Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта «Информационная безопасность банковского бизнеса – совместимость со стандартами Центрального Банка Российской Федерации» (Казань, ) В.В.Андрианов научный директор НПФ «КРИСТАЛЛ»

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 2 История создания стандарта СТО БР ИББС-1.0 ( Совещание в Центре подготовки персонала Банка России, ) Требования к стандарту безопасности БС РФ: Простота и понятность Простота и понятность Непротиворечивость терминов и определений Непротиворечивость терминов и определений Открытость Открытость Стандарт должен быть прямого действия Стандарт должен быть прямого действия Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ Стандарт должен быть гармонизирован с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) области ИБ и безопасности ИТ Стандарт должен содержать механизмы его актуализации Стандарт должен содержать механизмы его актуализации

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 3 История создания стандарта СТО БР ИББС-1.0 Образование федерального органа по стандартизации подкомитета 3 «Защита информации в кредитно-финансовой сфере» Технического комитета 362 «Защита информации»: ( Банк России: Главное управление безопасности и защиты информации, Департамент информационных систем, Департамент банковского регулирования и надзора, Департамент внутреннего аудита и ревизий; Ассоциации: Ассоциация Российских банков, Ассоциация Региональных Банков России, Институт банковского дела АРБ; Кредитные организации: Акционерный коммерческий сберегательный банк РФ, Московская межбанковская валютная биржа, Национальная валютная ассоциация, Альфа-банк, Россельхозбанк, Банк Петрокоммерц, Внешэкономбанк, Газпромбанк, Банк Российский кредит, Банк Русский стандарт, Метробанк; Федеральные службы: ФСТЭК, ГНИИИ ПТЗИ ФСТЭК, ФТС; Аудиторские фирмы: КПМГ Лимитед, Эрнст и Янг; Разработчики: НПФ «Кристалл», «Линс-М»

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 4 Структура базового стандарта Банка России СТО БР ИББС-1.0 Парадигма ИБ Принципы безопасности Политика ИБ Система менеджмента ИБ Модель угроз и нарушителя Оценка зрелости ИБ Проверка и оценка ИБ Формирование целей ИБ Реализация целей ИБ Контроль достижения целей ИБ

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 5 Общие принципы направлены на осознание проблем ИБ Специальные принципы направлены на упорядочение деятельности организации и безопасную реализацию бизнеса Принципы безопасности политики ИБ Классификация принципов обеспечения ИБ в организации

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 6 Некоторые общие принципы Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели Прогнозируемость развития проблем. Организация должна выявлять причинно- следственную связь возможных проблем и строить на этой основе точный прогноз их развития Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 7 Некоторые специальные принципы Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяется применяемой к ней системой оценки Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 8 источник угрозы –человек: опыт, знания, ресурсы, мотивация уязвимости объекты и методы нападений типы возможной потери масштабы ущерба Хорошая практика Уровни информационно- технологической инфраструктуры: физический ; сетевой; сетевых приложений; операционных систем; СУБД; банковских технологических процессов; бизнес-процессов организации. Модель злоумышленника (угроз и нарушителей ИБ) (разработана на основе ISO/IEC 17799, 13335, 15408, 21827, 13569) Модель угроз ИБ

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 9 Нормативные акты Банка России Международные стандарты Национальные законодательные нормативные акты Политика ИБ Общие требования (правила) ИБ Разработка политики ИБ Основные принципы обеспечения ИБ Модель угроз и нарушителя Политика бизнеса Организационные политики Политика информатизации

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 10 Планирование Реализация Совершенствование Проверка Менеджмент ИБ включает в себя: разработку политики ИБ разработку планов обеспечения реализации политики ИБ разработку нормативно-методических документов обеспечения ИБ создание административного и кадрового обеспечения ИБ обеспечение штатного функционирования комплекса средств ИБ осуществление контроля функционирования системы ИБ обучение персонала организации оценку рисков и пр. ISO/IEC ISO/IEC ISO ГОСТ Р СОВIT (практики) Менеджмент ИБ в организациях БС РФ (в соответствии с СТО БР ИББС-1.0)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 11 Направления развития стандарта ( ) Стандарт Банка России СТО БР ИББС-1.0 ЧЕМУ ДОЛЖНЫ СООТВЕТСТВО- ВАТЬ? Стандарты разработки и эксплуатации Стандарт (методики) аудита (оценки) Информационно- справочное обеспечение ЧТО И КАК СДЕЛАТЬ? КАК ОЦЕНИТЬ ДОСТИГНУТОЕ?

