СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе составляет основу нашей уверенности в других» Франсуа де Ларошфуко

ГОСУДАРСТВЕННЫЕ И ОТРАСЛЕВЫЕ СТАНДАРТЫ ПО ОБЕСПЕЧЕНИЮ ИБ ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью; ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования; ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности; ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности; ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения» (СОИБ ССОП); Стандарт Банка России СТО БР ИББС Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

НОВАЯ ВЕРСИЯ СТАНДАРТА БАНКА РОССИИ Распоряжением Банка России от N Р-1674 введена в действие третья редакция СТО БР ИББС

СИСТЕМА ОБЕСПЕЧЕНИЯ ИБ БАНКА СМИБ СОИБ филиала СОИБ филиала СУ ИТ СЗ ПД СОИБ филиала СОИБ Головного Офиса СИБ

ОСНОВНЫЕ СТАДИИ СОВЕРШЕНСТВОВАНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИБ БАНКА 1 стадия 3 стадия Подготовка к совершенствованию СОИБ Совершенствование СОИБ (Проектирование, внедрение, опытная эксплуатация) Внешний аудит СОИБ 2 стадия

1 СТАДИЯ - ПОДГОТОВКА К СОВЕРШЕНСТВОВАНИЮ СОИБ ГО БАНКА Обследование СОИБ на соответствие Стандарта Банка России Оценкаи обработка рисков ИБ Оценка и обработка рисков ИБ Разработка Концепции сов. СОИБ Утверждение Концепции сов. СОИБ 1 стадия 3 стадия 2 стадия

КОНЦЕПЦИЯ СОВЕРШЕНСТВОВАНИЯ СОИБ БАНКА Цель разработки Концепции – определить основные направления работ по обеспечению ИБ Банка и подготовить План мероприятий по созданию СМИБ и совершенствованию СИБ ГО и филиалов Банка

ПЛАН МЕРОПРИЯТИЙ ПО СОВЕРШЕНСТВОВАНИЮ СОИБ БАНКА Этап Подготовка к совершенствованию СОИБ Этап кв Создание СМИБ ГО (Проектирование, внедрение, опытная эксплуатация) Этап кв Совершенствование СИБ ГО (Проектирование, внедрение, опытная эксплуатация) Этап 3 1 кв Внешний аудит СОИБ ГО на соответствие СТО БР Этап Создание интегрированной СОИБ ГО и филиалов Банка Этап 5 4 кв Внешний аудит интегрированной СОИБ на соответствие СТО БР

ОСНОВНЫЕ ЭТАПЫ СОВЕРШЕНСТВОВАНИЯ СОИБ ГО БАНКА Проектир. СМИБ Внедрение СМИБ Опыт. эксп квартал 2 квартал 3 квартал 4 квартал 1 квартал Проектир. СИБ Внедрение СИБ Опыт. эксп. Внеш. аудит

СТРУКТУРА СТАНДАРТА БАНКА РОССИИ

ОСНОВНЫЕ НАПРАВЛЕНИЯ РАБОТ ПО СОВЕРШЕНСТВОВАНИЮ СОИБ ГО БАНКА Политики и процедуры

СОЗДАНИЕ СМИБ ГО БАНКА Разработка Политик СМИБ Внедрение СМИБ Эксплуатация СМИБ Этап 1 Этап 2.1 Этап 2.2 Этап 3 Этап 4 Этап 5 Разработка Процедур СМИБ Создание службы ИБ Обучениесотрудников Расширение Функций Комитета

ПЕРЕЧЕНЬ ПРОЦЕССОВ СМИБ СМИБСМИБ

РЕКОМЕНДАЦИИ БАНКА РОССИИ ПО ДОКУМЕНТАЦИИ СОИБ

ПРИМЕР ПЕРЕЧНЯ ПРОЦЕДУР СОИБ (8.10.) обнаружение и реагирование на инциденты ИБ: Процедура обнаружения инцидентов ИБ; Процедура информирования об инцидентах; Процедура классификации инцидентов; Процедура реагирования на инциденты; Процедура анализа причин инцидентов и оценка реагирования на инцидент.

ОРГАНИЗАЦИЯ СЛУЖБЫ SERVICE DESK И ВНЕДРЕНИЕ ПРОЦЕССА УПРАВЛЕНИЯ ИНЦИДЕНТАМИ ОТ АСТЕРОС Разработанный, описанный и формализованный Процесс Настроенная в соответствии с Процессом система автоматизации (АС Service Desk) Обученный персонал

СОЗДАНИЕ СИБ ГО БАНКА Проектирование/ модернизация подсистем ИБ ИС Эксплуатация СИБ Обучение сотрудников Внедрение СИБ Этап 1 Этап 2 Этап 2.2 Этап 3 Этап 4 Этап 5 Разработка Политик СИБ Разработка процедур СИБ Обследование подсистем ИБ

ПЕРЕЧЕНЬ ПРОЦЕССОВ СИБ СИБСИБ

Диаграмма процедуры управления документами СМИБ Банка

Основные документы определяющие роли и ответственности по обеспечению ИБ Документы СОИБ Руководит., ответств. за ИБ Департаменты биз. подразд. Департамент управления рисками Департамент ИТ Департамент Безопасности СВК Администрат. управление Хозяйствен. управление Руководство по обеспечению ИБ Банка Должностные инструкции Положение о подразделении Контракт Должностные инструкции

Внешний аудит Проведение предварительного аудита на соответствие СТО БР Устранение выявленных несоответствий Повторный аудит Оформление заключения о соответствии Этап 1 Этап 2.1 Этап 2.2 Этап 3 Этап 4 Этап 5

Создание СМИБ филиалов Банка Разработка Политик СМИБ-Ф Внедрение СМИБ - Ф Эксплуатация СМИБ - Ф Разработка Процедур СМИБ-Ф Создание службы ИБ филиалов Обучениесотрудников Этап 1 Этап 2.1 Этап 2.2 Этап 3 Этап 4 Этап 5

Создание СИБ филиалов Банка Проектирование/ модернизация подсистем ИБ ИС Эксплуатация СИБ-Ф Обучение сотрудников Внедрение СИБ-Ф Этап 1 Этап 2 Этап 2.2 Этап 3 Этап 4 Этап 5 Разработка Политик СИБ-Ф Разработка процедур СИБ-Ф Обследование подсистем ИБ

Внешний аудит интегрированной СОИБ ГО и филиалов Банка Проведение предварительного аудита на соответствие СТО БР Устранение выявленных несоответствий Оформление заключения о соответствии Этап 1 Этап 2.1 Этап 2.2 Этап 3 Этап 4 Этап 5 Повторный аудит

Планируемые результаты Повышение стабильности функционир. Банка 1.Повышение уровня ИБ Банка 2. Соответствие Стандарту СТО БР ИББС Стандарту СТО БР ИББС Управление рисками ИБ Снижение ущерба в случае инцидентов ИБ Повышение ответственности за обеспечение ИБ Оптимизация затрат на обеспечение ИБ Повыш. эффективности используемых мер ИБ

СПАСИБО ЗА ВНИМАНИЕ! Кузнецов Владимир Михайлович Начальник отдела построения СУИБ Группа «Астерос» , г. Москва ул. Новохохловская, д. 23, стр. 1 Телефон: +7 (495) Факс: +7 (495)