Upload
aaa
View
923
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
Проблемные вопросы внедрения СУИБ в банковских учреждениях
Украины(по опыту реализованных проектов)
Владимир ТкаченкоДиректор ООО "Агентство Активного Аудита“
Содержание
1. Опыт внедрения СУИБ в банковских учреждениях Украины по стандартам НБУ
2. Вопросы организации управления ИТ рисками
3. Оценка эффективности СУИБ
4. Основные замечания инспекционных проверок органами банковского надзора НБУ (по итогам реализованных проектов)
10.04.2023 2© Агентство Активного Аудита
1. Опыт внедрения СУИБ в банковских учреждениях УкраиныОсновные цели внедрения СУИБ (что хотят получить) Работающую СУИБ для решения бизнес целей, реализации бизнес
стратегии, удовлетворения требований регулятора «Адаптированный комплект документов» для удовлетворения требований
НБУ
10.04.2023 © Агентство Активного Аудита 3
По отношению менеджмента банка (что хотят получить) СУИБ решает задачи по безопасности бизнес-процессов, по управлению
рисками, по защите партнеров и клиентов СУИБ удовлетворяет требования НБУ СУИБ позволяет в перспективе получить сертификат соответствия ISO
27001 (маркетинговые цели для слияния и /или поглощения)
Опыт внедрения СУИБ согласно стандартов НБУ Правильно разработанная и внедренная СУИБ позволяет:
предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию информации;
снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности банка;
на регулярной основе управлять рисками ИТ и интегрировать этот процесс в общую систему управления рисками банковского учреждения;
адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета возврата инвестиций;
уменьшить расходы на информационную безопасность, оптимизировать ресурсы;
удовлетворить требования регулятора.
10.04.2023 4© Агентство Активного Аудита
Опыт внедрения СУИБ
Пример успешного внедрения СУИБ в большом международном банке Украины:
В результате проведения оценки информационных рисков и своевременному внедрению соответствующих мер безопасности, фактические потери от инцидентов в 2011 году снизились на 60%;Оценка ущерба и классификация информационных активов при построении плана бесперебойной работы предприятия позволяет экономить более чем $ 30'000 ежегодно.
Пример успешного внедрения СУИБ в банке IV группы:Принятие решений на основе оценки рисков позволило обеспечить прозрачность инвестиций в ИТ и оптимизировать бюджет;Благодаря процессу мониторинга ИБ - 30% инцидентов были своевременно выявлены и устранены до нанесения финансового и репарационного ущерба компании в 2011 годуПолучено положительное заключение от инспекции банковского надзора НБУ
10.04.2023 5© Агентство Активного Аудита
Опыт внедрения стандарта НБУ
10.04.2023 6
Безопасность означает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности, мониторинга.
ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС?
Информационная безопасность должна полагаться не только на технических специалистов, а рассматриваться как одно из направлений организационного управления банковским учреждением
Для внедрения СУИБ необходимо объединить в один процесс организационную и техническую часть работы
ISO 27001 (СОУ Н НБУ 65.1) - это стандарт корпоративного управления, а не ИТ стандарт. Никакое ПО или оборудование не реализует положения стандарта!!!
© Агентство Активного Аудита
Факторы успеха реализации проекта СУИБ
10.04.2023 7© Агентство Активного Аудита
Факторы успеха (организационные вопросы)
10.04.2023 8
Правление
Комитет по управлению рисками (по ИБ)
Тарифный комитет КУАП Кредитный комитет Другие комитеты
Состав комитета по ИБ (управлению рисками) – 5-7 человек- Представитель Правления- ИТ директор- Начальник безопасности- Начальник ИБ (или специалист по ИБ)- Представитель управления рисками- Начальник операционного департамента- Представитель внутреннего аудита (без права голоса)
© Агентство Активного Аудита
Факторы успеха (организационные вопросы)
10.04.2023 9
Безопасность
Риски
ИТ
© Агентство Активного Аудита
Основные этапы работ по внедрению СУИБ
10.04.2023 © Агентство Активного Аудита 10
10.04.2023 11
2. Организация процесса управления рисками
Процесс обработки рисков представляет собой: снижение, избежание, принятие, передача риска. Снижение информационных рисков – реализация мер безопасности с помощью выбранных способов снижения рисков. Избежание информационных рисков - изменение способа работы процесса, связанного с информационным риском.Передача информационных рисков - это вариант когда сложно снизить риск до приемлемого уровня, или если выгоднее экономически передать его третьим сторонам (застраховать).
