторских компаний "Эрнст энд Янг" ( и "КПМГ"( –компаний ЗАО "Андэк" ( ГНИИИ ПТЗИ ФСТЭК России, ООО "Линс-М» и ООО НПФ "Кристалл" ( было создано Сообщество пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации ABISS - Association for Banking Information Security Standards (

5 Стандарты (СТО) и рекомендации по стандартизации (РС) Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – 2.2 Методика оценки рисков РС БР ИББС – 2.3 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Комплекс Стандартов «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»

6 Методика, заложенная в комплекс стандартов Идентификация актива Идентификация угроз Разработка политики безопасности Задание требований по безопасности Построение системы защиты Разработка регламентов эксплуатации Информационных комплексов и системы защиты Организация контроля выполнения требований и регламентов Анализ результатов (оценка рисков) корректировка

7 Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Политика ИБ Система менеджмента ИБ Модель угроз и нарушителя Оценка зрелости ИБ Проверка и оценка ИБ Формирование целей ИБ Реализация целей ИБ Контроль достижения целей ИБ

8 СТО БР ИББС – 1.0 «Общие положения» Готовится к внедрению в 2008 году третья редакция стандарта. Основные направления развития стандарта: 1. Уточнение и введение понятий: - система информационной безопасности (СИБ); - система менеджмента информационной безопасности (СМИБ); - система обеспечения информационной безопасности (СОИБ). 2. Формулирование требований по новым направлениям обеспечения информационной безопасности: - электронный банкинг; - платежные системы с использованием пластиковых карт; - вспомогательные автоматизированные системы. 3. Введение конкретных требований для процессов СМИБ; 4. Подробное рассмотрение очередности выполнения этапов цикла «Деминга».

9 СТО БР ИББС – 1.1 «Аудит информационной безопасности» Стандарт аудита информационной безопасности: основан на положениях ГОСТ Р ИСО ; регламентирует взаимоотношения сторон при проведении внешнего аудита; рекомендован к вводу в действие ПК3/ТК362; одобрен к утверждению аудиторскими организациями – членами сообщества ABISS; введен в действие с 1 мая 2007 года.

10 СТО БР ИББС – 1.2 «Методика оценки соответствия» Методика оценки соответствия: имеет статус стандарта Банка России; определяет способ оценки степени выполнения требований стандарта Банка России (СТО-1.0 «Общие положения»); рекомендована к вводу в действие ПК3/ТК362; апробирована в ряде кредитных организаций и структурных подразделений Банка России; введена в действие с 1 мая 2007 года.

11 Определение понятия «аудит ИБ организаций БС РФ» Федеральный закон «Об аудиторской деятельности» 119-ФЗ Аудит- предпринимательская деятельность по независимой проверке бухгалтерского учета и финансовой (бухгалтерской) отчетности организаций и индивидуальных предпринимателей (далее - аудируемые лица) ГОСТ Р ИСО «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента» Аудит (проверка) - Систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита Аудит информационной безопасности организации банковской системы РФ – на основе определения понятия « аудит » по ГОСТ Р ИСО ( в соответствии с международной практикой ) Критерии аудита – требования СТО БР ИББС-1.0

12 32-й Групповой показатель ниже 1-го уровня Частные показатели: М Да М Нет М Нет М Нет М Нет Как оптимально вложить средства для «выхода» 32-го группового показателя из красного сектора в желтый? Дополнительные возможности аудита ИБ – оптимизация инвестиций в обеспечение ИБ. Пример использования результатов аудита ИБ. Оптимизация инвестирования в обеспечение ИБ организации

13 РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» Рекомендации по документационному обеспечению: определяют состав и содержание совокупности документов кредитной организации в области информационной безопасности; носят рекомендательный характер; рекомендованы к вводу в действие ПК3/ТК362; введены в действие с 1 мая 2007 года.

14 Требования к внутренним документам по обеспечению ИБ РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» (структура документов)

15 РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» (ЖЦ документов ИБ) Менеджмент документов по обеспечению ИБ

16 РС БР ИББС – 2.1 «Руководство по самооценке» Руководство по самооценке: определяет порядок проведения самооценки информационной безопасности с использованием методики оценки соответствия ( СТО БР ИББС – 1.2 ); носит рекомендательный характер; основано на положениях методики оценки соответствия ( СТО БР ИББС – 1.2 ) и стандарте аудита ( СТО БР ИББС – 1.1 ); введено в действие с 1 мая 2007 года.

17 Проект методики классификации активов: определяет порядок выполнения классификации информационных активов по степени их важности для целей кредитной организации; носит рекомендательный характер; разработана первая редакция; проходит апробация в одном из ГУ Банка России (первое полугодие 2007 года); планируется к введению со второй половины 2007 года. РС БР ИББС – 2.2 «Методика классификации активов» (проект)

18 РС БР ИББС – 2.3 «Методика оценки рисков» (проект) Проект методики оценки рисков: разработаны первые редакции двух методик: методики детальной оценки рисков информационной безопасности; методики риск-ориентированной интерпретации результатов оценки соответствия требованиям стандарта Банка России; носит рекомендательный характер; проходит апробация в одном из ГУ Банка России (первое полугодие 2007 года); планируется к введению со второй половины 2007 года.

19 Информация для использования 1.Официальном сайте Банка России и Официальном сайте ПК3/ТК Официальном сайте Сообщества ABISS Стандарты Банка России доступны на:

Голованов Владимир Борисович Заместитель научного директора ЗАО НПФ «Кристалл», Ответственный секретарь ПК3/ТК июня 2007 года СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ?