НПФ «КРИСТАЛЛ» О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ (первичный блок от мая 2007г.) IT.

Презентация:

Advertisements

Похожие презентации

Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная.

Advertisements

СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.

Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами.

Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч.

ОРГАНИЗАЦИОННЫЕ ТЕХНОЛОГИИ КАК ОТВЕТ НА НЕУСТОЙЧИВОСТЬ ФИНАНСОВЫХ РЫНКОВ И НОВЫЕ ВЫЗОВЫ К ДЕЯТЕЛЬНОСТИ БАНКОВ Р.Х. Марданов, Председатель Национального.

Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы.

Состояние работ по стандартизации в области информационной безопасности Доклад начальника отдела ГНИИИ ПТЗИ ФСТЭК России, ответственного секретаря ТК 362.

ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»

Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»

Институт системного анализа Российской академии наук (ИСА РАН) 1 "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба".

Разработка проекта стандарта информационной безопасности атомной энергетики Исполнитель : Лепикоршев А. Е. Научный руководитель : Малюк А. А.

Практический опыт реализации положений Федерального закона от ФЗ «О персональных данных» в повседневной банковской деятельности Казакевич.

Построение политики безопасности организации УЦ «Bigone» 2007 год.

Р.Х. Марданов, Председатель Национального банка Республики Башкортостан Банка России СОВЕРШЕНСТВОВАНИЕ КОРПОРАТИВНОГО УПРАВЛЕНИЯ В РОССИЙСКИХ БАНКАХ –

Обзор ситуации со стандартами НАПФ в свете изменения законодательства Касина Светлана Алексеевна Исполнительный директор «Национального НПФ» - члена Совета.

CNews Analytics: « ИБ в банках: ставка на сервисы » Москва 2008.

С.В.Коровин, начальник экономического управления Национального банка Республики Башкортостан Банка России О проблемных вопросах стандартизации кредитных.

Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»

Управление качеством. ОСНОВНОЕ СОДЕРЖАНИЕ МС ИСО СЕРИИ И ИХ РОЛЬ В СОЗДАНИИ СИСТЕМЫ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА НА ПРЕДПРИЯТИИ

ОСНОВНЫЕ ПОЛОЖЕНИЯ ОСНОВНЫЕ ПОЛОЖЕНИЯ НАЦИОНАЛЬНЫХ СТАНДАРТОВ НАЦИОНАЛЬНЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ КАЧЕСТВА И МЕНЕДЖМЕНТА.

Транксрипт:

НПФ «КРИСТАЛЛ» О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ (первичный блок от мая 2007г.) IT & Security FORUM «Технологии роста». Информационная безопасность кредитно-финансового сектора (Казань, май 2008) В.Б. Голованов Зам. научного директора, эксперт по стандартизации (РОСС RU)

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 2 ИСТОРИЯ ВОПРОСА 2000 год. Начаты работы по разработке основополагающего Стандарта год. Создан ПК3 ТК 362 Госстандарта для отработки Стандарта и последующих документов 2004 год. Принята первая редакция Стандарта. Проведена первая апробации Стандарта в ГУ Банка России по г. С-Пб год. Проведена апробация в опытной зоне 2005 год. Стандарт внедрен в 25 КО 2006 год. По результатам апробации подготовлена и введена в действие вторая редакция Стандарта 2006 год. Создана ассоциация ABISS 2006 год. Открыта специализированная страничка на сайте Банка России (официальное представительство) в Интернет 2007 год. Приняты четыре документа – сформирован первичный блок Комплекса

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 3 Организационная структура деятельности по согласованию стандартов комплекса «БР ИББС» Ростехрегулирование ФСТЭК России ТК 362 Учредили Банк России ПК3/ТК 362 «Защита информации в кредитно-финансовой сфере» Учредили Члены Подкомитета ( Банк России (подразделения ЦА): ГУБиЗИ, ДИС, ДБРН, ДВАиР; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа-банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Промсвязьбанк, Метробанк, Банк «Возрождение», Конверсбанк; Федеральные службы: ФСТЭК России, ГНИИИ ПТЗИ ФСТЭК России, Федеральная таможенная служба РФ; Международные Аудиторские фирмы: «КПМГ», «Эрнст энд Янг (СНГ) Б.В.», «ПрайсвотерхаусКуперс Аудит»; Разработчики: НПФ «Кристалл», «Линс-М», «Фирма «АйТи», «Криптоком», «Андэк»

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 4 Стандарты и рекомендации в области стандартизации (первичный блок) Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (Комплекс «БР ИББС») Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 5 Методика, заложенная в комплекс стандартов Идентификация актива Идентификация угроз Разработка политики безопасности Задание требований по безопасности Построение системы защиты Разработка регламентов эксплуатации Информационных комплексов и системы защиты Организация контроля выполнения требований и регламентов Анализ результатов (оценка рисков) корректировка

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 6 Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Политика ИБ Система менеджмента ИБ Модель угроз и нарушителя Оценка зрелости ИБ Проверка и оценка ИБ Формирование целей ИБ Реализация целей ИБ Контроль достижения целей ИБ

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 7 Вовлеченные стороны Эффективность обеспечения ИБ прямо зависит от масштаба охвата процессами ИБ персонала и активов организации в контексте рисков бизнесу организации: высшее руководство организации; бизнес-подразделения; служба (департамент) риск-менеджмента; служба (департамент) внутреннего контроля (аудита); служба ИБ (департамент, подразделение, уполномоченное лицо); служба (департамент, подразделение) информатизации (ИТ); другие вспомогательные службы.

