Upload
vlad-styran
View
2.426
Download
7
Embed Size (px)
Citation preview
Copyright © BMS consulting, 28.02.2011
Процедура внедрения СУИБ в Банке: основные шаги и
подводные камни
Владимир СтыранДепартамент консалтинга в сфере ИБ
2Copyright © BMS consulting, 28.02.2011
Содержание
• Процедура внедрения СУИБ– Планирование– Построение– Проверка
• Подводные камни построения СУИБ– Поддержка руководства
• Как получить поддержку руководства?– Процессный подход– Разделение полномочий между ИТ и ИБ– Баланс между организационными и техническими
средствами– Связь между Соответствием и Безопасностью
3Copyright © BMS consulting, 28.02.2011
Процедура внедрения СУИБ
Организация работ по проекту
Планирование
Оценка текущего
состояния СУИБ
Анализ рисков
Модель СУИБ
Построение
Нормативные документы
План внедрения
средств защиты
Внедрение средств защиты
Проверка
Внутренний аудит
Внешний аудит и сертификация
2
1
3
5
7
6
4
8
9
4Copyright © BMS consulting, 28.02.2011
Организация работ
Организация работ
Поддержка руководства
Рамки проекта
Устав проекта
Проектная команда
Проектный план
1
5Copyright © BMS consulting, 28.02.2011
Планирование
Оценка текущего состояния
СУИБ
Определение бизнес процессов и их владельцев
Планирование аудита
Сбор данных
Схематические описания
Бизнес процессов
Информационных систем
Средств защитыСоставление и обсуждение
отчета
2
6Copyright © BMS consulting, 28.02.2011
Планирование
Анализ рисков
Выбор методики
Приемлемый уровень риска
Оценка рисков
Отчет
3
7Copyright © BMS consulting, 28.02.2011
Владельцы рисков
Способы обработки рисков
Средства защиты
Контрольные процедуры
Планирование
Построение модели СУИБ
Модель СУИБ
План обработки
рисков
4
8Copyright © BMS consulting, 28.02.2011
Построение
Разработка нормативных документов
Разработка документов
Политика СУИБ
Политики и процедуры в составе СУИБ
5
Утверждение документов
руководством
9Copyright © BMS consulting, 28.02.2011
Построение
Подготовка плана внедрения средств
защиты
Требования к решениями и
средствам защиты
Выбор решений и средств защиты
Внедрение средств защиты
6 7
10Copyright © BMS consulting, 28.02.2011
Проведение внутреннего
аудита
Проведение внешнего аудита и сертификация
Проверка
8
9
11Copyright © BMS consulting, 28.02.2011
Подводные камни построения СУИБ
• Поддержка руководства• Процессный подход• Разделение полномочий ИТ и ИБ• Баланс между организационными и
техническими средствами защиты• Связь между Соответствием
(compliance) и Безопасностью
12Copyright © BMS consulting, 28.02.2011
Поддержка руководства: сложности
Руководство не вникает в вопросы ИБ
ИБ воспринимается как центр затрат
Возникает идея делегировать
ИБ в ведение ИТ
Неспособность заручиться поддержкой руководства грозит полным крахом программы ИБ
13Copyright © BMS consulting, 28.02.2011
Как получить поддержку руководства?
• Вернее, как завоевать поддержку руководства?• Подготовьте проект
• Проектный план• Бюджет, сроки, качество
• Презентация• Выгоды СУИБ• Сроки построения• Необходимые ресурсы
• Ответы на вопросы• «Сколько это стоит?»• «Что мы получим?»• «Почему нам это нужно?»
14Copyright © BMS consulting, 28.02.2011
Как получить поддержку руководства?
• Знайте, чего хочет руководитель– Видение руководителя = видение компании– Процветание компании– Успешная компания – успешный руководитель
• Заручитесь поддержкой– Влиятельный руководитель
• производит• продает• контролирует
• Научитесь идеи привлекательной
стороной
«поворачивать»
15Copyright © BMS consulting, 28.02.2011
Как получить поддержку руководства?
• Разговаривайте на языке Бизнеса– Бизнес не владеет техническим языком– Вы строите Систему Управления – это бизнес процесс– Учитесь языку Бизнеса
• Терминология• Управление• Экономическая теория• Финансы
16Copyright © BMS consulting, 28.02.2011
Как получить поддержку руководства?
• Будьте позитивны – Верьте в то, что делаете– Используйте позитивные высказывания
– Выделите положительный эффект СУИБ• Политика СУИБ упорядочит ИБ• Оценка рисков измерит угрозы и последствия• Управление рисками позволит надежно защитить важные
ресурсы и сэкономить на защите менее важных
СУИБ = экономия + сокращение последствий
защита стоимость
соответствие требованиям
безопасность вложение маркетинговое преимущество
17Copyright © BMS consulting, 28.02.2011
Как получить поддержку руководства?
