Методичні рекомендації щодо впровадження системи управління



Сторінка1/5
Дата конвертації10.01.2017
Розмір1,1 Mb.
  1   2   3   4   5
ЗАВЕРДЖЕНО

В.о. заступника Голови

Ричаківська В.І.

______________

01 березня 2011

МЕТОДИЧНІ РЕКОМЕНДАЦІЇ

щодо впровадження системи управління

інформаційною безпекою та методики оцінки ризиків

відповідно до стандартів Національного банку України


  1. Вступ

Система управління інформаційною безпекою є сучасним процесом забезпечення безпеки інформаційних ресурсів організації, яка побудована на кращих світових практиках. Стандарти Національного банку України основані на міжнародних стандартах ISO 27001 та ISO 27002 з додаванням вимог із захисту інформації, зумовлених конкретними потребами сфери банківської діяльності і правовими вимогами, які вже висунуто в нормативних документах Національного банку України.

Відповідність системи управління інформаційною безпекою стандартам Національного банку України СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010 гарантує банку відповідність міжнародним стандартам ISO 27001 та ISO 27002 і надає можливість отримати відповідний сертифікат.

Необхідність впровадження в банках України стандартів з управління інформаційною безпекою продиктована вимогами Базельського комітету Basel II з управління та зменшення операційних ризиків банків.

Впровадження в банках України стандартів з управління інформаційною безпекою дозволить:


  • оптимізувати вартість побудови та підтримання системи інформаційної безпеки;

  • постійно відслідковувати та оцінювати ризики з урахуванням цілій бізнесу;

  • ефективно виявляти найбільш критичні ризики та знижати ймовірність їх реалізації;

  • розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання;

  • ефективно розробляти, впроваджувати та тестувати плани відновлення бізнесу;

  • забезпечити розуміння питань інформаційної безпеки керівництвом та всіма працівниками банку;

  • забезпечити підвищення репутації та ринкової привабливості банків;

  • знизити ризики рейдерських та інших шкідливих для банку атак;

  • тощо.

Слід зазначити, що наведені вище переваги не будуть досягнуті шляхом лише “формального” підходу до розроблення, впровадження, функціонування системи управління інформаційною безпекою та незацікавленості керівництва і працівників банку в підвищенні рівня інформаційної безпеки.


  1. Загальні положення

Ці Методичні рекомендації щодо впровадження системи управління інформаційною безпекою розроблені на основі міжнародного стандарту ISO/IEC 27003:2010 “Information technology – Security techniques – Information security management system implementation guidance” (Настанова з впровадження системи управління інформаційною безпекою) з урахуванням особливостей банківської діяльності, стандартів та вимог Національного банку України з питань інформаційної безпеки.

Впровадження стандартів з питань управління інформаційною безпекою не може бути разовою акцією. Це фактично є безперервним процесом розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення системи управління інформаційною безпекою (СУІБ). Для процесів СУІБ застосована модель ПВПД (плануй-виконуй-перевіряй-дій), наведена у вступі до стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010.

Зрозуміло, що для проведення цих робіт потрібні ресурси, у тому числі наявність фахівців з питань інформаційної безпеки, наявність з боку керівництва банку повної підтримки та контролю, а також розуміння проблем, що виникають.

Система інформаційної безпеки повинна забезпечити безпечність та надійність функціонування бізнес-процесів/банківських продуктів банку. Впровадження та функціонування СУІБ стосується всіх підрозділів банку і, у першу чергу, керівників підрозділів – власників бізнес-процесів/банківських продуктів. Тому ці відповідальні особи повинні брати участь у вирішенні питань, що належать до сфери їх відповідальності, під час упровадження та функціонування СУІБ.

Цілі СУІБ та заходи безпеки, що вже існують і ті, що будуть додатково впроваджені в разі необхідності, а також відповідна документація, що описує функціонування СУІБ, повинні бути зрозумілими для всіх, кого це стосується. Тому обов’язковою умовою успішного функціонування СУІБ є також проведення відповідних навчань з питань інформаційної безпеки.




