Top Banner
"Особенности информационной безопасности коммерческих организаций" СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ 11010111100101001101010101111 01… www.ibdarb.ru www.infoforum.ru
29

"Особенности информационной безопасности коммерческих организаций"

Dec 30, 2015

Download

Documents

daria-cruz

СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ. "Особенности информационной безопасности коммерческих организаций". …1101011110010100110101 010111101 …. www.ibdarb.r u. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: "Особенности информационной безопасности коммерческих организаций"

"Особенности информационной безопасности коммерческих

организаций"

СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ

…1101011110010100110101010111101…

www.ibdarb.ru

www.infoforum.ru

Page 2: "Особенности информационной безопасности коммерческих организаций"

… « менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства»…

Page 3: "Особенности информационной безопасности коммерческих организаций"

В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором.

Дэвид Хаген сказал, в частности, что, в Европе давно переходят от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

Page 4: "Особенности информационной безопасности коммерческих организаций"

Рекомендации Базельского комитета

http:/www.bis.org/publ/Эффективность банковской системы по Базель-1:

Эффективное корпоративное управлениеЭффективная система внутреннего

контроляКультура контроля

Контроль рисков

Кредитный рискСтрановой (региональный) рискРыночный рискПроцентный рискРиск ликвидности

Операционный риск

источник: Сазыкин Б.В., д.т.н., профессор

Page 5: "Особенности информационной безопасности коммерческих организаций"

Потери в долларах по типу атакиCSI представляет отчет о результатах исследования в свободный доступ

на сайте GoCSI.com

Page 6: "Особенности информационной безопасности коммерческих организаций"
Page 7: "Особенности информационной безопасности коммерческих организаций"

«Report on Widening Gap» "Отчет о расширяющейся пропасти"

Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них.

Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005".

Page 8: "Особенности информационной безопасности коммерческих организаций"

Определение операционного рискаБазельский комитет (2003 г).Операционный риск – риск возникновения убытков в

результате недостатков или ошибок в ходе осуществления внутренних процессов, связанных с людьми и системами, а также вследствие внешних воздействий.

Указание ЦБР №70Т от 23.06.04 г. «О типичных банковских рисках». Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Page 9: "Особенности информационной безопасности коммерческих организаций"

Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом

19 апреля 2006 года в Москве

В мероприятии приняли участие: Министр внутренних дел РФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты.

«в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев

«с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников

http://sartraccc.sgap.ru/Press/cyber_crim.htm

Page 10: "Особенности информационной безопасности коммерческих организаций"

Журнал "Банковское обозрение", №1, январь 2007 г.

 

Page 11: "Особенности информационной безопасности коммерческих организаций"

Заинтересованность коммерческих банков в решении проблем

информационной безопасности

69%

30%

82%

89%

55%

0% 50% 100%

Кооперация усилий

Оценка стоимости решенийпо защите информации

Учебно-методическиерекомендации

Трудности техническогохарактера

Нормативно-правовыепроблемы

Результаты опроса АРБ

200 респондентов

Page 12: "Особенности информационной безопасности коммерческих организаций"

Секция «Кибернетический терроризм» российско-американского семинара (Президиум РАН, 2003 год)

«Истина состоит в том, что мы не знаем, как создавать надежные информационные системы». …Главный вывод –необходима «разработка совершенно новых методов обеспечения безопасности информационных систем».

Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США).

ppt

Page 13: "Особенности информационной безопасности коммерческих организаций"

Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский ун-т США).

Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности

необходимо решить следующие 4 первоочередные задачи:• 1. Создать новую модель компьютерной защиты вместо

прежней модели «круговой обороны».• 2. Ввести новое определение «компьютерной безопасности».• 3. Перейти к активной обороне.• 4. Скоординировать действия «кибернетических сообществ»,

законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть

более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии….

