Upload
alex-babenko
View
1.699
Download
11
Embed Size (px)
Citation preview
Бабенко Алексейстарший аудитор
СТО БР «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»
«Решения для бизнеса: банки и финансы» Business Solutions: Banking & Finance - 2011 31 января – 1 февраля, Подмосковье, отель «Кантри Резoрт»
О чем пойдет речь?
• СТО БР ИББС – история, цели, состав• Основные требования стандарта• СТО БР и персональные данные• Путь к выполнению СТО
СТО БР ИББС – описание и цели
• Стандарт Банка России по обеспечению информационной безопасности
• Аналог ISO 27001• Основные цели:
– повышение доверия к банковской сфере;– обеспечение защиты от угроз безопасности;– снижение ущерба от инцидентов
• Рекомендован, но в общем случае не обязателен для выполнения
Состав комплекса ИББС
СТО БР• Стандарт• Методика оценки• Аудит ИБ
РС БР• Требования безопасности перс. данных• Отраслевая модель угроз• Рекомендации по выполнению
законодательства по перс. данным• Методика оценки рисков• Руководство по самооценке• Рекомендации по документации
СТО БР ИББС – история развития
СТО БР ИББС-1.0-2004
СТО БР ИББС-1.0-2006
СТО БР ИББС-1.0-2008
СТО БР ИББС-1.0-2010
2004
2006
2008
2010
2012
СТО БР ИББС-1.2-2009
Стандарт Методика оценки
СТО БР ИББС-1.2-2010
СТО БР ИББС-1.1-2007
Аудит ИБ
СТО БР ИББС-1.2-2007
Перс. данные
Рекомендации
Оценка рисков
Документация и самооценка
Основные положения СТО
• текущий уровень ИБ организации;
• менеджмент ИБ организации;
• уровень осознания ИБ организации.
Текущий уровень ИБ
• распределение ролей• безопасность АБС;• управление доступом и регистрация;• антивирусная защита;• использование Интернет;• криптографическая защита• безопасность платежных процессов;• безопасность информационных процессов;• обработка персональных данных;• безопасность персональных данных.
Менеджмент ИБ
• функционирование службы ИБ;• оценка и обработка рисков ИБ;• документирование деятельности в области ИБ;• повышение осведомленности в области ИБ;• реагирование на инциденты безопасности;• непрерывность бизнеса;• мониторинг и контроль защитных мер;• проведение самооценки и внешнего аудита ИБ;• анализ функционирования и улучшения СОИБ;
Уровень осознания ИБ
Деятельность руководства по:• поддержке функционирования службы ИБ;• принятию решений о реализации и эксплуатации
системы обеспечения ИБ;• поддержке планирования и реализации системы
обеспечения ИБ;• поддержке проверки системы обеспечения ИБ;• анализу системы обеспечения ИБ;• поддержке совершенствования системы
обеспечения ИБ;
Модель развития системы обеспечения ИБ
Планирование
РеализацияАудит
Совершен-ствование
СТО и перс. данные
• Письмо «шестерых» (АРБ, Ассоциация региональных банков, ЦБ, ФСТЭК, Роскомнадзор и ФСБ) от 28.06.10
• Принятие комплекса ИББС – альтернативный подход выполнения требований 152-ФЗ «О персональных данных»
СТО и перс. данные: сравнение подходов
• Однозначная классификация ИСПДн;• Адекватные требования по защите;• Нет сертификации встроенных механизмов защиты и
лицензии на ТЗКИ.
• Требования к защите общедоступных и обезличенных данных;
• Дополнительные требования к документированию.• Не проработанность порядка контроля
защищенности ПДн со стороны регуляторов
+
-
++
--
Выполнение СТО
Предварительный аудит
Выполнение плана
Аудит Жизнь по СТО
Консультант