  1. Підготовка до впровадження СУІБ

3.1. Зобов’язання керівництва щодо управління

інформаційною безпекою
Відповідно до розділу 5 стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010 та пункту 6.1.1 стандарту СОУ Н НБУ 65.1 СУІБ 2.0:2010 керівництво банку повинно забезпечити визначення завдань інформаційної безпеки, їх відповідність вимогам законодавства України, нормативно-правових актів Національного банку України та банку, інтегрованість у відповідні бізнес-процеси/банківські продукти, переглядати ефективність впровадження та функціонування СУІБ, надавати ресурси, які потрібні для інформаційної безпеки та навчання персоналу з питань інформаційної безпеки.

Для вирішення цих завдань необхідно визначити організаційну структуру управління інформаційною безпекою, повноваження та відповідальність щодо розроблення, впровадження та функціонування СУІБ.

Керівництво СУІБ може здійснювати керівник банку або його заступник, або існуючий керівний орган, наприклад, рада з питань інформатизації з обов’язковим включенням до складу спеціалістів з питань інформаційної безпеки. В залежності від розміру банку ці обов’язки можуть бути покладені на створений спеціальний керівний орган з питань інформаційної безпеки з керівників підрозділів, відповідальних за критичні бізнес-процеси та банківські продукти. Формування такого керівного органу тільки з фахівців з питань інформаційної безпеки є недоцільним, оскільки в такому випадку питання інформаційної безпеки будуть за межами уваги керівників, відповідальних за критичні бізнес-процеси, або питання інформаційної безпеки будуть вирішуватися окремо для кожного бізнес-процесу, що створить додаткові умови для несанкціонованого доступу до інформації та порушення конфіденційності, а також призведуть до додаткових фінансових витрат. У разі необхідності до роботи з окремих питань в цьому керівному органі можуть долучатися зовнішні спеціалісти з питань інформаційної безпеки за умови підписання угоди про конфіденційність.

Відповідно до пункту 6.1.2 стандарту СОУ Н НБУ 65.1 СУІБ 2.0:2010 діяльність щодо інформаційної безпеки повинна бути узгоджена між представниками різних підрозділів банку, які відповідають та забезпечують функціонування критичних бізнес-процесів/банківських продуктів. Банки мають створювати єдину систему інформаційної безпеки для всіх бізнес-процесів та координувати дії різних підрозділів для забезпечення виконання загальних вимог щодо інформаційної безпеки. Для виконання цих обов’язків може бути створена окрема група з перехресними функціями з фахівців різних підрозділів. Якщо банк не створює окрему групу з перехресними функціями, то ці обов’язки повинні виконуватися спеціальним керівним органом або окремим керівником.

Зазвичай, координація інформаційної безпеки повинна стосуватися співробітництва і координації спільної діяльності менеджерів, користувачів, адміністраторів, розробників прикладних програм, аудиторів і персоналу безпеки, а також фахівців у таких галузях, як страхування, правові питання, людські ресурси, управління ІТ або ризиками.
3.2. Призначення відповідальних осіб за впровадження

та функціонування СУІБ


Для забезпечення впровадження, функціонування СУІБ та контролю за функціонуванням СУІБ наказом має бути призначений керівник СУІБ відповідно до рекомендацій пункту 3.1, а саме керівник банку або його заступник, який відповідає за питання інформаційної безпеки та в оперативному підпорядкуванні якого знаходиться підрозділ інформаційної безпеки. Керівник СУІБ повинен мати повноваження долучати до впровадження та функціонування СУІБ усіх потрібних фахівців і в першу чергу керівників підрозділів – власників бізнес-процесів/банківських продуктів.

Заступником керівника СУІБ може бути призначений керівник підрозділу, який відповідає за інформаційну безпеку в банку.

У наказі рекомендується зазначити, що керівники підрозділів – власників бізнес-процесів/банківських продуктів мають сприяти впровадженню і функціонуванню СУІБ та своєчасно надавати необхідну інформацію керівникові СУІБ або його заступнику.
3.3. Визначення вимог з інформаційної безпеки банку
Для впровадження та подальшого вдосконалення СУІБ необхідно чітко визначити вимоги з інформаційної безпеки банку.