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 8 менеджмент активов (информационных активов) (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент активов (информационных активов) (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент рисков ИБ (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК ); менеджмент рисков ИБ (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК ); менеджмент инцидентов ИБ (с учетом ГОСТ Р ИСО/МЭК и ГОСТ Р ИСО/МЭК 18044); менеджмент инцидентов ИБ (с учетом ГОСТ Р ИСО/МЭК и ГОСТ Р ИСО/МЭК 18044); менеджмент персонала (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент персонала (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент непрерывности бизнеса (деятельности) и восстановление после прерываний (в информационной сфере организации) (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК 17799). менеджмент непрерывности бизнеса (деятельности) и восстановление после прерываний (в информационной сфере организации) (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК 17799). Предмет соглашения безопасности с бизнесом Основа соглашения: вопрос обеспечения ГАРАНТИЙ в информационной сфере в контексте возможных потерь и требований законодательства

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 9 Истинная причина проблем «Успех достигается упорной работой. А если что-то не ладится, судьба в этом не виновата и это не значит, что тебе не повезло. Истинная причина – изъяны в методах управления, в организации дела» Коносукэ Мацушита, основатель компании Matsushita Electric Industrials Co. (Panasonic) (из выступления Марданова Р.Х., НБ РБ, V научно-практическая конференция «Банки, Процессы, Стандарты, Качество» 2008г.)

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 10 Стандарты и рекомендации в области стандартизации Комплекса «БР ИББС» (текущие планы) Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – 2.3 Методика назначения и описания ролей РС БР ИББС – 2.4 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.2

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ Уточнение и введение понятий: - система информационной безопасности (СИБ); - система менеджмента информационной безопасности (СМИБ); - система обеспечения информационной безопасности (СОИБ). 2. По разделу 7: - более четкие и однозначные формулировки; - исключение требований, связанных с реализацией; - добавлены требования к дистанционному банковскому обслуживанию; 3. Введение конкретных требований к СМИБ; 4. Исключены разделы 4 (Основные принципы) и 11 (Модель зрелости). Основные направления доработки СТО БР ИББС-1.0

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ В связи с изменением формулировок разделов 7 и 8 СТО БР ИББС-1.0 меняется соответственно база частных показателей (Приложение А). 2. В формах групповых показателей появился рекомендуемый частный показатель с оценкой либо "1", либо "н/о". 3. Если частный показатель предназначен для оценки требований, которые на момент оценки не являются актуальными для организации, то он определяется как неоцениваемый. 4. Частные показатели, связанные с направлением "Осознание" берутся из тех требований раздела 8, которые характеризуют отношение руководства к проблеме ИБ. Основные направления доработки СТО БР ИББС-1.2

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Методика предлагает классификацию информационных активов в соответствии со степенью тяжести последствий (СТП), возникающих при потере значимых свойств ИБ. 3. СТП оценивается по следующим направлениям: - непрерывность деятельности; - объем финансовых и материальных затрат; - объем дополнительных людских ресурсов; - объем дополнительных временных затрат; - нарушение законодательных или договорных требований; - нарушение требований регулирующих и контролирующих (надзорных) органов в области ИБ. Проект РС БР ИББС-2.3 (Методика классификации информационных активов)

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Оценка рисков нарушения ИБ проводится для типов информационных активов (с целью сокращения временных и прочих затрат на ее выполнение) на основе оценивания и последующего анализа двух величин: - СТП от потери значимых свойств ИБ; - СВР угроз ИБ. 3. Оценка проводиться для всех значимых свойств ИБ всех типов информационных активов и всех соответствующих им комбинаций типов объектов защиты и воздействующих на них источников угроз. 4. Кредитная организации определяет для себя уровень приемлемого риска нарушения ИБ самостоятельно. Проект РС БР ИББС-2.2 (Методика оценки рисков нарушения ИБ)

декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 15 Механизмы влияния Стандартов информационной безопасности на качество основной деятельности банковской организации Снижение рисков основной деятельности за счет снижения доли операционного риска, зависимой от рисков информационной безопасности Обеспечение совместимости с Basel II Улучшение и защита репутации Повышение собственной цены при слияниях и поглощениях Повышение привлекательности в глазах потенциальных покупателей и инвесторов Улучшение процедур корпоративного управления и взаимодействия различных подразделений Повышение качества управления корпоративными рисками

Спасибо за внимание! НПФ «КРИСТАЛЛ» г. Пенза В.Б. Голованов Зам. научного директора