1 / 47

Управление и Информационна сигурност

Управление и Информационна сигурност . EQE България АД Компания на ABS Group www.abs-group.com. Митко Мирчев Атанаска Пенева Емил Иванчев. EQE България – базова информация .

cade
Download Presentation

Управление и Информационна сигурност

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Управление и Информационна сигурност EQE България АД Компания на ABS Group www.abs-group.com Митко Мирчев Атанаска Пенева Емил Иванчев

  2. EQE България – базова информация • През 1992 г е учредено местно акционерно дружество с мажоритарен собственик EQE International Inc., САЩ - глобално представена специализирана компания в областта на рисковите анализи и специалното инженерство. • През 2000 г. в резултат на сливане на EQE International и ABS Group е учредена ABS Consulting - глобална консултантска компания обединени в няколко бизнес звена.

  3. Дейности на EQE България • Инженерно-проектантски услуги • Земетръсно инженерство и силни въздействия • Супервизии и инспекции • Анализи на риска • Консултиране, разработване и внедряване на управленски системи

  4. Защо сме с вас? • PR – QMS – IMS не съществуват сами за себе си • СУ осигурява връзката с изискванията и удовлетвореността на заинтересованите страни • Осъзнаване и компетентност • Оценка на обкръжаващата среда • Информацията като водещ ресурс

  5. Отговорност на ръководството Измервания, анализи иподобряване Управление на ресурсите Заинтересовани страни Заинтересовани страни Система за управление Изисквания Реализация на Удовлетворение Продукт/услуга Бизнес цели Продукт Услуга Инфор-мация Вход Изход Процесен Модел Непрекъснато подобряване на системата за управление

  6. Системен подход • Взаимосвързани и развиващи се части и подсистеми • Вътрешна йерархия • Процесите се разглеждат на принципа от общото към частното - отражение на реалния обект • Основни цели, разделени на подцели/задачи • Управленски решения - след анализ на ситуации от миналото и оценка на възможни последствия

  7. Качество – стандарти ISO 9000 Серията от стандарти ISO 9000 описват набор от правила и практики, реализирането на които позволява създаване и поддържане на система, осигуряваща непрекъснато изискваното качество, както и неговото подобряване.

  8. Качество – стандарти ISO 9000 • ISО 9000:2000 Системи за управление на качеството- Основни понятия и речник • ISО 9001:2000 Системи за управление на качеството – Изисквания • ISО 9004:2000 Системи за управление на качеството – Ръководство по подобряване на резулатите • ISО 19011:2002 - Указания за одит на системи за управление на качеството и/или за управление на околната среда

  9. Качество – принципи на управление • Насоченост към потребителя • Лидерство • Въвличане на хората • Процесен подход • Системен подход към управлението • Непрекъснато подобряване • Вземане на решения, основани на факти • Взаимноизгодни отношения с доставчиците

  10. НЕПРЕКЪСНАТО ПОДОБРЯВАНЕ Системен подходPDCA - цикъл Цели Резултати Планиране PLAN Корекции ACT Извършване DO Проверка CHECK

  11. Управление на качеството Координирани дейности, за ръководене и контрол в една организация по отношение на качеството Управлението на качеството включва: • политика • цели • планиране • оперативно управление • осигуряване • подобряване

  12. EQE България • Динамична организационна структура • Висше ръководство - Борд на директорите • Oперативно ръководство - Изпълнителeн директор, мениджър бизнес развитие, мениджър по управление на качеството, ръководители на направления и главeн счетоводител • Направления: “Строително и сеизмично инженерство”, “Технологично инженерство” и “Системи за управление” • Ръководител на проект, водещ инженер, член на екипа на проект

  13. СУК на EQE Мисия: "Чрез високотехнологични консултантски и проектантски услуги да подпомага своите клиенти в стремежа им постоянно да повишават качеството и безопасността на дейността си и да намаляват съпътстващите въздействия върху околната среда" Ценностна система • Интересите на нашите клиенти • Осъзнаваме нашата отговорност • Нашите активи – експертите и репутацията Глобална цел: ”Задоволяване на изискванията на клиентите чрез качествени и икономически ефективни инженерни или управленски решения, които не застрашават здравето на хората и безопасността на обекта, не замърсяват околната среда, решения - съобразени с изискванията на закона, приложимите международни стандарти и нормативните документи, действащи в страната”.

