Презентация Константина Малюшкина,
и.о. руководителя отдела консалтинга
компания LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
1. Грани ИБ.
Законодательство, процессы,
технологии
13-15 октября 2011 г.
«Атлас Парк-Отель»
Внедрение СТО БР.
Методология и практика
Константин Малюшкин,
и.о. руководителя отдела консалтинга
Компания LETA
+7 (495) 921 1410 / www.leta.ru
2. ОСНОВНЫЕ ТЕЗИСЫ ДОКЛАДА
Необходимость внедрения стандарта СТО БР ИББС:
аргументы для руководства
Выбор исполнителя работ 20%
Методология компании LETA 10%
Практический опыт внедрения
70%
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 2
13-15 октября 2011 г. «Атлас Парк-Отель»
3. ВОПРОСЫ ДЛЯ СЛУЖБЫ ИБ
Как убедить руководство организации БС РФ в необходимости
внедрения СТО БР ИББС?
Каковы преимущества внедрения стандарта СТО БР ИББС?
Каковы затраты на внедрение стандарта СТО БР
ИББС?
№152-ФЗ
По каким критериям выбрать исполнителя?
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 3
13-15 октября 2011 г. «Атлас Парк-Отель»
4. ПРЕИМУЩЕСТВА ВНЕДРЕНИЯ СТАНДАРТА
+ Реализация в рамках одного проекта как № 152-
Отраслевые
требования
ФЗ
отраслевых требований, так и требований
нормативных правовых актов РФ (Федеральные ФЗ «О банках и
банковской
законы «О персональных данных», «О банках и деятельности»
банковской деятельности» и др.)
СТО БР ИББС
+ Построение унифицированной системы ИБ с
учетом «лучших практик» в области ИБ
+ Повышение уровня доверия и репутации
организации БС РФ
+ Создание продуманной основы для дальнейшего
развития системы ИБ организации
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 4
13-15 октября 2011 г. «Атлас Парк-Отель»
5. СТРАТЕГИЧЕСКИЕ ЗАДАЧИ ВНЕДРЕНИЯ
СТАНДАРТА
Реализация требований стандарта предполагает:
Информирование и активное вовлечение руководства
организации БС РФ в процесс внедрения стандарта;
Тщательный поиск и выбор исполнителя работ;
Проведение комплекса организационных и технических
мероприятий;
Проведение периодических мероприятий, направленных на
контроль состояния системы обеспечения информационной
безопасности и поддержание ее работоспособности и
эффективности.
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 5
13-15 октября 2011 г. «Атлас Парк-Отель»
6. КРИТЕРИИ ВЫБОРА ИСПОЛНИТЕЛЯ
Наличие квалифицированных специалистов;
Успешный опыт выполнения аналогичных проектов;
Наличие положительных отзывов от других организаций БС РФ;
Соотношение цены и качества выполнения работ;
Наличие гарантийных обязательств;
Членство в некоммерческом партнерстве «АБИСС»
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 6
13-15 октября 2011 г. «Атлас Парк-Отель»
7. МЕТОДОЛОГИЯ КОМПАНИИ LETA
Инвентаризация и
оценка рисков ИБ
2. Проектирование 1. Предварительная
СОИБ оценка соответствия
Планирование
СОИБ
3. Реализация Принятие организацией
требований ИБ и Реализация Совершенствован БС РФ решений о
отработка СОИБ ие СОИБ необходимости
процессов СОИБ улучшений
Проверка
СОИБ
4. Аудит ИБ
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 7
13-15 октября 2011 г. «Атлас Парк-Отель»
8. МЕТОДОЛОГИЯ КОМПАНИИ LETA
LETA разделяет деятельность по внедрению стандарта на 14
комплексов мероприятий:
Обеспечение ИБ Организация
банковских обработки и Обеспечение Управление доступом
технологических обеспечение ИБ при антивирусной защиты и регистрация
процессов обработке ПДн
Обеспечение ИБ при Обеспечение ИБ АБС
Обеспечение ИБ при Обеспечение ИБ при
использовании сети на стадиях
использовании СКЗИ осуществлении ДБО
Интернет жизненного цикла
Управление
Обеспечению ИБ при Обеспечение
информационными Управление
управлении непрерывности
активами и рисками инцидентами ИБ
персоналом бизнеса
ИБ
Проведение
Организация СОИБ
самооценок/аудитов
(менеджмент ИБ)
ИБ
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 8
13-15 октября 2011 г. «Атлас Парк-Отель»
9. ПРАКТИЧЕСКИЙ ОПЫТ ВНЕДРЕНИЯ
Общая стратегия по выстраиванию СОИБ в организации БС
РФ, предлагаемая компанией LETA:
Постепенное повышение
уровня ИБ путем реализации
наборов мероприятий (из
выделенных
Уровень ИБ
комплексов), необходимых для
выхода на тот или иной уровень
соответствия, с последующей
оценкой достигнутого уровня.
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 9
13-15 октября 2011 г. «Атлас Парк-Отель»
10. БРОШЮРА LETA
ПРАКТИЧЕСКИЙ ПОДХОД К ВНЕДРЕНИЮ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ РФ
ТРЕБОВАНИЙ СТАНДАРТА БАНКА РОССИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
предложен подход к выполнению проектов по внедрению
требований Стандарта в разрезе цикла Деминга;
описана стратегия внедрения Стандарта, основанная на
разделении всех его требований на 14 комплексов мероприятий и
постепенном повышении уровня ИБ;
подготовлено подробное описание каждого комплекса
мероприятий с четким перечнем обязательных к выполнению работ;
определен состав мероприятий, необходимых для достижения
необходимого организации уровня ИБ;
подготовлен перечень периодических мероприятий, направленных
на контроль состояния СОИБ и поддержание ее работоспособности.
Грани ИБ. Законодательство, процессы, технологии.
+7 (495) 921 1410 / www.leta.ru 10
13-15 октября 2011 г. «Атлас Парк-Отель»