СУИБ - проблемы внедрения v4
- 1. Проблемные вопросы внедрения СУИБ в банковских учреждениях Украины (по опыту реализованных проектов) Владимир Ткаченко Директор ООО "Агентство Активного Аудита“
- 2. Содержание 1. Опыт внедрения СУИБ в банковских учреждениях Украины по стандартам НБУ 2. Вопросы организации управления ИТ рисками 3. Оценка эффективности СУИБ 4. Основные замечания инспекционных проверок органами банковского надзора НБУ (по итогам реализованных проектов) 25.06.2012 © Агентство Активного Аудита 2
- 3. 1. Опыт внедрения СУИБ в банковских учреждениях Украины Основные цели внедрения СУИБ (что хотят получить) Работающую СУИБ для решения бизнес целей, реализации бизнес стратегии, удовлетворения требований регулятора «Адаптированный комплект документов» для удовлетворения требований НБУ По отношению менеджмента банка (что хотят получить) СУИБ решает задачи по безопасности бизнес-процессов, по управлению рисками, по защите партнеров и клиентов СУИБ удовлетворяет требования НБУ СУИБ позволяет в перспективе получить сертификат соответствия ISO 27001 (маркетинговые цели для слияния и /или поглощения) 25.06.2012 © Агентство Активного Аудита 3
- 4. Опыт внедрения СУИБ согласно стандартов НБУ Правильно разработанная и внедренная СУИБ позволяет: предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации; снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности банка; на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками банковского учреждения; адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета возврата инвестиций; уменьшить расходы на информационную безопасность, оптимизировать ресурсы; удовлетворить требования регулятора. 25.06.2012 © Агентство Активного Аудита 4
- 5. Опыт внедрения СУИБ Пример успешного внедрения СУИБ в большом международном банке Украины: В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%; Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно. Пример успешного внедрения СУИБ в банке IV группы: Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет; Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 году Получено положительное заключение от инспекции банковского надзора НБУ 25.06.2012 © Агентство Активного Аудита 5
- 6. Опыт внедрения стандарта НБУ Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности, мониторинга. ISO 27001 (СОУ Н НБУ 65.1) - это стандарт корпоративного управления, а не ИТ стандарт. Никакое ПО или оборудование не реализует положения стандарта!!! ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС? Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления банковским учреждением Для внедрения СУИБ необходимо объединить в один процесс организационную и техническую часть работы 25.06.2012 © Агентство Активного Аудита 6
- 7. Факторы успеха реализации проекта СУИБ 25.06.2012 © Агентство Активного Аудита 7
- 8. Факторы успеха (организационные вопросы) Правление Комитет по управлению рисками (по ИБ) Тарифный Кредитный Другие КУАП комитет комитет комитеты Состав комитета по ИБ (управлению рисками) – 5-7 человек - Представитель Правления - ИТ директор - Начальник безопасности - Начальник ИБ (или специалист по ИБ) - Представитель управления рисками - Начальник операционного департамента - Представитель внутреннего аудита (без права голоса) 25.06.2012 © Агентство Активного Аудита 8
- 9. Факторы успеха (организационные вопросы) Риски Безопасность ИТ 25.06.2012 © Агентство Активного Аудита 9
- 10. Основные этапы работ по внедрению СУИБ Этап I - Мероприятия по организации ИБ Определение области применения Распределение ролей и Определение политики ИБ Создание комитета ИБ СУИБ обязанностей СУИБ Этап II - Инвентаризация информационных активов Инвентаризация и описание активов Определение владельцев активов Определение критичности активов Создание реестра активов Этап III - Организация процесса управления рисками Оценка рисков Выбор мероприятий защиты Разработка плана обработки рисков Этап IV - Внедрение плана обработки рисков Внедрение необходимых ИТ проектов Реализация плана по обработке рисков Разработка документации по внедрению СУИБ Этап V - Внедрение мероприятий по мониторингу эффективности СУИБ Разработка документации по проведению внутреннего аудита СУИБ Разработка документации по проверке процесса оценки рисков 25.06.2012 © Агентство Активного Аудита 10
