Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины


НазваПрактический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины
Дата конвертації06.03.2013
Розмір445 b.
ТипМетодичні рекомендації


Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (СУИБ) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины.

Дмитрий Зарахович

Ирина Ивченко

Требования регулятора

  • Відповідно до статті 7 Закону України “Про Національний банк України”, статті 10 Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” і статті 10 Закону України “Про стандартизацію”, з метою підвищення рівня інформаційної безпеки в банківській системі України Правління Національного банку України видало Постанову №474 від 28 жовтня 2010р. “Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України” http://bank.gov.ua/B_zakon/Acts/2010/28102010_474.pdf

  • З дня опублікування цієї постанови набирають чинності такі стандарти НБУ:

    • СОУ Н НБУ 65.1 СУІБ 1.0:2010 “Методи захисту в банківській діяльності. Система управління інформаційною безпекою. Вимоги” (ISO/IEС 27001:2005, МОD);
    • СОУ Н НБУ 65.1 СУІБ 2.0:2010 “Методи захисту в банківській діяльності. Звід правил для управління інформаційною безпекою” (ISO/IEС 27002:2005, МОD).
  • Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України.



Наш опыт - Нам доверили



Этапность работ по создании системы Менеджмента



Подготовительный этап

  • Назначение ответственных

  • Анализ документации



Назначение ответственных



Идеология построения ИБ: процесс «to be»



Анализ документации



Экспертная оценка

  • Существующая у Заказчика документация

  • Составляющие инвентаризации:

    • Информационная среда
    • Технологическая среда
    • Физическая среда
    • Среда пользователей


Экспертная оценка



Оценка рисков

  • Перечень бизнес-процессов

  • Выделение критических бизнес-процессов

  • Описание бизнес-процессов согласно методике НБУ



Бизнес-процессы определены и описаны?



Возникающие вопросы

  • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики

    • Відповідно до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2006 N254 банківський продукт – це стандартизовані процедури, що забезпечують виконання банками операцій, згрупованих за відповідними типами та ознаками.

    • Не існує стандартного набору бізнес-процесів/банківських продуктів для будь-якого банку. Тому банк має самостійно визначити відповідні бізнес- процеси/банківські продукти, які використовуються всередині банку.


Пример блок-схемы критичных бизнес-процессов



Возникающие вопросы

  • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики

    • Банк повинен створити перелік критичних бізнес-процесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якої може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнес-процеси/банківські продукти, що обробляють:
    • платіжні документи,
    • внутрішні платіжні документи,
    • кредитні документи,
    • документи на грошові перекази,
    • персональні дані клієнтів та працівників банку,
    • статистичні звіти,
    • інші документи, які містять інформацію з обмеженим доступом.


Корреляция сервисов и пользователей



Возникающие вопросы

  • Какие критичные бизнес-процессы выбирать для области применения и как их описывать - ответ дает п.4.2 методики

    • назва бізнес-процесу/банківського продукту;
    • цілі бізнес-процесу/банківського продукту;
    • гриф інформації з обмеженим доступом, яка обробляється бізнес-процесом/банківським продуктом;
    • власник бізнес-процесу/банківського продукту;
    • підрозділи банку, які забезпечують функціонування бізнес-процесу/банківського продукту;
    • наявність зобов’язань перед третіми сторонами (угоди на розроблення, доопрацювання, супроводження та технічне обслуговування);
    • вхідні та вихідні дані бізнес-процесу/банківського продукту;
    • перелік процедур бізнес-процесу та блок-схема послідовності їх виконання з визначенням взаємозв’язків (у тому числі додаткової вхідної інформації з інших бізнес-процесів);
    • вимоги щодо забезпечення безперервності бізнес-процесу/ банківського продукту (максимально допустимий час простою);
    • типи ролей(груп) для бізнес-процесу/банківського продукту;
    • існування забороненого суміщення типів ролей;
    • програмно-технічний(ні) комплекс(и), що забезпечує(ють) функціонування бізнес-процесу;
    • кількість користувачів програмно-технічного комплексу;
    • архітектура і технологія роботи (зокрема, файловий обмін або режим реального часу, в тому числі й для обміну інформацією з іншими програмно-технічними комплексами в разі наявності);
    • операційна система та тип бази даних програмно-технічного комплексу, які використовуються для функціонування бізнес-процесу/банківського продукту;
    • географічне розміщення (серверів та робочих місць) програмно-технічного комплексу;
    • засоби захисту, які вже існують у програмно-технічному комплексі;
    • взаємодія з іншими програмно-технічними комплексами;
    • принципи резервування обладнання та інформації програмно-технічного комплексу (за наявності окремих принципів для цього


