Чем обеспечивается информационная безопасность банка
Информационная банковская безопасность и ее необходимость
В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.
Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.
Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.
Меры, помогающие обеспечить защиту банковской информации
В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.
То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.
Меры по защите данных такого типа должны осуществляться последовательно:
Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.
Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.
При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.
Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:
Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.
Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.
Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.
Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.
Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.
Принципы информационной безопасности банка
Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.
Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.
Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.
Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:
Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.
Угрозы информационной безопасности банка
Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.
Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.
При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.
Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.
Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.
Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.
Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.
В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).
Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.
Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.
Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.
Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.
Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.
Чем обеспечивается информационная безопасность банка
(1).jpg "Чем обеспечивается информационная безопасность банка. Смотреть фото Чем обеспечивается информационная безопасность банка. Смотреть картинку Чем обеспечивается информационная безопасность банка. Картинка про Чем обеспечивается информационная безопасность банка. Фото Чем обеспечивается информационная безопасность банка")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Рекомендации Банка России № РС БР ИББС-2.7-2015 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности”
Дата введения: 1 мая 2015 г.
Предисловие
Введены в действие приказом Банка России от 19 февраля 2015 года № ОД-392. Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Введение
Одним из основных условий удовлетворения текущих и перспективных потребностей организации банковской системы (БС) Российской Федерации (РФ) в обеспечении информационной безопасности (ИБ) является наличие достаточных для этого ресурсов и их эффективное использование.
1. Область применения
Настоящий документ распространяется на организации БС РФ и устанавливает рекомендации по определению потребностей организации БС РФ в ресурсах ИБ и контролю эффективности их использования.
Настоящий документ рекомендован для применения путем использования установленных в нем положений, а также путем включения ссылок на них и (или) их прямого использования во внутренних документах организации БС РФ.
Рекомендации по определению потребностей организации БС РФ в ресурсах ИБ и контролю эффективности их использования, установленные в настоящем документе, могут, если иное не указанно явно, применяться при реализации требований к обеспечению ИБ, установленных законодательством РФ, в том числе нормативными актами Банка России, СТО БР ИББС-1.0.
Настоящий документ применяется организациями БС РФ на добровольной основе. В конкретной организации БС РФ для определения потребностей в ресурсах ИБ могут использоваться иные подходы, отражающие специфику и сложившуюся практику организации БС РФ в ресурсном обеспечении ИБ.
2. Нормативные ссылки
В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на следующие документы:
3. Термины и определения
В настоящих рекомендациях применяются термины в соответствии со СТО БР ИББС-1.0, а также следующие термины с соответствующими определениями:
4. Обозначения и сокращения
5. Общие положения
5.1. Основными целями реализации ресурсного обеспечения ИБ, рассматриваемыми в настоящем документе, являются:
— обеспечение процессов СОИБ финансовыми средствами;
— обеспечение службы ИБ организации БС РФ кадровыми ресурсами, необходимыми и достаточными для реализации процессов СОИБ;
— контроль эффективности использования ресурсов ИБ.
5.2. Потребности в обеспечении процессов СОИБ ресурсами ИБ рекомендуется определять на основе предполагаемой величины возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ.
Организации БС РФ рекомендуется обеспечить надлежащий баланс между актуальными рисками нарушения ИБ, связанными с наличием уязвимостей в выполнении процессов СОИБ, и ресурсами ИБ, используемыми для обеспечения целевого уровня ИБ и, соответственно, направленными на снижение указанных рисков.
5.3. Для определения потребностей в обеспечении процессов СОИБ ресурсами ИБ в организации БС РФ рекомендуется использование методик оценки актуальных рисков нарушения ИБ в количественной (денежной) форме. Указанные методики рекомендуется разрабатывать для учета влияния рисков нарушения ИБ на основную деятельность организации БС РФ через предполагаемую величину возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ.
Для оценки рисков нарушения ИБ в количественной (денежной) форме рекомендуется использовать PC БР ИББС-2.2.
Неполнота выполнения процессов СМИБ создает уязвимости при выполнении управляемых процессов СОИБ, что, в свою очередь, увеличивает риски для основной деятельности организации БС РФ.
Ресурсы ИБ являются одним из основных факторов, определяющих полноту и качество выполнения процессов СМИБ, которые, в свою очередь, определяют уровень зрелости выполнения управляемых процессов СОИБ.