Джерелами вимог з інформаційної безпеки є:



  • Закони України;

  • нормативно-правові акти Національного банку України;

  • вимоги платіжних систем та систем переказу коштів;

  • внутрішні нормативні документи банку;

  • умови угод та договорів з третіми сторонами тощо.

Слід звернути увагу на те, що вимоги з інформаційної безпеки для платіжних систем та систем переказів коштів висуваються платіжною організацією платіжної системи та системи переказу коштів, тому вони можуть відрізнятися від вимог Національного банку України (крім Системи електронних платежів (СЕП) та Національної системи масових електронних платежів (НСМЕП), платіжними організаціями яких є Національний банк України). Однак, облік коштів повинен здійснюватися в системах автоматизації банку відповідно до вимог нормативно-правових актів Національного банку України.

Особливу увагу слід звернути на умови угод та договорів з третіми сторонами. Відповідно до пункту 6.2 стандарту СОУ Н НБУ 65.1 СУІБ 2.0:2010 безпека інформації та засобів оброблення інформації банку не повинна знижуватися через уведення в експлуатацію продуктів або послуг зовнішньої сторони. Якщо є бізнес-потреба в роботі із зовнішніми сторонами, яка може вимагати доступу до інформації або засобів оброблення інформації банку, або в отриманні від зовнішньої сторони чи наданні їй продукту та послуги, тоді банк повинен виконувати оцінку ризику для визначення вимог щодо заходів безпеки та наслідків порушення безпеки. Заходи безпеки повинні бути погоджені та визначені в угоді із зовнішньою стороною. Ці питання повинні розглядатися не тільки для договорів про надання послуг клієнтам банку (системи типу “клієнт-банк”, інтернет-банкінг, мобільний банкінг тощо), а також при отриманні послуг зовнішніх сторін (розробка та супроводження програмного забезпечення, придбання та технічне обслуговування обладнання, надання послуг зв’язку тощо).

Аналіз вимог з наведених вище джерел допоможе правильно визначити цілі СУІБ та заходи безпеки, які можуть забезпечити зменшення ризиків операційної діяльності банку з урахуванням особливостей роботи банку.

Перелік вимог з інформаційної безпеки повинен бути задокументованим та затвердженим керівництвом банку.


4. Опис існуючої інфраструктури та заходів безпеки
4.1. Класифікація інформації
Відповідно до Закону України “Про інформацію” вся інформація з обмеженим доступом повинна бути надійно захищена. Відповідно до законів України “Про захист інформації в інформаційно-телекомуникаційних системах”, “Про банки та банківську діяльність”, “Про захист персональних даних” у банках можна визначити такі категорії інформації з обмеженим доступом:

  • банківська таємниця;

  • комерційна таємниця;

  • персональні дані;

  • інша конфіденційна інформація.

Банк має створити максимально докладний та зрозумілий перелік відомостей, які відносяться до інформації з обмеженим доступом. У цьому переліку повинні бути описані види інформації, які відносяться до кожної з категорій інформації з обмеженим доступом, що надасть можливість полегшити працівнику банку визначення відношення певної інформації до відповідної категорії.

Відповідно до “Правил зберігання, захисту, використання та розкриття банківської таємниці”, затверджених постановою Правління Національного банку України від 14.07.2006 № 267, зареєстрованих в Міністерстві юстиції України 03.08.2006 за № 935/12809, працівники банку під час прийому на роботу повинні власноруч підписувати зобов’язання щодо збереження банківської таємниці. Ці зобов’язання банк може поширити на всі категорії інформації з обмеженим доступом.

Банк зобов’язаний у внутрішніх положеннях встановити спеціальний порядок поводження та ведення діловодства з документами, що містять інформацію з обмеженим доступом, зокрема визначити порядок підготовки і реєстрації вихідних документів, роботи з документами, відправлення та зберігання документів, а також особливості роботи з електронними документами, які містять інформацію з обмеженим доступом, зокрема з урахуванням вимог, що викладені в наведеному вище нормативно-правовому акті Національного банку України.

Особливу увагу слід звернути на маркування документів з обмеженим доступом. Скорочені позначки грифу інформації з обмеженим доступом повинні бути загально відомими, наприклад, банківська таємниця – БТ, комерційна таємниця – КТ тощо. Не рекомендується використовувати інші літери для скорочених позначок грифу інформації, які не пов’язані із повною назвою грифу та не є інтуїтивно зрозумілими.


