Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемИнесса Ерохина
1 НПФ «КРИСТАЛЛ» О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ (первичный блок от мая 2007г.) IT & Security FORUM «Технологии роста». Информационная безопасность кредитно-финансового сектора (Казань, май 2008) В.Б. Голованов Зам. научного директора, эксперт по стандартизации (РОСС RU)
2 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 2 ИСТОРИЯ ВОПРОСА 2000 год. Начаты работы по разработке основополагающего Стандарта год. Создан ПК3 ТК 362 Госстандарта для отработки Стандарта и последующих документов 2004 год. Принята первая редакция Стандарта. Проведена первая апробации Стандарта в ГУ Банка России по г. С-Пб год. Проведена апробация в опытной зоне 2005 год. Стандарт внедрен в 25 КО 2006 год. По результатам апробации подготовлена и введена в действие вторая редакция Стандарта 2006 год. Создана ассоциация ABISS 2006 год. Открыта специализированная страничка на сайте Банка России (официальное представительство) в Интернет 2007 год. Приняты четыре документа – сформирован первичный блок Комплекса
3 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 3 Организационная структура деятельности по согласованию стандартов комплекса «БР ИББС» Ростехрегулирование ФСТЭК России ТК 362 Учредили Банк России ПК3/ТК 362 «Защита информации в кредитно-финансовой сфере» Учредили Члены Подкомитета ( Банк России (подразделения ЦА): ГУБиЗИ, ДИС, ДБРН, ДВАиР; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа-банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Промсвязьбанк, Метробанк, Банк «Возрождение», Конверсбанк; Федеральные службы: ФСТЭК России, ГНИИИ ПТЗИ ФСТЭК России, Федеральная таможенная служба РФ; Международные Аудиторские фирмы: «КПМГ», «Эрнст энд Янг (СНГ) Б.В.», «ПрайсвотерхаусКуперс Аудит»; Разработчики: НПФ «Кристалл», «Линс-М», «Фирма «АйТи», «Криптоком», «Андэк»
4 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 4 Стандарты и рекомендации в области стандартизации (первичный блок) Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (Комплекс «БР ИББС») Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1
5 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 5 Методика, заложенная в комплекс стандартов Идентификация актива Идентификация угроз Разработка политики безопасности Задание требований по безопасности Построение системы защиты Разработка регламентов эксплуатации Информационных комплексов и системы защиты Организация контроля выполнения требований и регламентов Анализ результатов (оценка рисков) корректировка
6 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 6 Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Политика ИБ Система менеджмента ИБ Модель угроз и нарушителя Оценка зрелости ИБ Проверка и оценка ИБ Формирование целей ИБ Реализация целей ИБ Контроль достижения целей ИБ
7 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 7 Вовлеченные стороны Эффективность обеспечения ИБ прямо зависит от масштаба охвата процессами ИБ персонала и активов организации в контексте рисков бизнесу организации: высшее руководство организации; бизнес-подразделения; служба (департамент) риск-менеджмента; служба (департамент) внутреннего контроля (аудита); служба ИБ (департамент, подразделение, уполномоченное лицо); служба (департамент, подразделение) информатизации (ИТ); другие вспомогательные службы.
8 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 8 менеджмент активов (информационных активов) (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент активов (информационных активов) (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент рисков ИБ (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК ); менеджмент рисков ИБ (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК ); менеджмент инцидентов ИБ (с учетом ГОСТ Р ИСО/МЭК и ГОСТ Р ИСО/МЭК 18044); менеджмент инцидентов ИБ (с учетом ГОСТ Р ИСО/МЭК и ГОСТ Р ИСО/МЭК 18044); менеджмент персонала (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент персонала (с учетом ГОСТ Р ИСО/МЭК 17799); менеджмент непрерывности бизнеса (деятельности) и восстановление после прерываний (в информационной сфере организации) (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК 17799). менеджмент непрерывности бизнеса (деятельности) и восстановление после прерываний (в информационной сфере организации) (с учетом рекомендаций Банка России и ГОСТ Р ИСО/МЭК 17799). Предмет соглашения безопасности с бизнесом Основа соглашения: вопрос обеспечения ГАРАНТИЙ в информационной сфере в контексте возможных потерь и требований законодательства
9 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 9 Истинная причина проблем «Успех достигается упорной работой. А если что-то не ладится, судьба в этом не виновата и это не значит, что тебе не повезло. Истинная причина – изъяны в методах управления, в организации дела» Коносукэ Мацушита, основатель компании Matsushita Electric Industrials Co. (Panasonic) (из выступления Марданова Р.Х., НБ РБ, V научно-практическая конференция «Банки, Процессы, Стандарты, Качество» 2008г.)