5.5. Для реализации ресурсного обеспечения ИБ организации БС РФ рекомендуется:
— установить и применять методологию оценивания уровня зрелости выполнения процессов СОИБ. Рекомендации к методологии оценивания уровня зрелости выполнения процессов СОИБ установлены в разделе 6 настоящего документа;
— установить и применять методологию оценивания рисков нарушения ИБ с учетом данных о реализованном организацией БС РФ уровне зрелости выполнения процессов СОИБ. Рекомендации к методологии оценивания рисков нарушения ИБ установлены в разделе 7 настоящего документа;
— обеспечить целевой уровень обеспечения ИБ путем повышения уровня зрелости выполнения процессов СОИБ до значения, реализующего снижение рисков нарушения ИБ до допустимого уровня. Повышение уровня зрелости выполнения процессов СОИБ достигается путем:
— инвестирования необходимых финансовых средств в обеспечение процессов СОИБ. При этом инвестирование не предполагает получение дохода от выполнения процессов СОИБ, а приводит к снижению предполагаемой величины возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ;
— обеспечения необходимых и достаточных кадровых ресурсов. Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами установлены в разделе 8 настоящего документа;
— проводить контроль эффективности инвестирования в обеспечение процессов СОИБ путем установления и мониторинга целевых (контрольных) показателей, выраженных в количественной (денежной) форме. Рекомендации к проведению контроля эффективности инвестирования в обеспечение процессов СОИБ установлены в разделе 9 настоящего документа.
6. Рекомендации к методологии оценивания уровня зрелости выполнения процессов СОИБ
6.1. С целью установления и применения методологии оценивания уровня зрелости выполнения процессов СОИБ организации БС РФ рекомендуется:
— установить состав процессов СОИБ, направленных на непосредственное обеспечение ИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ;
— установить показатели уровня зрелости выполнения процессов СОИБ организации БС РФ.
6.2. Организациям БС РФ рекомендуется установить в качестве процессов СОИБ, направленных на непосредственное обеспечение ИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ, среди прочих следующие.
6.2.1. Процессы СОИБ, реализуемые в соответствии с положениями, установленными в разделе 7 «Система информационной безопасности организаций банковской системы Российской Федерации» СТО БР ИББС-1.0:
— обеспечение ИБ при назначении и распределении ролей;
— обеспечение ИБ при эксплуатации и снятии с эксплуатации автоматизированных банковских систем (АБС), используемых для реализации банковских платежных и информационных технологических процессов;
— обеспечение ИБ при управлении доступом и регистрацией;
— обеспечение ИБ средствами антивирусной защиты;
— обеспечение ИБ при использовании ресурсов сети Интернет;
— обеспечение ИБ при использовании средств криптографической защиты информации.
При установлении процессов СОИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ, рекомендуется дополнительно рассматривать следующие процессы:
— предотвращение утечек информации, контентный контроль информационного обмена и передачи информации за пределы локальной вычислительной сети организации БС РФ, в том числе при использовании сети Интернет;
— контроль вывода информации на печать;
— обеспечение защиты от сетевых атак;
— обеспечение целостности вычислительной среды;
— обеспечение защиты информации технологическими мерами, в том числе при осуществлении переводов денежных средств;
— контроль резервного копирования информации и целостности резервных копий.
6.2.2. Процессы СОИБ, реализуемые в соответствии с положениями, установленными в разделе 8 «Система менеджмента информационной безопасности организаций банковской системы Российской Федерации» СТО БР ИББС-1.0:
— обнаружение и реагирование на инциденты ИБ;
— обеспечение непрерывности бизнеса и его восстановления после прерывания.
6.3. Организации БС РФ при установлении показателей уровня зрелости выполнения процессов СОИБ рекомендуется выполнить следующие мероприятия:
— установить состав процессов СМИБ, полнота и качество выполнения которых влияет на уровень зрелости выполнения управляемых процессов СОИБ;
— установить и применять общую модель полноты и качества выполнения процессов СМИБ;
— с использованием общей модели оценивать полноту и качество выполнения каждого из процессов СМИБ для каждого управляемого процесса СОИБ;
— установить и применять общие правила определения показателей уровня зрелости выполнения управляемых процессов СОИБ на основе соответствующих оценок полноты и качества выполнения процессов СМИБ.