4.2. Опис критичних бізнес-процесів та програмно-технічних комплексів, які забезпечують їх функціонування
Відповідно до вимог стандартів Національного банку України сферою застосування СУІБ, яка має бути впроваджена, є банк у цілому. Тому дуже важливо чітко визначити бізнес-процеси/банківські продукти, які працюють з інформацією з обмеженим доступом і повинні бути захищеними.

Відповідно до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2006 № 254 банківський продукт це стандартизовані процедури, що забезпечують виконання банками операцій, згрупованих за відповідними типами та ознаками.

Поняття бізнес-процесу є багатозначним і не існує загально прийнятого його визначення. Під бізнес-процесом у широкому значенні розуміється структурована послідовність дій з виконання певного виду діяльності на всіх етапах життєвого циклу предмета діяльності. Кожен бізнес-процес має початок (вхід), вихід та послідовність процедур, які забезпечують виконання операцій, згрупованих за відповідними типами.

Не існує стандартного набору бізнес-процесів/банківських продуктів для будь-якого банку. Тому банк має самостійно визначити відповідні бізнес-процеси/банківські продукти, які використовуються всередині банку.

Для визначення бізнес-процесів/банківських продуктів, які має охоплювати СУІБ, необхідно проаналізувати всі бізнес-процеси/банківські продукти банку та створити перелік критичних процесів, функціонування яких має великий вплив на успішну роботу банку. Оскільки в банку бізнес-процеси/банківські продукти взаємопов’язані, то рекомендується створити їх блок-схему з визначенням усіх взаємозв’язків. Така візуалізація значно спростить розуміння всього обсягу робіт, що виконуються банком.

Банк повинен створити перелік критичних бізнес-процесів/банківських продуктів, які обробляють інформацію з обмеженим доступом, розголошення якої може нанести шкоду банку. До цього переліку повинні бути включеними всі бізнес-процеси/банківські продукти, що обробляють:



  • платіжні документи,

  • внутрішні платіжні документи,

  • кредитні документи,

  • документи на грошові перекази,

  • персональні дані клієнтів та працівників банку,

  • статистичні звіти,

  • інші документи, які містять інформацію з обмеженим доступом.

Для кожного критичного бізнес-процесу/банківського продукту рекомендується надати перелік бізнес-процесів/банківських продуктів, з якими взаємодіє цей бізнес-процес/банківський продукт.

Перелік критичних бізнес-процесів/банківських продуктів повинен супроводжуватися коротким описом кожного бізнес-процесу/банківського продукту з наданням інформації про програмно-технічні комплекси, які забезпечують його функціонування.

Короткий опис кожного бізнес-процесу/банківського продукту повинен містити таку інформацію:


  • назва бізнес-процесу/банківського продукту;

  • цілі бізнес-процесу/банківського продукту;

  • гриф інформації з обмеженим доступом, яка обробляється бізнес-процесом/банківським продуктом;

  • власник бізнес-процесу/банківського продукту;

  • підрозділи банку, які забезпечують функціонування бізнес-процесу/банківського продукту;

  • наявність зобов’язань перед третіми сторонами (угоди на розроблення, доопрацювання, супроводження та технічне обслуговування);

  • вхідні та вихідні дані бізнес-процесу/банківського продукту;

  • перелік процедур бізнес-процесу та блок-схема послідовності їх виконання з визначенням взаємозв’язків (у тому числі додаткової вхідної інформації з інших бізнес-процесів);

  • вимоги щодо забезпечення безперервності бізнес-процесу/ банківського продукту (максимально допустимий час простою);

  • типи ролей(груп) для бізнес-процесу/банківського продукту;

  • існування забороненого суміщення типів ролей;

  • програмно-технічний(ні) комплекс(и), що забезпечує(ють) функціонування бізнес-процесу;

  • кількість користувачів програмно-технічного комплексу;

  • архітектура і технологія роботи (зокрема, файловий обмін або режим реального часу, в тому числі й для обміну інформацією з іншими програмно-технічними комплексами в разі наявності);

  • операційна система та тип бази даних програмно-технічного комплексу, які використовуються для функціонування бізнес-процесу/банківського продукту;

  • географічне розміщення (серверів та робочих місць) програмно-технічного комплексу;

  • засоби захисту, які вже існують у програмно-технічному комплексі;

  • взаємодія з іншими програмно-технічними комплексами;

  • принципи резервування обладнання та інформації програмно-технічного комплексу (за наявності окремих принципів для цього програмно-технічного комплексу).

