Transcript СУИБ
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины.
Дмитрий Зарахович Ирина Ивченко
Предисловие
• Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову №474 від 28 жовтня 2010р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” http://bank.gov.ua/B_zakon/Acts/2010/28102010_474.pdf • • З дня опублікування цієї постанови набирають чинності такі стандарти НБУ: –
СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IEС 27001:2005, МОD);
–
СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IEС 27002:2005, МОD).
Також Банки України
повинні впровадити системи управління інформаційною безпекою до 01.10.2011
відповідно до вищевказаних стандартів Національного банку України.
Наш опыт - Нам доверили
Откуда приходит ИБ?
Формирование бизнес идеи Постановка основных процессов Автоматизация основных процессов (Back Office & Front Office) Формирование информационных активов Организация информационной безопасности
Необходимость внедрения системы управления информационной безопасностью (СУИБ) обусловлена:
• • • • • • наличием в банках большого количества систем автоматизации, между собой взаимодействуют, обмениваются данными; наличием различных систем защиты информации в различных системах автоматизации банковской деятельности; отсутствием подробного описания, что создает условия появления больших операционных рисков и зависимости от разработчиков и администраторов систем; отсутствием ИТ аудита и анализа ИТ рисков; условиями, когда информационной безопасностью занимаются только специалисты по безопасности, владельцы бизнес процессов/банковских продуктов считают, что защита информации мешает бизнесу; отсутствием поддержки со стороны руководства банка в вопросах информационной безопасности (руководство считает, что меры безопасности не приносят прибыли)
Стандартизация и требования локального законодательства
• – – – – – – Стандарты – – ISO 9001 - Система Менеджмента Качества ISO 20000 - Система Управления IT-Сервисами ISO 27001 - Система Управления Информационной Безопасностью BS 25999 - Система Управления Непрерывностью Бизнеса ISO 14001 – Система Экологического Менеджмента OHSAS 18001 - Система Управления Охраной Труда и Производственной Безопасностью ISO 22000 – Система Управления Пищевой Безопасностью ISO 31001 – Риск-менеджмент
Стандартизация и требования локального законодательства
• – – – – – Законодательство (с ссылками на ИБ) – – Об информации О защите информации в информационно-телекоммуникационных системах Об электронных документах и электронном документообороте Об электронной цифровой подписи О защите персональных данных Кодекс Украины об административных правонарушениях Уголовный кодекс Украины – – –
Про Национальный Банк Украины Про банки и банковскую деятельность Нормативно-правовые акты НБУ
Идеология построения ИБ: процесс «as is» объект
Найти
процесс субъект
Вернуть Наказать
Идеология построения ИБ: процесс «to be»
Риски Активы Инвест иции
• Вопрос подмены понятий: – «Информационная безопасность» не равна «безопасности ИТ-системы»
ИБ
Участие в процессе СУИБ: функциональные мотивы
Audit CEO ИБ CSO
Владельцы БП
CIO • • • • СЕО – Председатель правления – – Увеличение дохода Снижение затрат – Управляемость бизнеса CIO – ИТ-директор – Автоматизация бизнес-процессов – – Поддержка систем автоматизации Обеспечение непрерывности и устойчивости – Рационализация бизнес-процессов CSO – Директор по безопасности – Найти/вернуть/наказать – Превентивная защита бизнеса Служба внутреннего аудита – – Соответствие бизнес-показателей установленным KPI Применение стандартов и методик
Руководство банка должно обеспечить:
• • • • • • • • • контроль разработки политики СУИБ контроль того, что цели и планы СУИБ разработаны контроль разработки ролей и обязанностей по информационной безопасности доведение до сведения персонала информации о важности достижения целей информационной безопасности и соответствия политике информационной безопасности, ответственности перед законом и потребности постоянного совершенствования предоставление достаточных ресурсов для разработки, внедрения, функционирования, мониторинга, пересмотра, поддержания и совершенствования СУИБ принятия решения относительно критериев принятия рисков и приемлемых уровней рисков обеспечение проведения внутренних аудитов СУИБ проведение пересмотров СУИБ
Цели внедрения СУИБ
• • • • • • • • снизить и оптимизировать стоимость построения и поддержки системы информационной безопасности; постоянно отслеживать и оценивать риски с учетом всей бизнеса; эффективно выявлять наиболее критические риски и избегать их реализации; разработать эффективную политику информационной безопасности и обеспечить ее качественное выполнение; эффективно разрабатывать, внедрять и тестировать планы восстановления бизнеса; обеспечить понимание вопросов информационной безопасности руководством и всеми работниками; обеспечить повышение репутации и рыночной привлекательности; обеспечить защиту от рейдерских атак;
Разница в международных стандартах ISO 27001 ISO 27002 и стандартов Национального Банка Украины: • • •
Международные стандарты ISO 27001 и ISO 27002
