Международная практика внедрения и эксплуатации СМИБ организаций

информационной безопасности банка.

Информационная безопасность в банковской сфере

IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры»

АНДРЕЙ ДРОЗДОВCISM, CISA

Старший менеджер KPMG,Вице-президент Российского отделения ISACA

г.Казань, 1 июня 2007 г.

2

Содержание

• Что такое Информационная безопасность?• Что такое ISO17799/27001?• Преимущества для Компании?• Что это даст конкретным людям ?• Кто еще внедряет стандарт?• Как происходит внедрение стандарта?• Следующие шаги?• Вопросы

3

Что такое информационная безопасность?

• “Защита от хакеров.”• “Средство управления доступа к системам посредством имен

пользователей и паролей”• “Процесс шифрования данных с целью обеспечения

конфиденциальности”• “Барьер, мешающий мне в работе.”• “Лишние затраты.”

4

Что такое информационная безопасность?

ЦелостностьДоступность

Обеспечение защиты важной информации

Обеспечение целостности информации

Обеспечение возможности работы

с информацией

Конфиден-циальность

5

Что такое информационная безопасность?

• Конфиденциальность – защита важной информации от несанкционированного доступа.

• Примеры:– Счета к оплате– Персональные данные

(зарплата, информация о клиенте)

ЦелостностьДоступность

Конфиден-циальность

6

Что такое информационная безопасность?

• Целостность – обеспечение качества и достоверности данных.

• Примеры:– Выставленные счета не

должны подвергаться корректировкам

– Биллинговая система не должна подвергаться неавторизованным изменениям

Доступность

Конфиден-циальность

Целостность

7

Что такое информационная безопасность?

• Доступность – возможность работы с данными.

• Примеры:– Счета могут обрабатываться 24

часа в день– Система зарплаты

поддерживает работу с авансовыми отчетами Целостность

Конфиден-циальность

Доступность

8

Что такое информационная безопасность?

• Ключевые аспекты программы ИБ:– Люди – организация, права, обязанности, руководство– Процесс – политики, процедуры и практика– Технология – масштабируемая поддержка технических

решений автоматизации, включающая возможности обеспечения безопасности.

• Важно: Безопасность – не только и не столько техническая проблема.

9

Что такое информационная безопасность?

• ИБ- метод, посредством которого организация обеспечиваетe контроль над данными и системами, обеспечивая защиту ИТ и поддержку бизнес-процессов.

10

Предыстория ISO 17799/ISO 27001

• Начало положено как стандарт лучшей практики UK Department of Trade and Industry (DTI) – Британский стандарт (BS7799)– утвержден Британским институтом стандартов– КПМГ один из со-авторов стандарта, обладает

правами сертификации • Принят как ISO17799 (часть 1 BS 7799) в

декабре 2000• В 2005 принят ISO 27001 и последняя редакция

ISO 17799

11

Что такое ISO 17799?

• Набор контролей лучшей практики ИБ• Организационные вопросы• Вовлечение руководства• Политики и процедуры, основанные на мерах контроля• Измеримость• Возможность сертификации• Основан на анализе рисками• Международное признание

12

KPMG Global Information Security Survey

• Одной из ключевых задач, решаемых аудитором в сфере ИТ, является оценка защищенности информационных ресурсов клиентов. Особую актуальность работы в этом направлении приобрели после трагических событий в США11 сентября 2001 года. Компания КПМГ провела исследование относительно положения в области информационной безопасности в мире. Русская версия исследования была опубликована в апреле 2002 на сайте Росбизнесконсалтинг.

• http://www.rbc.ru/consulting/kpmg.shtml

13

KPMG Global Information Security Survey –Внедрение ISO 17799 в мире

Из тех, кто уже использует этот стандарт, 49% организаций провели процедуру независимой сертификации на соответствие. Ноябрь 2006 – 3080 сертификатов BS7799/ISO 27001

Лидирует Финансовый сектор, на который приходится 42% организаций, которые уже используют или готовятся использовать этот стандарт. В Европе больше, чем в других регионах организаций, использующих или собирающихся использовать этот стандарт. 2006 – лидер Япония

14

Что такое ISO17799?

• 11 Областей стандарта– Управление непрерывностью бизнеса– Контроль доступа– Закупка, разработка и сопровождение систем– Физическая безопасность и защита от воздействий окружающей среды– Соответствие требованиям– Вопросы ИБ, относящиеся к персоналу– Организация безопасности

15

Что такое ISO 17799?

