Yalta_10 _ey-cio_forum

1,953 views

Published on

Роль CIO в построении системы управления информационной безопасности банка

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,953
On SlideShare
0
From Embeds
0
Number of Embeds
304
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Здравствуйте, уважаемые коллеги. В своем докладе, я хотел бы поделиться опытом, полученным при внедрении системы управления информационной безопасностью банка
  • Почему ИБ?Мировой кризис во-первыхвызвал сокращение бюджетов и сотрудников в банках а во-вторых повысил мотивацию злоумышленников.
  • Поскольку речь идет об информационных рисках, нередка ситуация, когда оценку таких рисков (в том числе и определение потенциальных ущербов) полностью поручают подразделениям ИТ и ИБ. Однако по нашему опыту такие попытки обречены на провел, поскольку технические специалисты могут не до конца понимать бизнес-процессы банка и не могут определить, к какому виду ущерба приведет то или иное событие и каково денежное выражение этого ущерба.Величина потенциального ущерба должна определяться представителями бизнес-подразделений. При этом очень желательно, чтобы эти представители занимали позиции топ-менеджеров (или их заместителей по определенным вопросам). В таком случае они будут обладать наиболее полной картиной, как то или иное событие влияет на организацию в целом, а не только на определенную функциональную область.После того, как получено согласие от представителей бизнеса участвовать в процессе оценки информационных рисков, мы обычно делаем следующее: все информационные активы в инвентаризационной ведомости распределяются по функциональным областям, к которым они принадлежат (например, «Продажи», «Логистика», «Производство», «Кадры») и назначаются представители бизнеса, ответственные за эти функциональные области. Обычно разбивка на области сильно зависит от текущей организационной структуры (например, ответственным за функциональную область «Продажи» будет назначен Директор по продажам).Таких сотрудников, которые были назначены ответственными за информационные активы, принято называть бизнес-владельцами информационных активов. Однако следует понимать, что ответственность в этом случае означает осознанную и адекватную оценку потенциального ущерба, связанного с нарушением конфиденциальности, целостности и доступности информационного актива. Бизнес-владельцы не могут нести прямой ответственности за инциденты, которые могут произойти с информационным активом, и их последствия. За предотвращение инцидентов и надлежащую защиту информационных активов отвечают технические владельцы - обычно это подразделения ИБ и ИТ.
  • Yalta_10 _ey-cio_forum