являются стандартами высокого уровня и описывают общие подходы по построению и функционированию систем управления информационной безопасностью В стандартах Национального банка Украины СОУ Н
НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ
2.0:2010 часть требований уточнена и усилена требованиями нормативных документов Национального банка Украины Это привело к регламентации вопросов информационной безопасности в стандартах Национального банка Украины вместо общих деклараций международных стандартов
Соответствие стандартам
•
Соответствие стандартам Национального банка Украины практически означает соответствие международным стандартам но
не наоборот
•
Национальный банк Украины не требует от банков Украины проведение сертификации на соответствие международным стандартам
Особенности внедрения и функционирования СУИБ в банках Украины
• • • • • СУИБ должна быть внедрена для банка в целом при внедрении СУИБ необходимо подробно описать существующую инфраструктуру банка и средства защиты; оценка рисков должна осуществляться на основе рассмотрения рисков бизнес-процессов/банковских продуктов, а не отдельных ресурсов СУИБ; предложена методика оценки не предусматривает усреднения рисков по бизнес-процессам/банковским продуктам, что позволяет четко определить причины наибольших рисков и правильно выбрать дополнительные меры безопасности; функционирования и совершенствования СУИБ является непрерывным процессом
СУИБ в банках Украины должна включать:
• • • • • • • • Банк в целом процессы и процедуры системы управления персонал физическую среду конфигурацию программно-технических комплексов, оборудование, программное обеспечение системы телекоммуникации зависимость от внешних организаций
Этапность работ по создании системы Менеджмента
Автоматизация снижения уровня рисков Введение созданной системы в эксплуатацию Подготовитель ный этап Экспертная оценка Создание проекта Оценка рисков
Подготовительный этап
Введение созданной системы в эксплуатацию Подготови тельный этап Создание проекта Оценка рисков Экспертная оценка
• • Подготовительный этап: – – определение границ СУИБ; изучение Исполнителем предоставленной Заказчиком информации, касающейся общего описания информационно телекоммуникационной системы (далее ИТС).
Анализ документации СУИБ Заказчика: – – анализ разработанных и внедренных Заказчиком политик, стандартов, процедур и других распорядительных документов, касающихся функционирования ИТС; разработка рекомендаций по доработке организационно-нормативной базы, необходимой для функционирования системы СУИБ.
Назначение ответственных
Назначение ответственных Создании комитета СУИБ Положение о комитете СУИБ Точка коммуникации со стороны Заказчика
Анализ документации Документация
База для экспертной оценки
Экспертная оценка
Введение созданной системы в эксплуатацию Подготовительный этап Создание проекта Оценка рисков Экспертная оценка
• •
Существующая у Заказчика документация Составляющие инвентаризации:
– – – – Информационная среда Технологическая среда Физическая среда Среда пользователей
Создание ТЗ на СУИБ
• Результаты создания ТЗ на СУИБ – – – Техническое задание на создание СУИБ.
Отчет по результатам экспертной оценки информационной системы.
Рекомендации по доработке ИТС и связанной с ней нормативно распорядительной документации, с целью соответствия ее требованиям международных и отраслевых стандартов по управлению информационной безопасностью.
Создание ТЗ на СУИБ
Составляющие сред Документация Описание БП База к оценке рисков
Оценка рисков
Введение созданной системы в эксплуатацию Подготовительный этап Создание проекта Экспертная оценка Оценка рисков
• • • Перечень бизнес-процессов Выделение критических бизнес процессов Описание бизнес-процессов согласно методике НБУ
Этап оценки рисков
• • • • • • • • Определение основных бизнес-процессов организации и их взаимодействия; Инвентаризация ресурсов (определение существенных активов); Разработка и согласование с Заказчиком методики оценки рисков Проведение работ по оценке рисков с предоставлением отчета; Определение допустимых уровней риска и подготовка документа для принятия (утверждения) остаточных рисков.
Исследование и анализ мер защиты, которые уже были определены и реализованы в организации (анализируются организационные мероприятия, осуществленные в области планирования, внедрения, аудита и модернизации способов обеспечения информационной безопасности, и программно-технические средства и механизмы защиты информации, уже используются); Разработка перечня дополнительных мероприятий по снижению уровней рисков; Документальное оформление общего плана обработки рисков.
Возникающие вопросы
• Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики – Відповідно до Положення про організацію операціи ноі діяльності в банках Украі ни, затвердженого постановою Правління Національного банку Украі ни від 18.06.2006 N254
банківськии продукт – це стандартизовані процедури, що забезпечують виконання банками операціи , згрупованих за відповідними типами та ознаками.
–
Не існує стандартного набору бізнес процесів/банківських продуктів для будь-якого банку.
Тому банк має самостіи всередині банку.