Зазначимо деякі аспекти формування цієї інформації.

Дуже важливо визначити власника бізнес-процесу/банківського продукту, який повинен також бути власником програмно-технічного комплексу. Саме власник бізнес-процесу/банківського продукту/програмно-технічного комплексу повинен приймати рішення щодо надання доступу до інформації, яка обробляється в цьому бізнес-процесі/банківському продукту/програмно-технічному комплексі. Власником програмно-технічного комплексу не може бути підрозділ банку, який відповідає за інформаційні технології і забезпечує технічну підтримку роботи комплексу.

Перелік процедур бізнес-процесу та блок-схема послідовності їх виконання з визначенням взаємозв’язків (у тому числі додаткової вхідної інформації з інших бізнес-процесів) буде дуже корисним під час аналізу та визначення вразливостей, притаманних цьому бізнес-процесу/банківському продукту. Цей перелік та блок-схема мають бути у достатньому ступені узагальненими. Дуже детальний перелік може призвести до ускладнення під час визначення вразливостей. Однак, якщо цей перелік та блок-схема будуть занадто узагальненими, то це може призвести до пропуску небезпечних вразливостей, які можуть створювати великі ризики.

У разі якщо функціонування одного бізнес-процесу/банківського продукту забезпечується декількома програмно-технічними комплексами, тоді короткі описи кожного комплексу та їх взаємозв’язків повинні також бути надані.

У разі якщо один програмно-технічний комплекс забезпечує функціонування декількох бізнес-процесів/банківських продуктів, тоді визначається єдиний власник програмно-технічного комплексу (але не підрозділ, який відповідає за інформаційні технології) або група власників бізнес-процесів, які надають та контролюють доступ до інформації, що обробляється різними модулями комплексу.

У разі відсутності централізованих програмно-технічних комплексів мають бути надані короткі описи програмно-технічних комплексів у структурних підрозділах банку (обласних дирекціях, філіях тощо) та описаний взаємозв’язок між ними.

Для більшого розуміння зв’язків між бізнес-процесами/банківськими продуктами/програмно-технічними комплексами рекомендується створити блок-схему цих зв’язків із додаванням структурних підрозділів банку, які забезпечують ці бізнес-процеси/банківські продукти/програмно-технічні комплекси вхідною інформацією, та підрозділів банку, які використовують вихідні дані.

Типи ролей(груп) для бізнес-процесу/банківського продукту фактично означають різні рівні доступу до інформації, яка обробляється цим бізнес-процесом/банківським продуктом. При цьому слід пам’ятати про необхідність надання мінімальних прав доступу, необхідних для виконання службових обов’язків. Обов’язковим також є визначення заборонених суміщень прав доступу (ініціювання та подальше виконання операції) для запобігання підготовки фальсифікованих банківських документів або несанкціонованої модифікації документів. Наприклад, для платіжних документів забороненим є суміщення обов’язків операціоніста та бухгалтера.
4.3. Опис організаційної структури банку, яку охоплює СУІБ
На основі вихідних документів попереднього пункту банк має визначити всі підрозділи, які відносяться до сфери застосування СУІБ. Це підрозділи, які є власниками та учасниками критичних бізнес-процесів, підрозділи, які супроводжують та забезпечують технічну підтримку програмно-технічних комплексів, користувачі програмно-технічних комплексів, служба безпеки, яка забезпечує фізичну безпеку приміщень банку, тощо. Наявність такого переліку підрозділів дозволить чітко визначити обов’язки та відповідальності всіх причетних до виконання вимог безпеки сторін та планувати їх навчання у разі необхідності. Такий перелік може створюватися на основі структурної схеми підрозділів банку.

