Процедура внедрения СУИБ в банке: основные шаги и подводные камни

Copyright © BMS consulting, 28.02.2011

Процедура внедрения СУИБ в Банке: основные шаги и

подводные камни

Владимир СтыранДепартамент консалтинга в сфере ИБ

2Copyright © BMS consulting, 28.02.2011

Содержание

• Процедура внедрения СУИБ– Планирование– Построение– Проверка

• Подводные камни построения СУИБ– Поддержка руководства

• Как получить поддержку руководства?– Процессный подход– Разделение полномочий между ИТ и ИБ– Баланс между организационными и техническими

средствами– Связь между Соответствием и Безопасностью


Процедура внедрения СУИБ

Организация работ по проекту

Планирование

Оценка текущего

состояния СУИБ

Анализ рисков

Модель СУИБ

Построение

Нормативные документы

План внедрения

средств защиты

Внедрение средств защиты

Проверка

Внутренний аудит

Внешний аудит и сертификация

2

1

3

5

7

6

4

8

9


Организация работ

Организация работ

Поддержка руководства

Рамки проекта

Устав проекта

Проектная команда

Проектный план

1



Оценка текущего состояния

СУИБ

Определение бизнес процессов и их владельцев

Планирование аудита

Сбор данных

Схематические описания

Бизнес процессов

Информационных систем

Средств защитыСоставление и обсуждение

отчета

2



Анализ рисков

Выбор методики

Приемлемый уровень риска

Оценка рисков

Отчет

3


Владельцы рисков

Способы обработки рисков

Средства защиты

Контрольные процедуры


Построение модели СУИБ

Модель СУИБ

План обработки

рисков

4



Разработка нормативных документов

Разработка документов

Политика СУИБ

Политики и процедуры в составе СУИБ

5

Утверждение документов

руководством



Подготовка плана внедрения средств

защиты

Требования к решениями и

средствам защиты

Выбор решений и средств защиты

Внедрение средств защиты

6 7


Проведение внутреннего

аудита

Проведение внешнего аудита и сертификация

Проверка

8

9


Подводные камни построения СУИБ

• Поддержка руководства• Процессный подход• Разделение полномочий ИТ и ИБ• Баланс между организационными и

техническими средствами защиты• Связь между Соответствием

(compliance) и Безопасностью


Поддержка руководства: сложности

Руководство не вникает в вопросы ИБ

ИБ воспринимается как центр затрат

Возникает идея делегировать

ИБ в ведение ИТ

Неспособность заручиться поддержкой руководства грозит полным крахом программы ИБ


Как получить поддержку руководства?

• Вернее, как завоевать поддержку руководства?• Подготовьте проект

• Проектный план• Бюджет, сроки, качество

• Презентация• Выгоды СУИБ• Сроки построения• Необходимые ресурсы

• Ответы на вопросы• «Сколько это стоит?»• «Что мы получим?»• «Почему нам это нужно?»



• Знайте, чего хочет руководитель– Видение руководителя = видение компании– Процветание компании– Успешная компания – успешный руководитель

• Заручитесь поддержкой– Влиятельный руководитель

• производит• продает• контролирует

• Научитесь идеи привлекательной

стороной

«поворачивать»



• Разговаривайте на языке Бизнеса– Бизнес не владеет техническим языком– Вы строите Систему Управления – это бизнес процесс– Учитесь языку Бизнеса

• Терминология• Управление• Экономическая теория• Финансы



• Будьте позитивны – Верьте в то, что делаете– Используйте позитивные высказывания

– Выделите положительный эффект СУИБ• Политика СУИБ упорядочит ИБ• Оценка рисков измерит угрозы и последствия• Управление рисками позволит надежно защитить важные

ресурсы и сэкономить на защите менее важных

СУИБ = экономия + сокращение последствий

защита стоимость

соответствие требованиям

безопасность вложение маркетинговое преимущество



• Понимайте отношение бизнеса к риску– Бизнес стремиться идти на риск для получения

прибыли– Задача СУИБ – свести информационные риски к

приемлемому уровню– «Приемлемый уровень риска» – не эфемерное

понятие, а ваш вклад в бизнес– Не будьте идеалистами – бизнесу не нужна защита

на 100%

Безопасность должна быть безопасной настолько, насколько это возможно, но не больше



