joomla

Podpiska BSM NVS 168x120

Dyh Syst 468 60 2018 4

joomla
A+ A A-

УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ В БАНКІВСЬКИХ УСТАНОВАХ

Оцените материал
(0 голосов)

 

Domarev Cover 168 pic

 

В.В. Домарєв, Д.В. Домарєв

УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ В БАНКІВСЬКИХ УСТАНОВАХ

(Теорія і практика впровадження стандартів серії ISO 12k)
ВЕЛСТАР Донецьк 2012


ЗМІСТ
ДЛЯ КОГО ЦЯ КНИГА?    .5

 

Розділ 1. ЖИВУЧІСТЬ ТА БЕЗПЕКА ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ

1.1 Живучість інформаційно-комунікаційних систем    .10

1.2 Основні поняття та визначення інформаційної безпеки    .11

1.3 Чому треба захищати інформацію    15

1.4 Тенденції розвитку сучасних методичних підходів

до управління інформаційною безпекою    .,    .16


Розділ 2. ТЕОРІЯ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

2.1 Що таке СИСТЕМА?    20

2.2 Методологія системних рішень інформаційної безпеки    .22

2.3 Опис моделі СУІБ    .23


Розділ 3. СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ «МАТРИЦЯ»

3.1 Загальна характеристика    26

3.2 Призначення    26

3.3 Основні завдання    27

3.4 Методичні модулі СУІБ    .29

3.5 Функціональні можливості СУІБ «МАТРИЦЯ»    .ЗО


Розділ 4. НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

4.1 Суб'єкти правовідносин інформаційної безпеки    34

4.2 Правовий режим захисту банківської таємниці    .34

4.3 Особливості захисту комерційної таємниці    .36

4.4 Положення про комерційну таємницю і конфіденційну інформацію     37

4.5 Адміністративні документи    38

4.6 Документи верхнього рівня    39

4.7 Документи середнього рівня    .41

4.8 Документи нижнього рівня    45

4.9 Нормативні документи щодо захисту інформації з обмеженим доступом    46

4.10 Рекомендації щодо оформлення документів    46


Розділ 5. СТРУКТУРА І ЗАДАЧІ ПІДРОЗДІЛІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

5.1 Зобов'язання керівництва щодо управління

інформаційною безпекою    49

5.2 Призначення відповідальних осіб за впровадження СУІБ    50

5.3 Розподіл функціональних обов'язків з використанням можливостей СУІБ «Матриця»    56

5.4 Зобов’язання працівників щодо виконання правил та порядків 58

5.5 Навчання користувачів    58

5.6 Заходи у разі звільненні співробітника    59

 

Розділ 6. ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

6.1 Процедура реєстрації та оброблення інцидентів    62

6.2 Плани реагування на інциденти    63

6.3 Внесення виправлень після компрометації захисту    .64

6.4 Плани відновлення у разі надзвичайних обставин    65


Розділ 7. ВИЗНАЧЕННЯ ІНФОРМАЦІЙНИХ ТА ПРОГРАМНО-ТЕХНІЧНИХ РЕСУРСІВ, ЩО ПІДЛЯГАЮТЬ ЗАХИСТУ

7.1 Класифікація інформації    71

7.2 Банківська та комерційна таємниця    73

7.3 Опис критичних бізнес-процесів та програмно-технічних комплексів, які забезпечують їх функціонування    .75

