Внедрение СУИБ в соответствии с требованиями ISO/IEC 27001:2005 в международном банке Магнитогорск, 2011 г. Перминов Владимир Сергеевич CISM Начальник.

Презентация:



Advertisements
Похожие презентации
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
Advertisements

Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ.
Контроль операций с ценными бумагами. Вопросы и проблемы. А.В. Макаров ОАО Внешторгбанк Управление внутреннего контроля.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
1 Раздел 1. СУИБРаздел 1. СУИБ 1.1 Что такое СУИБ1.1 Что такое СУИБ 1.2 Зачем нужна СУИБ1.2 Зачем нужна СУИБ 1.3 Нормативная база1.3 Нормативная база 1.4.
РАЗРАБОТКА СИСТЕМЫ УПРАВЛЕНИЯ ОХРАНОЙ ТРУДА Принятие решения Проведение оценки существующей системы управления охраной труда Акт по результатам оценки.
Единый стандарт ИБ для банков: реальность, перспективы Докладчик: Дмитрий Никипелов, начальник отдела консалтинга и аудита, руководитель направления ИБ.
Система обеспечения качества управления проектами как стандарт компании Александр Товб, Григорий Ципес, Илья Виноградов Компания IBS.
Система Управления Информационной Безопасности в соответствии с стандартами ISO/IEC 27001:2005 Душанбе, 2010.
Налоговая безопасность бизнеса Аспекты информационной безопасности в коммерческих организациях Ведущий специалист отдела терминальных технологий ООО «Праймтек»
ЛЕКЦИЯ 4 «РАЗРАБОТКА И ВНЕДРЕНИЕ СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА В ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ»
Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Открытое акционерное общество «БЕЛТРАНСГАЗ» Оранский Александр Анатольевич Начальник отдела управления качеством
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
Подготовил : Суфианов Андрей Управление рисками в IT безопасности Научно-практическая конференция "Бизнес-образование как инструмент устойчивого развития.
ПОСТРОЕНИЕ ВНУТРЕННЕГО ПОРТАЛА ИНВЕСТПРОМА. 14% 28% 51%51% БАНКОВСКИЙ ТЕЛЕКОММУНИКАЦИОННЫЙ ГОСУДАРСТВЕННЫЙ 7%7% ГОДОВОЙ ОБОРОТ ИНДУСТРИАЛЬНЫЙ ПОСТРОЕНИЕ.
Software Cloud Services Экспертиза информационной безопасности в банковской организации Таран Дмитрий Консультант по информационной безопасности
НИУ ВШЭ ГНИВЦ ФНС РОССИИ О некоторых аспектах автоматизированной информационной поддержки управления информационной безопасностью на примере крупной территориально.
Транксрипт:

Внедрение СУИБ в соответствии с требованиями ISO/IEC 27001:2005 в международном банке Магнитогорск, 2011 г. Перминов Владимир Сергеевич CISM Начальник отдела консалтинга и поддержки продаж ЗАО «РНТ»

Внедрение СУИБ в международном банке Информация о банке Комитет по ИБ Этапы проекта Область деятельности СУИБ Сертификационный аудит

Информация о банке Крупный ритэйл банк в Азии 4 региональных офиса 125 дополнительных офисов 5000 сотрудников

Комитет по ИБ Президент Банка Комитет по ИБ Департамент по физической безопасности Департамент управления кадрами ИТ департамент Бизнес департаменты

Комитет по ИБ Президент Банка Комитет по ИБ Департамент по физической безопасности Департамент управления кадрами Департамент информационной безопасности ИТ департамент Бизнес департаменты

Этапы проекта Оценка текущего соответствия требованиям ISO/IEC 27001:2005 Внедрение СУИБ – Выбор Области деятельности – Разработка ОРД – Оценка рисков – Внедрение процессов Сертификационный аудит

Оценка текущего соответствия требованиям ISO/IEC 27001:2005 Документация по ИБ Основные системы – АБС – Система выпуска пластиковых карт – Терадата – Система хранения данных Локальная вычислительная сеть – Анализ конфигураций – Анализ уязвимостей

Результаты оценки соответствия требованиям ISO/IEC 27001:2005

Выбор Области деятельности Процессы – Обслуживание счетов клиентов – Формирование финансовой отчетности – Торговля на валютной бирже (Forex) – Выпуск пластиковых кредитных карт – Поддерживающие ИТ-процессы 13 дополнительных офисов 35 систем 250 сотрудников

Разработка ОРД Уровень 1 Политики ИБ Область деятельности СУИБ Описание бизнес процессов Положение о применимости контролей Роли и ответственность по ИБ Уровень 3 Внешние нормативные документы Уровень 4 Записи. Положения о подразделениях. Должностные инструкции. Рабочие инструкции. Приказы по ИБ. Протоколы решений по результатам Комитета по ИБ. Отчеты, предусмотренные процедурами ИБ. Уровень 2 Процедуры по информационной безопасности, необходимые для соответствия требованиям ISO/IEC 27001:2005

Описание бизнес процессов в области деятельности СУИБ Высокоуровневое описание процессов

Описание бизнес процессов в области деятельности СУИБ Детальное описание каждой активности I1 – Deals Input C1 – Limits C3 – Banks Policy & Manuals C4 – State Bank Regulations M1 – Reuters Dealing System M2 – Brokerage M3 – Telephone/ M4 – Dealers Documents 1. Treasury & Investment Policies 2. Treasury Manual 3. Adams Manual 4. Deal Ticket Format Assets 1. Five PCs 2. One Printer 3. Deal Tickets office copy 4. Five Dealers O1 – Command for Adams for Limit checks

Оценка рисков Шкала оценки ценности (ущерба) активов Оценка ценности (ущерба) актива Финансовые потери Потеря репутации Несоответствие требованиям регуляторов Предупреждение о несоответствии Официальный запрос Внеплановая проверка Принудительные санкции 5> > 250Отзыв лицензии

Оценка рисков Идентификация и классификация активов N п/п АктивВладелецРасположениеТип актива Оценка ценности 1 Customer account details & data Manager Operations Unibank Server at Computer Room Soft Copy5 2Cheque/ Instruments Manager Operations Store Room at Branch Hard Copy4 3 Deposit Slip (Pay in Slip) Manager Operations Store Room at Branch Hard Copy4 4 Clearing Schedule Manager Operations Store Room at Branch Hard Copy2

Оценка рисков

medium risk high risk very high risk low risk medium risk high risk very high risk low risk medium risk high risk very low risk low risk medium risk high risk very low risk low risk medium risk very lowlowmediumhigh very high very low low medium high very high Вероятность Ущерб

План обработки рисков

Внедрение процессов Аудит ИБ Корректирующие и предупреждающие действия Управление инцидентами ИБ Обучение и повышение осведомленности по ИБ Анализ эффективности процессов по установленным метрикам Анализ СУИБ со стороны руководства

Сертификационный аудит Предсертификационный аудит Сертификационный аудит – Аудит документации – Аудит внедрения СУИБ

СПАСИБО ЗА ВНИМАНИЕ