"Особенности информационной безопасности коммерческих организаций"

"Особенности информационной безопасности коммерческих

организаций"

СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ

…1101011110010100110101010111101…

www.ibdarb.ru

www.infoforum.ru

… « менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства»…

В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором.

Дэвид Хаген сказал, в частности, что, в Европе давно переходят от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

Рекомендации Базельского комитета

http:/www.bis.org/publ/Эффективность банковской системы по Базель-1:

Эффективное корпоративное управлениеЭффективная система внутреннего

контроляКультура контроля

Контроль рисков

Кредитный рискСтрановой (региональный) рискРыночный рискПроцентный рискРиск ликвидности

Операционный риск

источник: Сазыкин Б.В., д.т.н., профессор

Потери в долларах по типу атакиCSI представляет отчет о результатах исследования в свободный доступ

на сайте GoCSI.com

«Report on Widening Gap» "Отчет о расширяющейся пропасти"

Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них.

Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005".

Определение операционного рискаБазельский комитет (2003 г).Операционный риск – риск возникновения убытков в

результате недостатков или ошибок в ходе осуществления внутренних процессов, связанных с людьми и системами, а также вследствие внешних воздействий.

Указание ЦБР №70Т от 23.06.04 г. «О типичных банковских рисках». Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом

19 апреля 2006 года в Москве

В мероприятии приняли участие: Министр внутренних дел РФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты.

«в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев

«с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников

http://sartraccc.sgap.ru/Press/cyber_crim.htm

Журнал "Банковское обозрение", №1, январь 2007 г.

Заинтересованность коммерческих банков в решении проблем

информационной безопасности

69%

30%

82%

89%

55%

0% 50% 100%

Кооперация усилий

Оценка стоимости решенийпо защите информации

Учебно-методическиерекомендации

Трудности техническогохарактера

Нормативно-правовыепроблемы

Результаты опроса АРБ

200 респондентов

Секция «Кибернетический терроризм» российско-американского семинара (Президиум РАН, 2003 год)

«Истина состоит в том, что мы не знаем, как создавать надежные информационные системы». …Главный вывод –необходима «разработка совершенно новых методов обеспечения безопасности информационных систем».

Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США).

ppt

Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский ун-т США).

Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности

необходимо решить следующие 4 первоочередные задачи:• 1. Создать новую модель компьютерной защиты вместо

прежней модели «круговой обороны».• 2. Ввести новое определение «компьютерной безопасности».• 3. Перейти к активной обороне.• 4. Скоординировать действия «кибернетических сообществ»,

законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть

более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии….

«Настоящая наука начинается там, где начинаются измерения»

Дмитрий Иванович Менделеев

Технический комитет №362 «Защита информации»

Подкомитет №3 «Защита информации в кредитно-

финансовой сфере» (Сберегательный банк РФ, “Альфа-банк”,

Россельхозбанк, банки «Петрокоммерц» и «Российский кредит», ММВБ, Институт банковского дела АРБ,

международная аудиторская фирма KPMG и другие)

http://www.techcom3623.ru

Очередное Очередное заседание ПК 3 заседание ПК 3 состоялось 14 января 2008 г. состоялось 14 января 2008 г. в г.Москвев г.Москве

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ

БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ

• МЕТОДИКА КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ АКТИВОВ

• МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

СТАНДАРТ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ

БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ.ОБЩИЕ ПОЛОЖЕНИЯ

Москва 2006

СТО БР ИББС-1.0-2006Вестник № 6, 2006 год

http://www.cbr.ru/

СТАНДАРТЫ 2007

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ 2007

Федеральный закон от 29.07.2004 г. N 98-ФЗ

"О коммерческой тайне"

• Статья 3. Основные понятия, используемые в настоящем Федеральном законе.

Для целей настоящего Федерального закона используются следующие основные понятия:

• 1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Статья 3. Целями деятельности Банка России являются:…………………………………………………………………………………………….обеспечение эффективного и бесперебойного функционирования платежной системы.Получение прибыли не является целью деятельности Банка России.

Федеральный закон от 10 июля 2002 г. N 86-ФЗ"О Центральном банке Российской Федерации (Банке России)"

Федеральный закон

«О банках и банковской деятельности»

(с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г., 19 июня, 7 августа 2001 г.,21 марта 2002 г.)

Глава I. Общие положения

Статья 1. Основные понятия настоящего Федерального закона

Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности . . . . . . . . .

23

Разные цели – разные архитектуры

Закон «О техническом регулировании»

Статья 2. Основные понятия

• «риск - вероятность причинения вреда…..»

• «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда…….»

Предложение по определению термина «информационная безопасность»

(на «законных» основаниях ФЗ «О техническом регулировании»)

«информационная безопасность –состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации»

Достоинства нового определения:• Гармонизация положений новых стандартов (ГОСТ Р

ИСО/МЭК 15408-1-2002, 27001, 17799) и прежнего научно-технического задела.

• Получение метрик информационной безопасности.

R-суммарные издержкиn-количество рисковА-вероятный рискВ-стоимостная оценка рискаС-стоимость реализации мер защитыRmax-оценка допустимого риска

Обобщенный критерий защищенностиинформации в коммерческой АС

С защита < С выгода < У ущерб системы нарушителя владельца

n

iiii RCBAR

1max)(

ИЗВЛЕЧЕНИЕ ИЗ МЕТОДИКИФРАНЦУЗСКОЙ БАНКОВСКОЙКОМИССИИ

профиль

m

Гос. ТайнаКоммерческаяинформация

Другая информация(врачебная и т.п.)

Оранжевая книга,Радужная серия

профиль kпрофиль

n

финансовыйпрофиль

• частная собственность;• цель – экономическая

эффективность;• модель угроз и

нарушителя;• работа в открытых

системах;• юридическая сила ЭД;• страхование i рисков;• неоднородность

организаций;• определение ценности i;• динамичность

(мониторинг) защиты;• открытые средства

защиты и т.д.

Особенности защиты коммерческой i:

Требования профиля (стандарта) информационной безопасности коммерческих банков позволят:• оптимизировать расходы на

защиту информации;

• обеспечить качественный аудит автоматизированных систем;

• решить вопросы внутреннего контроля организации.

Основы защиты информации

Спасибо за Ваше внимание!

[email protected]

СКОРОДУМОВ БОРИС ИВАНОВИЧ