1.В теории нет разницы между теорией и практикой, а на практике есть! 2.Безопасность и сложность несовместимы 3.Безопасность всегда имеет тенденцию к ослаблению 4.Тот, кто думает, что может решить проблемы безопасности с помощью технологии, тот не понимает ни проблем безопасности, ни проблем технологии 5. Любое изменение, вносимое в систему, в первую очередь ослабляет ее безопасность

Комментарий к «Стандарту информационной безопасности кредитной организации» Курило А.П., Заместитель Начальника ГУБИЗИ Банка России, К.т.н., доцент Г. Москва Январь 2005 г.

Информационная безопасность: Это состояние защищенности интересов или целей банка в информационной сфере. Достигается через обеспечение приоритетов безопасности: Доступности; Целостности; Конфиденциальности. Понятие «Информационная безопасность» применительно к кредитной организации

Цели деятельности Банка России (согласно ФЗ «О Центральном Банке РФ»): развитие и укрепление БС РФ обеспечение эффективного и бесперебойного функционирования платежной системы РФ Цели деятельности Банка России (согласно ФЗ «О Центральном Банке РФ»): развитие и укрепление БС РФ обеспечение эффективного и бесперебойного функционирования платежной системы РФ Банковская система (БС) Российской Федерации (РФ) (согласно ФЗ «О банках и банковской деятельности») Банк России Кредитные организации Филиалы и представительства иностранных банков

Банк России, будучи ответственным за реализацию целей своей деятельности, осознавая ИБ как фактор содействия бизнесу, выступил с инициативой разработки стандарта по обеспечению ИБ организаций БС РФ Банковская система Российской Федерации Банк России Кредитные организации Филиалы и представительства иностранных банков СТАНДАРТ «Обеспечение информационной безопасности организаций БС РФ»

Стратегические цели системы обеспечения безопасности 1.Предупреждение нарушений информационной безопасности в кредитной организации 2.Уменьшение уязвимости к угрозам информационной безопасности. 3.Минимизация ущерба и времени восстановления системы после реализации угроз (успешных атак на систему).

Факторы, влияющие на уровень безопасности 1.Отсутствие сертификата на продукт /жестко контролируется/ 2.Отсутствие сертифицированного средства защиты /жестко контролируется/ 3.Отсутствие аттестата на информационную систему /жестко контролируется/ 4.Отсутствие лицензии на право обработки информации с ограниченным доступом /контролируется/ 5.Нарушение норм зашиты от утечки по техническим каналам /исключительно жестко контролируется/ 6.Выполнение работы фирмой, не имеющей лицензии /жестко контролируется/ 7.Технический отказ продукта, обеспечивающего функцию безопасности /не контролируется по действ. НМД/ 8.Неверные настройки продукта /не контролируется по действ. НМД/ 9.Плохая организация работ по эксплуатации систем безопасности, прежде всего ключевых документов /не контролируется по действ. НМД/ 10.Низкий уровень осознания проблем безопасности высшим менеджментом организации /не контролируется по действ. НМД/

Реальный вклад упомянутых факторов в общий уровень безопасности Предмет контроля по гос. НМД (не более 25%) Технический отказ Неверные настройки оборудования Плохая организация работ По эксплуатации систем безопасности Низкий уровень осознания проблем руководством

Мнимый, реальный и управляемый уровни безопасности t Уровень безопасности Полный (100%) Нулевой Остаточ ный Мнимый Реальный Управляемый Циклы внутреннего контроля Реакция на успешную атаку Аудит + «контроль Контроля» Зоны риска Зона высокого риска

Что реально снижает уровень безопасности 1.Расхождение реальных угроз и принятой модели защиты (утрата адекватности политики безопасности) 2.Нарушения конфигурации и настроек активного сетевого оборудования, МСЭ, ОС, СУБД 3.Нарушения технологических и административных процедур управления безопасностью

С каким субъектом угроз мы имеем дело? Внешний (исключительно субъект НСД)- 20% Внутренний (легальный пользователь, а также частично субъект НСД) – 80%

Растущая угроза -расширенный доступ сотрудников к избыточной информации Проблемы : Для управления и контроля доступа почти бесполезны существующие средства защиты от НСД, так как они настроены на иную модель угроз Типовая комплектация ПЭВМ как правило неоправданно расширена и не соответствует выполняемым функциональным задачам. Практически на каждом компьютере имеются возможности несанкционированного копирования большого объема данных. Функциональные обязанности сотрудников документированы как правило в общем виде, что не позволяет выявить их ролевые функции и определить конкретные ресурсы, к которым необходим доступ при выполнении служебных обязанностей.