6.4. В качестве процессов СМИБ, полнота и качество выполнения которых влияют на уровень зрелости выполнения управляемых процессов СОИБ, рекомендуется среди прочего рассматривать процессы, реализуемые в соответствии с положениями, установленными в разделе 8 «Система менеджмента информационной безопасности организаций банковской системы Российской Федерации» СТО БР ИББС-1.0:
— определение/коррекция области действия процесса СОИБ;
— планирование реализации процесса СОИБ;
— разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;
— выполнение планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;
— реализация автоматизации выполнения процесса СОИБ;
— реализация программ по обучению и повышению осведомленности в области выполнения процесса СОИБ;
— реализация контроля выполнения процесса СОИБ;
— включение процесса СОИБ в область самооценки и аудита ИБ;
— анализ реализации и выполнения процесса СОИБ;
— инициирование своевременного совершенствования процесса СОИБ.
6.5. Общая модель полноты и качества выполнения процессов СМИБ может быть установлена следующим образом:
— «Нулевой уровень». Полное отсутствие каких-либо процессов СМИБ.
— «Первый уровень». Процессы СМИБ применяются бессистемно и (или) эпизодически.
— «Второй уровень». Процессы СМИБ применяются на постоянной основе. Общие подходы (способы) применения процессов СМИБ в организации БС РФ не установлены. Выполнение процессов СМИБ осуществляется на усмотрение исполнителя.
— «Третий уровень». Процессы СМИБ применяются на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ.
— «Четвертый уровень». Процессы СМИБ применяются на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование процессов СМИБ.
— «Пятый уровень». Процессы СМИБ применяются на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы анализ и необходимое совершенствование процессов СМИБ. Процессы СМИБ основаны на лучших отечественных и международных практиках.
7. Рекомендации к методологии оценивания рисков нарушения ИБ с учетом данных о реализованном организацией БС РФ уровне зрелости выполнения процессов СОИБ
7.1. С целью установления и применения методологии оценивания рисков нарушения ИБ с учетом данных о реализованном в организации БС РФ уровне зрелости выполнения процессов СОИБ организации БС РФ рекомендуется:
— установить способы учета влияния реализованного организацией БС РФ уровня зрелости выполнения процессов СОИБ при проведении оценки рисков нарушения ИБ;
— оценивать риски нарушения ИБ с учетом данных о реализованном организацией БС РФ уровне зрелости выполнения процессов СОИБ.
7.3. При реализации учета влияния реализованного уровня зрелости выполнения процессов СОИБ на риски нарушения ИБ рекомендуется:
— оценить актуальность угроз нарушения ИБ, установленных в модели угроз организации БС РФ;
— оценить СВР угроз ИБ на основе оценки уровня зрелости выполнения процессов СОИБ, реализуемых для защиты от конкретных угроз ИБ.
7.4. Для оценки актуальности угроз нарушения ИБ рекомендуется использовать следующую качественную шкалу:
7.5. Оценку СВР угроз ИБ с учетом данных о реализованном в организации БС РФ уровне зрелости выполнения процессов СОИБ рекомендуется проводить с использованием методик количественных оценок, например, следующим образом:
Таблица 1. Способ оценивания СВР угроз ИБ
7.6. Оценивать риски рекомендуется в количественной (денежной) форме для всех защищаемых информационных активов с учетом полученных значений СВР угроз ИБ по методикам, применяемым в организации БС РФ.
7.7. Потребность организации БС РФ в финансовых средствах для обеспечения процесса СОИБ рекомендуется определять, проводя анализ агрегированных значений предполагаемых величин возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в результате потенциальной реализации рисков нарушения ИБ (рисковых событий). При этом агрегирование указанных значений рекомендуется осуществлять по каждому из процессов СОИБ.
7.8. Рассчитанный объем финансовых средств для обеспечения процесса СОИБ рекомендуется распределять между процессами СМИБ, полнота и качество выполнения которых влияют на уровень зрелости выполнения управляемого процесса СОИБ, с использованием следующего коэффициента:
8. Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами
8.1. Определение потребности службы ИБ организации БС РФ в кадровых ресурсах заключается в установлении необходимого и достаточного количества, а также требуемой компетенции работников службы ИБ, выполняемой на основе:
— анализа задач и функций, возложенных на службу ИБ организации БС РФ;
— уровня автоматизации процессов СОИБ и централизации управления средствами автоматизации;
— прогноза возможного расширения состава задач и функций службы ИБ в соответствии с планами совершенствования процессов СОИБ вследствие развития бизнес-процессов организации БС РФ, совершенствования процессов информатизации организации БС РФ, развития филиальной сети организации БС РФ.