Page 14: "Особенности информационной безопасности коммерческих организаций"

«Настоящая наука начинается там, где начинаются измерения»

Дмитрий Иванович Менделеев

Page 15: "Особенности информационной безопасности коммерческих организаций"

Технический комитет №362 «Защита информации»

Подкомитет №3 «Защита информации в кредитно-

финансовой сфере» (Сберегательный банк РФ, “Альфа-банк”,

Россельхозбанк, банки «Петрокоммерц» и «Российский кредит», ММВБ, Институт банковского дела АРБ,

международная аудиторская фирма KPMG и другие)

http://www.techcom3623.ru

Очередное Очередное заседание ПК 3 заседание ПК 3 состоялось 14 января 2008 г. состоялось 14 января 2008 г. в г.Москвев г.Москве

Page 16: "Особенности информационной безопасности коммерческих организаций"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ

БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ

• МЕТОДИКА КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ АКТИВОВ

• МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Page 17: "Особенности информационной безопасности коммерческих организаций"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

СТАНДАРТ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ

БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ.ОБЩИЕ ПОЛОЖЕНИЯ

Москва 2006

СТО БР ИББС-1.0-2006Вестник № 6, 2006 год

http://www.cbr.ru/

Page 18: "Особенности информационной безопасности коммерческих организаций"

СТАНДАРТЫ 2007

Page 19: "Особенности информационной безопасности коммерческих организаций"

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ 2007

Page 20: "Особенности информационной безопасности коммерческих организаций"

Федеральный закон от 29.07.2004 г. N 98-ФЗ

"О коммерческой тайне"

• Статья 3. Основные понятия, используемые в настоящем Федеральном законе.

Для целей настоящего Федерального закона используются следующие основные понятия:

• 1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Page 21: "Особенности информационной безопасности коммерческих организаций"

Статья 3. Целями деятельности Банка России являются:…………………………………………………………………………………………….обеспечение эффективного и бесперебойного функционирования платежной системы.Получение прибыли не является целью деятельности Банка России.

Федеральный закон от 10 июля 2002 г. N 86-ФЗ"О Центральном банке Российской Федерации (Банке России)"

Page 22: "Особенности информационной безопасности коммерческих организаций"

Федеральный закон

«О банках и банковской деятельности»

(с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г., 19 июня, 7 августа 2001 г.,21 марта 2002 г.)

Глава I. Общие положения

Статья 1. Основные понятия настоящего Федерального закона

Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности . . . . . . . . .

Page 23: "Особенности информационной безопасности коммерческих организаций"

23

Разные цели – разные архитектуры

Page 24: "Особенности информационной безопасности коммерческих организаций"

Закон «О техническом регулировании»

Статья 2. Основные понятия

• «риск - вероятность причинения вреда…..»

• «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда…….»

Page 25: "Особенности информационной безопасности коммерческих организаций"

Предложение по определению термина «информационная безопасность»

(на «законных» основаниях ФЗ «О техническом регулировании»)

«информационная безопасность –состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации»

Достоинства нового определения:• Гармонизация положений новых стандартов (ГОСТ Р

ИСО/МЭК 15408-1-2002, 27001, 17799) и прежнего научно-технического задела.

• Получение метрик информационной безопасности.

Page 26: "Особенности информационной безопасности коммерческих организаций"

R-суммарные издержкиn-количество рисковА-вероятный рискВ-стоимостная оценка рискаС-стоимость реализации мер защитыRmax-оценка допустимого риска

Обобщенный критерий защищенностиинформации в коммерческой АС

С защита < С выгода < У ущерб системы нарушителя владельца

n

iiii RCBAR

1max)(

ИЗВЛЕЧЕНИЕ ИЗ МЕТОДИКИФРАНЦУЗСКОЙ БАНКОВСКОЙКОМИССИИ

Page 27: "Особенности информационной безопасности коммерческих организаций"

профиль

m

Гос. ТайнаКоммерческаяинформация

Другая информация(врачебная и т.п.)

Оранжевая книга,Радужная серия

профиль kпрофиль

n

финансовыйпрофиль

• частная собственность;• цель – экономическая

эффективность;• модель угроз и

нарушителя;• работа в открытых

системах;• юридическая сила ЭД;• страхование i рисков;• неоднородность

организаций;• определение ценности i;• динамичность

(мониторинг) защиты;• открытые средства

защиты и т.д.

Особенности защиты коммерческой i:

Page 28: "Особенности информационной безопасности коммерческих организаций"

Требования профиля (стандарта) информационной безопасности коммерческих банков позволят:• оптимизировать расходы на

защиту информации;

• обеспечить качественный аудит автоматизированных систем;

• решить вопросы внутреннего контроля организации.

Основы защиты информации

Page 29: "Особенности информационной безопасности коммерческих организаций"

Спасибо за Ваше внимание!

[email protected]

СКОРОДУМОВ БОРИС ИВАНОВИЧ