Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. Информационная безопасность в банковской сфере IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ- инфраструктуры» АНДРЕЙ ДРОЗДОВ CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA г.Казань, 1 июня 2007 г.

2 Содержание Что такое Информационная безопасность? Что такое ISO17799/27001? Преимущества для Компании? Что это даст конкретным людям ? Кто еще внедряет стандарт? Как происходит внедрение стандарта? Следующие шаги? Вопросы

3 Что такое информационная безопасность? Защита от хакеров. Средство управления доступа к системам посредством имен пользователей и паролей Процесс шифрования данных с целью обеспечения конфиденциальности Барьер, мешающий мне в работе. Лишние затраты.

4 Что такое информационная безопасность? ЦелостностьДоступность Обеспечение защиты важной информации Обеспечение целостности информации Обеспечение возможности работы с информацией Конфиден- циальность

5 Что такое информационная безопасность? Конфиденциальность – защита важной информации от несанкционированного доступа. Примеры: –Счета к оплате –Персональные данные (зарплата, информация о клиенте) ЦелостностьДоступность Конфиден- циальность

6 Что такое информационная безопасность? Целостность – обеспечение качества и достоверности данных. Примеры: –Выставленные счета не должны подвергаться корректировкам –Биллинговая система не должна подвергаться неавторизованным изменениям Доступность Конфиден- циальность Целостность

7 Что такое информационная безопасность? Доступность – возможность работы с данными. Примеры: –Счета могут обрабатываться 24 часа в день –Система зарплаты поддерживает работу с авансовыми отчетами Целостность Конфиден- циальность Доступность

8 Что такое информационная безопасность? Ключевые аспекты программы ИБ: –Люди – организация, права, обязанности, руководство –Процесс – политики, процедуры и практика –Технология – масштабируемая поддержка технических решений автоматизации, включающая возможности обеспечения безопасности. Важно: Безопасность – не только и не столько техническая проблема.

9 Что такое информационная безопасность? ИБ- метод, посредством которого организация обеспечиваетe контроль над данными и системами, обеспечивая защиту ИТ и поддержку бизнес-процессов.

10 Предыстория ISO 17799/ISO Начало положено как стандарт лучшей практики UK Department of Trade and Industry (DTI) –Британский стандарт (BS7799) –утвержден Британским институтом стандартов –КПМГ один из со-авторов стандарта, обладает правами сертификации Принят как ISO17799 (часть 1 BS 7799) в декабре 2000 В 2005 принят ISO и последняя редакция ISO 17799

11 Что такое ISO 17799? Набор контролей лучшей практики ИБ Организационные вопросы Вовлечение руководства Политики и процедуры, основанные на мерах контроля Измеримость Возможность сертификации Основан на анализе рисками Международное признание

12 KPMG Global Information Security Survey Одной из ключевых задач, решаемых аудитором в сфере ИТ, является оценка защищенности информационных ресурсов клиентов. Особую актуальность работы в этом направлении приобрели после трагических событий в США 11 сентября 2001 года. Компания КПМГ провела исследование относительно положения в области информационной безопасности в мире. Русская версия исследования была опубликована в апреле 2002 на сайте Росбизнесконсалтинг.

13 KPMG Global Information Security Survey – Внедрение ISO в мире Из тех, кто уже использует этот стандарт, 49% организаций провели процедуру независимой сертификации на соответствие. Ноябрь 2006 – 3080 сертификатов BS7799/ISO Лидирует Финансовый сектор, на который приходится 42% организаций, которые уже используют или готовятся использовать этот стандарт. В Европе больше, чем в других регионах организаций, использующих или собирающихся использовать этот стандарт – лидер Япония

14 Что такое ISO17799? 11 Областей стандарта –Управление непрерывностью бизнеса –Контроль доступа –Закупка, разработка и сопровождение систем –Физическая безопасность и защита от воздействий окружающей среды –Соответствие требованиям –Вопросы ИБ, относящиеся к персоналу –Организация безопасности

