Upload
rachel-logan
View
65
Download
0
Embed Size (px)
DESCRIPTION
Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры». Информационная безопасность в банковской сфере. АНДРЕЙ ДРОЗДОВ CISM, CISA - PowerPoint PPT Presentation
Citation preview
Международная практика внедрения и эксплуатации СМИБ организаций
информационной безопасности банка.
Информационная безопасность в банковской сфере
IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры»
АНДРЕЙ ДРОЗДОВCISM, CISA
Старший менеджер KPMG,Вице-президент Российского отделения ISACA
г.Казань, 1 июня 2007 г.
2
Содержание
• Что такое Информационная безопасность?• Что такое ISO17799/27001?• Преимущества для Компании?• Что это даст конкретным людям ?• Кто еще внедряет стандарт?• Как происходит внедрение стандарта?• Следующие шаги?• Вопросы
3
Что такое информационная безопасность?
• “Защита от хакеров.”• “Средство управления доступа к системам посредством имен
пользователей и паролей”• “Процесс шифрования данных с целью обеспечения
конфиденциальности”• “Барьер, мешающий мне в работе.”• “Лишние затраты.”
4
Что такое информационная безопасность?
ЦелостностьДоступность
Обеспечение защиты важной информации
Обеспечение целостности информации
Обеспечение возможности работы
с информацией
Конфиден-циальность
5
Что такое информационная безопасность?
• Конфиденциальность – защита важной информации от несанкционированного доступа.
• Примеры:– Счета к оплате– Персональные данные
(зарплата, информация о клиенте)
ЦелостностьДоступность
Конфиден-циальность
6
Что такое информационная безопасность?
• Целостность – обеспечение качества и достоверности данных.
• Примеры:– Выставленные счета не
должны подвергаться корректировкам
– Биллинговая система не должна подвергаться неавторизованным изменениям
Доступность
Конфиден-циальность
Целостность
7
Что такое информационная безопасность?
• Доступность – возможность работы с данными.
• Примеры:– Счета могут обрабатываться 24
часа в день– Система зарплаты
поддерживает работу с авансовыми отчетами Целостность
Конфиден-циальность
Доступность
8
Что такое информационная безопасность?
• Ключевые аспекты программы ИБ:– Люди – организация, права, обязанности, руководство– Процесс – политики, процедуры и практика– Технология – масштабируемая поддержка технических
решений автоматизации, включающая возможности обеспечения безопасности.
• Важно: Безопасность – не только и не столько техническая проблема.
9
Что такое информационная безопасность?
• ИБ- метод, посредством которого организация обеспечиваетe контроль над данными и системами, обеспечивая защиту ИТ и поддержку бизнес-процессов.
10
Предыстория ISO 17799/ISO 27001
• Начало положено как стандарт лучшей практики UK Department of Trade and Industry (DTI) – Британский стандарт (BS7799)– утвержден Британским институтом стандартов– КПМГ один из со-авторов стандарта, обладает
правами сертификации • Принят как ISO17799 (часть 1 BS 7799) в
декабре 2000• В 2005 принят ISO 27001 и последняя редакция
ISO 17799
11
Что такое ISO 17799?
• Набор контролей лучшей практики ИБ• Организационные вопросы• Вовлечение руководства• Политики и процедуры, основанные на мерах контроля• Измеримость• Возможность сертификации• Основан на анализе рисками• Международное признание
12
KPMG Global Information Security Survey
• Одной из ключевых задач, решаемых аудитором в сфере ИТ, является оценка защищенности информационных ресурсов клиентов. Особую актуальность работы в этом направлении приобрели после трагических событий в США11 сентября 2001 года. Компания КПМГ провела исследование относительно положения в области информационной безопасности в мире. Русская версия исследования была опубликована в апреле 2002 на сайте Росбизнесконсалтинг.
• http://www.rbc.ru/consulting/kpmg.shtml
13
KPMG Global Information Security Survey –Внедрение ISO 17799 в мире
Из тех, кто уже использует этот стандарт, 49% организаций провели процедуру независимой сертификации на соответствие. Ноябрь 2006 – 3080 сертификатов BS7799/ISO 27001
Лидирует Финансовый сектор, на который приходится 42% организаций, которые уже используют или готовятся использовать этот стандарт. В Европе больше, чем в других регионах организаций, использующих или собирающихся использовать этот стандарт. 2006 – лидер Япония
14
Что такое ISO17799?
• 11 Областей стандарта– Управление непрерывностью бизнеса– Контроль доступа– Закупка, разработка и сопровождение систем– Физическая безопасность и защита от воздействий окружающей среды– Соответствие требованиям– Вопросы ИБ, относящиеся к персоналу– Организация безопасности
15
Что такое ISO 17799?
