SlideShare a Scribd company logo

СУИБ - проблемы внедрения v4

Download as PPTX, PDF
A
a_a_a
Technology
1 of 18
Проблемные вопросы внедрения СУИБ в банковских учреждениях Украины (по опыту реализованных проектов) Владимир Ткаченко Директор ООО "Агентство Активного Аудита“
Содержание 1. Опыт внедрения СУИБ в банковских учреждениях Украины по стандартам НБУ 2. Вопросы организации управления ИТ рисками 3. Оценка эффективности СУИБ 4. Основные замечания инспекционных проверок органами банковского надзора НБУ (по итогам реализованных проектов) 25.06.2012 © Агентство Активного Аудита 2
1. Опыт внедрения СУИБ в банковских учреждениях Украины Основные цели внедрения СУИБ (что хотят получить)  Работающую СУИБ для решения бизнес целей, реализации бизнес стратегии, удовлетворения требований регулятора  «Адаптированный комплект документов» для удовлетворения требований НБУ По отношению менеджмента банка (что хотят получить)  СУИБ решает задачи по безопасности бизнес-процессов, по управлению рисками, по защите партнеров и клиентов  СУИБ удовлетворяет требования НБУ  СУИБ позволяет в перспективе получить сертификат соответствия ISO 27001 (маркетинговые цели для слияния и /или поглощения) 25.06.2012 © Агентство Активного Аудита 3
Опыт внедрения СУИБ согласно стандартов НБУ Правильно разработанная и внедренная СУИБ позволяет:  предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;  снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности банка;  на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками банковского учреждения;  адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета возврата инвестиций;  уменьшить расходы на информационную безопасность, оптимизировать ресурсы;  удовлетворить требования регулятора. 25.06.2012 © Агентство Активного Аудита 4
Опыт внедрения СУИБ Пример успешного внедрения СУИБ в большом международном банке Украины: В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%; Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно. Пример успешного внедрения СУИБ в банке IV группы: Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет; Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году Получено положительное заключение от инспекции банковского надзора НБУ 25.06.2012 © Агентство Активного Аудита 5
Опыт внедрения стандарта НБУ Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности, мониторинга. ISO 27001 (СОУ Н НБУ 65.1) - это стандарт корпоративного управления, а не ИТ стандарт. Никакое ПО или оборудование не реализует положения стандарта!!! ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?  Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления банковским учреждением  Для внедрения СУИБ необходимо объединить в один процесс организационную и техническую часть работы 25.06.2012 © Агентство Активного Аудита 6
Факторы успеха реализации проекта СУИБ 25.06.2012 © Агентство Активного Аудита 7
Факторы успеха (организационные вопросы) Правление Комитет по управлению рисками (по ИБ) Тарифный Кредитный Другие КУАП комитет комитет комитеты Состав комитета по ИБ (управлению рисками) – 5-7 человек - Представитель Правления - ИТ директор - Начальник безопасности - Начальник ИБ (или специалист по ИБ) - Представитель управления рисками - Начальник операционного департамента - Представитель внутреннего аудита (без права голоса) 25.06.2012 © Агентство Активного Аудита 8
Факторы успеха (организационные вопросы) Риски Безопасность ИТ 25.06.2012 © Агентство Активного Аудита 9
Основные этапы работ по внедрению СУИБ Этап I - Мероприятия по организации ИБ Определение области применения Распределение ролей и Определение политики ИБ Создание комитета ИБ СУИБ обязанностей СУИБ Этап II - Инвентаризация информационных активов Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов Этап III - Организация процесса управления рисками Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков Этап IV - Внедрение плана обработки рисков Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков 25.06.2012 © Агентство Активного Аудита 10
2. Организация процесса управления рисками Процесс обработки рисков представляет собой: снижение, избежание, принятие, передача риска. Снижение информационных рисков – реализация мер безопасности с помощью выбранных способов снижения рисков. Избежание информационных рисков - изменение способа работы процесса, связанного с информационным риском. Передача информационных рисков - это вариант когда сложно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим сторонам (застраховать). 25.06.2012 © Агентство Активного Аудита 11
Организация процесса управления рисками План обработки рисков содержит: • риски и их уровень; • рекомендованные мероприятия защиты; • приоритет выполнения; • необходимые ресурсы для реализации мер безопасности; • перечень ответственных работников; • дата начала и дата завершения. 25.06.2012 © Агентство Активного Аудита 12
Организация управления рисками Внедрение плана обработки рисков • Разработка документации СУИБ (политики, положения, руководства) • Внедрение процессов СУИБ (управление инцидентами, управление персоналом, управление доступом, управление изменениями и т.д.) • Разработка Плана по обеспечению непрерывности банковской деятельности (Business Continuity Plan – BCP) 25.06.2012 © Агентство Активного Аудита 13
3. Оценка эффективности СУИБ Оценка эффективности СУИБ - это процесс получения и анализа объективных данных о текущем состоянии процессов СУИБ, поддерживающих их систем, действиях и событиях происходящих в них, а также устанавливающий уровень их соответствия определенным критериям. Элемент программы ИТ аудит Тест на проникновение повышения осведомленности пользователей 25.06.2012 © Агентство Активного Аудита 14
4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ 1) Нарушение требований постановления Правления НБУ «О вступлении в силу стандартов управления информационной безопасностью в банковской системе Украины» от 28.10.2010 № 474, в части не внедрения до 01.10.2011 системы управления информационной безопасностью (отсутствие документов верхнего уровня – стратегии ИБ, плана обработки рисков, положения о применимости) 2) Отсутствие у банка комплексного плана обеспечения непрерывной деятельности и действий в случае чрезвычайных ситуаций. Отсутствие документов среднего и нижнего уровня согласно методическим рекомендациям НБУ 3) Отсутствие процессов СУИБ (при наличии документации) (протоколы и решения комитета по ИБ, управление рисками, управление изменениями, управление доступом (назначение ролей и матрицы доступа) и др. 25.06.2012 © Агентство Активного Аудита 15
4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ 5) Отсутствие документов по разделам стандарта об обеспечении физической безопасности и доступа в помещения 6) Отсутствие у банка описания структуры сети банка, процессов и процедур по приобретению, внедрению и поддержке ПО 7) Отсутствие процессов СУИБ оценки эффективности и повышения осведомленности пользователей (обучения персонала банка вопросам ИБ) 25.06.2012 © Агентство Активного Аудита 16
Комментарии по замечаниям НБУ Инспекции НБУ обращают внимание на следующие требования стандарта • Раздел 4 Система управления информационной безопасностью • Раздел 5 Ответственность руководства • Раздел 6 Внутренние аудиты (проверки) СУИБ • Раздел 7 Анализ СУИБ со стороны руководства • Раздел 8 Улучшение СУИБ И рекомендаций (но иногда путают их с требованиями выше): • Приложение А СОУ Н НБУ 65.1 (ISO27001) • СОУ Н НБУ 65.2 (ISO27002) Внедрение мер безопасности (включая руководства, стандарты, процедуры), а также их целесообразность, должно опираться на оценку рисков и планироваться в Плане обработки рисков. Если банк провел оценку рисков и составил План обработки рисков, где спланировал внедрение мер безопасности (включая разработку документации любого уровня), и движется по этому плану – он выполняет требования стандарта. НБУ не может требовать внедрить рекомендованные меры безопасности из Приложения А, или делать заключение о несоответствии стандарту, если меры не внедрены. 25.06.2012 © Агентство Активного Аудита 17
Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88 25.06.2012 © Агентство Активного Аудита 18