Растущая угроза -расширенный доступ сотрудников к избыточной информации Пути решения: Введение практики заказа техники (ПЭВМ) в усеченной комплектации, исключающей возможность несанкционированного копирования информации Переход к системам с централизованным управлением доступом сотрудников к ресурсам, системам «Терминального доступа» Выявление и документирование ролей сотрудников в конкретных технологических процессах и процессах управления и на этой базе четкая идентификация необходимых для выполнения служебных задач информационных ресурсов на базе реинжиниринга и процессных технологий. / продолжение /

Критерии оценки информационной безопасности в организации ( позволяют оценить реальную способность системы противостоять угрозам ) 1.Качество выполнения требований по безопасности 2.Качество управления системой безопасности 3.Уровень осознания проблемы руководством кредитной организации

Цели и задачи стандартизации в сфере обеспечения информационной безопасности в банковской системе Основные цели стандартизации по обеспечению ИБ организаций БС РФ: повышение доверия к БС РФ; повышение стабильности функционирования организаций БС РФ и на этой основе – стабильности функционирования БС РФ в целом; достижение адекватности мер по обеспечению ИБ реальным угрозам; предотвращение и/или снижение ущерба от инцидентов ИБ. Основные задачи стандартизации по обеспечению ИБ организаций БС РФ: установление единых требований по обеспечению ИБ организаций БС РФ; повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

Требования к стандарту безопасности БС РФ: Простота и понятность Непротиворечивость терминов и определений Открытость Стандарт должен быть прямого действия Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) область ИБ ИТ Стандарт должен содержать механизмы его актуализации

Принципы, положенные в основу Стандарта 1.Стандарт разработан в соответствии с ФЗ «О техническом регулировании» и в соответствии со ст. ст. 13,17 Закона относится к категории «Стандарт предприятия». 2.В соответствии со ст. 12 Закона положения данного Стандарта применяются на добровольной основе. 3.Стандарт, в соответствии с принятой международной практикой, будет регулярно пересматриваться и при необходимости корректироваться. 4.Стандарт распространяется как на клиентов банка России, так и на сам ЦБ РФ.

Принципы внедрения стандарта 1.Добровольность применения стандарта; 2.Цикличность аудита по требованиям стандарта; 3.Добровольность присоединения к стандарту; 4.Регулярный пересмотр положений стандарта; 5.Конфиденциальность работ, предусматривающая: Обеспечение конфиденциальности результатов проверки с целью исключения возможности нанесения вреда проверяемой организации; Возможность раскрытия, исключительно по просьбе самой проверяемой организации, результатов проверки с целью получения законных конкурентных преимуществ.

Важные особенности, отличающие стандарт от известных нам международных Стандарт носит не технический, а административно-организационный характер, хотя содержит согласованные технические требования по информационной безопасности Стандарт задает требования по приемлемому уровню организации работ по обеспечению безопасности с использованием шкалы зрелости стандарта COBIT

Кто заинтересован? 1.В Банке России ГУБИЗИ ДБРН ДВАИР ДИС ГИКО Создается общая непротиворечивая платформа оценки собственной деятельности Банка и кредитных организаций в единой системе объективных критериев

Кто заинтересован? 1.В кредитных организациях Создается общая непротиворечивая платформа оценки собственной деятельности Банка и его офисов, в единой системе объективных критериев, Возникают дополнительные факторы добросовестной конкуренции и получения законных преимуществ в бизнесе Высший менеджмент

Международные и зарубежные стандарты и документы: ISO/IEC 17799, 13335, 21827, COBIT, OCTAVE, BS … Национальные стандарты: ГОСТ , ГОСТ Р 51898, 51897, ГОСТ Р ИСО/МЭК 15408… Нормативные акты Банка России: 130- П, ВТ-60, 21-П, 3-П, 70-Т… Источники разработки стандарта

Парадигма ИБ Основные принципы ИБ Модели угроз и нарушителей Политика ИБ Управление ИБ Модель зрелости управления ИБ Аудит и мониторинг ИБ СТРУКТУРА СТАНДАРТА «ОБЕСПЕЧЕНИЕ ИБ»

Парадигма ИБ Принципы безопасности Политика ИБ Управление ИБ Модель угроз и нарушителя

Базовые принципы - обеспечивают видимость проблем ИБ и возможность адекватной реакции на них Специальные принципы отражают специфику банковского дела и безопасную организацию бизнеса Принципы безопасности политики ИБ

Модель угроз ИБ источник угрозы –человек: опыт, знания, ресурсы, мотивация уязвимости объекты и методы нападений типы возможной потери масштабы ущерба Хорошая практика Уровни информационно- технологической инфраструктуры: физический ; сетевой; сетевых приложений; операционных систем; СУБД; банковских технологических процессов; бизнес-процессов организации. Модель угроз и нарушителей ИБ (разработана на основе ISO/IEC 17799, 13335, , OСTAVE)

Основные принципы обеспечения ИБ Модель угроз и нарушителя Нормативные акты Банка России Международные стандарты Национальные стандарты Политика ИБ Общие требования (правила) ИБ

Направления развития стандарта Стандарт Методики разработки Информационно- справочное обеспечение Методики оценки (аудита) Политика ИБ Инструкции Руководства Действия Мониторинг Аудит (внутренний) Аудит (внешний) Уровень зрелости Рейтинг стандарты, хорошие практики, опыт сообщества, базы CVE, ICAT,

Спасибо за внимание, Курило Андрей Петрович, (095)