Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
WWW.SIDCON.COM.UA
МЫ СВЕДЕМ К МИНИМУМУ РИСКИ В
ВАШЕМ БИЗНЕСЕ
ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ БАНКА
WWW.SIDCON.COM.UA
ПОСТАНОВА НБУ N474 від 28.10.2010
“… З дня опублікування цієї постанови набирають чинності такі
стандарти Національного банку України:
СОУ Н НБУ 65.1 СУІБ 1.0:2010 "Методи захисту в банківській
діяльності. Система управління інформаційною безпекою. Вимоги" (ISO/IES
27001:2005, MOD);
СОУ Н НБУ 65.1 СУІБ 2.0:2010 "Методи захисту в банківській
діяльності. Звід правил для управління інформаційною безпекою" (ISO/IES
27002:2005, MOD).
Банкам України впровадити системи управління інформаційною
безпекою до 01.10.2011 відповідно до стандартів Національного банку
України, затверджених пунктом 1 цієї постанови ...”
WWW.SIDCON.COM.UA
Примеры угроз Угрозы, обусловленные своим происхождением
внутренние внешние
угрозы в сфере управления банком (принятие
неоптимальных управленческих решений,
имеющих стратегическое значение для банка)
кризисные явления в мировой и национальной
экономике, политическая и экономико-социальная
нестабильность
угрозы, связанные с нелояльностью персонала высокий уровень коррупции в органах
государственной власти и управления
угрозы, связанные с профессиональной
неподготовленностью лиц, участвующих в
процессе обеспечения безопасности банка
несовершенное законодательство
угрозы, связанные с нарушением или
пренебрежением персоналом мер безопасности возможность целенаправленных
недобросовестных действий со стороны
конкурентов, промышленный шпионаж
WWW.SIDCON.COM.UA
УГРОЗЫ БЕЗОПАСНОСТИ ДЛЯ ФИНАНСОВЫХ
УЧРЕЖДЕНИЙ
Параллельно с увеличением значения IT в бизнесе растет количество инструментов и технологий для несанкционированного доступа к информационным ресурсам. Даже у крупных организаций существует риск потери важных данных, что может подорвать их имидж и репутацию на рынке.
За последние годы были зафиксированы проникновения злоумышленников на серверы таких известных брендов, как Sony, Apple, Bank Morgan Stanley и др.
Поэтому эффективная защита информационных систем любой компании / банка становится первостепенной задачей для бизнеса.
WWW.SIDCON.COM.UA
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ДЛЯ ФИНАНСОВЫХ УЧРЕЖДЕНИЙ
утечка платежных данных,
злоупотребление доступом,
утечка коммерческой тайны (данные о межбанковских операциях, маршруты инкассаторских автомобилей, маркетинговые планы, расчеты себестоимости банковских продуктов, стратегии развития),
утечка персональных данных,
WWW.SIDCON.COM.UA
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ДЛЯ ФИНАНСОВЫХ УЧРЕЖДЕНИЙ
нелояльное поведение персонала (мошенничество, криминальные действия с использованием инфраструктуры работодателя, распространение нежелательной информации, несанкционированное общение с прессой и конкурентами, саботаж, сговоры с целью хищения информационных или материальных активов, получения «откатов»),
утечка ноу-хау.
WWW.SIDCON.COM.UA
Основные типы угроз информационным активам
Разглашение информации.
Несанкционированный доступ к информационным активам.
Утечка информации по техническим каналам.
Нарушение целостности и доступности информации.
WWW.SIDCON.COM.UA
НАИБОЛЕЕ ТИПИЧНЫЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ (по данным компании InfoWatch)
бумажная документация;
ноутбуки, смартфоны;
ПК, серверы (связано, как правило, с неправомерными
действиями администраторов сетей);
съемные носители;
Web (Интернет);
носители резервных копий.
В банковском секторе значительно выше, чем в целом по всем другим отраслям, доля утечек через носители
резервных копий.
WWW.SIDCON.COM.UA
УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
В 2005 г. была зарегистрирована наибольшая банковская утечка персональных данных в США. Жертвой целой
группы продажных банковских служащих стали четыре наибольших банков США: Wachovia, Bank of America,
Commerce Bancorp и PNC Bank) и почти 700 тысяч американских граждан.
Чтобы эффективно противостоять угрозе кибертерроризма,
банкам необходимо рассматривать информационную
безопасность в качестве одного из ключевых компонентов
своей операционной деятельности.
WWW.SIDCON.COM.UA
Меры по обеспечению информационной безопасности банков
WWW.SIDCON.COM.UA
Методика разработки системы информационной
безопасности банка
Цели:
обеспечение устойчивого функционирования объекта,
предотвращение угроз его безопасности,
защита законных интересов клиента от противоправных посягательств,
недопущение хищения финансовых средств, разглашения, утраты,
утечки, искажения и уничтожения служебной информации,
обеспечение нормальной производственной деятельности всех
подразделений объекта. повышение качества предоставляемых услуг
и гарантий безопасности имущественных прав и интересов клиентов.
WWW.SIDCON.COM.UA
Методика разработки системы информационной
безопасности банка
Достижение заданных целей возможно в ходе решения
следующих основных задач:
отнесение информации к категории ограниченного доступа (служебной
тайне);
прогнозирование и своевременное выявление угроз безопасности
информационным ресурсам, причин и условий, способствующих
нанесению финансового, материального и морального ущерба, нарушению
его нормального функционирования и развития;
создание условий функционирования с наименьшей вероятностью
реализации угроз безопасности информационным ресурсам и нанесения
различных видов ущерба;
WWW.SIDCON.COM.UA
создание механизма и условий оперативного реагирования на угрозы
информационной безопасности и проявления негативных тенденций
в функционировании, эффективное пресечение посягательств на ресурсы
на основе мер и средств обеспечения безопасности;
создание условий для максимально возможного возмещения
и локализации ущерба, ослабление негативного влияния последствий
нарушения информационной безопасности на достижение стратегических
целей.
Методика построения системы информационной безопасности банка
WWW.SIDCON.COM.UA
Обеспечение повышенных требований к информационной
безопасности предполагает соответствующие мероприятия на всех этапах
жизненного цикла информационных технологий. Планирование этих
мероприятий производится по завершении этапа анализа рисков и выбора
контрмер.
Обязательными являются:
Периодическая проверка соответствия существующего режима
информационной безопасности политике безопасности.
Сертификация информационной системы (технологии) на соответствие
требованиям определенного стандарта безопасности.
Управление рисками
WWW.SIDCON.COM.UA
Концептуальная модель безопасности
WWW.SIDCON.COM.UA
WWW.SIDCON.COM.UA
Концептуальная модель аудита безопасности
WWW.SIDCON.COM.UA
Концептуальная модель безопасности информации
Адрес: 03115, Украина, г. Киев, пр. Победы, 121-Б, оф.224 Тел/факс: +38 (044) 220-29-82 / 78 e-mail: [email protected] www: http://www.sidcon.com.ua
WWW.SIDCON.COM.UA
СПАСИБО ЗА ВНИМАНИЕ!
Наши контакты: