Создание, внедрение, сопровождение и совершенствование системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001

Алешечкин П.Г.
Выпускник группы MBA СSO 13
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Введение

Сегодня финансово-кредитные организации постоянно сталкиваются с большим количеством существующих угроз, таких как компьютерное мошенничество, компьютерные вирусы, взлом информационных систем, таргетированные атаки, отказы в обслуживании и др. Актуальность этих рисков подтверждается реальными инцидентами, произошедшими в российских банках за последнее время, вследствие которых они понесли значительные финансовые потери.

Высокая зависимость банков от информационных систем, программного обеспечения, оборудования, компьютерных сетей повышают уязвимость организаций от подобных угроз. Бурное развитие технологий и мобильных устройств за последнее время еще больше усугубляют ситуацию с обеспечением информационной безопасности, в том числе и при осуществлении электронных платежей через системы дистанционного банковского обслуживания.

 Поскольку, достаточно часто при проектировании и внедрении банковских информационных систем вопросам информационной безопасности не уделялось должного внимания, то во многих случаях проблемы защиты информации могут негативно сказываться на нормальном функционировании основных бизнес-процессов банков, а зачастую могут вести и к прямым финансовым убыткам. Поэтому, сегодня все более актуальным становится комплексный подход к построении системы информационной безопасности, которая задействует не только технические, но и организационные меры защиты. Построение комплексной системы информационной безопасности поможет снизить основные риски банков, сократить финансовые потери и при этом, стоимость внедренных мер защиты будет стоить значительно дешевле, чем ликвидация последствий угроз ИБ.

Построению комплексной системы информационной безопасности посвещены многие стандарты в области ИБ как зарубежные, так и российские. Одним из них является ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и  Международной электротехнической комиссией.

В стандарте ISO/IEC 27001 собраны описания лучших мировых практик в области управления информационной безопасности. ISO/IEC 27001 описывает требования для создания, внедрения, сопровождения, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения системы менеджмента информационной безопасности (СМИБ) в контексте общих деловых рисков организации. СМИБ разрабатывается для того, чтобы обеспечить выбор адекватных и пропорциональных средств защиты для информационных активов, а также для того, чтобы придать уверенность заинтересованным сторонам.

Стоит также отметить, что сертификация на соответствие стандарту хоть и не является обязательной, но позволяет продемонстрировать эффективное управление информационной безопасностью партнерам, инвесторам и клиентам. В свою очередь это обеспечивает компании конкурентное преимущество, показывая способность управлять информационными рисками, при этом также увеличивается и капитализация компании.

Объект проектного исследования

«Весткоммерц банк» (далее – Банк) является дочерним банком «Весткоммерцевропа банк» (Австрия). Доля иностранного участия составляет 100%. Банк  был создан в 1992 году. Местонахождение центрального офиса в России – г. Москва. Банк предоставляет услуги, направленные на удовлетворение потребностей частных лиц, представителей малого и среднего бизнеса.

Цели дипломной работы

1.      Внедрить в Банке систему менеджмента информационной безопасности  в соответствии со стандартом ISO/IEC 27001.

2.      Выполнить требования головной компании банка в части проведения сертификации на соответствие стандарту ISO/IEC 27001.

Практическая значимость внедрения СМИБ для Банка.

В качестве области действия СМИБ было выбрана система дистанционного банковского обслуживания (ДБО), как система с наиболее высокими рисками для Банка. Реализация СМИБ позволит:

Основные задачи, которые необходимо решить во время работы.

В процессе построения системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001 в рамках области действия СМИБ в Банке необходимо:

1. Получить одобрение руководства Банка на запуск проекта СМИБ.

2. Описать область действия и разработать политику СМИБ.

3. Разработать общий план проекта по реализации СМИБ.

4. Провести анализ требований к информационной безопасности.

5. Определить перечень информационных активов и процессов.

6. Описать обобщенное состояние безопасности и наличие выявленных уязвимостей.

7. Определить методологию оценки рисков ИБ.

8. Создать методику оценки и обработки рисков.

9. Создать план обработки рисков.

10.Разработать декларацию о применимости (SOA).

11. Разработать политику информационной безопасности.

12. Описать план и методику проверок СМИБ, проводимых руководством.

13. Разработать программу информирования, обучения и образования в области ИБ.

14. Провести сертификацию на соответствие стандарту ISO/IEC 27001.

Содержание дипломной работы

В теоретической части дипломной работы рассмотрены назначение, история  создания, основные принципы стандарта ISO/IEC 27001, а также указаны выгоды для Банка в результате внедрения стандарта.

В методической части описана методика построения СМИБ на основе цикла Деминга (Plan - Do - Check - Act), которая состоит из 4 этапов: планирование СМИБ,  реализация и эксплуатация СМИБ, оценка результатов деятельности и контроль СМИБ, улучшение СМИБ.       

В третьей части дипломной работы показано как СМИБ была разработана и внедрена на практике в коммерческом банке  «Весткоммерц банк». А также как была проведена сертификация на соответствие стандарту ISO/IEC 27001.

Заключение

С помощью данной работы в банке  «Весткоммерц банк» был инициирован проект и внедрена система менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001.

 Внедрение СМИБ позволило не только решить проблему с хищением денежных средств через систему ДБО, но и выполнить требования головной копании банка и регулирующих органов РФ. Сертификация же на соответствие стандарту ISO/IEC 27001 позволила поднять престиж банка в лице существующих партнеров и клиентов, а также получить преимущество перед конкурентами.