7.4 Опис організаційної структури банку, яку охоплює СУІБ    78

7.5 Опис структури мережі банку    84

7.6 Опис фізичного середовища    .90

7.7 Забезпечення безперервності роботи    .94


Розділ 8. АНАЛІЗ ЗАГРОЗ І КАНАЛІВ ВИТОКУ ІНФОРМАЦІЇ

8.1 Аналіз загроз та вразливостей    97

8.2 Загальні загрози безпеці банків    98

8.3 Банківське шахрайство і зловживання

службовим становищем працівників банків    .100

8.4 Загрози інформаційній безпеці    .102


Розділ 9. УПРАВЛІННЯ РИЗИКАМИ БЕЗПЕКИ

9.1 Стратегічний ризик    107

9.2 Законодавчі ризики    107

9.3 Ризик репутації    108

9.4 Ризики інформаційної безпеки    109

9.5 Клієнтські ризики    112

9.6 Оцінювання ризиків    113

9.7 Управління ризиками    120


Розділ 10. ФОРМУВАННЯ ВИМОГ ДО СУІБ

10.1. Визначення вимог з інформаційної безпеки банку    .126


Розділ 11. ВПРОВАДЖЕННЯ ТА ОРГАНІЗАЦІЯ ВИКОРИСТАННЯ СУІБ

11.1. Впровадження та функціонування СУІБ    131

11.2. Впровадження та функціонування СУІБ    131

11.3. Положення щодо застосовності    .135


Розділ 12. КОНТРОЛЬ ТА ОЦІНКА ЕФЕКТИВНОСТІ СУІБ

12.1. Процедура моніторингу    .137

12.2. Оцінка ефективності СУІБ    .137

Післямова    .140

Список скорочень:    .141

Список літератури    .142

Про авторів    143


ДЛЯ КОГО ЦЯ КНИГА?

Коли з'явилася можливість надрукувати матеріали цієї книги, я замислився: яким читачам вона може стати в пригоді? Кого ця публікація зацікавить? Хотілося «вбити двох зайців одним пострілом». Натомість з'ясувалося, що під «постріл» потрапила ціла зграя «зайців». Справа в тому, що запропонована модель уявлення процесів та обраний підхід до вирішення задач управління ними, виявилися на диво універсальними. Мова йде про процеси управління безпекою.

Управління безпекою охоплює такі сфери як: безпека бізнес-діяльно-сті, живучість інформаційно-комунікаційних систем, забезпечення безперервності бізнесу, безпека інформаційних технологій, управління ризиками та інцидентами, фізична, технічна, інформаційна, економічна та інші грані питань безпеки. Але для спрощення спілкування з читачем в якості прикладу авторами обрані питання управління інформаційною безпекою в банківських установах України. Чому так?

По-перше: інформаційна безпека є невід'ємною частиною загального процесу забезпечення безперервності бізнесу та інших процесів управління банківськими установами.

По-друге: на сьогодні дуже актуальними є питання впровадження в комерційних, банківських і державних установах міжнародних стандартів управління інформаційною безпекою серії ІЗО/ІЕС 27000, або скорочено «150 27к».

Отже саме фахівці з питань інформаційної безпеки опинилися на перехресті актуальних проблем впровадження вимог зазначених стандартів у конкретних банківських установах України. Проте, запропоновані автором матеріали будуть цікаві широкому колу інших читачів, а саме: топ-менеджерам, ІТ-директорам, адміністраторам комп'ютерних мереж, науковцям, аспірантам, студентам та іншим, хто цікавиться питаннями інформаційної безпеки. Тому дозвольте висловити задум автора окремо для різних категорій читачів.

Для працівників банківських установ

Безпека банку - стан стійкої життєдіяльності, за якого забезпечується реалізація основних інтересів і пріоритетних цілей банку, захист від зовнішніх і внутрішніх дестабілізуючих факторів незалежно від умов функціонування.

Національний банк України запровадив галузеві стандарти управління інформаційною безпекою. Ці документи фактично дублюють міжнародні стандарти І50/ІЕС 27001 та І80/ІЕС 27002, які визначають вимоги і правила впровадження системи управління інформаційною безпекою.

Постанова № 474 Національного банку України прийнята відповідно до статті 7 Закону України «Про Національний банк України», статті 10 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» і статті 10 Закону України «Про стандартизацію», з метою підвищення рівня інформаційної безпеки в банківській системі України.