Recommended

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 

Recommended

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из туманаUISGCON
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и БизнесаUISGCON
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
BCP intro
BCP introBCP intro
BCP introVladimir Matviychuk
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 

More Related Content

What's hot

Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из туманаUISGCON
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и БизнесаUISGCON
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...UISGCON
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 

What's hot (20)

Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБ
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteria
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
BCP intro
BCP introBCP intro
BCP intro
 

Similar to СУИБ - проблемы внедрения v4

суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...Илья Лившиц
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБUISGCON
 
Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)a_a_a
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.LETA IT-company
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...UISGCON
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Aleksey Lukatskiy
 
Финансовое измерение эффективности иб
Финансовое измерение эффективности ибФинансовое измерение эффективности иб
Финансовое измерение эффективности ибAleksey Lukatskiy
 
Презентация 2010 Минск
Презентация 2010 МинскПрезентация 2010 Минск
Презентация 2010 МинскSergei Potapov
 

Similar to СУИБ - проблемы внедрения v4 (20)

суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...Определение бюджета для реализации проекта системы менеджмента информационной...
Определение бюджета для реализации проекта системы менеджмента информационной...
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
 
Awareness(no video)
Awareness(no video)Awareness(no video)
Awareness(no video)
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.Аутсорсинг ИБ. Области реального применения.
Аутсорсинг ИБ. Области реального применения.
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
 
Финансовое измерение эффективности иб
Финансовое измерение эффективности ибФинансовое измерение эффективности иб
Финансовое измерение эффективности иб
 
Презентация 2010 Минск
Презентация 2010 МинскПрезентация 2010 Минск
Презентация 2010 Минск
 

