1 / 28

Информационная безопасность в банковской сфере

Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры». Информационная безопасность в банковской сфере. АНДРЕЙ ДРОЗДОВ CISM, CISA

Download Presentation

Информационная безопасность в банковской сфере

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Международная практика внедрения и эксплуатации СМИБ организаций информационной безопасности банка. IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры» Информационная безопасность в банковской сфере АНДРЕЙ ДРОЗДОВ CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA г.Казань, 1 июня 2007 г.

  2. Содержание • Что такое Информационная безопасность? • Что такое ISO17799/27001? • Преимущества для Компании? • Что это даст конкретным людям ? • Кто еще внедряет стандарт? • Как происходит внедрение стандарта? • Следующие шаги? • Вопросы

  3. Что такое информационная безопасность? • “Защита от хакеров.” • “Средство управления доступа к системам посредством имен пользователей и паролей” • “Процесс шифрования данных с целью обеспечения конфиденциальности” • “Барьер, мешающий мне в работе.” • “Лишние затраты.”

  4. Что такое информационная безопасность? Конфиден-циальность Обеспечение защиты важной информации Доступность Целостность Обеспечение возможности работы с информацией Обеспечение целостности информации

  5. Что такое информационная безопасность? Конфиденциальность – защита важной информации от несанкционированного доступа. Примеры: Счетак оплате Персональные данные (зарплата, информация о клиенте) Конфиден-циальность Доступность Целостность

  6. Что такое информационная безопасность? Целостность – обеспечение качества и достоверности данных. Примеры: Выставленные счета не должны подвергаться корректировкам Биллинговая система не должна подвергаться неавторизованным изменениям Конфиден-циальность Доступность Целостность

  7. Что такое информационная безопасность? Доступность – возможность работы с данными. Примеры: Счета могут обрабатываться 24 часа в день Система зарплаты поддерживает работу с авансовыми отчетами Конфиден-циальность Доступность Целостность

  8. Что такое информационная безопасность? • Ключевые аспекты программы ИБ: • Люди – организация, права, обязанности, руководство • Процесс – политики, процедуры и практика • Технология – масштабируемая поддержка технических решений автоматизации, включающая возможности обеспечения безопасности. • Важно: Безопасность – не только и не столько техническая проблема.

  9. Что такое информационная безопасность? • ИБ- метод, посредством которого организация обеспечиваетe контрольнад данными и системами, обеспечивая защиту ИТ и поддержку бизнес-процессов.

  10. Предыстория ISO 17799/ISO 27001 • Начало положено как стандарт лучшей практики UK Department of Trade and Industry (DTI) • Британский стандарт (BS7799) • утвержден Британским институтом стандартов • КПМГодин из со-авторов стандарта, обладает правами сертификации • Принят как ISO17799 (часть 1 BS 7799) в декабре 2000 • В 2005 принят ISO 27001 и последняя редакция ISO 17799

  11. Что такое ISO 17799? • Набор контролей лучшей практики ИБ • Организационные вопросы • Вовлечение руководства • Политики и процедуры, основанные на мерах контроля • Измеримость • Возможность сертификации • Основан на анализе рисками • Международное признание

  12. KPMG Global Information Security Survey • Однойиз ключевых задач, решаемых аудитором в сфере ИТ, является оценка защищенности информационных ресурсов клиентов. Особую актуальность работы в этом направлении приобрели после трагических событий в США11 сентября 2001 года. Компания КПМГ провела исследование относительно положения в области информационной безопасности в мире. Русская версия исследования была опубликована в апреле 2002 на сайте Росбизнесконсалтинг. • http://www.rbc.ru/consulting/kpmg.shtml

  13. KPMG Global Information Security Survey –Внедрение ISO 17799 в мире Лидирует Финансовый сектор, на который приходится 42% организаций, которые уже используют или готовятся использовать этот стандарт. В Европе больше, чем в других регионах организаций, использующих или собирающихся использовать этот стандарт. 2006 – лидер Япония Из тех, кто уже использует этот стандарт, 49% организаций провели процедуру независимой сертификации на соответствие. Ноябрь 2006 – 3080 сертификатов BS7799/ISO 27001

  14. Что такое ISO17799? • 11 Областей стандарта • Управление непрерывностью бизнеса • Контроль доступа • Закупка, разработка и сопровождение систем • Физическая безопасность и защита от воздействий окружающей среды • Соответствие требованиям • Вопросы ИБ, относящиеся к персоналу • Организация безопасности