  14. Документи Документация EQE Политика Цели • Политика • Цели • Задачи за 2007 • Наръчник по качеството • Таблица на цитиране на документите по УК • Процеси (7) • Длужностни характеристики • Процедури (6) • Работни инструкции (8) • Записи по качество, съгласно изискванията на процеси, процедури, инструкции; бланки • Технически архив • Нормативна библиотека НК Системни и процесни процедури Работни процедури (инструкции), методики, изисквания Записи, външна комуникация, стандарти, закони, нормативи и пр.

  15. Процедури КАКВО ? • Какво представлява целта на производството, услугата или административната дейност • Какво се прави за постигане на тази цел • Какво е необходимо да се направи, ако целта не бъде постигната КОЙ ? • Кой изпълнява дейностите • Кой трябва да контролира изпълнението • Кой проверява специфичния продукт, издава документите и т.н.

  16. Процедури КАК ? • Как се изпълнява дейността • Как се изпитва продуктът или оценява услугата • Как се събират и регистрират данните • Как се оценява ефективността КОГА ? • Кога се изпълнява процедурата • Кога да се изпълни конкретна операция • Кога да се проведат изпитанията и т.н.

  17. Управление насигурносттанаинформациятаСъдържание • Предизвикателствата предбизнеса 2. Принципина управление на сигурността 3. Модели на системи за управление 4. Системи за управлениена сигурносттана информацията 5. Въпроси и коментари

  18. Global Compact Глобални цели на управлението на бизнеса • Осигуряване на непрекъснатост /стабилност/ на бизнеса • Минимизиране на щетите за бизнеса • Максимизиране на възвръщаемостта на инвестициите

  19. 11 СЕПТЕМВРИ, 2001 Сигурността е водещ фактор във всички сектори на глобалната икономика и нашия живот.

  20. Ключови елементи в изграждането на системата за сигурност • E-government приложения и услуги. • Защита на информационната инфраструктура с национално значение. • Неприкосновеност - необходимост от защита на личните данни.

  21. OECD Принципи за сигурност • Осъзнаване Да бъде осъзната необходимостта от сигурност на инфорационните системи и мрежи и с какво те спомагат за изграждане насигурна бизнес среда. • Отговорност Отговорност за сигурността на информационни системи и мрежи. • Оценка на риска Прилагане на механизми за оценка на риска.

  22. OECD Принципи за сигурност • Проектиране и внедряване на системи за сигурност Сигурността да бъде включена като един от ключовите елементи в структурата на информационните системи и мрежи. • Управление на сигурността Изчерпателен подход в управлението на сигурността. • Реакция Навременна намеса и сътрудничество за предотвратяване, откриване и реакция при инциденти по сигурността.

  23. OECD Принципи за сигурност • Демократичност Сигурността на информационните системи и мрежи трябва да бъде съвместима с ценностите на демократичното общество. • Етичност Уважение към законовите права на другите. • Периодична оценка Преглед и периодична оценка на сигурността на информационните системи и мрежи и изработване на подходящи промени в политиката за сигурност, включвайки подходящи практики, мерки и процедури за сигурността.

  24. Околна среда Комуни-кации с клиенти ...... Финанси Социална отговорност Качество Сигурност Човешки ресурси Здраве и безопасност Системи за управление

  25. Система за управление насигурността наинформацията ISO/IEC 27001

  26. Какво представлява информационната сигурност ? Конфиденциалност Confidentiality ПРОСЛЕДИМОСТ TRACEABILITY Цялостност Integrity Наличност Availability

  27. Източници за определяне на изискванията за сигурността • правни, законови, регулаторни • договорни изисквания, • оценката на рисковете • принципи, цели и бизнес изисквания

  28. Информационна сигурност - Структура Информационна сигурност 45% 55% Административна сигурност IT-Сигурност Data Centre-Сигурност Комуникационна сигурност Физическа сигурност Непрекъснатост на управлението

  29. Контрол, от гледна точка на законодателството за защита на: • данните и тайната на личната информация; • записите на организацията; • правата на интелектуална собственост.

  30. Най-добра практика за сигурност включва: • политиката за сигурност; • разпределение на отговорностите по сигурността; • осведоменост, образование и обучение по сигурност; • правилна обработка в приложенията; • управление на техническата уязвимост; • управление на инцидентите със сигурността; • управление на непрекъснатостта на бизнеса; • усъвършенствания

  31. Серията ISO/IEC 27000 • ISO 27000 – Принципи и речник (в разработка) • ISO 27001 – ISMS изисквания (BS7799 – Част 2) • ISO 27002 – (ISO/ IEC 17799:2005) • ISO 27003 – ISMS Ръководство за приложение (2007) • ISO 27004 – ISMS Метрики и измерване (2007) • ISO 27005 – ISMS Управление на риска • ISO 27006 – 27010 – за бъдещо ползване

  32. Развитие на ISMS стандарта(BS7799 - ISO/IEC 17799 - ISO/IEC 27001:2005) 200X ISO 27005 2008 ISO 27000 2007 ISO 27004 2007 ISO 27003 2005 ISO/IEC 27001:2005 ISO/IEC 17799:2005 2002 Нов BS 7799-2 2001 Нов BS 7799-2 (проект) Декември 2000 ISO/IEC 17799:2000 Шведски стандарт SS 62 77 99 Част 1 & 2 1999 Ново издание на BS 7799 Част 1 & 2 1998 BS 7799 Част 2 1995 BS 7799 Част 1

  33. Ключови точки на сигурността • Сигурността спомага за изпълнение на мисията на организацията • Сигурността е неделим елемент от управлението • Сигурността трябва да бъде Cost-Effective • Собственика на системата носят отговорност относно сигурността извън тяхната организация • Отговорностите за сигурността трябва да бъдат ясно формулирани • Сигурността изисква изчерпателен и цялостен подход • Сигурността трябва да бъде периодически оценявана • Сигурността е ограничена от факторите на социалната среда

  34. ISO/IEC 27001:2005 Пет задължителни изисквания • Раздел 4 – Общи изисквания и изисквания към документацията • Общи изисквания • Установяване и поддръжка • Изисквания към документацията “Организацията трябва да изгради, внедри, поддържа и непрекъснато да подобрява документираната ISMSISMS изцяло в контекст на бизнес активите и риска на организацията. За целите на този стандарт използваните процеси се основават на PDCA модела...”

  35. ISO/IEC 27001:2005 • Раздел 5 –Отговорност на ръководството • Съпричастност на ръководството • Управление на ресурсите • Раздел 6 – Вътрешен ISMSoдит • Раздел 7 – Преглед от ръководството на ISMS • Преглед на входните данни • Преглед на изходните данни • Раздел 8 – Подобряване на ISMS • Непрекъснато подобряване • Коригиращи действия • Превантивни действия

  36. ISO/IEC 27001:2005 Анекс A- Контроли на управлението • A.5- Политика на сигурността • A.6- Организационна и информационна сигурност • A.7- Управление на активите • A.8- Сигурност на човешките ресурси • A.9- Физическа сигурност и защита от околната среда • A.10- Управление на комуникациите • A.11- Контрол на достъп • A.12- Информационни системи, изграждане и поддръжка • A.13- сигурност на информацията при инциденти • A.14- Управление на непрекъснатостта на бизнеса • A.15- Съответствие

  37. Plan Do Check Act Cycle (PDCA)

  38. Критични фактори за успех • Опитът показва, че следните фактори са критични за успешното внедряване на информационната сигурност вътре в организацията: • Политиката на сигурност, цели и дейности, които оказват влияние върху бизнес целите на организацията • Подходът на внедряване на сигурността, който е съставна част от културата на организацията • Видима поддръжка и съпричастност от страна на ръководството • Правилно разбиране на изискванията за сигурност, оценяването на риска и управлението на риска • Ефективен маркетинг на идеологията за необходимост от сигурност, възприет и осъзнат от всички мениджъри и служители • Предоставяне на информация относно политиката за сигурност до всички служители • Осигуряване на подходящо обучение

  39. ISO/IEC 27002:2007 • 11 точки за контрол на риска; • 39 основни категории сигурност; • 133 контроли на сигурността.

  40. Информация Служители Клиенти Финанси Управление на комуникациите Схема на ISO/IEC 27001 Политика за сигурност Съответствие Организационна сигурност Управление на непрекъснатостта на бизнеса Класифициранe на активите и контрол Изграждане и поддържане на системата Сигурност на персонала Контрол на достъп Сигурност на физическо ниво

  41. Оценка на риска

  42. Оценка на риска

  43. Оценка на риска

  44. Оценка на риска • Всички с оценка над 100 да се определят контроли • Да се преизчисли риска след прилагане на приложените контроли

  45. Anti-Spam Engine Филтриране Входяща поща

  46. Заключение Нашите възможности • Да се пренебрегнат моделите • Да се изгради система за управление съгласно моделите • Сертифициране EQEB

  47. Въпроси УСПЕХ НА ВСИЧКИ! Questions & Answers ? Митко Мирчев Атанаска Пенева Емил Иванчев E-mail: mirtchev@eqe.bg app@eqe.bg eii@eqe.bg

More Related