СУИБ - проблемы внедрения v4

  • 1. Проблемные вопросы внедрения СУИБ в банковских учреждениях Украины (по опыту реализованных проектов) Владимир Ткаченко Директор ООО "Агентство Активного Аудита“
  • 2. Содержание 1. Опыт внедрения СУИБ в банковских учреждениях Украины по стандартам НБУ 2. Вопросы организации управления ИТ рисками 3. Оценка эффективности СУИБ 4. Основные замечания инспекционных проверок органами банковского надзора НБУ (по итогам реализованных проектов) 25.06.2012 © Агентство Активного Аудита 2
  • 3. 1. Опыт внедрения СУИБ в банковских учреждениях Украины Основные цели внедрения СУИБ (что хотят получить)  Работающую СУИБ для решения бизнес целей, реализации бизнес стратегии, удовлетворения требований регулятора  «Адаптированный комплект документов» для удовлетворения требований НБУ По отношению менеджмента банка (что хотят получить)  СУИБ решает задачи по безопасности бизнес-процессов, по управлению рисками, по защите партнеров и клиентов  СУИБ удовлетворяет требования НБУ  СУИБ позволяет в перспективе получить сертификат соответствия ISO 27001 (маркетинговые цели для слияния и /или поглощения) 25.06.2012 © Агентство Активного Аудита 3
  • 4. Опыт внедрения СУИБ согласно стандартов НБУ Правильно разработанная и внедренная СУИБ позволяет:  предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;  снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности банка;  на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками банковского учреждения;  адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета возврата инвестиций;  уменьшить расходы на информационную безопасность, оптимизировать ресурсы;  удовлетворить требования регулятора. 25.06.2012 © Агентство Активного Аудита 4
  • 5. Опыт внедрения СУИБ Пример успешного внедрения СУИБ в большом международном банке Украины: В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%; Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно. Пример успешного внедрения СУИБ в банке IV группы: Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет; Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году Получено положительное заключение от инспекции банковского надзора НБУ 25.06.2012 © Агентство Активного Аудита 5
  • 6. Опыт внедрения стандарта НБУ Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности, мониторинга. ISO 27001 (СОУ Н НБУ 65.1) - это стандарт корпоративного управления, а не ИТ стандарт. Никакое ПО или оборудование не реализует положения стандарта!!! ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?  Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления банковским учреждением  Для внедрения СУИБ необходимо объединить в один процесс организационную и техническую часть работы 25.06.2012 © Агентство Активного Аудита 6
  • 7. Факторы успеха реализации проекта СУИБ 25.06.2012 © Агентство Активного Аудита 7
  • 8. Факторы успеха (организационные вопросы) Правление Комитет по управлению рисками (по ИБ) Тарифный Кредитный Другие КУАП комитет комитет комитеты Состав комитета по ИБ (управлению рисками) – 5-7 человек - Представитель Правления - ИТ директор - Начальник безопасности - Начальник ИБ (или специалист по ИБ) - Представитель управления рисками - Начальник операционного департамента - Представитель внутреннего аудита (без права голоса) 25.06.2012 © Агентство Активного Аудита 8
  • 9. Факторы успеха (организационные вопросы) Риски Безопасность ИТ 25.06.2012 © Агентство Активного Аудита 9
  • 10. Основные этапы работ по внедрению СУИБ Этап I - Мероприятия по организации ИБ Определение области применения Распределение ролей и Определение политики ИБ Создание комитета ИБ СУИБ обязанностей СУИБ Этап II - Инвентаризация информационных активов Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов Этап III - Организация процесса управления рисками Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков Этап IV - Внедрение плана обработки рисков Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков 25.06.2012 © Агентство Активного Аудита 10
