Создание и модернизация системы обеспечения информационной безопасности

Система обеспечения информационной безопасности (СОИБ) состоит как из системы организационных и технических мер обеспечения ИБ, так и системы менеджмента информационной безопасности, обеспечивающей непрерывное функционирование СОИБ как системы управления ИБ.

Компания ФБК предлагает свои услуги по созданию и модернизации СОИБ на основе российских и международных стандартов и лучших практик, в том числе на основе положений международных стандартов группы ISO/IEC 2700x, имеющих российские аналоги.

Для банковских организаций основой создания СОИБ может служить внедрение положений Стандарта Банка России СТО БР ИББС 1.0 2010, учитывающих как приведенные выше стандарты, так и специфику российской банковской системы, в частности – положения Федерального закона № 152 ФЗ «О персональных данных».

Независимо от выбранного стандарта, создание или модернизация СОИБ включает в себя следующие виды (этапы) работ:

1. Предварительная оценка текущего состояния системы информационной безопасности

Перед началом работ по внедрению СОИБ мы предлагаем провести экспресс-оценку системы информационной безопасности организации на соответствие стандарту, выбранному для создания системы. Оценка проводится на соответствие стандартов ISO/IEC 27002:2005 и ГОСТ Р ИСО/МЭК 17799 по разработанной нами методике. Для банковских организаций данная экспресс-оценка может быть выполнена на соответствие положениям СТО БР ИББС.

Это позволит получить представление о текущем уровне зрелости процессов управления ИБ, а также определить направления, в которых необходимо проводить работы по внедрению СОИБ.

2. Разработка плана мероприятий по внедрению СОИБ

По результатам проведенной оценки разрабатывается детализированный план мероприятий по внедрению СОИБ.

3. Разработка внутренних документов в области информационной безопасности

В рамках данного этапа на основе анализа информационных систем организации разрабатываются основные положения общей и частных политик информационной безопасности, положений, регламентов, инструкций и иных внутренних документов, организующих функционирование СОИБ.

Разработанные организационно-распорядительные документы способствуют повышению качественного уровня системы обеспечения информационной безопасности и соответствуют рекомендациям лучших мировых практик.

4. Проведение идентификации информационных активов

Основу процесса анализа рисков информационной безопасности составляет определение перечня того, что надо защищать, от кого и как.

При определении защитных мер выявляются активы, а также объекты инфраструктуры, связанные с ними, нуждающиеся в защите. Некоторые активы и инфраструктурные элементы (например, технические и программные средства, помещения) идентифицируются очевидным образом. Про некоторые активы, объекты и ресурсы (специалисты, расходные материалы) часто забывают. Информационные активы, т.е. информация, имеющая ценность, ещё менее очевидна. При идентификации активов также необходимо учесть и нематериальные ценности, способные пострадать от нарушения режима информационной безопасности, например: репутация компании, моральный климат в коллективе и т.п.

Компания ФБК готова оказать услуги по разработке и внедрению системы идентификации и учета информационных активов, учитывающей процедуры:

  • идентификации информационных активов;
  • классификации информационных активов с точки зрения критичности для процессов деловой активности и тяжести последствий от потери ими значимых свойств информационной безопасности – конфиденциальности, целостности или доступности;
  • определения взаимных связей и влияния между информационными активами и элементами инфраструктуры;
  • определения уязвимостей информационных активов.

Идентификация информационных активов, выполненная при участии специалистов ФБК, будет соответствовать требованиям стандартов ГОСТ Р ИСО/МЭК 27001/ ГОСТ Р ИСО/МЭК 27005, что обеспечит основу для создания эффективной системы менеджмента информационной безопасности, системы управления рисками ИБ, а также оптимального распределения ресурсов при обеспечении информационной безопасности.

5. Создание системы управления рисками ИБ и проведение оценки рисков нарушения ИБ

Применение риск-ориентированного подхода при построении системы обеспечения информационной безопасности является важнейшим шагом при переходе на новый качественный уровень корпоративного управления. Кроме того, этот подход заложен в основу подавляющего числа современных отечественных и международных стандартов, включая ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27005, СТО БР ИББС и т.п.