    1. 1. Роль CIO в построении системы управления информационной безопасности банка<br />Международный Банковский "CIO форум"<br />Владимир Матвийчук, CISA, CISM,ITILF<br />
    2. 2. Предпосылки : Рост информационных рисков<br />12-е ежегодное исследование Эрнст энд Янг в области информационной безопасности за 2009:<br />существенный рост числа случаев хищения конфиденциальной информации компаний <br />42% участников указали на рост количества внешних атак на информационные ресурсы компании и 58% отметили рост количества внутренних атак<br />75% респондентов обеспокоены тем что, сотрудники недавно уволенные из организации и испытывающие неприязнь к бывшему работодателю обладают возможностью нарушить бесперебойное функционирование процессов организации посредством вмешательства в работу информационных систем компании<br />
    3. 3. Предпосылки: Ужесточение регуляторных требований <br />PCI-DSS / PCI-PA-DSS<br />Basel II: требования по управлению информационными рисками как части операционных рисков (Sound Practices of the Management and Supervision of Operational Risk)<br />ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 <br />ГСТУ СУІБ 2.0/ISO/IEC 27002:2010<br />Закон о персональных данных<br />
    4. 4. Архитектурная модель информационной безопасности «Эрнст энд Янг»<br />Целостность<br />Конфиденциальность<br />Доступность<br />Модель управления информационной безопасностью представляет собой набор взаимосвязанных стратегических и операционных компонент для создания надежной программы по безопасности. Каждый компонент – это набор процессов и практик, работающие вместе и направленные на один аспект безопасности компании. Компонентынаправлены как на физическую так и на электронную безопасность.<br />Корпоративные факторы развития бизнеса, отраслевая специфика, регуляторные требования и стратегические цели,определяющие требования к информационной безопасности<br />Ожидания и требования руководства к использованию и защите технологических, физических и информационных активов<br />Бизнес требования<br />Разработка сервисов технической безопасности, соответствующих требованиям бизнеса<br />Руководство,<br /> политики и стандарты<br />Инвентаризация, классификация и профили риска технологических, физических и информационных активов, которые поддерживают бизнес-процессы<br />Структура активов<br />Техническая архитектура безопасности<br />Процессы и операционные практики<br />Управление персоналом и организацией<br />Технические спецификации<br />Процессы, процедуры и методы управления и выполнения программы по безопасности<br />Технологические процедуры и стандарты для обеспечения безопасности операционных систем, баз данных, приложений и сетевых устройств<br />Мониторинг и соответствие<br />Организация, роли, ответственности и персонал сопровождающий и выполняющий программу безопасности<br />Непрерывное тестирование соответствия требованиям и отчетность об эффективности программы безопасности<br />
    5. 5. Бизнес требования<br />Корпоративные факторы развития бизнеса, отраслевая специфика, регуляторные требования и стратегические цели,определяющие требования к информационной безопасности<br />Необходимо провести анализ бизнес-стратегии и ИТ-стратегии для:<br />Выявления ключевых бизнес инициатив, которые требуют соответствующего обеспечения конфиденциальности, целостности и доступности<br />Определения ключевых направлений развития бизнеса<br />Определения приоритетов и ожиданий ключевых руководителей компании<br />Бизнес требования<br />
    6. 6. Ожидания и требования руководства к использованию и защите технологических, физических и информационных активов<br />Вовлеченность высшего руководства в вопросы информационной безопасности<br />Политики ИБ<br />Стандарты ИБ<br />Структура нормативной базы и жизненный цикл документов<br />Осведомленность о безопасности / Обучение <br />Руководство, политики и стандарты<br />Руководство,<br /> политики и стандарты<br />
    7. 7. Политика информационной безопасности: типичные недостатки<br />Политика разработана один раз и никогда не пересматривается<br />Политика не учитывает специфику Банка<br />Политика имеет гриф и доступна только ограниченному числу сотрудников в Банке<br />Политика не покрывает всех областей информационной безопасности<br />
    8. 8. Инвентаризация, классификация и профили риска технологических, физических и информационных активов, которые поддерживают бизнес-процессы<br />Инвентаризация активов<br />Владение активами <br />Классификация информации <br />Оценка информационных рисков<br />Структураактивов<br />Структура активов<br />
    9. 9. Как определяется риск? <br />Всякий риск, в том числериск информационный, оценивается как производнаяеговероятностиипоследствий.<br /> Риск = Вероятность инцидента × Последствия инцидента<br />Следует различать риски, которые ведут к прямым и непрямым денежным потерям.<br />В первом случае довольно легко выразить ущерб в денежном выражении.<br />Во втором же – необходимо пользоваться качественной / экспертной оценкой величины ущерба.<br />