• 11 областей стандарта (продолжение)– Управление операционными процессами и коммуникациями– Управление активами– Политика безопасности– Управление инцидентами ИБ
16
Внедрение стандарта ISO 17799
Причины
Следствия
Стратегия
Управление
Знания
Поддержка
Технологии
Общее руководство ИБ
Программа внедрения ИБ
Политики ИБ
Процедуры ИБ
Обучение пользователей
Безопасность информационных активов
Защита технологической инфраструктурыОбеспечение непрерывности
Модель КПМГ
17
ISO 27001Внедрение, мониторинг и аудит СУИБ
18
Преимущества для компании
• Стандартизация, лучшая практика• Управление рисками• Эффективность затрат• Превентивный подход• Утвержденная корпоративная политика ИБ• Участие и поддержка высшего руководства
19
Преимущества для компании
• Совершенствование процессов• Соблюдение требований клиентов и партнеров• Соответствие законодательству• Способ оценки эффективности ИБ (ROI!)• Маркетинговые и конкурентные преимущества
– клиенты– партнеры– инвесторы– страховщики
20
Что это даст конкретным людям ?
• Усиление контроля за информационными активами• Снижение риска дисциплинарных наказаний• Четко определенная личная ответственность• Обеспечение требований аудита• Личный вклад в снижение риска для клиентов компании –
ключевой момент
21
Как компании используют стандарт?
• Основа для Политики ИБ– Использование мер контроля как основа для политик ИБ
• Соответствие требованиям– Внедрение необходимых мер контроля и внутренний аудит соответствия
требованиям
• Официальная сертификация– Получения официальной сертификации через уполномоченного аудитора
22
Выводы
• ISO 17799 – основа для корпоративной политики ИБ• Фокус на людей и процессы – а не на технологию• Не надо изобретать велосипед• Стандарт, который может использоваться, а не лежать на полке
23
Следующие шаги?
• Идентификация имеющихся недостатков по требованиям ISO 17799
• Определение необходимых приоритетов и мероприятий с целью внедрения требований ISO 17799
• Разработка плана внедрения стандарта• Реализация плана• Достижение соответствия требованиям ISO 27001!• Постоянные усовершенствования с целью минимизации рисков
24
Сертификация по ISO 27001
• Что сертифицируем?• Сертификация по ISO 27001?• Кто уполномочен проводить “настоящую” сертификацию и
выдавать сертификат? • Возможна ли официальная сертификация в России? • Как организован процесс сертификации?• Сколько времени потребуется? • Сколько стоит?
25
Согласованиепредоставленияуслуг
Установлениерамок применимос-ти Системы Управ-ления ИБISO 27001
Обсуждениерамок СистемыУправления ИБ
Этап 2 –Сертифи-кация
Этап 1 –Диагнос-тика
Этап 1 – ОбзорСистемы
Надзорный аудит – раз в 12 месяцев3-летний цикл
Выпуск ISO 27001 UKASСертификата
Шаг 1 Шаг 2 Шаг 3
Шаг 7Шаг 6Шаг 5Шаг 4 Шаг 8
ОпционнаяПредварительная
ОценкаВнедрение
Рекомендаций.Консалтинг
Процесс сертификации
26a
nd
Dev
elo
pm
en
t
BS7799 summary of ten sections
0
10
20
30
40
50
60
70
80
90
100
Sec
uri
ty P
olic
y
Org
an
isat
ion
al
Sec
uri
ty
Ass
et
Cla
ssifi
catio
na
nd
Co
ntr
ol
Per
son
nel
Sec
uri
ty
Phy
sica
l and
Env
iro
nm
en
tal
Sec
uri
ty
Com
mu
nic
atio
ns
an
d O
per
atio
ns
Ma
na
gem
en
t
Acc
ess
Co
ntr
ol
Sys
tem
Ma
inte
nan
ce
Bus
ine
ssC
ontin
uity
Ma
na
gem
en
t
Com
plia
nce
3 4 5 6 7 8 9 10 11 12
Section
Per
cen
tag
e
Level of Compliance
N/A
Предварительная оценка системы управления ИБ и диагностика (пример результатов)
27
Пример проекта по внедрению и сертификации
Этапы проекта
УчастиеKПМГ
• Анализ Политик с учетом Стандарта и передовой практики
• Разработка рекоменда-ций
• Анализ основных принципов и процедур
• Разработка рекомендаций
• Консультации по внедрению при необходи-мости
• Анализ расхождений между ISO 27001 и реальной ситуацией
• Разработка плана действий -
• Сертифика-ционный аудит
Сроки 4-6 Недель 6-8 Недель По требованию 6-8 Недель 3-4 Недели
Этап I:Корпоратив-ные Политикии Стандарты
Этап II:Справочные руководства и процедуры СУИБ
Этап III:Внедрение политик и процедур
Этап IV:Анализ недостатков
Этап V:Сертификация
Дроздов Андрей ВалентиновичCISM, CISA
Старший менеджер KPMG,Вице-президент Российского отделения ISACA
E-mail: [email protected]
1 июня 2007 года
СПАСИБО ЗА ВНИМАНИЕ!
ПОЖАЛУЙСТА, ВОПРОСЫ?