У запропонованій публікації на прикладі банківських інформаційних технологій розглянуто теоретичні й практичні питання управління інформаційною безпекою з метою забезпечення живучості інформацій-но-комунікаційних систем у банківських установах України, а також надано методичні та практичні рекомендації щодо впровадження вимог галузевих та міжнародних стандартів управління інформаційною безпекою серії 150 27к.

До того ж, у популярній формі висвітлено теоретичні й практичні питання реалізації системного та процесного підходу для вирішення конкретних завдань забезпечення управління інформаційною безпекою з урахуванням особливостей банківських бізнес-процесів. Запропоновано системне рішення для організації взаємодії керівництва банку, підрозділів комп'ютерних (інформаційних) технологій, служби інформаційної безпеки, фахівців внутрішнього аудиту та інших підрозділів у процесі управління інформаційною безпекою банку на підставі вимог стандартів серії 150 27к.

Розглянуто можливості інформаційно-методичного інструменту управління інформаційною безпекою «МАТРИЦЯ», який є простим, універсальним і ефективним засобом створення, управління, контролю й оцінки ефективності процесів управління інформаційною безпекою з метою забезпечення живучості банківських інформаційно-комунікаційних систем.

Впровадження в банках України стандартів з управління інформаційною безпекою дозволить:

• знизити та оптимізувати вартість побудови та підтримки системи інформаційної безпеки;

• постійно відслідковувати та оцінювати ризики з урахуванням цілей бізнесу;

ефективно виявляти найбільш критичні ризики та уникати їх реалізації;

• розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання;


Національний банк України запровадив галузеві стандарти управління інформаційною безпекою. Ці документи фактично дублюють міжнародні стандарти І80/ІЕС 27001 та І80/ІЕС 27002, які визначають вимоги і правила впровадження системи управління інформаційною безпекою.

Постанова № 474 Національного банку України прийнята відповідно до статті 7 Закону України «Про Національний банк України», статті 10 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» і статті 10 Закону України «Про стандартизацію», з метою підвищення рівня інформаційної безпеки в банківській системі України.

У запропонованій публікації на прикладі банківських інформаційних технологій розглянуто теоретичні й практичні питання управління інформаційною безпекою з метою забезпечення живучості інформацій-но-комунікаційних систем у банківських установах України, а також надано методичні та практичні рекомендації щодо впровадження вимог галузевих та міжнародних стандартів управління інформаційною безпекою серії 180 27к.

До того ж, у популярній формі висвітлено теоретичні й практичні питання реалізації системного та процесного підходу для вирішення конкретних завдань забезпечення управління інформаційною безпекою з урахуванням особливостей банківських бізнес-процесів. Запропоновано системне рішення для організації взаємодії керівництва банку, підрозділів комп'ютерних (інформаційних) технологій, служби інформаційної безпеки, фахівців внутрішнього аудиту та інших підрозділів у процесі управління інформаційною безпекою банку на підставі вимог стандартів серії 180 27к.

Розглянуто можливості інформаційно-методичного інструменту управління інформаційною безпекою «МАТРИЦЯ», який є простим, універсальним і ефективним засобом створення, управління, контролю й оцінки ефективності процесів управління інформаційною безпекою з метою забезпечення живучості банківських інформаційно-комунікаційних систем.

Впровадження в банках України стандартів з управління інформаційною безпекою дозволить:

• знизити та оптимізувати вартість побудови та підтримки системи інформаційної безпеки;

• постійно відслідковувати та оцінювати ризики з урахуванням цілей бізнесу;

ефективно виявляти найбільш критичні ризики та уникати їх реалізації;

• розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання;

• ефективно розробляти, впроваджувати та тестувати плани відновлення бізнесу;

• забезпечити розуміння питань інформаційної безпеки керівництвом банку та всіма працівниками банку;

• забезпечити підвищення репутації та ринкової привабливості банків.

