1 / 40

ISO/IEC 27001 международный подход к информационной безопасности

ISO/IEC 27001 международный подход к информационной безопасности. Александр Дмитриев Эксперт по системам менеджмента информационной безопасности Lead auditor ISO/IEC 27001 TUV Nord Ukraine GmbH Тел.: (050)-131-26-07 E - mail : admitriev @ tuev - nord . com . ua. Основы стандарта

kamal-roberson
Download Presentation

ISO/IEC 27001 международный подход к информационной безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISO/IEC 27001 • международный подход к информационной безопасности Александр Дмитриев Эксперт по системам менеджмента информационной безопасностиLead auditor ISO/IEC 27001TUV Nord Ukraine GmbH Тел.: (050)-131-26-07 E-mail: admitriev@tuev-nord.com.ua

  2. Основы стандарта ISO/IEC 27001

  3. АКТИВЫ – основные объекты информационной безопасности • Актив (asset) – • все, что имеет ценность для организации • ISO/IEC 13335-1:2004 • Информационный актив – • материальный или нематериальный объект, который: • является информацией или • содержит информацию, • имеет ценность для организации.

  4. ОБЪЕКТЫ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Простые и сложные активы: • Простые активы • Законодательная база • Технологические регламенты • Тендерные предложения • Рабочие журналы • Отчеты для руководства • Электронные документы • Документы на бумажном носителе • Сложные активы • Компьютер службы сбыта с коммерческой информацией по потребителям • Сервер, обеспечивающий электронный документооборот предприятия • Архив (помещение) с документами на бумажных носителях • Генеральный директор, в голове у которого план перспективной и оперативной деятельности

  5. СВОЙСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  6. СВОЙСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ • КОНФИДЕНЦИАЛЬНОСТЬ • попадание коммерческой информации к конкурентам или злоумышленникам • доступ к информации третьих лиц, содержащую коммерческую тайну • ДОСТУПНОСТЬ • отказ в обслуживании сервисов, средств обработки информации, оборудования; • несвоевременность получения информации, необходимой для • осуществления рабочей операции • остановка рабочего процесса подразделений, работа которых • требует постоянного наличия телефона/факса/компьютера • ЦЕЛОСТНОСТЬ • некорректность полученной информации для • выполнения рабочих операций • неточность данных об остатках на складах

  7. Система менеджмента информационной безопасности АКТИВЫ УЯЗВИМОСТИ КАК ЭФФЕКТИВНО ПОСТРОИТЬ ЗАЩИТУ ??? УГРОЗЫ

  8. ПРИЗНАННЫЙ ПОДХОД К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ • МОЖНО ЛИ ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ ИСКЛЮЧИТЕЛЬНО ЗА СЧЕТ ИСПОЛЬЗОВАНИЯ ТЕХНИЧЕСКИХ СРЕДСТВ? • А КАК НАСЧЕТ: • ПЕРСОНАЛА, • ОСТЛЕЖИВАНИЯ НОВЫХ УГРОЗ, • ЧРЕЗВЫЧАЙНЫХ ПРОИШЕСТВИЙ, • ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛА И ОБОРУДОВАНИЯ? • КАК ОЦЕНИТЬ ЦЕЛЕСООБРАЗНОСТЬ ПРИОБРЕТЕНИЯ ТЕХНИЧЕСКИХ • СРЕДСТВ?

  9. Стандарт ISO/IEC 27001:2005 – требования к системе менеджмента информационной безопасности Лучшая мировая практика в области управления информационной безопасностью

  10. Выгоды внедрения ISO/IEC 27001

  11. Выгоды внедрения стандартаISO/IEC 27001:2005 ПОНЯТНОСТЬ ИНФОРМАЦИОННЫХ АКТИВОВ С ДЛЯ МЕНЕДЖМЕНТА КОМПАНИИ • Организация должна управлять активами: • Инвентаризация активов • Определение ответственных за активы • Разработать принципы классификации активов по их значимости, правовым требованиям, важности и критичности для организации • Идентифицировать активы в соответствии с принципами классификации • Стандарт ISO/IEC 27001. Обязательное приложение А. Требование А.7 • Актив (asset) – • все, что имеет ценность для организации • ISO/IEC 13335-1:2004

