Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами.

Презентация:



Advertisements
Похожие презентации
Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная.
Advertisements

Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы.
НПФ «КРИСТАЛЛ» О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ (первичный блок от мая 2007г.) IT.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
Состояние работ по стандартизации в области информационной безопасности Доклад начальника отдела ГНИИИ ПТЗИ ФСТЭК России, ответственного секретаря ТК 362.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
Разработка проекта стандарта информационной безопасности атомной энергетики Исполнитель : Лепикоршев А. Е. Научный руководитель : Малюк А. А.
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»
BS : 2006 И СОСТОЯНИЕ ОТЕЧЕСТВЕННОЙ НОРМАТИВНОЙ БАЗЫ ПО УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Алексей Марков и Валентин Цирлов
Некоторые вопросы нормативного обеспечения безопасности АСУТП КВО Мелехин И.В. Директор департамента консалтинга и аудита
ОСНОВНЫЕ ПОЛОЖЕНИЯ ОСНОВНЫЕ ПОЛОЖЕНИЯ НАЦИОНАЛЬНЫХ СТАНДАРТОВ НАЦИОНАЛЬНЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ КАЧЕСТВА И МЕНЕДЖМЕНТА.
1 Государственная политика в области технического регулирования Мигин С.В., Национальный институт системных исследований проблем предпринимательства II.
НОРМАТИВНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СФЕРЕ: ИЗМЕНЕНИЯ И НАПРАВЛЕНИЯ РАЗВИТИЯ Барановский Олег Константинович.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
ЦЕНТРЫ КОМПЕТЕНЦИИ по информационной безопасности СОЗДАНИЕ ЕДИНОЙ СИСТЕМЫ АУДИТА И МОНИТОРИНГА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.
Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела административного и технологического.
Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.
1.В теории нет разницы между теорией и практикой, а на практике есть! 2.Безопасность и сложность несовместимы 3.Безопасность всегда имеет тенденцию к.
Транксрипт:

Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами Центрального Банка Российской Федерации» (Казань, ) В.В.Андрианов научный директор НПФ «КРИСТАЛЛ»

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 2 История создания стандарта СТО БР ИББС-1.0 ( Совещание в Центре подготовки персонала Банка России, ) Требования к стандарту безопасности БС РФ: Простота и понятность Простота и понятность Непротиворечивость терминов и определений Непротиворечивость терминов и определений Открытость Открытость Стандарт должен быть прямого действия Стандарт должен быть прямого действия Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ Стандарт должен содержать механизмы его актуализации Стандарт должен содержать механизмы его актуализации

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 3 История создания стандарта СТО БР ИББС-1.0 Образование федерального органа по стандартизации подкомитета 3 «Защита информации в кредитно-финансовой сфере» Технического комитета 362 «Защита информации»: ( Банк России: Главное управление безопасности и защиты информации, Департамент информационных систем, Департамент банковского регулирования и надзора, Департамент внутреннего аудита и ревизий; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа-банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Банк Российский кредит, Банк Русский стандарт, Метробанк; Федеральные службы: ФСТЭК, ГНИИИ ПТЗИ ФСТЭК, ФТС; Аудиторские фирмы: КПМГ Лимитед, Эрнст и Янг; Разработчики: НПФ «Кристалл», «Линс-М»

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 4 Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Политика ИБ Система менеджмента ИБ Модель угроз и нарушителя Оценка зрелости ИБ Проверка и оценка ИБ Формирование целей ИБ Реализация целей ИБ Контроль достижения целей ИБ

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 5 Общие принципы направлены на осознание проблем ИБ Специальные принципы направлены на упорядочение деятельности организации и безопасную реализацию бизнеса Принципы безопасности политики ИБ Классификация принципов обеспечения ИБ в организации

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 6 Некоторые общие принципы Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели Прогнозируемость развития проблем. Организация должна выявлять причинно- следственную связь возможных проблем и строить на этой основе точный прогноз их развития Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 7 Некоторые специальные принципы Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяется применяемой к ней системой оценки Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 8 источник угрозы –человек: опыт, знания, ресурсы, мотивация уязвимости объекты и методы нападений типы возможной потери масштабы ущерба Хорошая практика Уровни информационно- технологической инфраструктуры: физический ; сетевой; сетевых приложений; операционных систем; СУБД; банковских технологических процессов; бизнес-процессов организации. Модель злоумышленника (угроз и нарушителей ИБ) (разработана на основе ISO/IEC 17799, 13335, 15408, 21827, 13569) Модель угроз ИБ

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 9 Нормативные акты Банка России Международные стандарты Национальные законодательные нормативные акты Политика ИБ Общие требования (правила) ИБ Разработка политики ИБ Основные принципы обеспечения ИБ Модель угроз и нарушителя Политика бизнеса Организационные политики Политика информатизации

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 10 Планирование Реализация Совершенствование Проверка Менеджмент ИБ включает в себя: разработку политики ИБ разработку планов обеспечения реализации политики ИБ разработку нормативно-методических документов обеспечения ИБ создание административного и кадрового обеспечения ИБ обеспечение штатного функционирования комплекса средств ИБ осуществление контроля функционирования системы ИБ обучение персонала организации оценку рисков и пр. ISO/IEC ISO/IEC ISO ГОСТ Р СОВIT (практики) Менеджмент ИБ в организациях БС РФ (в соответствии с СТО БР ИББС-1.0)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 11 Направления развития стандарта ( ) Стандарт Банка России СТО БР ИББС-1.0 ЧЕМУ ДОЛЖНЫ СООТВЕТСТВО- ВАТЬ? Стандарты разработки и эксплуатации Стандарт (методики) аудита (оценки) Информационно- справочное обеспечение ЧТО И КАК СДЕЛАТЬ? КАК ОЦЕНИТЬ ДОСТИГНУТОЕ?