  15. Что такое ISO 17799? • 11 областей стандарта (продолжение) • Управление операционными процессами и коммуникациями • Управление активами • Политика безопасности • Управление инцидентами ИБ

  16. Внедрение стандарта ISO 17799 Стратегия Причины Общее руководство ИБ Программа внедрения ИБ Управление Политики ИБ Процедуры ИБ Знания Обучение пользователей Технологии Безопасность информационных активов Защита технологической инфраструктурыОбеспечение непрерывности Поддержка Следствия Модель КПМГ

  17. ISO 27001Внедрение, мониторинг и аудит СУИБ

  18. Преимущества для компании • Стандартизация, лучшая практика • Управление рисками • Эффективность затрат • Превентивный подход • Утвержденная корпоративная политика ИБ • Участие и поддержка высшего руководства

  19. Преимущества для компании • Совершенствование процессов • Соблюдение требований клиентов и партнеров • Соответствие законодательству • Способ оценки эффективности ИБ (ROI!) • Маркетинговые и конкурентные преимущества • клиенты • партнеры • инвесторы • страховщики

  20. Что это даст конкретным людям ? • Усиление контроля за информационными активами • Снижение риска дисциплинарных наказаний • Четко определенная личная ответственность • Обеспечение требований аудита • Личный вклад в снижение риска для клиентов компании – ключевой момент

  21. Как компании используют стандарт? • Основа для ПолитикиИБ • Использование мер контроля как основа для политик ИБ • Соответствие требованиям • Внедрение необходимых мер контроля и внутренний аудит соответствия требованиям • Официальная сертификация • Получения официальной сертификации через уполномоченного аудитора

  22. Выводы • ISO 17799 – основа для корпоративной политики ИБ • Фокус на людей и процессы – а не на технологию • Не надо изобретать велосипед • Стандарт, который может использоваться, а не лежать на полке

  23. Следующие шаги? • Идентификация имеющихся недостатков по требованиям ISO 17799 • Определение необходимых приоритетов и мероприятий с целью внедрения требований ISO17799 • Разработка плана внедрения стандарта • Реализация плана • Достижение соответствия требованиям ISO 27001! • Постоянные усовершенствования с целью минимизации рисков

  24. Сертификация по ISO 27001 • Что сертифицируем? • Сертификация по ISO 27001? • Кто уполномочен проводить “настоящую” сертификациюи выдавать сертификат? • Возможна ли официальная сертификация в России? • Как организован процесс сертификации? • Сколько времени потребуется? • Сколько стоит?

  25. Процесс сертификации Шаг 1 Шаг 2 Шаг 3 Опционная Предварительная Оценка Обсуждение рамок Системы Управления ИБ Установление рамок применимос-ти Системы Управ-ления ИБ ISO 27001 Согласование предоставления услуг Внедрение Рекомендаций. Консалтинг Выпуск ISO 27001UKAS Сертификата Надзорный аудит – раз в 12 месяцев3-летний цикл Этап 1 – Обзор Системы Этап 1 – Диагнос- тика Этап 2 – Сертифи- кация Шаг 4 Шаг 5 Шаг 6 Шаг 7 Шаг 8

  26. Предварительная оценка системы управления ИБ и диагностика (пример результатов) BS7799 summary of ten sections 100 Level of Compliance 90 N/A 80 70 60 50 Percentage 40 30 20 10 0 Security Policy Organisational Security Classification Asset and Control Personnel Security Physical and Environmental Security Communications and Operations Management Access Control System Development Maintenance and Business Continuity Management Compliance 3 4 5 6 7 8 9 10 11 12 Section

  27. Пример проекта по внедрению и сертификации Этап I:Корпоратив-ныеПолитикии Стандарты Этап II:Справочные руководства и процедуры СУИБ Этап III:Внедрение политики процедур Этап IV:Анализ недостатков Этап V:Сертификация

  28. СПАСИБО ЗА ВНИМАНИЕ!ПОЖАЛУЙСТА, ВОПРОСЫ? Дроздов Андрей Валентинович CISM, CISA Старший менеджер KPMG, Вице-президент Российского отделения ISACA E-mail: adrozdov@kpmg.ru 1 июня 2007 года

More Related