15 Что такое ISO 17799? 11 областей стандарта (продолжение) –Управление операционными процессами и коммуникациями –Управление активами –Политика безопасности –Управление инцидентами ИБ

16 Внедрение стандарта ISO Причины Следствия Стратегия Управление Знания Поддержка Технологии Общее руководство ИБ Программа внедрения ИБ Политики ИБ Процедуры ИБ Обучение пользователей Безопасность информационных активов Защита технологической инфраструктуры Обеспечение непрерывности Модель КПМГ

17 ISO Внедрение, мониторинг и аудит СУИБ

18 Преимущества для компании Стандартизация, лучшая практика Управление рисками Эффективность затрат Превентивный подход Утвержденная корпоративная политика ИБ Участие и поддержка высшего руководства

19 Преимущества для компании Совершенствование процессов Соблюдение требований клиентов и партнеров Соответствие законодательству Способ оценки эффективности ИБ (ROI!) Маркетинговые и конкурентные преимущества –клиенты –партнеры –инвесторы –страховщики

20 Что это даст конкретным людям ? Усиление контроля за информационными активами Снижение риска дисциплинарных наказаний Четко определенная личная ответственность Обеспечение требований аудита Личный вклад в снижение риска для клиентов компании – ключевой момент

21 Как компании используют стандарт? Основа для Политики ИБ –Использование мер контроля как основа для политик ИБ Соответствие требованиям –Внедрение необходимых мер контроля и внутренний аудит соответствия требованиям Официальная сертификация –Получения официальной сертификации через уполномоченного аудитора

22 Выводы ISO – основа для корпоративной политики ИБ Фокус на людей и процессы – а не на технологию Не надо изобретать велосипед Стандарт, который может использоваться, а не лежать на полке

23 Следующие шаги? Идентификация имеющихся недостатков по требованиям ISO Определение необходимых приоритетов и мероприятий с целью внедрения требований ISO Разработка плана внедрения стандарта Реализация плана Достижение соответствия требованиям ISO 27001! Постоянные усовершенствования с целью минимизации рисков

24 Сертификация по ISO Что сертифицируем? Сертификация по ISO 27001? Кто уполномочен проводить настоящую сертификацию и выдавать сертификат? Возможна ли официальная сертификация в России? Как организован процесс сертификации? Сколько времени потребуется? Сколько стоит?

25 Согласование предоставления услуг Установление рамок применимос- ти Системы Управ- ления ИБ ISO Обсуждение рамок Системы Управления ИБ Этап 2 – Сертифи- кация Этап 1 – Диагнос- тика Этап 1 – Обзор Системы Надзорный аудит – раз в 12 месяцев 3-летний цикл Выпуск ISO UKAS Сертификата Шаг 1Шаг 2Шаг 3 Шаг 7Шаг 6Шаг 5Шаг 4Шаг 8 Опционная Предварительная Оценка Внедрение Рекомендаций. Консалтинг Процесс сертификации

26 Предварительная оценка системы управления ИБ и диагностика (пример результатов)

27 Пример проекта по внедрению и сертификации Этапы проекта Участие KПМГ Анализ Политик с учетом Стандарта и передовой практики Разработка рекоменда-ций Анализ основных принципов и процедур Разработка рекомендаций Консультации по внедрению при необходи- мости Анализ расхождений между ISO и реальной ситуацией Разработка плана действий - Сертифика- ционный аудит Сроки4-6 Недель6-8 НедельПо требованию6-8 Недель3-4 Недели Этап I: Корпоратив -ные Политики и Стандарты Этап II: Справочны е руководств а и процедуры СУИБ Этап III: Внедрение политик и процедур Этап IV: Анализ недостатко в Этап V: Сертифика ция

Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA 1 июня 2007 года СПАСИБО ЗА ВНИМАНИЕ! ПОЖАЛУЙСТА, ВОПРОСЫ?