8.2. При планировании (совершенствовании) процессов СОИБ следует обеспечить выделение ресурсов ИБ для эффективной реализации требований законодательства РФ, нормативных актов Банка России, требований к обеспечению ИБ, установленных организацией БС РФ.
8.3. Организации БС РФ рекомендуется обеспечить службу ИБ кадровыми ресурсами, необходимыми и достаточными для реализации целевого уровня полноты и качества выполнения процессов СМИБ для каждого управляемого процесса СОИБ.
8.4. Среди основных задач и функций службы ИБ рекомендуется рассматривать реализацию деятельности в рамках процессов СМИБ организации БС РФ, группируя выполняемые задачи и функции по следующим направлениям:
— направление «реализация и сопровождение»;
— направление «криптографическая защита».
Организации БС РФ рекомендуется обеспечить выделение отдельных кадровых ресурсов для каждого из указанных направлений.
8.5. Организации БС РФ рекомендуется установить состав задач и функций службы ИБ для каждого уровня полноты и качества выполнения процесса СМИБ, оценив при этом трудозатраты на их выполнение.
Рекомендуется разделение задач и функций, выполняемых в рамках процессов СМИБ на функции, связанные с установлением общих подходов (способов) выполнения процессов СМИБ, непосредственного выполнения процессов СМИБ, анализа и контроля выполнения процессов СМИБ.
8.6. Задачи и функции, связанные с установлением общих подходов (способов) выполнения и анализа выполнения процессов СМИБ, рекомендуется возлагать на работников службы ИБ, задействованных по направлению «методология».
8.7. Задачи и функции, связанные с контролем выполнения процессов СМИБ, рекомендуется возлагать на работников службы ИБ, задействованных по направлению «контроль», или работников иных подразделений организации БС РФ, выполняющих функции по направлению внутреннего контроля.
8.8. Задачи и функции, связанные с непосредственным выполнением процессов СМИБ, рекомендуется разделять в соответствии со следующими общими правилами:
8.8.1. На работников службы ИБ, задействованных по направлению «методология», рекомендуется возлагать непосредственное выполнение следующих процессов СМИБ:
— определение/коррекция области действия процесса СОИБ;
— планирование реализации процесса СОИБ;
— разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;
— анализ реализации и выполнения процесса СОИБ;
— инициирование и подготовка программ по обучению и повышению осведомленности в области выполнения процесса СОИБ;
— инициирование своевременного совершенствования процесса СОИБ.
8.8.2. На работников службы ИБ, задействованных по направлению «реализация и сопровождение», рекомендуется возлагать непосредственное выполнение следующих процессов СМИБ:
— сопровождение выполнения планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;
— сопровождение реализации автоматизации выполнения процесса СОИБ;
— сопровождение реализации программ по обучению и повышению осведомленности в области выполнения процесса СОИБ.
8.8.3. На работников службы ИБ, задействованных по направлению «контроль», рекомендуется возлагать непосредственное выполнение следующих процессов СМИБ:
— реализация контроля области действия процесса СОИБ;
— реализация контроля выполнения процесса СОИБ;
— включение процесса СОИБ в область самооценки ИБ и аудита ИБ.
8.9. Потребность в кадровых ресурсах по направлению «криптографическая защита» определяется в соответствии с требованиями законодательства РФ, а также в соответствии с эксплуатационной документацией на используемые средства криптографической защиты информации.
8.10. Организациям БС РФ рекомендуется определить минимальную необходимую и достаточную численность работников службы ИБ исходя из следующих рекомендуемых показателей:
— трудозатраты на выполнение задачи и функций обеспечения ИБ;
— количество реализуемых процессов СОИБ;
— масштаб выполнения управляемого процессов СОИБ, в том числе:
— количество подразделений (филиалов, отделений) организации БС РФ;
— количество работников организации БС РФ;
— территориальное расположение подразделений организации БС РФ.
Численность работников службы ИБ рекомендуется определять для каждого филиала организации БСРФ.
8.11. Работники службы ИБ должны обладать компетенцией, необходимой для выполнения их функциональных обязанностей. Определение компетенции сводится к установлению требований в отношении знаний, практических навыков и опыта работы в соответствующей области работников службы ИБ.
