1 Опыт создания и применения в банке России стандартов безопасности Курило Андрей Петрович Заместитель Начальника Главного управления безопасности и защиты информации Банка России. Несебр 16 сентября 2009 года

2 Субъекты правоотношений Государство (регуляторы) Поставщики продуктов, услуг и сервисов Потребители Продуктов услуг и сервисов Рынок

3 Особенности Банка как субъекта законодательной деятельности Необходимость: соответствовать сразу двум системам законодательства: национальному и международному использовать «Лучшие практики банковской деятельности» и рекомендации банка международных расчетов и Базельского комитета по банковской деятельности (Базель I и Базель II) следовать корпоративным стандартам международных расчетных и карточных платежных систем

4 Международные стандарты, составляющие «complains» с Российским банковским стандартом по информационной безопасности ISO: 9000, 17799, 7799, 2700x, 13335, Проекты стандартов ISO: "СМИБ для банков и страховых компаний" (на базе 27001,2,5,4(draft), TR13569, PSI DSS,), ISO/МЭК 2-й CD «Информационная технология – Методы и средства обеспечения безопасности – Структура обеспечения приватности» Сообществ: COBIT, ITIL Банковских сообществ: Базель I, II Платежных карт: PSI DSS Платежных систем: стандарты безопасности SWIFT

5 Исходная Российская законодательная и нормативная база в области безопасности Законы Российской Федерации Конституция Российской Федерации Гражданский кодекс РФ О центральном Банке Российской Федерации О банках и банковской деятельности Об информации, информационных технологиях и безопасности Об ЭЦП О персональных данных Отдельные нормы других Законов Нормативные акты ведомств-регуляторов в сфере безопасности Российские государственные стандарты по криптографии

6 Принципы, положенные в основу наиболее распространенных на международном уровне стандартов безопасности Главный принцип ISO 9000: «контроль за состоянием среды производства обеспечивает стабильность характеристик выпускаемого продукта» Постулат: Система безопасности банка будет эффективна при выполнении двух условий: а) Если система безопасности реально соответствует заранее заданным требованиям б) Если заранее заданные требования безопасности адекватны окружающему ландшафту угроз. Выполнение требования «а» обеспечивается регулярным, полноценным и многоуровневым контролем. Выполнение требования «б» обеспечивается регулярным пересмотром стратегических рисков. Регулярность определяется циклической моделью Шурхарта-Деминга Полноценность задается набором контрольных проверочных вопросов Многоуровневость задается формами контроля

7 Подход к оценке деятельности по обеспечению безопасности Обеспечение безопасности есть постоянный непрерывный процесс. Абсолютной безопасности нет. Всегда существуют остаточные риски. Можно говорить только о вероятности наступления события. Качество работы системы можно оценивать только с использованием рискового подхода. Риск есть функция вероятности наступления события и тяжести его последствий. Событие безопасности реализуется через уязвимость системы Управляя уязвимостями системы можно управлять ее безопасностью

8 Недостатки наиболее распространенных стандартов, взятых за основу Оценка по шкале «Да – Нет», что в целом дает очень жесткий безальтернативный подход и затрудняет работу по устранению недостатков Недостаток рекомендаций по внутренней нормативной базе Отсутствие адаптации к конкретным условиям среды объекта защиты

9 Какие цели были поставлены? Повышение доверия к банковской системе РФ; Повышение стабильности функционирования организаций БС РФ и на этой основе – стабильности функционирования БС РФ в целом; Достижение адекватности мер по обеспечению ИБ реальным угрозам; Предотвращение и/или снижение ущерба от инцидентов ИБ; Установление единых требований по обеспечению ИБ организаций БС РФ; Повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ; Предоставление результатов оценки уровня ИБ различных организаций в сопоставимом виде.

10 Эксплуатация Основные принципы построения системы обеспечения информационной безопасности Идентификация актива (типов активов) Идентификация источников угроз Разработка политики безопасности Формирование требований по безопасности Построение системы защиты Разработка регламентов эксплуатации Информационных комплексов и системы защиты Организация контроля выполнения требований и регламентов Анализ результатов (оценка рисков) корректировка

11 Стандарт СТО БР ИББС – 1.0 Система обеспечения информационной безопасности СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Реализация СОИБ Планирование СОИБ Совершенствование СОИБ Проверка СОИБ

12 Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (БР ИББС) Стандарты и рекомендации в области стандартизации (первичный блок) Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1