  12. Выгоды внедрения стандартаISO/IEC 27001:2005 РЕЗУЛЬТАТИВНОЕ ВЫПОЛНЕНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ(НАХОДИТЬ И ИСПРАВЛЯТЬ СЛАБЫЕ МЕСТА В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ) Руководство должно: • Разрабатывать политики СМИБ • Устанавливать цели и планы • Распределять ответственность в области ИБ • Доводить до сведения всех сотрудников… • Обеспечивать ресурсами • Принимать решения о приемлемых уровнях рисков • Обеспечивать проведение внутренних аудитов • Проводить анализ СМИБ • Стандарт ISO/IEC 27001. Пункт 5.1

  13. Выгоды внедрения стандартаISO/IEC 27001:2005 РЕГУЛЯРНОЕ ВЫЯВЛЕНИЕ УГРОЗ И УЯЗВИМОСТЕЙ БЕЗОПАСНОСТИ ДЛЯ СУЩЕСТВУЮЩИХ БИЗНЕС-ПРОЦЕССОВ. Организация должна идентифицировать риски: • Идентифицировать активы • Идентифицировать угрозы этим активам • Идентифицировать уязвимости, которые • могут быть использованы этими угрозами • Определить воздействие, которое может • привести к потере конфиденциальности, • целостности и доступности ресурсов. • Стандарт ISO/IEC 27001. Пункт 4.2.1 г) • РИСК = Стоимость актива * Вероятность реализации угрозы

  14. Выгоды внедрения стандартаISO/IEC 27001:2005 РАСЧЕТ РИСКОВ И ПРИНЯТИЕ РЕШЕНИЙ НА ОСНОВЕ БИЗНЕС-ЦЕЛЕЙ Организация должна проанализировать и оценить риски: • Оценить ущерб бизнесу • Оценить вероятность возникновения нарушения • Оценить уровни рисков • Определить, является ли риск приемлемым или требуется обработка риска с использованием критериев принятия риска • Стандарт ISO/IEC 27001. Пункт 4.2.1 д)

  15. Выгоды внедрения стандартаISO/IEC 27001:2005 ЭФФЕКТИВНОЕ УПРАВЛЕНИЕ ПРЕДПРИЯТИЕМ В КРИТИЧНЫХ СИТУАЦИЯХ Организация должна управлять непрерывностью бизнеса: • Определить и внедрить процессы для непрерывности бизнеса • Идентифицировать события, которые могут привести к нарушениям бизнес-процессов, определить возможности и степени влияния • Разработать планы восстановления • Определить приоритеты планов для их тестирования и поддержки • Тестировать и регулярно обновлять планы • Стандарт ISO/IEC 27001. Обязательное приложение А. • Требование А.14

  16. Выгоды внедрения стандартаISO/IEC 27001:2005 СНИЖЕНИЕ И ОПТИМИЗАЦИЯ СТОИМОСТИ ПОДДЕРЖКИ СИСТЕМЫ БЕЗОПАСНОСТИ $ $ Активы Стоимость активов Принятие решения о мерах по снижению риска Финансирование ИБ $ Риски Величина риска

  17. Схема работы стандарта ISO/IEC 27001

  18. Структура стандарта. НАПРАВЛЕНИЯ Направления безопасности Направления безопасности Ответственность руководства Улучшение СМИБ Внедрение СМИБ Внутренний аудит Мониторинг СМИБ ОСНОВА УПРАВЛЕНИЕ РИСКАМИ

  19. Риск менеджмент Риск менеджмент включает в себя анализ и оценку сильных и слабых сторон организации с точки зрения взаимодействия со всевозможными контрагентами.

  20. Риск менеджмент Отчет об анализе рисков

  21. Риск менеджмент Сложная методика = финансовые потери предприятия

  22. Риск менеджмент • Согласно методике управления рисками: • Работаем над снижением наиболее опасных рисков • Принимаем остаточные риски • Положение о принятии рисков • Генеральный директор … Подпись Дата

  23. Направления безопасности

  24. Общая схема работы СМИБ I этап. СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ II этап. определение направлений защиты III этап. реализация мер защиты ($$$) ОрганизационныеУчебныеПрограммныеАппаратные

  25. Некоторые особенности внедрения ISO/IEC 27001 на украинских предприятиях

  26. Всем спасибо! Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков! Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках …. Вышел закон о защите персональных данных. Надо учесть! Персонал не знает правила инф. безо-пасности! У нас нет общей концепции безопасности! Как принимать персонал? Много ошибок при работе эл. почты! Настаиваю на проверке! Комитет по ИТ-безопасности Работа СМИБ по требованиям ISO 27001 Пункт 5.1.с Установка ролей и ответственности