- 11. 2. Организация процесса управления рисками Процесс обработки рисков представляет собой: снижение, избежание, принятие, передача риска. Снижение информационных рисков – реализация мер безопасности с помощью выбранных способов снижения рисков. Избежание информационных рисков - изменение способа работы процесса, связанного с информационным риском. Передача информационных рисков - это вариант когда сложно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим сторонам (застраховать). 25.06.2012 © Агентство Активного Аудита 11
- 12. Организация процесса управления рисками План обработки рисков содержит: • риски и их уровень; • рекомендованные мероприятия защиты; • приоритет выполнения; • необходимые ресурсы для реализации мер безопасности; • перечень ответственных работников; • дата начала и дата завершения. 25.06.2012 © Агентство Активного Аудита 12
- 13. Организация управления рисками Внедрение плана обработки рисков • Разработка документации СУИБ (политики, положения, руководства) • Внедрение процессов СУИБ (управление инцидентами, управление персоналом, управление доступом, управление изменениями и т.д.) • Разработка Плана по обеспечению непрерывности банковской деятельности (Business Continuity Plan – BCP) 25.06.2012 © Агентство Активного Аудита 13
- 14. 3. Оценка эффективности СУИБ Оценка эффективности СУИБ - это процесс получения и анализа объективных данных о текущем состоянии процессов СУИБ, поддерживающих их систем, действиях и событиях происходящих в них, а также устанавливающий уровень их соответствия определенным критериям. Элемент программы ИТ аудит Тест на проникновение повышения осведомленности пользователей 25.06.2012 © Агентство Активного Аудита 14
- 15. 4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ 1) Нарушение требований постановления Правления НБУ «О вступлении в силу стандартов управления информационной безопасностью в банковской системе Украины» от 28.10.2010 № 474, в части не внедрения до 01.10.2011 системы управления информационной безопасностью (отсутствие документов верхнего уровня – стратегии ИБ, плана обработки рисков, положения о применимости) 2) Отсутствие у банка комплексного плана обеспечения непрерывной деятельности и действий в случае чрезвычайных ситуаций. Отсутствие документов среднего и нижнего уровня согласно методическим рекомендациям НБУ 3) Отсутствие процессов СУИБ (при наличии документации) (протоколы и решения комитета по ИБ, управление рисками, управление изменениями, управление доступом (назначение ролей и матрицы доступа) и др. 25.06.2012 © Агентство Активного Аудита 15
- 16. 4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ 5) Отсутствие документов по разделам стандарта об обеспечении физической безопасности и доступа в помещения 6) Отсутствие у банка описания структуры сети банка, процессов и процедур по приобретению, внедрению и поддержке ПО 7) Отсутствие процессов СУИБ оценки эффективности и повышения осведомленности пользователей (обучения персонала банка вопросам ИБ) 25.06.2012 © Агентство Активного Аудита 16
- 17. Комментарии по замечаниям НБУ Инспекции НБУ обращают внимание на следующие требования стандарта • Раздел 4 Система управления информационной безопасностью • Раздел 5 Ответственность руководства • Раздел 6 Внутренние аудиты (проверки) СУИБ • Раздел 7 Анализ СУИБ со стороны руководства • Раздел 8 Улучшение СУИБ И рекомендаций (но иногда путают их с требованиями выше): • Приложение А СОУ Н НБУ 65.1 (ISO27001) • СОУ Н НБУ 65.2 (ISO27002) Внедрение мер безопасности (включая руководства, стандарты, процедуры), а также их целесообразность, должно опираться на оценку рисков и планироваться в Плане обработки рисков. Если банк провел оценку рисков и составил План обработки рисков, где спланировал внедрение мер безопасности (включая разработку документации любого уровня), и движется по этому плану – он выполняет требования стандарта. НБУ не может требовать внедрить рекомендованные меры безопасности из Приложения А, или делать заключение о несоответствии стандарту, если меры не внедрены. 25.06.2012 © Агентство Активного Аудита 17
- 18. Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88 25.06.2012 © Агентство Активного Аудита 18