«Облако рисков» для пар угроза/уязвимость



«Облако рисков» и устранение рисков (денежная оценка)

  • Логично «срезать» риски радиусами

  • Принятие решений об инвестициях и бюджетах на снижение рисков на основании стоимости средств защиты и административных мероприятий



Мониторинг, управление и решение инцидентов

  • Уровень предоставления сервисов

  • Уровень приложений и баз данных

  • Уровень программного и аппаратного обеспечения

  • Сетевой уровень – каналы связи и канало образующее оборудование



Продукты и решения по обеспечению ИБ



Услуги по обеспечению ИБ



Дмитрий Зарахович

Дмитрий Зарахович

Dmitry.Zarakhovych@sicenter.net

+380 98 124-0-126

Ирина Ивченко

Irina.Ivchenko@sicenter.net

+380 67 715-13-69


Схожі:

Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconЗа данными Национального банка Украины потери держателей платежных карт и банковский учреждений Украины от мошеннических действий преступников в 2010 году составили 6,3 млн грн., в 2011 году 9,2 млн грн
За данными Национального банка Украины потери держателей платежных карт и банковский учреждений Украины от мошеннических действий...
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconМарт 2012, Научно-практическая конференция Российской ассоциации электронных библиотек
...
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconУкраина Донецкий национальный университет юридические клиники
Европейского права Донецкого национального университета, руководитель юридических клиник, ассистент кафедры конституционного и международного...
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconЛечебная физкультура при заболеваниях нервной системы. Задания лечебной физкультуры при заболеваниях нервной системы
Снижение паталогически повышенного тонуса паретических мышц и увеличение мышечной силы
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconЛечебная физкультура при заболеваниях нервной системы. Задания лечебной физкультуры при заболеваниях нервной системы
Снижение паталогически повышенного тонуса паретических мышц и увеличение мышечной силы
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины icon1. Конституция Украины
Международные правовые акты ратифицированные вр украины: например, принятая советом Европы 04. 11. 1950 конвенция о защите прав
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconРеформа высшего образования украины: европейские приоритеты сухарников Юрий Васильевич
Международные обязательства украины в контексте Болонского процесса (Совет Европы, Страсбург, 13 декабря 2006)
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconСедов Евгений Петрович, проректор Сотрудничество Южноукраинского национального педагогического университета с Microsoft
Сотрудничество Южноукраинского национального педагогического университета с Microsoft
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconМ. Тэтчер “Искусство управления государством” М. Тэтчер “Искусство управления государством”
Загальноекономічні показники: ввп (%, зміна за рік), індекс промислового виробництва (%, зміна за рік), ісц (%, зміна за рік), іпв...
Практический опыт реализации проектов по построению Системы Управления Информационной Безопасностью (суиб) Банка в соответствии с требованиями постановления №474 и стандартов Национального банка Украины iconПрактики реализации политики в сфере европейской интеграции: региональное измерение Запорожье, 18 апреля 2012
Практики реализации политики в сфере европейской интеграции: региональное измерение

Додайте кнопку на своєму сайті:
dok.znaimo.com.ua


База даних захищена авторським правом ©dok.znaimo.com.ua 2013
звернутися до адміністрації
dok.znaimo.com.ua
Головна сторінка