Компания ФБК готова оказать услуги по разработке и внедрению системы управления рисками ИБ, которая состоит из следующих групп процессов:

  • выбор методики (подхода), по которой будет проводиться оценка рисков;
  • определение области оценки рисков (контекста);
  • оценка рисков (определение степени вероятности реализации угроз и степени тяжести последствий от реализации угроз ИБ, оценивание и ранжирование рисков);
  • обработка рисков (выбор и реализация мер, направленных на снижение риска до приемлемого уровня);
  • мониторинг и контроль системы управления рисками ИБ;
  • совершенствование системы управления рисками ИБ.

Система управления рисками ИБ, созданная при участии специалистов ФБК, будет соответствовать требованиям стандарта ГОСТ Р ИСО/МЭК 27005, рекомендаций РС БР ИББС 2.2 2009 «Методика оценки рисков нарушения информационной безопасности», а также лучшим мировым практикам.

Специалисты ФБК могут выполнить процедуру оценки рисков информационной безопасности, например, для запуска системы управления рисками ИБ или в качестве элемента регулярной процедуры.

Специалистами компании ФБК разработана и предлагается к внедрению оригинальная методика оценки рисков информационной безопасности, основанная на математических методах нечетких вычислений, позволяющая получить количественную оценку суммы возможных рисков нарушения ИБ на основе качественных или интервальных оценок частных рисков информационной безопасности.

6. Разработка плана обеспечения непрерывности и восстановления деятельности после сбоев (Плана ОНиВД)

С одной стороны, наличие Плана ОНиВД во многих отраслях уже является необходимым требованием регулирующих и контролирующих органов.

С другой стороны, наличие работоспособного Плана ОНиВД обеспечивает устойчивость деловой активности и минимизацию потенциальных финансовых потерь от прерываний деятельности организации.

План ОНиВД требует непрерывной актуализации и поэтому система ОНиВД должна содержать в своем составе:

  • программы тестирования Планов ОНиВД;
  • детальные порядки действия сотрудников при возникновении нештатных и аварийных ситуаций;
  • шаблоны отчетных документов о проведенных испытаниях и тестах;
  • стратегию развития Планов ОНиВД.

Система ОНиВД, созданная с участием специалистов компании ФБК с учетом рекомендаций международного стандарта BS 25999 (ГОСТ Р 53647), части 1 и 2, а также лучших практик управления информационными системами, обеспечивает соответствие требованиям Положения № 242 П «Об организации внутреннего контроля в кредитных организациях и банковских группах», повышает доверие во взаимоотношениях с клиентами и другими организациями, позволяет оценивать свои способности по ОНиВД при помощи согласованных и общепризнанных методов.

7. Внедрение системы менеджмента инцидентов информационной безопасности

Типовые политики или защитные меры ИБ не могут полностью гарантировать защиту информации, информационных систем, сервисов и сетей. После внедрения любых защитных мер всегда останутся слабые места, которые уменьшают эффективность обеспечения информационной безопасностью. Кроме того, в будущем будут выявляться новые, ранее не идентифицированные угрозы. Возникающие инциденты информационной безопасности несут в себе как потенциальную угрозу прямого или косвенного воздействия на деловые процессы, так и информацию о текущем состоянии системы обеспечения ИБ и путях её развития.

Структурный и системный подход к менеджменту инцидентов, создаваемый и предлагаемый к внедрению компанией ФБК, включает:

  • обнаружение, оповещение об инцидентах ИБ и их оценку;
  • реагирование на инциденты ИБ, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и/или восстановления после негативных воздействий (закрепленные, например, в Плане ОНиВД);
  • извлечение уроков из инцидентов ИБ, введение превентивных защитных мер и качественное улучшение менеджмента инцидентов ИБ.