  • 11. 2. Организация процесса управления рисками Процесс обработки рисков представляет собой: снижение, избежание, принятие, передача риска. Снижение информационных рисков – реализация мер безопасности с помощью выбранных способов снижения рисков. Избежание информационных рисков - изменение способа работы процесса, связанного с информационным риском. Передача информационных рисков - это вариант когда сложно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим сторонам (застраховать). 25.06.2012 © Агентство Активного Аудита 11
  • 12. Организация процесса управления рисками План обработки рисков содержит: • риски и их уровень; • рекомендованные мероприятия защиты; • приоритет выполнения; • необходимые ресурсы для реализации мер безопасности; • перечень ответственных работников; • дата начала и дата завершения. 25.06.2012 © Агентство Активного Аудита 12
  • 13. Организация управления рисками Внедрение плана обработки рисков • Разработка документации СУИБ (политики, положения, руководства) • Внедрение процессов СУИБ (управление инцидентами, управление персоналом, управление доступом, управление изменениями и т.д.) • Разработка Плана по обеспечению непрерывности банковской деятельности (Business Continuity Plan – BCP) 25.06.2012 © Агентство Активного Аудита 13
  • 14. 3. Оценка эффективности СУИБ Оценка эффективности СУИБ - это процесс получения и анализа объективных данных о текущем состоянии процессов СУИБ, поддерживающих их систем, действиях и событиях происходящих в них, а также устанавливающий уровень их соответствия определенным критериям. Элемент программы ИТ аудит Тест на проникновение повышения осведомленности пользователей 25.06.2012 © Агентство Активного Аудита 14
  • 15. 4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ 1) Нарушение требований постановления Правления НБУ «О вступлении в силу стандартов управления информационной безопасностью в банковской системе Украины» от 28.10.2010 № 474, в части не внедрения до 01.10.2011 системы управления информационной безопасностью (отсутствие документов верхнего уровня – стратегии ИБ, плана обработки рисков, положения о применимости) 2) Отсутствие у банка комплексного плана обеспечения непрерывной деятельности и действий в случае чрезвычайных ситуаций. Отсутствие документов среднего и нижнего уровня согласно методическим рекомендациям НБУ 3) Отсутствие процессов СУИБ (при наличии документации) (протоколы и решения комитета по ИБ, управление рисками, управление изменениями, управление доступом (назначение ролей и матрицы доступа) и др. 25.06.2012 © Агентство Активного Аудита 15
  • 16. 4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ 5) Отсутствие документов по разделам стандарта об обеспечении физической безопасности и доступа в помещения 6) Отсутствие у банка описания структуры сети банка, процессов и процедур по приобретению, внедрению и поддержке ПО 7) Отсутствие процессов СУИБ оценки эффективности и повышения осведомленности пользователей (обучения персонала банка вопросам ИБ) 25.06.2012 © Агентство Активного Аудита 16
  • 17. Комментарии по замечаниям НБУ Инспекции НБУ обращают внимание на следующие требования стандарта • Раздел 4 Система управления информационной безопасностью • Раздел 5 Ответственность руководства • Раздел 6 Внутренние аудиты (проверки) СУИБ • Раздел 7 Анализ СУИБ со стороны руководства • Раздел 8 Улучшение СУИБ И рекомендаций (но иногда путают их с требованиями выше): • Приложение А СОУ Н НБУ 65.1 (ISO27001) • СОУ Н НБУ 65.2 (ISO27002) Внедрение мер безопасности (включая руководства, стандарты, процедуры), а также их целесообразность, должно опираться на оценку рисков и планироваться в Плане обработки рисков. Если банк провел оценку рисков и составил План обработки рисков, где спланировал внедрение мер безопасности (включая разработку документации любого уровня), и движется по этому плану – он выполняет требования стандарта. НБУ не может требовать внедрить рекомендованные меры безопасности из Приложения А, или делать заключение о несоответствии стандарту, если меры не внедрены. 25.06.2012 © Агентство Активного Аудита 17
  • 18. Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88 25.06.2012 © Агентство Активного Аудита 18