Как повлияет внедрение DLP на результаты самооценки соответствия кредитной организации требованиям СТО БР ИББС-1.0 Музипов Фарит Халитович Зам.начальника Службы безопасности по ИБ «АйСиАйСиАй Банк Евразия» CNews: «Как противостоять инсайдерам» Как повлияет внедрение DLP на результаты самооценки соответствия кредитной организации требованиям СТО БР ИББС-1.0 «Осторожность никогда не бывает излишней» Гораций «Преданный дурак хуже врага» Народная мудрость План презентации 1. 2. 3. Стандарт Банка России СТО БР ИББС-1.0 об угрозе инсайдера. Влияние внедрение DLP-системы на результаты самооценки Выводы Стандарт Банка России СТО БР ИББС-1.0-2006 об инсайдере 5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ 5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации. Стандарт Банка России СТО БР ИББС-1.0-2006 об инсайдере 5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ 5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора “отмычек” к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. 5.10. … Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться. Влияние внедрение DLP-системы на результаты самооценки Показатели из методики оценки, которые изменятся после внедрения DLP-системы Групповой показатель M1 “Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу” M1.1 Определены ли роли персонала организации БС РФ (далее — организации)? M1.2 Персонифицированы ли роли в организации? Показатели из методики оценки, которые изменятся после внедрения DLP-системы Групповой показатель M3 “Обеспечение информационной безопасности при управлении доступом и регистрации” M3.1 Соблюдаются ли при распределении прав доступа к активам организации принципы: — “знать своего клиента”; — “знать своего служащего”; — “необходимо знать”; — “двойное управление”? M3.2 Применяются ли в составе АБС встроенные механизмы защиты информации и/или сертифицированные (или разрешенные к применению) средства защиты информации от НСД? M3.5 Выполняется ли контроль доступа пользователей к ресурсам всех ЭВМ и/или ЛВС, задействованных в технологических процессах? M3.7 Регистрируются ли действия сотрудников и пользователей, влияющие на ИБ, в специальном электронном журнале либо регистрация обеспечивается организационными и/или административными мерами? M3.8 Предоставлен ли доступ к электронному журналу регистрации действий пользователей и сотрудников только администратору ИБ и отсутствует ли возможность редактирования записей данного электронного журнала? Показатели из методики оценки, которые изменятся после внедрения DLP-системы Групповой показатель M5 “Обеспечение информационной безопасности при использовании ресурсов сети Интернет” M5.1 Используются ли ресурсы сети Интернет не более чем для ведения дистанционного банковского обслуживания, получения и распространения информации, связанной с банковской деятельностью, информационноаналитической работы в интересах организации, обмена почтовыми сообщениями исключительно с внешними организациями, а также ведения собственной хозяйственной деятельности? M5.3 Применяются ли защитные меры для осуществления безопасного электронного почтового обмена через сеть Интернет? M5.4 Осуществляется ли архивирование сообщений электронной почты? M5.5 Применяются ли защитные меры, запрещающие изменение архива сообщений электронной почты и разрешающие доступ к нему только подразделению (лицу), ответственному за обеспечение ИБ? M5.7 Kонтролируется ли подразделениями (лицами) в организации, ответственными за обеспечение ИБ, подключение и использование ресурсов сети Интернет? Показатели из методики оценки, которые изменятся после внедрения DLP-системы Групповой показатель M8 “Обеспечение информационной безопасности банковских информационных технологических процессов” M8.1 Определено ли руководством, какая информация, не являющаяся платежной, подлежит защите, и классифицирована ли данная информация? M8.6 Осуществляет ли администратор ИБ контроль над действиями администраторов АБС и пользователей? Показатели из методики оценки, которые изменятся после внедрения DLP-системы Групповой показатель М19 “Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ” М19.1 Существуют ли документы, определяющие процедуры мониторинга и контроля защитных мер, включая регистрацию действий и событий, связанных со СМИБ? М19.2 Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля изменений и использования прав доступа пользователей? М19.3 Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля средств и подсистем управления доступом и регистрации? М19.4 Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования оборудования и выявления нештатных (или злоумышленных) действий в организации, а также выявления потенциальных нарушений ИБ? М19.6 Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования ресурсов сети Интернет? М19.9 Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля банковских информационных технологических процессов? М19.11 Осуществляются ли в организации процедуры по управлению данными мониторинга и контроля? Показатели из методики оценки, которые изменятся после внедрения DLP-системы Групповой показатель М21 “Внутренний аудит СМИБ” М21.3 Используются ли при проведении внутреннего аудита ИБ данные мониторинга ИБ (в том числе журналы регистрации инцидентов ИБ)? М21.4 Определен ли документально и выполняется ли порядок подготовки и предоставления исходных данных (источников свидетельств аудита ИБ, свидетельств аудита ИБ) при проведении внутреннего аудита ИБ? Групповой показатель М23 “Внешний аудит СМИБ” М23.2 Определен ли документально и выполняется ли порядок подготовки и предоставления исходных данных (источников свидетельств аудита ИБ, свидетельств аудита ИБ) при проведении внешнего аудита ИБ? Инструмент для проведения анализа Результаты оценки групповых показателей Обозначени е группо вого показа теля ИБ Вопрос Оценка M1 Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу 0,180000 M3 Обеспечение ИБ при управлении доступом и регистрации 0,416250 M5 Обеспечение ИБ при использовании ресурсов сети Интернет 0,629000 M8 Выполнение правил обеспечения ИБ банковских информационных технологический процессов 0,169600 M19 Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ 0,546300 M21 Внутренний аудит СМИБ 0,057500 M23 Внешний аудит СМИБ 0,068500 Диаграмма соответствия Выводы: 1. Целью Стандарта СТО БР ИББС-1.0 является внедрение системы менеджмента информационной безопасности, а не отдельных технических мер защиты, пусть и эффективных. Поэтому даже внедрение средств защиты от инсайдера не оказывает существенного влияния на итоговый результат самооценки. 2. Внедрение DLP-систем позволяет значительно улучшить результат оценки групповых показателей М3 «Обеспечение ИБ при управлении доступом и регистрацией» и М19 «Мониторинг и контроль защитных мер, включая регистрацию действия и событий, связанных со СМИБ». Спасибо за внимание! Музипов Фарит Халитович Зам.начальника СБ по ИБ http://www.icicibankrussia.com E-mail: mfarit@risspa.org