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 12 Система стандартов обеспечения информационной безопасности СТО БР ИББС–0.1 (терминология) Понятийный аппарат СТО БР ИББС–1.0 (требования) СТО БР ИББС–4.0 (оценка соответ.) Основополагающие стандарты СТО БР ИББС–2.0 (документационное обеспечение) СТО БР ИББС–3.0 (система менеджмента ИБ) Поддерживающие стандарты Стандарты на типовые защитные меры (примеры) СТО БР ИББС–3.х (применение СКЗИ в банках) СТО БР ИББС–3.х (менеджмент инцидента ИБ) СТО БР ИББС–3.х (…………………..)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 13 Проекты стандартов, развивающих положения СТО БР ИББС-1.0 СТО БР ИББС–0.1–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Термины и определения СТО БР ИББС–2.0–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Документы обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС–1.0 СТО БР ИББС–3.0–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Система менеджмента информационной безопасности СТО БР ИББС–4.0–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 14 Роль и место СТО БР ИББС-1.0 в контексте национальных и международных стандартов Серия международных модельных стандартов ИСО/МЭК 27ХХХ «Information security management systems» Гармонизированные в системе ГОСТ Р международные стандарты и др. национальные документы по стандартизации Требования к стандартизации в РФ в соответствии с ФЗ 184- ФЗ 2002 года СТО БР ИББС-1.0 – прикладной отраслевой стандарт, который должен: определять порядок применения существующих международных и национальных стандартов; отражать специфику обеспечения ИБ в организациях национальной банковской системы Аналоги и прототипы: Х.1051 СМИБ для телекоммуникационных организаций ИСО СМИБ для организаций здравоохранения

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 15 Международные и зарубежные стандарты ISO/IEC IS 17799–2005 (second edition) (с 2007 года - ISO/IEC IS 27002) Information Technology. Code of practice for information security management ISO/IEC IS 27001–2005 Information technology. Security techniques. Information security management systems. Requirements ISO/IEC IS 13335–1÷2 Information Technology. Security techniques. Management of information and communications technology security ISO/IEC IS 15288–2002 Systems engineering. System Life Cycle Processes BSI PAS-56 Guide to Business Continuity Management (BCM) ITU-T Recommendation X.1051 Information security management system. Requirements for telecommunications (ISMS-T)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 16 Международные документы ISO TR Banking and related financial services. Information security guidelines ISO/IEC TR 15504–1÷5 Information technology. Process assessment ISO/IEC TR 18028–1÷5 Information technology. Security techniques. IT network security ISO/IEC TR Information technology. Selection, deployment and operations of intrusion detection systems (IDS) ISO/IEC TR 18044–2004 Information Technology. Security techniques. Information security incident management

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 17 Национальные стандарты ГОСТ Р 1.0–2004 Стандартизация в Российской Федерации. Основные положения (в соответствии с ФЗ 184-ФЗ от «О техническом регулировании») ГОСТ Р 1.4–2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения (в соответствии с ФЗ 184-ФЗ от «О техническом регулировании») ГОСТ Р Аспекты безопасности. Правила включения в стандарты ГОСТ Р ИСО Система менеджмента качества. Требования ГОСТ Р ИСО Система управления окружающей средой. Требования и руководство по применению ГОСТ Р ИСО/МЭК ÷ Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК Информационная технология. Процессы жизненного цикла программных средств ГОСТ Р ИСО/МЭК ТО Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК (Процессы жизненного цикла программных средств)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 18 Перспективы развития комплекса стандартов СТО БР ИББС – дальнейшая гармонизация с международными стандартами ( г.г.) ИСО/МЭК Принципы и глоссарий ИСО/МЭК Требования к СМИБ (BS ) ИСО/МЭК (ИСО/МЭК ) Практики СМИБ ИСО/МЭК Менеджмент рисков СМИБ (ИСО/МЭК ) ИСО/МЭК Метрики и измерение СМИБ ИСО/МЭК Руководство по реализации СМИБ Разрабатываемые стандарты менеджмента ИБ ИСО/МЭК ( г.г.) СТО БР ИББС-1.0 (2-я редакция) Руководство по применению для организаций БС РФ СТО БР ИББС-2.0 (Документационное обеспечение) СТО БР ИББС-3.0 (Система менеджмента) СТО БР ИББС-4.0 (Оценка соответствия)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 19 НПФ «КРИСТАЛЛ» г. Пенза Спасибо за внимание! Андрианов Владимир Васильевич научный директор