• 11 областей стандарта (продолжение)– Управление операционными процессами и коммуникациями– Управление активами– Политика безопасности– Управление инцидентами ИБ

16

Внедрение стандарта ISO 17799

Причины

Следствия

Стратегия

Управление

Знания

Поддержка

Технологии

Общее руководство ИБ

Программа внедрения ИБ

Политики ИБ

Процедуры ИБ

Обучение пользователей

Безопасность информационных активов

Защита технологической инфраструктурыОбеспечение непрерывности

Модель КПМГ

17

ISO 27001Внедрение, мониторинг и аудит СУИБ

18

Преимущества для компании

• Стандартизация, лучшая практика• Управление рисками• Эффективность затрат• Превентивный подход• Утвержденная корпоративная политика ИБ• Участие и поддержка высшего руководства

19

Преимущества для компании

• Совершенствование процессов• Соблюдение требований клиентов и партнеров• Соответствие законодательству• Способ оценки эффективности ИБ (ROI!)• Маркетинговые и конкурентные преимущества

– клиенты– партнеры– инвесторы– страховщики

20

Что это даст конкретным людям ?

• Усиление контроля за информационными активами• Снижение риска дисциплинарных наказаний• Четко определенная личная ответственность• Обеспечение требований аудита• Личный вклад в снижение риска для клиентов компании –

ключевой момент

21

Как компании используют стандарт?

• Основа для Политики ИБ– Использование мер контроля как основа для политик ИБ

• Соответствие требованиям– Внедрение необходимых мер контроля и внутренний аудит соответствия

требованиям

• Официальная сертификация– Получения официальной сертификации через уполномоченного аудитора

22

Выводы

• ISO 17799 – основа для корпоративной политики ИБ• Фокус на людей и процессы – а не на технологию• Не надо изобретать велосипед• Стандарт, который может использоваться, а не лежать на полке

23

Следующие шаги?

• Идентификация имеющихся недостатков по требованиям ISO 17799

• Определение необходимых приоритетов и мероприятий с целью внедрения требований ISO 17799

• Разработка плана внедрения стандарта• Реализация плана• Достижение соответствия требованиям ISO 27001!• Постоянные усовершенствования с целью минимизации рисков

24

Сертификация по ISO 27001

• Что сертифицируем?• Сертификация по ISO 27001?• Кто уполномочен проводить “настоящую” сертификацию и

выдавать сертификат? • Возможна ли официальная сертификация в России? • Как организован процесс сертификации?• Сколько времени потребуется? • Сколько стоит?

25

Согласованиепредоставленияуслуг

Установлениерамок применимос-ти Системы Управ-ления ИБISO 27001

Обсуждениерамок СистемыУправления ИБ

Этап 2 –Сертифи-кация

Этап 1 –Диагнос-тика

Этап 1 – ОбзорСистемы

Надзорный аудит – раз в 12 месяцев3-летний цикл

Выпуск ISO 27001 UKASСертификата

Шаг 1 Шаг 2 Шаг 3

Шаг 7Шаг 6Шаг 5Шаг 4 Шаг 8

ОпционнаяПредварительная

ОценкаВнедрение

Рекомендаций.Консалтинг

Процесс сертификации

26a

nd

Dev

elo

pm

en

t

BS7799 summary of ten sections

0

10

20

30

40

50

60

70

80

90

100

Sec

uri

ty P

olic

y

Org

an

isat

ion

al

Sec

uri

ty

Ass

et

Cla

ssifi

catio

na

nd

Co

ntr

ol

Per

son

nel

Sec

uri

ty

Phy

sica

l and

Env

iro

nm

en

tal

Sec

uri

ty

Com

mu

nic

atio

ns

an

d O

per

atio

ns

Ma

na

gem

en

t

Acc

ess

Co

ntr

ol

Sys

tem

Ma

inte

nan

ce

Bus

ine

ssC

ontin

uity

Ma

na

gem

en

t

Com

plia

nce

3 4 5 6 7 8 9 10 11 12

Section

Per

cen

tag

e

Level of Compliance

N/A

Предварительная оценка системы управления ИБ и диагностика (пример результатов)

27

Пример проекта по внедрению и сертификации

Этапы проекта

УчастиеKПМГ

• Анализ Политик с учетом Стандарта и передовой практики

• Разработка рекоменда-ций

• Анализ основных принципов и процедур

• Разработка рекомендаций

• Консультации по внедрению при необходи-мости

• Анализ расхождений между ISO 27001 и реальной ситуацией

• Разработка плана действий -

• Сертифика-ционный аудит

Сроки 4-6 Недель 6-8 Недель По требованию 6-8 Недель 3-4 Недели

Этап I:Корпоратив-ные Политикии Стандарты

Этап II:Справочные руководства и процедуры СУИБ

Этап III:Внедрение политик и процедур

Этап IV:Анализ недостатков

Этап V:Сертификация

Дроздов Андрей ВалентиновичCISM, CISA

Старший менеджер KPMG,Вице-президент Российского отделения ISACA

E-mail: adrozdov@kpmg.ru

1 июня 2007 года

СПАСИБО ЗА ВНИМАНИЕ!

ПОЖАЛУЙСТА, ВОПРОСЫ?