Для співробітників служб безпеки та топ-менеджерів комерційних структур

Наслідки катастроф, відмов систем безпеки, втрати доступності обслуговування, терористичні акти є предметом аналізу впливів на біз-нес-діяльність комерційних установ України. До того ж, тенденція приваблення іноземних інвестицій змушує комерційні організації впроваджувати міжнародні стандарти управління, в тому числі і стандарти управління інформаційною безпекою.

Впровадження стандартів серії 150 27к дозволяє дати відповіді на такі запитання:

• Які інформаційні ризики існують на підприємстві і як вони впливають на бізнес-процеси? Як ці ризики мінімізувати?

• Які інформаційні активи складають інформаційно-комунікаційну систему компанії, і що захищати в першу чергу?

• Що робити, якщо трапиться непередбачена ситуація?

• Як забезпечити безперервність бізнесу, реагування на інциденти, управління ризиками тощо.

Проведення аудиту та подальше впровадження стандарту дозволить вирішити цілу низку проблем, пов’язаних як з поточною роботою, так і з подальшим розвитком підприємства:

• прихованість інвестицій в ІТ, відсутність економічних показників роботи підрозділів ІТ-компанії;

• неадекватний захист інформації (ресурси кинуті на захист інформації, що не становить реальної цінності компанії, в той час як справді цінна інформація не захищена адекватно);

• фінансові та репутаційні втрати внаслідок слабкої організації управління інформаційною безпекою підприємства;

• постійні штрафні санкції з боку регуляторів;

• придбання, розробка та обслуговування інформаційних систем;

• відсутність об'єктивної інформації про стан інформаційно-комунікаційної системи для вірного прийняття рішень.

Аспекти інформаційної безпеки щодо безперервності бізнесу повинні базуватися на ідентифікації подій, які можуть спричинити переривання бізнес-процесів, наприклад, відмова обладнання, людські помилки, крадіжка, пожежа, природні лиха та терористичні акти.

Для науковців, аспірантів, студентів

Забезпечення живучості ІКС з точки зору інформаційної безпеки потребує координованого використання різних за функціями та складом компонентів, таких як: заходи, методи, засоби, механізми, процедури та ін. Ці компоненти вимагають встановлення жорстких логічних та функціональних зв'язків між собою. Як показує практика, саме якість зазначених зв'язків визначає рівень ефективності систем забезпечення живучості ІКС.

У роботах по забезпеченню живучості ІКС беруть участь фахівці різних напрямків, що висуває специфічні вимоги стосовно координації їх діяльності. Водночас з практичної точки зору потрібні рекомендації, які дають не завжди оптимальні, але досить ефективні рішення щодо захисту інформації.

Сучасні ІКС потребують захисту складних процесів обробки інформації в розподілених комп'ютерних мережах. Ця тенденція вимагає дослідження відповідних методів, моделей та систем забезпечення живучості ІКС. Основу системного підходу до забезпечення живучості ІКС складають задачі системного моделювання та аналізу.

На прикладі банківських інформаційних технологій розглянуто теоретичні й практичні питання управління інформаційною безпекою з метою забезпечення живучості інформаційно-комунікаційних систем в банківських установах України. Запропоновано системне рішення для організації взаємодії керівництва банку, підрозділів комп'ютерних (інформаційних) технологій, служби інформаційної безпеки, фахівців внутрішнього аудиту та інших підрозділів у процесі управління інформаційною безпекою банку на підставі вимог стандартів серії 130 27к.

Окремо треба додати, що запропоновані в наданій публікації матеріали дуже корисні студентам, а саме бакалаврам та магістрам, що навчаються за спеціальністю «Управління інформаційною безпекою». Викладені методичні підходи стануть в пригоді при написанні рефератів, курсових та дипломних робіт.

Последнее изменение
Авторизуйтесь, чтобы получить возможность оставлять комментарии
joomla
joomla

твт тринити баннер

joomla

    
ISSN 1819-9429 © "Business & Security" magazine. All rights reserved.

Login or Register

LOG IN

fb iconLog in with Facebook

Register

User Registration