13 Показатели ИБ Методики. Способы оценивания показателей Итоговый уровень соответствия Стандарту Частные показатели (266) Коэффициенты значимости частных показателей Текущий уровень ИБ Менеджмент ИБ Уровень осознания ИБ Групповые показатели (32)

14 Результаты оценки соответствия 1. Круговая диаграмма, содержащая 32 сектора, которые отражают оценки групповых показателей. 2. Круговая диаграмма, содержащая 3 сектора, которые отражают оценки по трем направлениям

15 Значения групповых показателей Направление оценки: текущий уровень ИБ Направление оценки: уровень осознания ИБ Направление оценки: менеджмент ИБ Пример

16 Механизм разработки банковских стандартов информационной безопасности НИР Доработка результатов собственными силами Обсуждение проекта в техническом комитете по стандартизвации (ПК3/ТК 362 Ростехрегулирования Обсуждение Проекта в сообществе ABISS Обсуждение Проекта в Ассоциации Российских банков Ввод в действие Приказом Председателя Банка России

17 Привлечение кредитных организаций к активной работе; Повышение доверия к результатам внешних аудитов ИБ; Повышения достоверности и точности результатов внешних аудитов ИБ; Привлечение к работам аудиторских и консалтинговых фирм. Результаты Организованы конференции и семинары Проведены работы по оценке соответствия требованиям стандарта Банка России в 12-и ГУ ЦБ РФ и 2-х организациях Банка Росси Совместно с фирмой «Infowatch» и проектом «Банкир.РУ» проводятся исследования по вопросам внедрения Банком России Стандартов по информационной безопасности Создана система обучения Содействие внедрению стандартов Сообщество ABISS.

18 Внедрение комплекса стандартов. Опыт Банка России. Результаты Внедрение комплекса стандартов в системе Банка России способствовало упорядочению деятельности по обеспечению ИБ Всеми подразделениями отмечается положительный опыт деятельности рабочих групп координации работ по внедрению Стандарта для единого понимания вопросов ИБ Переход от принципа традиционного построения систем безопасности к принципу построения систем управления безопасностью, выявил недостаточную проработанность процессов менеджмента ИБ Внедрение комплекса стандартов в системе Банка России способствует совершенствованию нормативной базы. В рамках мероприятий по внедрению стандарта необходимо продолжить корректировку нормативно- методической базы по ИБ в соответствии с подходом комплекса стандартов

19 Внедрение комплекса стандартов. Опыт Банка России. Результаты Самооценка соответствия ИБ подразделений требованиям Стандарта позволила оценить уровень обеспечения ИБ, выявить конкретные проблемные зоны системы обеспечения ИБ структурные подразделения получили профессиональный инструмент, позволяющий измерить и наглядно представить состояние информационной безопасности. Полученные в ходе самооценки результаты позволяют сформировать централизованные и локальные (на уровне территориальных учреждений) планы по повышению уровня информационной безопасности в системе Банка России Результаты самооценки достаточно точно отразили состояние информационной безопасности как по регионам, так и в целом в системе Банка России. В процессе работ сложилась хорошая практика взаимодействия сотрудников управлений безопасности и защиты информации с представителями региональных центров информатизации, управлений банковского надзора, инспектирования кредитных организаций и ревизионных подразделений.

20 Внедрение комплекса стандартов в кредитных организациях БС РФ Российские банки поддерживают стандарты Банка России: подавляющее большинство респондентов (78%) поддержали принятие и высказались за его развитие. Более половины всех опрошенных банков (53%) сообщили, что реализация положений и требований документов комплекса в их организации автоматически приведет и к повышению ее конкурентоспособности, а также будет способствовать интеграции в мировую банковскую систему. Главные стимулы российских банков для внедрения: возможность создания эффективной системы ИБ (63%) и управления операционными рисками (55%), а также улучшение и защита репутации (55%). Большинство российских банков (74%) начали внедрение стандартов в своей организации в 2007 году или планируют внедрение в течение годов.