  27. Работа СМИБ по требованиям ISO 27001 Пункт A.8.1 Приоритеты найма служащих А.8.1.1 Роли и ответственность А.8.1.2 Подбор и прием персонала А.8.1.3 Условия работы

  28. Работа СМИБ по требованиям ISO 27001 Пункт A.9. Физическая безопасность и безопасность окружения • Территория • Периметр • Особо важные зоны • Зоны общего доступа • Оборудование • Основное • Вспомогательное

  29. Работа СМИБ по требованиям ISO 27001 Пункт A.10.7.2 Утилизация носителей информации все носители, срок эксплуатации которых истек, должны быть уничтожены в установленном порядке;

  30. Работа СМИБ по требованиям ISO 27001 Пункт A.10.7.4 Безопасность системной документации • Процедура обращения с системной документацией: • Место хранения • Доступ • Срок хранения (привязка к сроку жизни систем)

  31. Работа СМИБ по требованиям ISO 27001 Пункт A.10.10.4 Действия системного администратора Действия системного администратора и системного оператора также должны записываться в журнал.

  32. Работа СМИБ по требованиям ISO 27001 Пункт A.10.10.5 Запись сбоев • Сбои должны быть записаны, проанализированы и • по ним должны быть предприняты соответствующие действия. • Общие рекомендации: • Сбои могут фиксироваться как системой автоматически, так и вручную на основании анализа логов работы системы • В случае отсутствия отдельного автоматического лога для сбоев необходимо определить и использовать определенный идентификатор • В случае ведения логов по сбоям в автоматическом режиме при выходе из строя средства записи логов необходимо зафиксировать сбой в ручном режиме • Разработать классификатор сбоев для оперативного выявления критичных и некритичных сбоев

  33. Работа СМИБ по требованиям ISO 27001 Пункт A.11.3.3 Политика чистого рабочего стола и экрана • Рабочие стол • Рабочие стол пользователя не должен содержать конфиденциальную информацию во время присутствия посторонних лиц • - Работа не более чем с 1-м конфиденциальным документом • Правило помещения документов в стол или переворачивания документов при входе постороннего • По окончании работы пользователь должен убрать со стола все документы • Экран • В автоматизированной системе необходимо учесть автоматическое выполнение данных функций (по тайм-ауту, например), чтобы свести влияние человеческого фактора к минимуму.

  34. Работа СМИБ по требованиям ISO 27001 Пункт A.13Управление инцидентами информационной безопасности Важно, чтобы ни один инцидент не остался незамеченным!

  35. Работа СМИБ по требованиям ISO 27001 Пункт A.14 Непрерывность бизнеса Тестирование планов обеспечения непрерывности бизнеса а) базовые тесты различных сценариев (обсуждение мероприятий по восстановлению бизнеса в случае различных ситуаций)б) моделирование (практический тренинг персонала по действиям в критичной ситуации)в) тестирование технических мероприятий по восстановлению (для гарантии того, что информационная система будет эффективно восстановлена) г) тестирование технических мероприятий по восстановлению в альтернативном месте (запуск бизнес процессов вместе с восстановительными мероприятиями вне основного места расположения)д) тесты систем и поставщиков услуг (гарантия, что внешние предоставляемые сервисы и продукты будут соответствовать контрактным обязательствам)е) комплексные учения (тестирование того, что компания, персонал, оборудование, информационная система могут справиться с нештатной ситуацией)

  36. Работа СМИБ по требованиям ISO 27001 Пункт A.15.1.2 Права интеллектуальной собственности Основа - соблюдение «Закона о защите авторских и смежных прав» Проблемные места: - Использование нелицензионного программного обеспечения - Незаконное использование авторских разработок

  37. Работа СМИБ по требованиям ISO 27001 Пункт A.15.1.5 Предотвращение нецелевого использования средств обработки информации

  38. Возможные варианты отношения сотрудников к информационной безопасности Агрессия Страх Соучастие

  39. БЛАГОДАРЮ ЗА ВНИМАНИЕ Александр Дмитриев Эксперт по системам менеджмента информационной безопасностиLead auditor ISO/IEC 27001

More Related