Окрім того, у разі наявності передавання частини послуг, що пов’язані з критичними бізнес-процесами/банківськими продуктами/програмно-технічними комплексами, третім сторонам, ці організації також повинні бути включені до опису організаційної структури банку з поміткою, що вони не є структурними підрозділами банку.


4.4. Опис структури мережі банку
Для подальшого аналізу захищеності мережі банку необхідно зробити опис структури мережі банку, засобів захисту та управління, які вже існують. Банк повинен мати внутрішнє положення про мережу банку, у якому надається така інформація:

  • принципи побудови мережі з описом принципів резервування мережевого обладнання;

  • принципи розподілу мережі на сегменти (підмережі) – за наявності;

  • принципи розподілу адресного простору;

  • система управління мережею;

  • побудова вузла доступу до ресурсів мережі Інтернет;

  • принципи доступу до мереж інших організацій – за наявності;

  • наявність та правила роботи через канали зв’язку зовнішніх провайдерів телекомунікаційних послуг, у тому числі опис принципів резервування каналів зв’язку;

  • засоби захисту мережі від зовнішнього та внутрішнього несанкціонованого доступу, у тому числі антивірусного захисту;

  • принципи надання доступу працівникам банку до мережі та ресурсів мережі Інтернет;

  • принципи та процедура надання віддаленого доступу працівникам банку до мережі банку – за наявності;

  • принципи та процедура надання бездротового доступу до мережі банку – за наявності;

  • принципи резервного копіювання інформації.

Для спрощення розуміння особливостей побудови мережі банку рекомендується створити окремі внутрішні положення (політики) за різними питаннями управління мережею, а в загальному положенні про мережу описати основні принципи побудови та функціонування мережі з наданням посилань на окремі політики.
4.5. Опис фізичного середовища
Питання захисту інфраструктури банку також входять до СУІБ.

Банк повинен мати такі документи:



  • опис географічного та територіального розташування приміщень банку, включаючи відокремлені підрозділи банку (обласні дирекції, філії, відділення тощо) для визначення загроз з боку навколишнього середовища;

  • опис принципів пропускного режиму;

  • наказ із визначення приміщень з обмеженим доступом та опис відповідного захисту цих приміщень із забезпеченням контролю доступу до таких приміщень;

  • опис принципів побудови систем відео спостереження;

  • опис системи електроживлення та заземлення;

  • опис охоронної та пожежної сигналізації;

  • опис умов зберігання магнітних, оптомагнітних, паперових та інших носіїв інформації, у тому числі електронних архівів.

Вимоги до приміщень банків наведені у Правилах технічного захисту приміщень банків, де обробляються електронні банківські документи, затверджені постановою Правління Національного банку України від 04.07.2007 № 243, зареєстрованою в Міністерстві юстиції України 17.08.2007 за № 955/14222 та інших нормативно-правових актах Національного банку України.
4.6. Опис принципів забезпечення безперервності роботи
Однією з основних функцій банку є забезпечення безперервності його роботи. Основні вимоги до банку з цього питання викладені у Положенні про забезпечення безперервного функціонування інформаційних систем Національного банку України та банків України, затвердженому постановою Правління Національного банку України від 17.06.2004 № 265, зареєстрованою в Міністерстві юстиції України 09.07.2004 за № 857/9456.

Банк повинен мати опис принципів та заходів щодо забезпечення безперервності роботи, в якому надати опис процедур та обладнання, а також обов’язків працівників банку, в тому числі методи резервування інформації для відновлення роботи в разі виникнення надзвичайних ситуацій. У цьому документі повинні бути визначені терміни відновлення роботи банку та необхідні ресурси (зокрема програмно-технічні засоби, обладнання, резервне електроживлення тощо).

Банк повинен регулярно проводити тестування всіх складових, що потрібні для виконання плану забезпечення безперервної діяльності та дій у разі виникнення надзвичайних ситуацій, у тому числі можливість відновлення резервної інформації, яка зберігається у віддаленому резервному пункті.

  1   2   3   4   5


База даних захищена авторським правом ©vaglivo.org 2016
звернутися до адміністрації

    Головна сторінка