21 Преимущества от внедрения комплекса стандартов Банка России Внедрение комплекса стандартов Банка России позволяет: Повысить значимость вопросов ИБ в организации Упорядочить деятельность по обеспечению ИБ в организации БС РФ Построить эффективную и управляемую систему обеспечения ИБ Аргументировать затраты на обеспечение ИБ Повысить уровень доверия со стороны клиентов и партнеров. Повысить конкурентоспособность Учитывать отраслевую специфику банковской системы Способствует интеграции в мировое банковское сообщество

22 Основные направления деятельности по обеспечению ИБ 1. Мониторинг действий пользователей и администраторов 2. Контроль доступа персонала к информационным активам 3. Управление учетными записями персонала 4. Управление правами доступа администраторов к системному и прикладному ПО 5. Управление паролями 6. Контроль и управление конфигурациями ЛВС, вычислительных систем и периферийных устройств 7. Контроль и управление настройками и обновлениями общего, системного и специального программного обеспечения 8. Контроль и управление настройками средств и систем обеспечения информационной безопасности 9. Выявление, сбор и обработка информации об инцидентах информационной безопасности и уязвимостях в системе безопасности. Парирование инцидентов и устранение уязвимостей 10. Управление средствами антивирусного контроля 11. Управление ключевыми системами криптографических средств

23 Предотвращаемые (снижаемые) угрозы ИБ 1. Несанкционированное отчуждение или изменение информации персоналом с использованием своих служебных полномочий - инсайдерская деятельность. 2. Нарушение персоналом служебных регламентов и производственной дисциплины. 3. Предоставление персоналу прав по доступу к ресурсам, превышающих служебные полномочия. 4. Использование персоналом вычислительных ресурсов в неслужебных целях. 5. Неконтролируемый перенос персоналом информации на съемные машинные носители. 6. Неконтролируемый доступ к информационным и вычислительным ресурсам со стороны системных администраторов и других привилегированных пользователей. 7. Ошибочные действия персонала, в первую очередь системных администраторов. 8. Неконтролируемое проведение работ по ремонту и сопровождению аппаратного и программного обеспечения. 9. Недокументированное изменение состава и конфигурации вычислительных средств и локальной вычислительной сети. 10. Проведение тестирования и отладки ПО и технологий на оборудовании, задействованном в промышленной эксплуатации. 11. Физический доступ посторонних лиц к информационным и вычислительным ресурсам. 12. Доступ злоумышленников к ресурсам по локальной вычислительной сети. 13. Проникновение компьютерных вирусов и вредоносного ПО.

24 Принципы организации работ Построение собственных моделей угроз и моделей нарушителей Разработка собственных политик безопасности высокого уровня Реализация систем безопасности в соответствии с политиками Максимальная централизация управления безопасностью Непрерывный мониторинг состояния безопасности критических систем и регулярный контроль деятельности на соответствие установленным требованиям по безопасности Оценка тактического риска как фактора отклонения параметров безопасности действующей системы от заданных Оценка стратегического риска как несоответствия действующих моделей угроз и нарушителей от реального ландшафта угроз Тесное взаимодействие и совместная работа со специалистами информатизации

25 Принципы организации работ (продолжение) Изоляция Интернет на уровне, не выше третьего, модели OSI Обязательный антивирусный контроль внешних носителей на отдельной, специально выделенной машине Централизованное обновление антивирусных баз Централизованное обновление операционных систем во внутренней сети Контроль конфигурации (настроек) оборудования и программных средств, влияющих на безопасность Предоставление прав доступа к ресурсам, включая телекоммуникационные порты компьютеров, явно, исходя из принципа минимума полномочий Принудительное закрытие всех, за исключением необходимых, телекоммуникационных портов на всех компьютерах внутренней сети Контроль использования персоналом банка открытых телекоммуникационных портов на соответствие установленным правилам Антивирусная и контекстная фильтрация входящего, исходящего и проходного IP трафика Сбор аудита по действиям пользователей и администраторов и его анализ на соответствие установленным правилам и регламентам Психологическое воздействие на персонал, приучение его к принципам корпоративной этики

26 Стандарты, политики, нормативные акты Политика безопасности Банка России Частные политики безопасности Модели угроз и нарушителей Стандарты безопасности Банка России Отчеты о выполнении контрольных процедур Акты проверок и оценок Отчеты о выполнении планов работ Организационные регламенты инструкции Требования по безопасности ( в составе ТТ, ТЗ) Положения, распоряжения, приказы

27 Иерархия форм контроля Внешний аудит Проверки регуляторов Внешняя оценка соответствия требованиям стандарта безопасности Самооценка соответствия требованиям стандарта безопасности Самоконтроль Анализ результатов мониторинга Мониторинг (технический аудит)

28 Найти стандарты можно по адресу:

29 Вопросы?

30 Спасибо за внимание. Андрей Петрович Курило,