• Понимайте отношение бизнеса к риску– Бизнес стремиться идти на риск для получения
прибыли– Задача СУИБ – свести информационные риски к
приемлемому уровню– «Приемлемый уровень риска» – не эфемерное
понятие, а ваш вклад в бизнес– Не будьте идеалистами – бизнесу не нужна защита
на 100%
Безопасность должна быть безопасной настолько, насколько это возможно, но не больше
18Copyright © BMS consulting, 28.02.2011
Как получить поддержку руководства?
• Используйте творческий подход– Рассказывайте о безопасности
• Во время перерыва• На тренинге• На team building упражнениях
– Не останавливайтесь на формальном подходе
Будьте готовы и ищите подходящий момент
электронные письмаочередь на прием
служебная записка
беседы на корпоративах диалог в лифте сжатая презентация
19Copyright © BMS consulting, 28.02.2011
Процессный подход:сложности
• СУИБ воспринимается как проект– Нечто разовое– Имеет конечные сроки– Внедрили и забыли
• СУИБ – это процесс– Итеративная практика– Состоит из множества подпроцессов– PDCA: Plan – Do – Check – Act
• Построение СУИБ – проект
Проектный подход к СУИБ снизит эффективность готовой системы управления
20Copyright © BMS consulting, 28.02.2011
Процессный подход:решения
• Разделение понятий– Построение СУИБ и Система управления ИБ– Построение (внедрение) СУИБ – проект– СУИБ – непрерывный бизнес процесс
• Коммуникация различия– Руководству– Участникам процесса СУИБ– Всему персоналу
21Copyright © BMS consulting, 28.02.2011
Разделение полномочий между ИТ и ИБ:сложности
• Ассоциации и заблуждения– ИТ ИТ-безопасность ИБ– В ИБ превалируют технические средства защиты– ИБ – задача ИТ специалистов
• ИТ + ИБ = конфликт интересов– ИТ: доступность сервисов– ИБ: CIA – конфиденциальность, целостность и доступность информации
• СУИБ – система контроля, в том числе и над ИТ– Совмещение контролирующей и подконтрольной функций
• Психологический конфликт– ИТ: технология = возможность– ИБ: технология = ограничение
ИБ в ведении ИТ снижает эффективность СУИБ
22Copyright © BMS consulting, 28.02.2011
Разделение полномочий между ИТ и ИБ:решения
• Управление операционными рисками• Служба безопасности Банка• Наблюдательный совет • Комитет по безопасности• Председатель правления• Зампред по финансам
Подчинение ИБ на наивысшем
возможном уровне
ИТ и ИБ – равноправные партнеры
23Copyright © BMS consulting, 28.02.2011
Баланс между организационными и техническими средствами защиты: сложности
• Заблуждение: ИБ = ИТ-безопасность– ИТ-безопасность = безопасность ИТ систем– ИБ = безопасность информации вообще
• Заблуждение: пользователь – слабое звено– Невежественный пользователь вообще не звено– Защита «от дурака» применима не везде – Образованный пользователь – сильное звено
• Статистика– В 70% инцидентов вовлечены инсайдеры– 50% инцидентов спровоцированы инсайдерами– Не отражается в балансе контрмер
24Copyright © BMS consulting, 28.02.2011
Баланс между организационными и техническими средствами защиты: решения
• Успешная СУИБ– 80% – люди, следующие правилам– 20% – технические средства защиты
• Обучение пользователей– Все уязвимости не исправить– Все вирусы не вылечить– Придется обучить пользователей
• Дух общности сотрудников перед лицом угроз ИБ – залог успеха системы управления ИБ
Образованный пользователь – эффективная составляющая СУИБ
Эффективность СУИБ
ПользтвателиИТ-системы
25Copyright © BMS consulting, 28.02.2011
Связь между соответствием стандарту и безопасностью: сложности
• Соответствие стандарту – требование регулятора– Регулятор стремится повысить уровень ИБ в отрасли
• Соответствие стандарту – маркетинговое преимущество– Несомненно, но не только
• Затраты на «соответствие» грозят превысить затраты на безопасность– SOX, PCI:DSS, HIPPA, GLBA…
• «Соответствие» на бумаге не гарантирует безопасность– Безопасность гарантирует эффективная СУИБ
• Пока не придумали ничего лучше
Подмена понятий «соответствие» и «безопасность» снижает эффективность и превращает СУИБ в «неизбежное зло»
26Copyright © BMS consulting, 28.02.2011
Связь между соответствием стандарту и безопасностью: решения
• Комплексная, продуманная, поддерживаемая и постоянно усовершенствуемая СУИБ гарантирует (насколько это возможно) и безопасность, и соответствие стандарту
• Руководство компании должно быть (регулярно) проинформировано, что из эффективности СУИБ следует соответствие требованиям, а не наоборот
27Copyright © BMS consulting, 28.02.2011
Наши возможности
• Первичная оценка• Разработка нормативной документации• Постановка процессов
– Управление рисками– Управление инцидентами– Управление уязвимостями– Программа осведомленности
• Внутренний аудит на соответствие
28Copyright © BMS consulting, 28.02.2011
Вопросы
Спасибо за внимание!
Владимир СтыранРуководитель группы внедрения СУИБДепартамент консалтинга в сфере ИБ[email protected]+380 (44) 499-6969