    10. 10. В чем заключается управление рисками?<br />Управление рисками представляет собой последовательность согласованных действий по руководству компанией и контролю ее деятельности в ситуации, вызванной наличием риска. <br />(ISO/IEC 73:2002)<br />Передача риска<br />РИСК<br />Устранение источника<br />риска<br />Принятие риска<br />Контрольриска<br /><ul><li>Управление рисками подразумевает систематическое выявление и оценку рисков, принятие необходимых мер и доведение информации о рисках до всех сотрудников Банка.</li></li></ul><li>Определение оптимального уровня затрат<br />Затраты<br />Риски<br />Риск нельзя свести к абсолютному минимуму<br />Невозможно выявить все источники рисков<br />Уменьшение некоторых рисков требует чрезмерных затрат<br />Принятие некоторых рисков позволяет увеличить доходность<br />Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой – принять<br />Суммарные затраты<br />Затраты на контроли<br />Ожидаемые потери<br />Оптимальные затраты<br />
    11. 11. Анализ ИТ рисков<br />Опеделение <br />существенных<br />угроз<br />Список соответствующих контрмер<br />Определение <br />критичныхактивов<br />и оценка их <br />стоимости<br />Определение применимых уязвимостей<br />Определение релевантных сценариев реализации угроз<br />Оценка риска (применимость, вероятность и существенность влияния<br />Оценка стоимости и эффективности контроля<br />Определение остаточного риска<br />Разработка плана действий по уменьшению риска<br />
    12. 12. Кто должен оценивать потенциальный ущерб?<br />Определение потенциального ущерба возложенное на подразделения ИТ и ИБ обречена на провал!<br />Технические специалисты не могут определить, к какому виду ущерба приведет то или иное событие и каково денежное выражение этого ущерба<br />Величина потенциального ущерба должна определяться представителями бизнес-подразделений (желательно топ-менеджерами или их заместителями).<br />
    13. 13. Техническая архитектура безопасностиактивов<br />.<br />Разработка сервисов технической безопасности, соответствующих требованиям бизнеса<br />Требования безопасности к системам<br />Процесс построения контроля доступа <br /> Сетевая архитектура <br />Платформа / процесс создания программного обеспечения <br />Техническая архитектура безопасности<br />
    14. 14. Процессы и операционные практики<br />Процессы, процедуры и методы управления и выполнения программы по безопасности<br />Планирование непрерывности бизнеса и восстановления после аварий<br />Мониторинг событий безопасности<br />Расследование инцидентов<br />Физическая безопасность<br />Управление доступом<br />Контроль уязвимостей<br />Управление ресурсами<br />Управление рисками<br />Сертификация<br />Безопасность при взаимодействии с третьими лицами<br />Программы осведомленности и обучение по безопасности<br />Процессы и операционные практики<br />
    15. 15. Неэффективный мониторинг и управление инцидентами: основные проблемы<br />Неформальный процесс / высокоуровневое описание процесса без критичных деталей<br />Нет полного списка объектов подлежащих мониторингу<br />Мониторинг выполняется администраторами систем<br />Не определены типы инцидентов и шаги по реагированию на каждый тип инцидента<br />«Ручной» мониторинг либо использование средств мониторинга «из коробки» с типовой конфигурацией<br />
    16. 16. Пример неэффективности «коробочного» решения из практики <br />Клиент жаловался, что его система не справляется с количеством событий ИБ.<br />Анализ типов событий показал: <br />После изменения параметров протоколирования и устранения ошибок в конфигурации возможно уменьшить количество сообщений с межсетевого экрана до 5,37% (!) от общего количества<br />
    17. 17. Интеграция с процессом управления изменениями<br />Изменение целостности программного модуля в результате установки обновления – это событие информационной безопасности<br />Оценка изменений на предмет соответствия требованиям ИБ<br />Новая ИТ система<br />Новый сервис<br />Новая технология<br />Оценка рисков<br />Пересмотр требований ИБ<br />
    18. 18. Технические спецификации<br />Технологические процедуры и стандарты для обеспечения безопасности операционных систем, баз данных, приложений и сетевых устройств<br />Приложения<br />Операционные системы<br />Системы управления базами данных<br />Активное сетевое оборудование<br />Технические спецификации<br />
    19. 19. Управление персоналом и организацией<br />Организация, роли, ответственности и персонал сопровождающий и выполняющий программу безопасности<br />Организационная структура<br />Функциональное определение<br />Роли и ответственности<br />Профессиональные знания / План по ресурсам<br />Управление персоналом и организацией<br />
    20. 20. Мониторинг и соответствие<br />Непрерывное тестирование соответствия требованиям и отчетность об эффективности программы безопасности<br />Аудит безопасности – регулярный и независимый (от ИТ и ИБ)<br />Соблюдение требований (complience)<br />Определение метрик и сбор данных<br />Отчетность<br />Качество программы<br />Мониторинг и соответствие<br />
    21. 21. Вопросы?<br />Спасибо за внимание!<br />Владимир Матвийчук, CISA, CISM,ITILF<br /> Услуги в области информационных технологий и ИТ рисков<br /> +38 (067) 536-0-536<br /> Volodymyr.Matviychuk@ua.ey.com<br />

    ×