К основным требованиям, определяющим необходимую компетенцию работников службы ИБ, следует среди прочего относить:
— наличие высшего профессионального образования в области ИБ и (или) информационных технологий;
— опыт работы в области ИБ не менее определенного периода, например не менее трех лет;
— регулярное прохождение дополнительного (специализированного) обучения (повышения квалификации) в области ИБ;
— знание требований законодательства РФ, в том числе нормативных актов Банка России, необходимых для надлежащего выполнения функций, возложенных на работников службы ИБ;
— знание внутренних нормативно-методических и организационно-распорядительных документов организации БС РФ в области ИБ;
— осведомленность по вопросам, касающимся средств, систем и технологий обеспечения ИБ, а также способов и практик их применения.
9. Рекомендации к проведению контроля эффективности инвестирования в обеспечение процессов СОИБ
9.1. Достижение надлежащего баланса между величинами рисков нарушения ИБ, связанных с наличием уязвимостей при выполнении процессов СОИБ, и ресурсным обеспечением ИБ, направленным на снижение указанных рисков путем обеспечения необходимого и достаточного уровня зрелости выполнения процессов СОИБ, рекомендуется обеспечивать путем определения и анализа целевых (контрольных) показателей эффективности использования финансовых средств, инвестированных в повышение уровня зрелости выполнения процессов СОИБ.
9.2. Показатели эффективности рекомендуется разделять на две группы:
— показатели, подлежащие анализу на этапе планирования инвестирования в повышение уровня зрелости выполнения процессов СОИБ;
— показатели, подлежащие анализу на этапе оценки результатов инвестирования в уровень зрелости выполнения процессов СОИБ.
9.3. В качестве основных показателей эффективности инвестирования в выполнение процессов СОИБ на этапе планирования рекомендуется рассматривать:
— ожидаемые результаты от снижения уровня рисков нарушения ИБ, связанных с повышением уровня зрелости выполнения процессов СОИБ;
— срок получения ожидаемых результатов по повышению уровня зрелости выполнения процессов СОИБ;
— согласованность со стратегией ИТ-развития организации БС РФ.
Указанные показатели эффективности рекомендуется оценивать экспертным путем с привлечением профильных подразделений организации БС РФ и включать в оценку финансовых средств, инвестированных в повышение уровня зрелости выполнения процессов СОИБ.
9.4. В качестве основного показателя эффективности инвестирования финансовых средств в повышение уровня зрелости выполнения процессов СОИБ на этапе оценки результатов инвестирования рекомендуется рассматривать соотношение фактического ущерба (финансового эквивалента понесенных потерь) от инцидентов ИБ, в том числе непосредственных финансовых потерь от инцидентов ИБ, финансовых потерь от нарушения непрерывности деятельности организации БС РФ, финансовых потерь от негативного влияния инцидентов ИБ на деловую репутацию, финансовые средства, затраченные для ликвидации последствий инцидентов ИБ, по отношению к предполагаемой на этапе планирования величине возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ.
9.5. При превышении фактических финансовых потерь от инцидентов ИБ значений, предполагаемых на этапе планирования, организации БС РФ рекомендуется определить основные факторы возникновения рисковых событий, приводящих к ущербу (финансовым потерям) и выработать планы, элементами которых могут являться:
— пересмотр модели угроз и нарушителя, применяемых требований к обеспечению ИБ;
— установление новых процессов СОИБ, в том числе связанных с изменениями состава актуальных угроз;
— повышение уровня зрелости выполнения установленных процессов СОИБ.
9.6. В качестве дополнительного показателя эффективности инвестирования в повышение уровня зрелости выполнения процессов СОИБ на этапе оценки результатов инвестирования рекомендуется рассматривать соответствие фактических сроков реализации планов по повышению уровня зрелости выполнения процессов СОИБ планируемым срокам.
9.7. Организации БС РФ рекомендуется выполнять с установленной периодичностью:
— анализ эффективности выполнения процессов СОИБ, в том числе выполняемый на основе показателей, установленных в пункте 9.2 настоящего документа;
— анализ рисков нарушения ИБ с целью определения приоритетных направлений совершенствования процессов СОИБ.
Периодичность проведения анализа рекомендуется согласовывать с планами реализации или повышения уровня зрелости выполнения процессов СОИБ.