10 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 10 Стандарты и рекомендации в области стандартизации Комплекса «БР ИББС» (текущие планы) Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – 2.3 Методика назначения и описания ролей РС БР ИББС – 2.4 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.2
11 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ Уточнение и введение понятий: - система информационной безопасности (СИБ); - система менеджмента информационной безопасности (СМИБ); - система обеспечения информационной безопасности (СОИБ). 2. По разделу 7: - более четкие и однозначные формулировки; - исключение требований, связанных с реализацией; - добавлены требования к дистанционному банковскому обслуживанию; 3. Введение конкретных требований к СМИБ; 4. Исключены разделы 4 (Основные принципы) и 11 (Модель зрелости). Основные направления доработки СТО БР ИББС-1.0
12 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ В связи с изменением формулировок разделов 7 и 8 СТО БР ИББС-1.0 меняется соответственно база частных показателей (Приложение А). 2. В формах групповых показателей появился рекомендуемый частный показатель с оценкой либо "1", либо "н/о". 3. Если частный показатель предназначен для оценки требований, которые на момент оценки не являются актуальными для организации, то он определяется как неоцениваемый. 4. Частные показатели, связанные с направлением "Осознание" берутся из тех требований раздела 8, которые характеризуют отношение руководства к проблеме ИБ. Основные направления доработки СТО БР ИББС-1.2
13 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Методика предлагает классификацию информационных активов в соответствии со степенью тяжести последствий (СТП), возникающих при потере значимых свойств ИБ. 3. СТП оценивается по следующим направлениям: - непрерывность деятельности; - объем финансовых и материальных затрат; - объем дополнительных людских ресурсов; - объем дополнительных временных затрат; - нарушение законодательных или договорных требований; - нарушение требований регулирующих и контролирующих (надзорных) органов в области ИБ. Проект РС БР ИББС-2.3 (Методика классификации информационных активов)
14 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ В рамках Комплекса БР ИББС документ будет иметь рекомендательный характер. 2. Оценка рисков нарушения ИБ проводится для типов информационных активов (с целью сокращения временных и прочих затрат на ее выполнение) на основе оценивания и последующего анализа двух величин: - СТП от потери значимых свойств ИБ; - СВР угроз ИБ. 3. Оценка проводиться для всех значимых свойств ИБ всех типов информационных активов и всех соответствующих им комбинаций типов объектов защиты и воздействующих на них источников угроз. 4. Кредитная организации определяет для себя уровень приемлемого риска нарушения ИБ самостоятельно. Проект РС БР ИББС-2.2 (Методика оценки рисков нарушения ИБ)
15 декабрь 13 О новом пакете документов по стандартизации обеспечения информационной безопасности организаций БС РФ 15 Механизмы влияния Стандартов информационной безопасности на качество основной деятельности банковской организации Снижение рисков основной деятельности за счет снижения доли операционного риска, зависимой от рисков информационной безопасности Обеспечение совместимости с Basel II Улучшение и защита репутации Повышение собственной цены при слияниях и поглощениях Повышение привлекательности в глазах потенциальных покупателей и инвесторов Улучшение процедур корпоративного управления и взаимодействия различных подразделений Повышение качества управления корпоративными рисками
16 Спасибо за внимание! НПФ «КРИСТАЛЛ» г. Пенза В.Б. Голованов Зам. научного директора
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.