но визначити відповідні бізнес процеси/банківські продукти, які використовуються
Пример блок-схемы критичных бизнес-процессов
Возникающие вопросы
• Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики – Банк повинен створити
перелік критичних бізнес процесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якоі може нанести шкоду банку
. До цього переліку повинні бути включеними всі бізнес процеси/банківські продукти, що обробляють: • • • • • • • платіжні документи, внутрішні платіжні документи, кредитні документи, документи на грошові перекази, персональні дані клієнтів та працівників банку, статистичні звіти, інші документи, які містять інформацію з обмеженим доступом.
Корреляция сервисов и пользователей
Бизнес сервисы Приложения и базы данных Программное и аппаратное обеспечение Коммуникационная сеть, каналообразующее и маршрутизирующее оборудование Бизнес-пользователи Внедренцы и разработчики ИТ специалисты Админист раторы
Этап оценки рисков
• Результат этапа оценки рисков – – – Методика оценки рисков адаптирована к потребностям Заказчика; Отчет по результатам оценки рисков; Рекомендации по уменьшению уровней существенных рисков (в рамках плана обработки рисков).
«Облако рисков» для пар угроза/уязвимость
25,00 20,00 15,00 10,00 5,00 0,00 31
«Облако рисков» и устранение рисков (денежная оценка) • • Логично «срезать»
риски
радиусами Принятие решений об инвестициях и бюджетах на снижение рисков на основании
стоимости средств защиты и административных мероприятий
32
Документирование СУИБ
• • Задачи этапа – – Создание нормативной и технической документации на СУИБ; Разработка и адаптация механизмов внедрения требований СУИБ в ИТС.
Результат - Технический проект состоящий из нормативной и технической документации по следующим уровням: – – – – – уровень политики информационной безопасности; уровень положений, методик и процедур, которые проводятся в рамках СУИБ; уровень инструкций СУИБ; уровень документов механизмов контроля (внутренние аудиты, контроле со стороны руководства) уровень положений о структурных подразделениях и должностных инструкций.
Реализация требований СУИБ
• Этап внедрения решений и технологий – Перечень решений блочно на следующем слайде • • Введение СУИБ в эксплуатацию – – – Разработка программы и методики испытания СУИБ; Введение СУИБ в опытную и промышленную эксплуатацию; Поддержка осведомленности персонала Результат – – – – Программа и методики испытания СУИБ; Протокол по результатам испытаний; Проект акта ввода в опытную и промышленную эксплуатацию; Использование, модификация и улучшение СУИБ
Продукты и решения по обеспечению ИБ
Управление доступом пользователей Решения по аутентификации Решения по автоматизации разграничения доступа Управление идентификацией Антивирусное ПО Обеспечение безопасности платформ и инфраструктуры ПО для защиты рабочих станций и серверов Системы обнаружения и предотвращения вторжений Системы защиты периметра сети (Firewall, UTM) Специализирова нное ПО для устройств ввода вывода ПО для защиты систем управления базами данных (СУБД) Специализирова нное ПО для предотвращения утечек (DLP, больше чем DLP) Proxy серверы, фильтрация URL и электронной почты Устройства для организации криптографическ и защищенных соединений SSL, VPN Средства регистрации и мониторинга Системы для сбора и обработки событий Сканеры уязвимостей ПО для оценки защищенности систем и приложений Обеспечение непрерывности функционирования IT Системы обеспечения бесперебойного эл. питания Системы охлаждения и климат-контроля Системы резервного копирования и восстановления
Услуги по обеспечению ИБ
Консалтинг Анализ рисков ИТ Организация систем управления ИБ Организация кризисного менеджмента Проведение систем в соответствие с требованиями регуляторов Системы по расчету и оценке экономической эффективности мер по ИБ Аудит бизнес приложений (ПО) Аудит ИТ инфраструктуры Оценка защищенности систем управления базами данных Тесты на проникновение в системы Аудит Аудит на соответствие требованиям по ISO 27001 Аудит на соответствие требованиям PCI DSS Аудит на соответствие ИБ Третьими лицами Обучение Тренинги по организации ИБ для специалистов и менеджеров Повышение осведомленности персонала предприятия по вопросам ИБ Аутсорсинг услуг по безопасности Внешнее сканирование на уязвимость Криптографическая защита процессов Облачные системы для обработки и хранения данных
Мониторинг, управление и расследование инцидентов ИБ
• Уровень предоставления сервисов • Уровень приложений и баз данных • Уровень программного и аппаратного обеспечения • Сетевой уровень – каналы связи и канало образующее оборудование • •
Интеграция с системами информационной безопасности Интеграция с системами расследования инцидентов
Дмитрий Зарахович [email protected]
+380 98 124-0-126 Ирина Ивченко [email protected]
+380 67 715-13-69