© Агентство Активного Аудита
10.04.2023 12
Организация процесса управления рисками
План обработки рисков содержит:• риски и их уровень;• рекомендованные мероприятия защиты;• приоритет выполнения; • необходимые ресурсы для реализации мер безопасности;• перечень ответственных работников;• дата начала и дата завершения.
© Агентство Активного Аудита
10.04.2023 13
Организация управления рисками Внедрение плана обработки рисков
• Разработка документации СУИБ (политики, положения, руководства)• Внедрение процессов СУИБ (управление инцидентами, управление
персоналом, управление доступом, управление изменениями и т.д.)• Разработка Плана по обеспечению непрерывности банковской деятельности
(Business Continuity Plan – BCP)
© Агентство Активного Аудита
10.04.2023 14
3. Оценка эффективности СУИБОценка эффективности СУИБ - это процесс получения и анализа объективных данных о текущем состоянии процессов СУИБ, поддерживающих их систем, действиях и событиях происходящих в них, а также устанавливающий уровень их соответствия определенным критериям.
ИТ аудит Тест на проникновениеЭлемент программы повышения осведомленности пользователей
© Агентство Активного Аудита
10.04.2023 15
4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ
1) Нарушение требований постановления Правления НБУ «О вступлении в силу стандартов управления информационной безопасностью в банковской системе Украины» от 28.10.2010 № 474, в части не внедрения до 01.10.2011 системы управления информационной безопасностью (отсутствие документов верхнего уровня – стратегии ИБ, плана обработки рисков, положения о применимости)
2) Отсутствие у банка комплексного плана обеспечения непрерывной деятельности и действий в случае чрезвычайных ситуаций. Отсутствие документов среднего и нижнего уровня согласно методическим рекомендациям НБУ
3) Отсутствие процессов СУИБ (при наличии документации) (протоколы и решения комитета по ИБ, управление рисками, управление изменениями, управление доступом (назначение ролей и матрицы доступа) и др.
© Агентство Активного Аудита
10.04.2023 16
4. Основные замечания по итогам проверок СУИБ органами банковского надзора НБУ
5) Отсутствие документов по разделам стандарта об обеспечении физической безопасности и доступа в помещения6) Отсутствие у банка описания структуры сети банка, процессов и процедур по приобретению, внедрению и поддержке ПО7) Отсутствие процессов СУИБ оценки эффективности и повышения осведомленности пользователей (обучения персонала банка вопросам ИБ)
© Агентство Активного Аудита
Комментарии по замечаниям НБУИнспекции НБУ обращают внимание на следующие требования стандарта• Раздел 4 Система управления информационной безопасностью• Раздел 5 Ответственность руководства• Раздел 6 Внутренние аудиты (проверки) СУИБ• Раздел 7 Анализ СУИБ со стороны руководства• Раздел 8 Улучшение СУИБ
И рекомендаций (но иногда путают их с требованиями выше):• Приложение А СОУ Н НБУ 65.1 (ISO27001)• СОУ Н НБУ 65.2 (ISO27002)
Внедрение мер безопасности (включая руководства, стандарты, процедуры), а также их целесообразность, должно опираться на оценку рисков и планироваться в Плане обработки рисков.
Если банк провел оценку рисков и составил План обработки рисков, где спланировал внедрение мер безопасности (включая разработку документации любого уровня), и движется по этому плану – он выполняет требования стандарта.
НБУ не может требовать внедрить рекомендованные меры безопасности из Приложения А, или делать заключение о несоответствии стандарту, если меры не внедрены.
10.04.2023 © Агентство Активного Аудита 17
www.auditagency.com.ua
044 228 15 88
Вопросы?
10.04.2023 © Агентство Активного Аудита 18