Внедрение СУИБ в соответствии с требованиями ISO/IEC 27001:2005 в международном банке Магнитогорск, 2011 г. Перминов Владимир Сергеевич CISM Начальник отдела консалтинга и поддержки продаж ЗАО «РНТ»
Внедрение СУИБ в международном банке Информация о банке Комитет по ИБ Этапы проекта Область деятельности СУИБ Сертификационный аудит
Информация о банке Крупный ритэйл банк в Азии 4 региональных офиса 125 дополнительных офисов 5000 сотрудников
Комитет по ИБ Президент Банка Комитет по ИБ Департамент по физической безопасности Департамент управления кадрами ИТ департамент Бизнес департаменты
Комитет по ИБ Президент Банка Комитет по ИБ Департамент по физической безопасности Департамент управления кадрами Департамент информационной безопасности ИТ департамент Бизнес департаменты
Этапы проекта Оценка текущего соответствия требованиям ISO/IEC 27001:2005 Внедрение СУИБ – Выбор Области деятельности – Разработка ОРД – Оценка рисков – Внедрение процессов Сертификационный аудит
Оценка текущего соответствия требованиям ISO/IEC 27001:2005 Документация по ИБ Основные системы – АБС – Система выпуска пластиковых карт – Терадата – Система хранения данных Локальная вычислительная сеть – Анализ конфигураций – Анализ уязвимостей
Результаты оценки соответствия требованиям ISO/IEC 27001:2005
Выбор Области деятельности Процессы – Обслуживание счетов клиентов – Формирование финансовой отчетности – Торговля на валютной бирже (Forex) – Выпуск пластиковых кредитных карт – Поддерживающие ИТ-процессы 13 дополнительных офисов 35 систем 250 сотрудников
Разработка ОРД Уровень 1 Политики ИБ Область деятельности СУИБ Описание бизнес процессов Положение о применимости контролей Роли и ответственность по ИБ Уровень 3 Внешние нормативные документы Уровень 4 Записи. Положения о подразделениях. Должностные инструкции. Рабочие инструкции. Приказы по ИБ. Протоколы решений по результатам Комитета по ИБ. Отчеты, предусмотренные процедурами ИБ. Уровень 2 Процедуры по информационной безопасности, необходимые для соответствия требованиям ISO/IEC 27001:2005
Описание бизнес процессов в области деятельности СУИБ Высокоуровневое описание процессов
Описание бизнес процессов в области деятельности СУИБ Детальное описание каждой активности I1 – Deals Input C1 – Limits C3 – Banks Policy & Manuals C4 – State Bank Regulations M1 – Reuters Dealing System M2 – Brokerage M3 – Telephone/ M4 – Dealers Documents 1. Treasury & Investment Policies 2. Treasury Manual 3. Adams Manual 4. Deal Ticket Format Assets 1. Five PCs 2. One Printer 3. Deal Tickets office copy 4. Five Dealers O1 – Command for Adams for Limit checks
Оценка рисков Шкала оценки ценности (ущерба) активов Оценка ценности (ущерба) актива Финансовые потери Потеря репутации Несоответствие требованиям регуляторов Предупреждение о несоответствии Официальный запрос Внеплановая проверка Принудительные санкции 5> > 250Отзыв лицензии
Оценка рисков Идентификация и классификация активов N п/п АктивВладелецРасположениеТип актива Оценка ценности 1 Customer account details & data Manager Operations Unibank Server at Computer Room Soft Copy5 2Cheque/ Instruments Manager Operations Store Room at Branch Hard Copy4 3 Deposit Slip (Pay in Slip) Manager Operations Store Room at Branch Hard Copy4 4 Clearing Schedule Manager Operations Store Room at Branch Hard Copy2
Оценка рисков
medium risk high risk very high risk low risk medium risk high risk very high risk low risk medium risk high risk very low risk low risk medium risk high risk very low risk low risk medium risk very lowlowmediumhigh very high very low low medium high very high Вероятность Ущерб
План обработки рисков
Внедрение процессов Аудит ИБ Корректирующие и предупреждающие действия Управление инцидентами ИБ Обучение и повышение осведомленности по ИБ Анализ эффективности процессов по установленным метрикам Анализ СУИБ со стороны руководства
Сертификационный аудит Предсертификационный аудит Сертификационный аудит – Аудит документации – Аудит внедрения СУИБ
СПАСИБО ЗА ВНИМАНИЕ