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 12 Система стандартов обеспечения информационной безопасности СТО БР ИББС–0.1 (терминология) Понятийный аппарат СТО БР ИББС–1.0 (требования) СТО БР ИББС–4.0 (оценка соответ.) Основополагающие стандарты СТО БР ИББС–2.0 (документационное обеспечение) СТО БР ИББС–3.0 (система менеджмента ИБ) Поддерживающие стандарты Стандарты на типовые защитные меры (примеры) СТО БР ИББС–3.х (применение СКЗИ в банках) СТО БР ИББС–3.х (менеджмент инцидента ИБ) СТО БР ИББС–3.х (…………………..)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 13 Проекты стандартов, развивающих положения СТО БР ИББС-1.0 СТО БР ИББС–0.1–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Термины и определения СТО БР ИББС–2.0–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Документы обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС–1.0 СТО БР ИББС–3.0–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Система менеджмента информационной безопасности СТО БР ИББС–4.0–(проект) Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 14 Роль и место СТО БР ИББС-1.0 в контексте национальных и международных стандартов Серия международных модельных стандартов ИСО/МЭК 27ХХХ «Information security management systems» Гармонизированные в системе ГОСТ Р международные стандарты и др. национальные документы по стандартизации Требования к стандартизации в РФ в соответствии с ФЗ 184- ФЗ 2002 года СТО БР ИББС-1.0 – прикладной отраслевой стандарт, который должен: определять порядок применения существующих международных и национальных стандартов; отражать специфику обеспечения ИБ в организациях национальной банковской системы Аналоги и прототипы: Х.1051 СМИБ для телекоммуникационных организаций ИСО СМИБ для организаций здравоохранения

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 15 Международные и зарубежные стандарты ISO/IEC IS 17799–2005 (second edition) (с 2007 года - ISO/IEC IS 27002) Information Technology. Code of practice for information security management ISO/IEC IS 27001–2005 Information technology. Security techniques. Information security management systems. Requirements ISO/IEC IS 13335–1÷2 Information Technology. Security techniques. Management of information and communications technology security ISO/IEC IS 15288–2002 Systems engineering. System Life Cycle Processes BSI PAS-56 Guide to Business Continuity Management (BCM) ITU-T Recommendation X.1051 Information security management system. Requirements for telecommunications (ISMS-T)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 16 Международные документы ISO TR Banking and related financial services. Information security guidelines ISO/IEC TR 15504–1÷5 Information technology. Process assessment ISO/IEC TR 18028–1÷5 Information technology. Security techniques. IT network security ISO/IEC TR Information technology. Selection, deployment and operations of intrusion detection systems (IDS) ISO/IEC TR 18044–2004 Information Technology. Security techniques. Information security incident management

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 17 Национальные стандарты ГОСТ Р 1.0–2004 Стандартизация в Российской Федерации. Основные положения (в соответствии с ФЗ 184-ФЗ от «О техническом регулировании») ГОСТ Р 1.4–2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения (в соответствии с ФЗ 184-ФЗ от «О техническом регулировании») ГОСТ Р Аспекты безопасности. Правила включения в стандарты ГОСТ Р ИСО Система менеджмента качества. Требования ГОСТ Р ИСО Система управления окружающей средой. Требования и руководство по применению ГОСТ Р ИСО/МЭК ÷ Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК Информационная технология. Процессы жизненного цикла программных средств ГОСТ Р ИСО/МЭК ТО Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК (Процессы жизненного цикла программных средств)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 18 Перспективы развития комплекса стандартов СТО БР ИББС – дальнейшая гармонизация с международными стандартами ( г.г.) ИСО/МЭК Принципы и глоссарий ИСО/МЭК Требования к СМИБ (BS ) ИСО/МЭК (ИСО/МЭК ) Практики СМИБ ИСО/МЭК Менеджмент рисков СМИБ (ИСО/МЭК ) ИСО/МЭК Метрики и измерение СМИБ ИСО/МЭК Руководство по реализации СМИБ Разрабатываемые стандарты менеджмента ИБ ИСО/МЭК ( г.г.) СТО БР ИББС-1.0 (2-я редакция) Руководство по применению для организаций БС РФ СТО БР ИББС-2.0 (Документационное обеспечение) СТО БР ИББС-3.0 (Система менеджмента) СТО БР ИББС-4.0 (Оценка соответствия)

декабрь 13 Введение в стандарт Банка России СТО БР ИББС–1.0. Структура и специфика стандарта 19 НПФ «КРИСТАЛЛ» г. Пенза Спасибо за внимание! Андрианов Владимир Васильевич научный директор