"Особенности информационной безопасности коммерческих организаций"

1. СКОРОДУМОВ БОРИС ИВАНОВИЧ,к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ "Особенности информационной безопасности коммерческих организаций" …1101011110010100110101010111101… www.ibdarb.ru www.infoforum.ru

2. …«менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства»…

3. В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, в частности, что, в Европе давно переходят от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

4. Рекомендации Базельского комитета http:/www.bis.org/publ/ Эффективность банковской системы по Базель-1: Эффективное корпоративное управление Эффективная система внутреннего контроля Культура контроля Контроль рисков Кредитный риск Страновой (региональный) риск Рыночный риск Процентный риск Риск ликвидности Операционный риск источник: Сазыкин Б.В., д.т.н., профессор

5. Потери в долларах по типу атакиCSI представляет отчет о результатах исследования в свободный доступ на сайте GoCSI.com

7. «Report on Widening Gap»"Отчет о расширяющейся пропасти" Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005".

8. Определение операционного риска Базельский комитет (2003 г). Операционный риск – риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, связанных с людьми и системами, а также вследствие внешних воздействий. Указание ЦБР №70Т от 23.06.04 г. «О типичных банковских рисках». Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

9. Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом19 апреля 2006 года в МосквеВ мероприятии приняли участие: Министр внутренних делРФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты. «в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев «с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников http://sartraccc.sgap.ru/Press/cyber_crim.htm

10. Журнал "Банковское обозрение", №1, январь 2007 г.

11. Заинтересованность коммерческих банков в решении проблем информационной безопасности Результаты опроса АРБ 200 респондентов

12. ppt Секция «Кибернетический терроризм» российско-американского семинара (Президиум РАН, 2003 год) «Истина состоит в том, что мы не знаем, как создавать надежные информационные системы».…Главный вывод –необходима «разработка совершенно новых методов обеспечения безопасности информационных систем». Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США).

13. Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский ун-т США). Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности необходимо решить следующие 4 первоочередные задачи: • 1. Создать новую модель компьютерной защиты вместо прежней модели «круговой обороны». • 2. Ввести новое определение «компьютерной безопасности». • 3. Перейти к активной обороне. • 4. Скоординировать действия «кибернетических сообществ», законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии….

14. «Настоящая науканачинается там, где начинаютсяизмерения» Дмитрий ИвановичМенделеев

15. Очередное заседание ПК 3 состоялось 14 января 2008 г. в г.Москве Технический комитет №362 «Защита информации» Подкомитет №3 «Защита информации в кредитно-финансовой сфере» (Сберегательный банк РФ, “Альфа-банк”, Россельхозбанк,банки «Петрокоммерц» и «Российский кредит», ММВБ, Институт банковского дела АРБ, международная аудиторская фирма KPMG и другие) http://www.techcom3623.ru

16. ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ • МЕТОДИКА КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ АКТИВОВ • МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

17. СТО БР ИББС-1.0-2006 Вестник№ 6, 2006 год ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) СТАНДАРТ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.ОБЩИЕ ПОЛОЖЕНИЯ Москва 2006 http://www.cbr.ru/

18. СТАНДАРТЫ 2007

19. РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ 2007

20. Федеральный закон от 29.07.2004 г. N 98-ФЗ"О коммерческой тайне" • Статья 3. Основные понятия, используемые в настоящем Федеральном законе. Для целей настоящего Федерального закона используются следующие основные понятия: • 1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

21. Федеральный закон от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" Статья 3. Целями деятельности Банка России являются: ……………………………………………………………………………………………. обеспечение эффективного и бесперебойного функционирования платежной системы. Получение прибыли не является целью деятельности Банка России.

22. Федеральный закон «О банках и банковской деятельности» (с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г., 19 июня, 7 августа 2001 г.,21 марта 2002 г.) Глава I. Общие положения Статья 1. Основные понятия настоящего Федерального закона Кредитная организация - юридическое лицо, которое дляизвлечения прибыли как основной цели своей деятельности. . . . . . . . .

23. Разные цели – разные архитектуры

24. Закон «О техническом регулировании»Статья 2. Основные понятия • «риск - вероятность причинения вреда…..» • «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда…….»

25. Предложение по определению термина «информационная безопасность» (на «законных» основаниях ФЗ «О техническом регулировании») «информационная безопасность –состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации» • Достоинства нового определения: • Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408-1-2002, 27001, 17799) и прежнего научно-технического задела. • Получение метрик информационной безопасности.

26. Обобщенный критерий защищенности информации в коммерческой АС С защита <С выгода < У ущерб системы нарушителя владельца R-суммарные издержки n-количество рисков А-вероятный риск В-стоимостная оценка риска С-стоимость реализации мер защиты Rmax-оценка допустимого риска ИЗВЛЕЧЕНИЕ ИЗ МЕТОДИКИ ФРАНЦУЗСКОЙ БАНКОВСКОЙ КОМИССИИ

27. Гос. Тайна Коммерческая информация Другая информация (врачебная и т.п.) Особенности защиты коммерческой i: профиль k Оранжевая книга, Радужная серия • частная собственность; • цель – экономическаяэффективность; • модель угроз и нарушителя; • работа в открытых системах; • юридическая сила ЭД; • страхование iрисков; • неоднородность организаций; • определение ценности i; • динамичность (мониторинг) защиты; • открытые средства защиты и т.д. профиль n финансовый профиль профиль m

28. Требования профиля (стандарта) информационной безопасности коммерческих банков позволят: • оптимизировать расходы на защиту информации; • обеспечить качественный аудит автоматизированных систем; • решить вопросы внутреннего контроля организации. Основы защиты информации

29. Спасибо за Ваше внимание! СКОРОДУМОВ БОРИС ИВАНОВИЧ bisko2003@list.ru