Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная. - презентация

1 Система стандартов Банка России по обеспечению информационной безопасности. Структура и специфика основополагающего стандарта. Исходная концептуальная модель обеспечения информационной безопасности в соответствии с СТО БР ИББС-1.0 ВЛАДИМИР ГОЛОВАНОВ Зам. научного директора ООО НПФ «Кристалл», ответственный секретарь ПК3 ТК362 IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ- инфраструктуры» г.Казань, 1 июня 2007 г. Информационная безопасность в банковской сфере

2 2 История создания стандарта СТО БР ИББС-1.0 ( Совещание в Центре подготовки персонала Банка России, ) Требования к стандарту безопасности БС РФ: Простота и понятность Непротиворечивость терминов и определений Открытость Стандарт должен быть прямого действия Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ Стандарт должен содержать механизмы его актуализации

3 3 Ростехрегулирования ФСТЭК РоссииТК 362 «Защита информации» Учредили Банк РоссииПК3/ТК 362 «Защита информации в кредитно-финансовой сфере» Учредили ( Члены Подкомитета ( Банк России: Главное управление безопасности и защиты информации, Департамент информационных систем, Департамент банковского регулирования и надзора, Департамент внутреннего аудита и ревизий; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий Сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа- банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Банк Российский кредит, Банк Русский стандарт, Метробанк, Импэксбанк, Банк «Возрождение»; Федеральные службы: ФСТЭК России, ГНИИИ ПТЗИ ФСТЭК России, ФТС; Аудиторские фирмы: КПМГ, Эрнст и Янг; Разработчики: НПФ «Кристалл», «Линс-М», «Криптоком», «Фирма «АйТи». Информационные технологии», «Андэк» Организационная структура деятельности по согласованию стандартов в области ИБ для кредитно-финансовой сферы

4 4 Содействие использованию стандартов «Сообщество ABISS» С целью обеспечения методологического единства, повторяемости и точности, для дальнейшего развития и применения Стандарта Банка России, по инициативе членов Подкомитета ПК-3/ТК362 Ростехрегулирования ( –аудиторских компаний "Эрнст энд Янг" ( и "КПМГ"( –компаний ЗАО "Андэк" ( ГНИИИ ПТЗИ ФСТЭК России, ООО "Линс-М» и ООО НПФ "Кристалл" ( было создано Сообщество пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации ABISS - Association for Banking Information Security Standards (

5 5 Стандарты (СТО) и рекомендации по стандартизации (РС) Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – 2.2 Методика оценки рисков РС БР ИББС – 2.3 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Комплекс Стандартов «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»

6 6 Методика, заложенная в комплекс стандартов Идентификация актива Идентификация угроз Разработка политики безопасности Задание требований по безопасности Построение системы защиты Разработка регламентов эксплуатации Информационных комплексов и системы защиты Организация контроля выполнения требований и регламентов Анализ результатов (оценка рисков) корректировка

7 7 Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Политика ИБ Система менеджмента ИБ Модель угроз и нарушителя Оценка зрелости ИБ Проверка и оценка ИБ Формирование целей ИБ Реализация целей ИБ Контроль достижения целей ИБ

8 8 СТО БР ИББС – 1.0 «Общие положения» Готовится к внедрению в 2008 году третья редакция стандарта. Основные направления развития стандарта: 1. Уточнение и введение понятий: - система информационной безопасности (СИБ); - система менеджмента информационной безопасности (СМИБ); - система обеспечения информационной безопасности (СОИБ). 2. Формулирование требований по новым направлениям обеспечения информационной безопасности: - электронный банкинг; - платежные системы с использованием пластиковых карт; - вспомогательные автоматизированные системы. 3. Введение конкретных требований для процессов СМИБ; 4. Подробное рассмотрение очередности выполнения этапов цикла «Деминга».

