СУИБ - проблемы внедрения v4

Проблемные вопросы внедрения СУИБ в банковских учреждениях

Украины(по опыту реализованных проектов)

Владимир ТкаченкоДиректор ООО "Агентство Активного Аудита“

Содержание

1. Опыт внедрения СУИБ в банковских учреждениях Украины по стандартам НБУ

2. Вопросы организации управления ИТ рисками

3. Оценка эффективности СУИБ

4. Основные замечания инспекционных проверок органами банковского надзора НБУ (по итогам реализованных проектов)

10.04.2023 2© Агентство Активного Аудита

1. Опыт внедрения СУИБ в банковских учреждениях УкраиныОсновные цели внедрения СУИБ (что хотят получить) Работающую СУИБ для решения бизнес целей, реализации бизнес

стратегии, удовлетворения требований регулятора «Адаптированный комплект документов» для удовлетворения требований

НБУ

10.04.2023 © Агентство Активного Аудита 3

По отношению менеджмента банка (что хотят получить) СУИБ решает задачи по безопасности бизнес-процессов, по управлению

рисками, по защите партнеров и клиентов СУИБ удовлетворяет требования НБУ СУИБ позволяет в перспективе получить сертификат соответствия ISO

27001 (маркетинговые цели для слияния и /или поглощения)

Опыт внедрения СУИБ согласно стандартов НБУ Правильно разработанная и внедренная СУИБ позволяет:

предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;

снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности банка;

на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками банковского учреждения;

адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета возврата инвестиций;

уменьшить расходы на информационную безопасность, оптимизировать ресурсы;

удовлетворить требования регулятора.


Опыт внедрения СУИБ

Пример успешного внедрения СУИБ в большом международном банке Украины:

В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%;Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно.

Пример успешного внедрения СУИБ в банке IV группы:Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет;Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 годуПолучено положительное заключение от инспекции банковского надзора НБУ


Опыт внедрения стандарта НБУ

10.04.2023 6

Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности, мониторинга.

ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?

Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления банковским учреждением

Для внедрения СУИБ необходимо объединить в один процесс организационную и техническую часть работы

ISO 27001 (СОУ Н НБУ 65.1) - это стандарт корпоративного управления, а не ИТ стандарт. Никакое ПО или оборудование не реализует положения стандарта!!!

© Агентство Активного Аудита

Факторы успеха реализации проекта СУИБ


Факторы успеха (организационные вопросы)

10.04.2023 8

Правление

Комитет по управлению рисками (по ИБ)

Тарифный комитет КУАП Кредитный комитет Другие комитеты

Состав комитета по ИБ (управлению рисками) – 5-7 человек- Представитель Правления- ИТ директор- Начальник безопасности- Начальник ИБ (или специалист по ИБ)- Представитель управления рисками- Начальник операционного департамента- Представитель внутреннего аудита (без права голоса)


Факторы успеха (организационные вопросы)

10.04.2023 9

Безопасность

Риски

ИТ


Основные этапы работ по внедрению СУИБ


10.04.2023 11

2. Организация процесса управления рисками

Процесс обработки рисков представляет собой: снижение, избежание, принятие, передача риска. Снижение информационных рисков – реализация мер безопасности с помощью выбранных способов снижения рисков. Избежание информационных рисков - изменение способа работы процесса, связанного с информационным риском.Передача информационных рисков - это вариант когда сложно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим сторонам (застраховать).


10.04.2023 12

Организация процесса управления рисками

План обработки рисков содержит:• риски и их уровень;• рекомендованные мероприятия защиты;• приоритет выполнения; • необходимые ресурсы для реализации мер безопасности;• перечень ответственных работников;• дата начала и дата завершения.


10.04.2023 13

Организация управления рисками Внедрение плана обработки рисков

• Разработка документации СУИБ (политики, положения, руководства)• Внедрение процессов СУИБ (управление инцидентами, управление

персоналом, управление доступом, управление изменениями и т.д.)• Разработка Плана по обеспечению непрерывности банковской деятельности

(Business Continuity Plan – BCP)


10.04.2023 14

3. Оценка эффективности СУИБОценка эффективности СУИБ - это процесс получения и анализа объективных данных о текущем состоянии процессов СУИБ, поддерживающих их систем, действиях и событиях происходящих в них, а также устанавливающий уровень их соответствия определенным критериям.

ИТ аудит Тест на проникновениеЭлемент программы повышения осведомленности пользователей


10.04.2023 15

4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ

1) Нарушение требований постановления Правления НБУ «О вступлении в силу стандартов управления информационной безопасностью в банковской системе Украины» от 28.10.2010 № 474, в части не внедрения до 01.10.2011 системы управления информационной безопасностью (отсутствие документов верхнего уровня – стратегии ИБ, плана обработки рисков, положения о применимости)

2) Отсутствие у банка комплексного плана обеспечения непрерывной деятельности и действий в случае чрезвычайных ситуаций. Отсутствие документов среднего и нижнего уровня согласно методическим рекомендациям НБУ

3) Отсутствие процессов СУИБ (при наличии документации) (протоколы и решения комитета по ИБ, управление рисками, управление изменениями, управление доступом (назначение ролей и матрицы доступа) и др.


10.04.2023 16

4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ

5) Отсутствие документов по разделам стандарта об обеспечении физической безопасности и доступа в помещения6) Отсутствие у банка описания структуры сети банка, процессов и процедур по приобретению, внедрению и поддержке ПО7) Отсутствие процессов СУИБ оценки эффективности и повышения осведомленности пользователей (обучения персонала банка вопросам ИБ)


Комментарии по замечаниям НБУИнспекции НБУ обращают внимание на следующие требования стандарта• Раздел 4 Система управления информационной безопасностью• Раздел 5 Ответственность руководства• Раздел 6 Внутренние аудиты (проверки) СУИБ• Раздел 7 Анализ СУИБ со стороны руководства• Раздел 8 Улучшение СУИБ

И рекомендаций (но иногда путают их с требованиями выше):• Приложение А СОУ Н НБУ 65.1 (ISO27001)• СОУ Н НБУ 65.2 (ISO27002)

Внедрение мер безопасности (включая руководства, стандарты, процедуры), а также их целесообразность, должно опираться на оценку рисков и планироваться в Плане обработки рисков.

Если банк провел оценку рисков и составил План обработки рисков, где спланировал внедрение мер безопасности (включая разработку документации любого уровня), и движется по этому плану – он выполняет требования стандарта.

НБУ не может требовать внедрить рекомендованные меры безопасности из Приложения А, или делать заключение о несоответствии стандарту, если меры не внедрены.


[email protected]

www.auditagency.com.ua

044 228 15 88

Вопросы?


mailto:[email protected]

http://www.auditagency.com.ua/

Technology

СУИБ - проблемы внедрения v4