Приложение А
(справочное)
Пример расчета ресурсов ИБ организации БС РФ
1. Общие положения
1.1. В настоящем примере приведен расчет ресурсов ИБ организации БС РФ в части: обеспечения процесса управления доступом и регистрацией (подконтрольный процесс) финансовыми средствами;
обеспечения службы ИБ организации БС РФ кадровыми ресурсами, необходимыми и достаточными для обеспечения всех процессов СОИБ организации БС РФ, направленных на непосредственное обеспечение ИБ.
1.2. В рамках данного примера при расчете обеспечения подконтрольного процесса финансовыми средствами предполагается, что организацией БС РФ определена степень тяжести последствий от реализации угроз ИБ, связанных с несанкционированным доступом, выраженная в количественной (денежной) форме, величина которой составляет Р.
Целевое значение СВР угроз ИБ составляет величину *. Допустимым остаточным риском организацией БС РФ принята величина *.
При этом актуальность угрозы утечки защищаемой информации в результате несанкционированного доступа оценивается организацией БС РФ как средняя.
1.3. В рамках данного примера при расчете обеспечения службы ИБ организации БС РФ кадровыми ресурсами предполагается, что:
число ключевых АБС, эксплуатируемых в организации БС РФ, составляет 15;
число процессов СОИБ составляет 9;
число работников, отделений и расстояний между отделениями разное для филиалов;
коэффициент невыхода работников организации БС РФ составляет 1,1.
2. Расчет уровня зрелости выполнения подконтрольного процесса
2.1. Определение процессов СМИБ, полнота и качество выполнения которых влияет на уровень зрелости выполнения подконтрольного процесса.
Процессу управления доступом и регистрацией соответствуют следующие процессы СМИБ:
— определение/коррекция области действия подконтрольного процесса;
— планирование реализации подконтрольного процесса;
— разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса;
— выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;
— реализация автоматизации выполнения подконтрольного процесса;
— реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса;
— реализация контроля выполнения подконтрольного процесса;
— включение подконтрольного процесса в область самооценки и аудита ИБ;
— анализ реализации и выполнения подконтрольного процесса;
— инициирование своевременного совершенствования подконтрольного процесса.
2.2. Оценка уровней полноты и качества выполнения процессов СМИБ, влияющих на уровень зрелости выполнения подконтрольного процесса.
| № п/п | Процесс СМИБ | Качественная оценка | Весовой коэффициент | Уровень зрелости |
|---|---|---|---|---|
| 1 | Определение/коррекция области действия подконтрольного процесса | Определение/коррекция области действия подконтрольного процесса применяется на постоянной основе. Общие подходы (способы) определения/коррекции области действия подконтрольного процесса не установлены. Определение/коррекция области действия подконтрольного процесса осуществляется по усмотрению исполнителя | 0,1 | 2 |
| 2 | Планирование реализации подконтрольного процесса | Планирование реализации подконтрольного процесса применяется бессистемно и (или) эпизодически | 0,05 | 1 |
| 3 | Разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса | Разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса, осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование процессов разработки/коррекции внутренних документов, регламентирующих выполнение подконтрольного процесса | 0,2 | 4 |
| 4 | Выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС | Выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС | 0,05 | 4 |
| 5 | Реализация автоматизации выполнения подконтрольного процесса | Автоматизация выполнения подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование процессов автоматизации выполнения подконтрольного процесса | 0,25 | 4 |
| 6 | Реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса | Реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ | 0,05 | 3 |
| 7 | Реализация контроля выполнения подконтрольного процесса | Реализация контроля выполнения подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ | 0,15 | 3 |
| 8 | Включение подконтрольного процесса в область самооценки и аудита ИБ | Включение подконтрольного процесса в область самооценки и аудита ИБ осуществляется бессистемно и (или) эпизодически | 0,05 | 1 |
| 9 | Анализ реализации и выполнения подконтрольного процесса | Анализ реализации и выполнения подконтрольного процесса осуществляется бессистемно и (или) эпизодически | 0,05 | 1 |
| 10 | Инициирование своевременного совершенствования подконтрольного процесса | Инициирование своевременного совершенствования подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ | 0,05 | 3 |
2.3. Определение уровня зрелости выполнения подконтрольного процесса.