9 9 СТО БР ИББС – 1.1 «Аудит информационной безопасности» Стандарт аудита информационной безопасности: основан на положениях ГОСТ Р ИСО ; регламентирует взаимоотношения сторон при проведении внешнего аудита; рекомендован к вводу в действие ПК3/ТК362; одобрен к утверждению аудиторскими организациями – членами сообщества ABISS; введен в действие с 1 мая 2007 года.

10 10 СТО БР ИББС – 1.2 «Методика оценки соответствия» Методика оценки соответствия: имеет статус стандарта Банка России; определяет способ оценки степени выполнения требований стандарта Банка России (СТО-1.0 «Общие положения»); рекомендована к вводу в действие ПК3/ТК362; апробирована в ряде кредитных организаций и структурных подразделений Банка России; введена в действие с 1 мая 2007 года.

11 11 Определение понятия «аудит ИБ организаций БС РФ» Федеральный закон «Об аудиторской деятельности» 119-ФЗ Аудит- предпринимательская деятельность по независимой проверке бухгалтерского учета и финансовой (бухгалтерской) отчетности организаций и индивидуальных предпринимателей (далее - аудируемые лица) ГОСТ Р ИСО «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента» Аудит (проверка) - Систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита Аудит информационной безопасности организации банковской системы РФ – на основе определения понятия « аудит » по ГОСТ Р ИСО ( в соответствии с международной практикой ) Критерии аудита – требования СТО БР ИББС-1.0

12 12 32-й Групповой показатель ниже 1-го уровня Частные показатели: М Да М Нет М Нет М Нет М Нет Как оптимально вложить средства для «выхода» 32-го группового показателя из красного сектора в желтый? Дополнительные возможности аудита ИБ – оптимизация инвестиций в обеспечение ИБ. Пример использования результатов аудита ИБ. Оптимизация инвестирования в обеспечение ИБ организации

13 13 РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» Рекомендации по документационному обеспечению: определяют состав и содержание совокупности документов кредитной организации в области информационной безопасности; носят рекомендательный характер; рекомендованы к вводу в действие ПК3/ТК362; введены в действие с 1 мая 2007 года.

14 14 Требования к внутренним документам по обеспечению ИБ РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» (структура документов)

15 15 РС БР ИББС – 2.0 «Документы по обеспечению информационной безопасности» (ЖЦ документов ИБ) Менеджмент документов по обеспечению ИБ

16 16 РС БР ИББС – 2.1 «Руководство по самооценке» Руководство по самооценке: определяет порядок проведения самооценки информационной безопасности с использованием методики оценки соответствия ( СТО БР ИББС – 1.2 ); носит рекомендательный характер; основано на положениях методики оценки соответствия ( СТО БР ИББС – 1.2 ) и стандарте аудита ( СТО БР ИББС – 1.1 ); введено в действие с 1 мая 2007 года.

17 17 Проект методики классификации активов: определяет порядок выполнения классификации информационных активов по степени их важности для целей кредитной организации; носит рекомендательный характер; разработана первая редакция; проходит апробация в одном из ГУ Банка России (первое полугодие 2007 года); планируется к введению со второй половины 2007 года. РС БР ИББС – 2.2 «Методика классификации активов» (проект)

18 18 РС БР ИББС – 2.3 «Методика оценки рисков» (проект) Проект методики оценки рисков: разработаны первые редакции двух методик: методики детальной оценки рисков информационной безопасности; методики риск-ориентированной интерпретации результатов оценки соответствия требованиям стандарта Банка России; носит рекомендательный характер; проходит апробация в одном из ГУ Банка России (первое полугодие 2007 года); планируется к введению со второй половины 2007 года.

19 19 Информация для использования 1.Официальном сайте Банка России и Официальном сайте ПК3/ТК Официальном сайте Сообщества ABISS Стандарты Банка России доступны на:

20 Голованов Владимир Борисович Заместитель научного директора ЗАО НПФ «Кристалл», Ответственный секретарь ПК3/ТК июня 2007 года СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ?