Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

План дій щодо впровадження вимог галузевих стандартів інформаційної безпеки СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010

Пропонуємо План дій щодо впровадження вимог галузевих стандартів інформаційної безпеки СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010, розроблений нашими фахівцями на основі проекту Методичних рекомендацій щодо впровадження стандартів у відповідності до п.2 постанови Правління Національного банку України № 474 від 28.10.2010 “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України”.

 

1. Мета

Впровадження в банках України стандартів з управління інформаційною безпекою дозволить:

  • знизити та оптимізувати вартість побудови та підтримки системи інформаційної безпеки;
  • постійно відслідковувати та оцінювати ризики з урахуванням цілій бізнесу;
  • ефективно виявляти найбільш критичні ризики та уникати їх реалізації;
  • розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання;
  • ефективно розробляти, впроваджувати та тестувати плани відновлення бізнесу;
  • забезпечити розуміння питань інформаційної безпеки керівництвом банку та всіма працівниками банку;
  • забезпечити підвищення репутації та ринкової привабливості банків;
  • забезпечити захист від рейдерських атак;
    Слід зазначити, що наведені вище переваги не будуть досягнуті шляхом лише “формального” підходу до розроблення, впровадження, функціонування системи управління інформаційною безпекою та незацікавленості керівництва та працівників банку у підвищенні рівня інформаційної безпеки.

2. План дій для впровадження стандарту

2.1. Підготовка до впровадження СУІБ

2.1.1. Зобов'язання керівництва щодо управління інформаційною безпекою

Необхідно визначити організаційну структуру управління інформаційною безпекою, повноваження та відповідальність щодо розроблення, впровадження та функціонування СУІБ.

2.1.2. Призначення відповідальних осіб за впровадження та функціонування СУІБ

Для забезпечення впровадження та функціонування СУІБ наказом має бути призначений керівник СУІБ - керівник підрозділу, який відповідає за інформаційну безпеку в банку

2.1.3. Визначення вимог з інформаційної безпеки банку

Для впровадження та подальшого вдосконалення СУІБ необхідно чітко визначити вимоги з інформаційної безпеки банку.
Перелік вимог з інформаційної безпеки повинен бути задокументованим та погодженим керівництвом банку.

2.2. Опис існуючої інфраструктури та заходів безпеки

2.2.1. Класифікація інформації

  Банк має створити перелік відомостей, які відносяться до інформації з обмеженим доступом. В цьому переліку повинні бути описані види інформації, які відносяться до кожної категорії інформації з обмеженим доступом, що дасть можливість правильної категоризації інформації кожному працівнику банку.

2.2.2. Опис критичних бізнес-процесів та програмно-технічних комплексів, які забезпечують їх функціонування

Для визначення бізнес-процесів/банківських продуктів, які має охоплювати СУІБ, необхідно проаналізувати усі бізнес-процеси банку та створити перелік критичних процесів, функціонування яких має великий вплив на успішну роботу банку.

2.2.3. Опис організаційної структури банку, яку охоплює СУІБ

На основі вихідних документів попереднього пункту банк має визначити усі підрозділи, які відносяться до сфери застосування СУІБ. Це підрозділи, які є власниками та учасниками критичних бізнес-процесів, підрозділи, які супроводжують та забезпечують технічну підтримку програмно-технічних комплексів, користувачі програмно-технічних комплексів, служба безпеки, яка забезпечує фізичну безпеку приміщень банку, тощо.

2.2.4. Опис структури мережі банку

Для подальшого аналізу захищеності мережі банку необхідно зробити опис структури мережі банку, засобів захисту та управління, які вже існують. Банк повинен мати внутрішнє положення про мережу банку, де надається така інформація.

2.2.5. Опис фізичного середовища

  Банк повинен мати такі документи:

  • Опис географічного та територіального розташування приміщень банку, включаючи відокремлені підрозділи банку (обласні дирекції, філії, відділення тощо) для визначення загроз з боку навколишнього середовища;
  • Опис принципів пропускного режиму;
  • Наказ із визначення приміщень з обмеженим доступом та опис відповідного захисту цих приміщень із забезпеченням контролю доступу до таких приміщень;
  • Опис принципів побудови систем відео спостереження;
  • Опис системи електроживлення та заземлення;
  • Опис охоронної та пожежної сигналізації;
  • Опис умов зберігання магнітних, оптомагнітних, паперових та інших носіїв інформації, в тому числі електронних архівів.

2.2.6. Опис принципів забезпечення безперервності роботи

Банк повинен мати опис принципів та заходів щодо забезпечення безперервності роботи, в якому надати опис процедур та обладнання, а також обов'язків працівників банку, в тому числі методи резервування інформації для відновлення роботи в разі виникнення надзвичайних ситуацій. В цьому документі повинні бути визначені терміни відновлення роботи банку та необхідні ресурси (зокрема програмно-технічні засоби, обладнання, резервне електроживлення тощо).

2.3. Оцінка ризиків та планування оброблення ризиків

2.3.1. Аналіз загроз та вразливостей

На цьому етапі підготовки до впровадження СУІБ банк має проаналізувати інформацію про поточний стан інформаційної безпеки на відповідність вимогам з питань інформаційної безпеки.
Такий аналіз має визначити відсутність або недостатність заходів безпеки в порівнянні з існуючими вимогами з інформаційної безпеки.

2.3.2. Оцінювання ризиків

    З використанням методики оцінки ризиків необхідно виконати оцінку усіх можливих ризиків за участю провідних спеціалістів з інформаційної безпеки та власників бізнес-процесів. Результати оцінювання ризиків є основою для вибору додаткових заходів безпеки, якщо це буде потрібно.

2.3.3. Оброблення ризиків

Після виконання оцінки ризиків банк має оцінити альтернативні варіанти оброблення ризиків. Можливими варіантами оброблення ризиків можуть бути:

  • застосування належних заходів безпеки;
  • свідоме та об'єктивне прийняття ризиків, забезпечуючи, що вони чітко задовольняють політику організації та критерії прийняття ризиків;
  • уникнення ризиків;
  • перенесення відповідних бізнес-ризиків на інші сторони, наприклад, страхувальників, постачальників.

2.3.4. Визначення цілей додаткових заходів безпеки та плану впровадження заходів безпеки

Після вибору варіанту оброблення ризиків в разі необхідності впровадження додаткових заходів безпеки для зменшення ризиків інформаційної безпеки необхідно обрати цілі цих заходів безпеки відповідно до додатку А стандарту.

2.3.5. Підготовка Положення щодо застосовності

Після завершення розроблення плану оброблення ризиків банк має підготувати Положення щодо застосовності. Це Положення має включати усі заходи безпеки, включаючи додаткові, які використовуються в банку для управління інформаційною безпекою. В цьому Положенні формується перелік цілей заходів безпеки та заходи безпеки відповідно до додатку А стандарту.

2.4. Впровадження та функціонування СУІБ

Впровадження та функціонування СУІБ потребує не тільки діяльності, пов'язаної із впровадженням заходів безпеки, а також специфічної діяльності для підтримки функціонування СУІБ в подальшому.
За результатами діяльності, яка описана у попередніх розділах, створюється політика управління інформаційною безпекою, де визначаються основні види діяльності щодо впровадження та функціонування СУІБ з посиланнями на усі документи нижчого рівня (окремі політики, процедури, методики, інструкції). В цій політиці управління інформаційною безпекою повинні бути також визначені процедури та строки виконання специфічних для СУІБ видів діяльності, а саме:

  • Моніторинг функціонування СУІБ;
  • Вимірювання ефективності СУІБ;
  • Внутрішній аудит СУІБ;
  • Навчання та тренінг персоналу;
  • Управління інцидентами інформаційної безпеки;
  • Перегляд СУІБ керівництвом банку;
  • Коректуючи та запобіжні дії.

3. Перелік документів, які повинні бути створені під час підготовки до впровадження СУІБ в банках України

Таблиця 1

Зміст пункту Плану дій

Документ

2.1

Підготовка до впровадження СУІБ

2.1.1

Зобов’язання керівництва щодо управління інформаційною безпекою

Наказ про створення спеціального керівного органу з питань інформаційної безпеки (за необхідністю)

2.1.2.

Призначення відповідальних за впровадження та функціонування СУІБ

Наказ про призначення керівника проекту впровадження та функціонування СУІБ

2.1.3.

Визначення вимог з інформаційної безпеки для банку

Перелік законодавчих, регуляторних, нормативних вимог з інформаційної безпеки для банку

2.2

Опис існуючої інфраструктури та заходів безпеки

2.2.1

Класифікація інформації

1. Зобов’язання працівників банку щодо збереження інформації з обмеженим доступом;
2. Перелік відомостей, що містять інформацію з обмеженим доступом;
3. Положення щодо спеціального діловодства для документів, які містять інформацію з обмеженим доступом.

2.2.2

Опис критичних бізнес-процесів та програмно-технічних комплексів, які забезпечують їх функціонування

1. Перелік критичних бізнес-процесів/ банківських продуктів/ програмно-технічних комплексів;
2. Короткій опис кожного бізнес-процесу/ банківського продукту/ програмно-технічного комплексу;
3. Блок-схема зв’язків між бізнес-процесами/ банківськими продуктами/ програмно-технічними комплексами

2.2.3

Опис організаційної структури банку, яка охоплюється СУІБ

Перелік організаційних структур банку, які охоплюється СУІБ

2.2.4

Опис структури мережі банку

1. Положення про мережу банку;
2. Положення (політики) по різним питанням управління мережею;

2.2.5

Опис фізичного середовища

1. Опис географічного та територіального розташування приміщень банку;
2. Опис принципів пропускного режиму;
3. Наказ із визначення приміщень з обмеженим доступом та опис відповідного захисту цих приміщень із забезпеченням контролю доступу до таких приміщень;
4. Опис принципів побудови систем відео спостереження;
5. Опис системи електроживлення та заземлення;
6. Опис охоронної та пожежної сигналізації;
7. Опис умов зберігання магнітних, оптомагнітних, паперових та інших носіїв інформації, в тому числі електронних архівів.

2.2.6

Опис принципів забезпечення безперервності роботи банку

План забезпечення безперервної діяльності та дій в разі виникнення надзвичайних ситуацій

2.3

Оцінка ризиків та планування оброблення ризиків

2.3.1

Аналіз загроз та вразливостей

Перелік загроз та вразливостей

2.3.2

Оцінювання ризиків

1. Опис методології оцінки ризиків;
2. Звіт щодо оцінки ризиків.

2.3.3

Оброблення ризиків

1. Опис методології оброблення ризиків;
2. Документи стосовно прийняття залишкових ризиків.

2.3.4

Визначення цілій додаткових заходів безпеки та плану впровадження заходів безпеки

План оброблення ризиків

2.3.5

Підготовка Положення щодо застосовності

Положення щодо застосовності

2.4

Впровадження та функціонування СУІБ

 

 

1. Політика управління інформаційною безпекою;
2. Опис процедури моніторингу СУІБ;
3. Опис методики вимірювань ефективності СУІБ;
4. Опис процедури реєстрації та оброблення інцидентів інформаційної безпеки;
5. Опис процедури внутрішнього аудиту;
6. Програма внутрішнього аудиту;
7. Опис процедури перегляду СУІБ з боку керівництва;
8. Програма та плани навчання та тренінгів персоналу;
9. Опис процедури коригувальних дій;
10. Опис процедури запобіжних дій;

План дій щодо впровадження вимог галузевих стандартів інформаційної безпеки

 

Читайте також:

Аудит ISO 27001

Оцінка ризиків

Тест мереж і систем на стійкість до злому

Тест на стійкість до методів соціальної інженерії

Розробка та впровадження програми інформаційної безпеки

Розробка вимог до інформаційної системи

Аудит PCI DSS

Аудит аутсорсингу