Система менеджмента инцидентов ИБ, построенная с участием специалистов компании ФБК с учетом рекомендаций стандарта ГОСТ Р ИСО/МЭК 18044 и лучших практик управления информационными системами, обеспечивает объективную фиксацию и оценку событий и инцидентов ИТ и ИБ, что является основой создания функционирующей системы управления информационной безопасности.

8. Разработка ролевой модели доступа к информационным активам

При работе пользователя в информационной системе (ИС) необходимо обеспечивать выполнение функциональных операций и обращение к ресурсам системы от имени пользователя, одновременно защищая эти операции и ресурсы от неавторизованного доступа.

Выполнение индивидуальных для каждого пользователя настроек прав доступа к функциям и данным информационной системы чревато ошибками, выраженными в предоставлении избыточных или недостаточных прав в ИС, отражающихся, соответственно, или в возможности самостоятельного и неконтролируемого совершения действий, критичных для организации, или неработоспособности учетной записи.

Управление доступом на основе ролей обеспечивается через централизованно управляемый объект – функциональную роль, явно подразумевающий набор разрешений для доступа к заданному набору данных и функций информационной системы. Функциональная роль назначается пользователю при регистрации в информационной системе для выполнения конкретных должностных обязанностей.

При создании системы управления доступом на основе ролей необходимо произвести:

  • учет имеющихся процессов деловой активности и штатных должностей, участвующих в них;
  • учет используемых информационных систем и их функциональных возможностей;
  • определения набора функциональных ролей доступа, включающих в себя исключительно функции и правила доступа к информационным активам, необходимых для функционирования имеющихся процессов деловой активности;
  • описание функциональных ролей в виде матрицы доступа;
  • следование при создании ролей принципу разделения полномочий, заключающемуся в запрете на включение в одну роль совокупности полномочий недопустимых для включения в одну роль;
  • следование при присвоении ролей принципу разделения полномочий, заключающемуся в определении и запрете авторизации сотрудника к ролям, недопустимым для назначения одному работнику;
  • организация управления изменениями в матрице доступа за счет определения владельцев функциональных ролей (как одной из разновидностей информационных активов).

Система управления доступом к информационным активам, основанная на функциональных ролях, построенная с участием специалистов компании ФБК, позволит определить четкие и понятные для пользователей компьютерных систем правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие правила разграничения доступа с возможностью их модернизации в процессе эксплуатации информационной системы без нарушений принципов информационной безопасности.

9. Организация обучения и повышения осведомленности в области информационной безопасности

Для ответственного исполнения требований информационной безопасности сотрудники организации должны быть осведомлены о мерах, предпринимаемых организацией в данном направлении и периодически проходить обучение и инструктажи в области информационной безопасности.

Специалисты компании ФБК предлагают услуги в области организации семинаров и лекций на базе ЭПШ ФБК, разработки программ инструктажа и обучения силами соответствующих подразделений клиента, а также системы свидетельств выполнения программ обучения и повышения осведомленности для целей аудита ИБ.

Выполнение описанных выше процедур позволит создать в организации систему обеспечения информационной безопасности, соответствующую современным стандартам и лучшим практикам.

Ознакомление с циклом публикаций по созданию СОИБ на основе положений стандартов ISO 27001/ 27002, которые ведутся специалистами ФБК, позволит вам понять общие принципы организации СОИБ, предлагаемые в стандартах, и осознанно принять решение о проведении тех или иных мероприятий, в том числе и с привлечением специалистов компании ФБК.

Услуги компании ФБК в области ИБ:

Проекты по информационной безопасности

По вопросам оказания услуг в области информационной безопасности и защиты персональных данных для финансовых организаций обращайтесь к партнеру ФБК, вице-президенту по вопросам аудиторских и консультационных услуг финансовым институтам Терехову Алексею Геннадьевичу.

Электронная почта: bank@fbk.ru


Назад в раздел
Отправить заявку
E-mail*
Контактная информация
Кто Вы? Как с Вами связаться? (телефон, Skype, другие способы связи)
Вопрос*
Введите символы с картинки*
* - Поля отмеченные звездочкой,
обязательны для заполнения