Выполнение процесса управления доступом и регистрацией имеет уровень зрелости
3. Оценка степени вероятности угроз ИБ с учетом данных о реализованном в организации БС РФ уровне зрелости выполнения процессов СОИБ
Вычисленная величина СВР угроз ИБ (*) равна значению 0,15, что превышает целевое значение *.
Риск нарушения ИБ, связанный с возможной утечкой защищаемой информации в результате несанкционированного доступа, выше приемлемого остаточного риска.
4. Расчет финансовых средств, которые могут быть затрачены организацией БС РФ на повышение уровня зрелости выполнения подконтрольного процесса
Финансовые средства, которые могут быть затрачены организацией БС РФ на повышение уровня ИБ процесса управления доступом и регистрацией, не должны превышать величину *, при этом финансовые средства, которые могут быть затрачены организацией БС РФ на повышение уровня полноты и качества соответствующих процессов СМИБ процесса управления доступом и регистрацией, могут быть оценены следующим образом:
| № п/п | Процесс СМИБ | Весовой коэффициент | Оценка финансовых средств |
|---|---|---|---|
| 1 | Определение/коррекция области действия подконтрольного процесса | 0,1 | * |
| 2 | Планирование реализации подконтрольного процесса | 0,05 | * |
| 3 | Разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса | 0,2 | * |
| 4 | Выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС | 0,05 | * |
| 5 | Реализация автоматизации выполнения подконтрольного процесса | 0,25 | * |
| 6 | Реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса | 0,05 | * |
| 7 | Реализация контроля выполнения подконтрольного процесса | 0,15 | * |
| 8 | Включение подконтрольного процесса в область самооценки и аудита ИБ | 0,05 | * |
| 9 | Анализ реализации и выполнения подконтрольного процесса | 0,05 | * |
| 10 | Инициирование своевременного совершенствования подконтрольного процесса | 0,05 | * |
5. Расчет кадровых ресурсов, необходимых для повышения уровня зрелости выполнения процессов СОИБ и позволяющих свести риск нарушения ИБ до приемлемого уровня
5.1. Головное подразделение организации БС РФ:
Направление «реализация и сопровождение»:
* Трудоемкость определяется экспертно организацией БС РФ на основе опыта реализации процессов СОИБ и квалификации работников.
Направление «криптографическая защита»:
По направлению «криптографическая защита» в соответствии с эксплуатационной документацией на используемые средства криптографической защиты информации требуется наличие двух работников.
5.2. Филиал организации БС РФ:
Для филиалов организации БС РФ рассчитывается минимальная необходимая численность службы ИБ, после чего для подсчета численности службы ИБ конкретного филиала используются уточняющие коэффициенты.
Минимальная необходимая численность службы ИБ филиала по направлению «методология» составляет 1 человек, для расчета численности службы ИБ конкретного филиала по направлению «методология» используется следующая формула:
Направление «реализация и сопровождение»:
| Функция по обеспечению ИБ | Трудоемкость, часов в год |
|---|---|
| участие в выполнении планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС | 25 для каждого процесса СОИБ, 25 для каждой АБС, всего 600 |
| участие в реализации автоматизации выполнения процессов СОИБ | 100 для каждого процесса СОИБ, всего 900 |
| участие в реализации программ по обучению и повышению осведомленности в области выполнения процессов СОИБ | 200 |
| Всего по направлению с учетом коэффициента невыхода: 1870-1 человек |
Минимальная необходимая численность службы ИБ филиала по направлению «сопровождение» составляет 1 человек, для расчета численности службы ИБ конкретного филиала по направлению «сопровождение» используется следующая формула:
Минимальная необходимая численность службы ИБ филиала по направлению «контроль» составляет 1 человек, для расчета численности службы ИБ конкретного филиала по направлению «контроль» используется следующая формула:
5.3. Окончательный расчет:
Численность службы ИБ конкретного филиала вычисляется по формуле:
Обзор документа
С 1 мая 2015 г. вводятся в действие Рекомендации ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности».
Речь идет об определении потребностей в соответствующих ресурсах, о контроле эффективности их использования.
Приведены рекомендации по определению потребностей службы информационной безопасности в кадровых ресурсах. Ее функции сгруппированы по следующим направлениям: методология, реализация и сопровождение, контроль, криптографическая защита.
Приведены примеры всех необходимых расчетов.