• Используйте творческий подход– Рассказывайте о безопасности

• Во время перерыва• На тренинге• На team building упражнениях

– Не останавливайтесь на формальном подходе

Будьте готовы и ищите подходящий момент

электронные письмаочередь на прием

служебная записка

беседы на корпоративах диалог в лифте сжатая презентация


Процессный подход:сложности

• СУИБ воспринимается как проект– Нечто разовое– Имеет конечные сроки– Внедрили и забыли

• СУИБ – это процесс– Итеративная практика– Состоит из множества подпроцессов– PDCA: Plan – Do – Check – Act

• Построение СУИБ – проект

Проектный подход к СУИБ снизит эффективность готовой системы управления


Процессный подход:решения

• Разделение понятий– Построение СУИБ и Система управления ИБ– Построение (внедрение) СУИБ – проект– СУИБ – непрерывный бизнес процесс

• Коммуникация различия– Руководству– Участникам процесса СУИБ– Всему персоналу


Разделение полномочий между ИТ и ИБ:сложности

• Ассоциации и заблуждения– ИТ ИТ-безопасность ИБ– В ИБ превалируют технические средства защиты– ИБ – задача ИТ специалистов

• ИТ + ИБ = конфликт интересов– ИТ: доступность сервисов– ИБ: CIA – конфиденциальность, целостность и доступность информации

• СУИБ – система контроля, в том числе и над ИТ– Совмещение контролирующей и подконтрольной функций

• Психологический конфликт– ИТ: технология = возможность– ИБ: технология = ограничение

ИБ в ведении ИТ снижает эффективность СУИБ


Разделение полномочий между ИТ и ИБ:решения

• Управление операционными рисками• Служба безопасности Банка• Наблюдательный совет • Комитет по безопасности• Председатель правления• Зампред по финансам

Подчинение ИБ на наивысшем

возможном уровне

ИТ и ИБ – равноправные партнеры


Баланс между организационными и техническими средствами защиты: сложности

• Заблуждение: ИБ = ИТ-безопасность– ИТ-безопасность = безопасность ИТ систем– ИБ = безопасность информации вообще

• Заблуждение: пользователь – слабое звено– Невежественный пользователь вообще не звено– Защита «от дурака» применима не везде – Образованный пользователь – сильное звено

• Статистика– В 70% инцидентов вовлечены инсайдеры– 50% инцидентов спровоцированы инсайдерами– Не отражается в балансе контрмер


Баланс между организационными и техническими средствами защиты: решения

• Успешная СУИБ– 80% – люди, следующие правилам– 20% – технические средства защиты

• Обучение пользователей– Все уязвимости не исправить– Все вирусы не вылечить– Придется обучить пользователей

• Дух общности сотрудников перед лицом угроз ИБ – залог успеха системы управления ИБ

Образованный пользователь – эффективная составляющая СУИБ

Эффективность СУИБ

ПользтвателиИТ-системы


Связь между соответствием стандарту и безопасностью: сложности

• Соответствие стандарту – требование регулятора– Регулятор стремится повысить уровень ИБ в отрасли

• Соответствие стандарту – маркетинговое преимущество– Несомненно, но не только

• Затраты на «соответствие» грозят превысить затраты на безопасность– SOX, PCI:DSS, HIPPA, GLBA…

• «Соответствие» на бумаге не гарантирует безопасность– Безопасность гарантирует эффективная СУИБ

• Пока не придумали ничего лучше

Подмена понятий «соответствие» и «безопасность» снижает эффективность и превращает СУИБ в «неизбежное зло»


Связь между соответствием стандарту и безопасностью: решения

• Комплексная, продуманная, поддерживаемая и постоянно усовершенствуемая СУИБ гарантирует (насколько это возможно) и безопасность, и соответствие стандарту

• Руководство компании должно быть (регулярно) проинформировано, что из эффективности СУИБ следует соответствие требованиям, а не наоборот


Наши возможности

• Первичная оценка• Разработка нормативной документации• Постановка процессов

– Управление рисками– Управление инцидентами– Управление уязвимостями– Программа осведомленности

• Внутренний аудит на соответствие


Вопросы

Спасибо за внимание!

Владимир СтыранРуководитель группы внедрения СУИБДепартамент консалтинга в сфере ИБ[email protected]+380 (44) 499-6969

Economy & Finance

Процедура внедрения СУИБ в банке: основные шаги и подводные камни