1 / 9

Информационная безопасность 4CIO

feat. глава для книги. Информационная безопасность 4CIO. Докладчик: Начальник отдела ИБ ОАО «СО ЕЭС» Кондратенко Андрей Александрович. Информационная безопасность 4 CIO. Откуда глава?

monita
Download Presentation

Информационная безопасность 4CIO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. feat. глава для книги Информационная безопасность 4CIO Докладчик: Начальник отдела ИБ ОАО «СО ЕЭС» Кондратенко Андрей Александрович

  2. Информационная безопасность 4 CIO Откуда глава? По результатам анализапервого издания учебника для CIO, у меня остался вопрос: «А где же информационная безопасность?». Почему на информационную безопасность всегда обращают внимание по остаточному принципу? Ведь потом же нужно ставить костыли. И вот опять… Но появился Сергей Кирюшин и предложил написать сочинение на заданную тему.

  3. Почему актуально? Угрозы реально растут с ростом информационных технологий (виртуализация, «облака», глобализация, удаленные работники и т.д.). Рынок информационной безопасности постоянно растет (последние тренды: DLP, анализ уязвимостей, защиты ПДн) и, кстати, не на пустом месте (законы, постановления правительства, нормативные акты регуляторов). Если решили заниматься ИБ, то как? Отставание средств защиты от угроз (по данным IDC)

  4. Кто отвечает за ИБ? Кому подчиняется информационная безопасность: Директору по информационным технологиям или Директору по безопасности? Нет универсального ответа, есть плюсы и минусы. Много зависит от харизмы руководителей и профессионализма персонала. Основные вопросы: нужно ли контролировать ИТ извне и на сколько ИТ свойственны задачи ИБ? ИБ и ИТ-безопасность – разные вещи, ИБ – это защита бумажных документов, защита от побочных электромагнитных излучений и наводок, аттестация объектов информатизации, помещений и пр. CISOдолжен знать всё!

  5. Защита информации Что защищаем? Информацию! А конкретнее: - средства, участвующие в процессе обработки (хранения, передачи) информации: носители (жесткие диски, флешки, ленты и т.д.); - программные средства (ОС, СУБД, прикладное ПО и т.д.); - каналы связи (локальные вычислительные сети, каналы передачи данных и т.д.); - оборудование (ПК, серверы и т.д.) От чего защищаем? От угроз и рисков. Как защищаем? Анализ рисков. Уменьшение воздействие.

  6. Организация работ по обеспечению ИБ Как управляем? Разрабатываем, утверждаем и издаем Концепцию или Политику, содержащую цели, задачи, принципы, правила и требования. Назначаем персональную ответственность за обеспечение ИБ и нарушение ИБ. Создаем систему управления (в каком угодно виде, но с обратной связью). Процессная модель управления: «Планирование (Plan) – Реализация (Do) – Проверка (Check) – Действие (Act)»

  7. Средства защиты Методы защиты информации: правовые(заключение соглашений, категорирование и присваивание грифа информации), экономические(страхование рисков), организационные(изменение оргструктуры, внедрение политик и инструкций и пр.), технические(использование средств защиты информации и пр.) и т.д. Чем защищать? Управление доступом Регистрация и учет Обеспечение целостности Криптографическая защита Антивирусная защита Межсетевое экранирование Обнаружение вторжений Анализ защищенности

  8. Нормативное регулирование ИБ Наиболее известные законодательные акты: - Федеральный закон от 29.07.2004 № 98-ФЗ (О коммерческой тайне). - Федеральный закон от 27.07.2006 № 149-ФЗ (Об информации, информационных технологиях и о защите информации); - Федеральный закон от 27.07.2006 № 152-ФЗ (О персональных данных); - Федеральный закон от 06.04.2011 № 63-ФЗ (Об электронной подписи); - Постановление Правительства РФ от 01.11.2012 №1119 (Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных). Особенности ИБ в РФ направлены на снятие угроз национальной безопасности: - недопущение на российский рынок иностранных продуктов; - сертификация средств защиты информации. Способы подтверждение соответствия требованиям: - сертификация по показателям класса защищенности средств вычислительной техники от несанкционированного доступа; - сертификация по отсутствию незадекларированных возможностей; - сертификация по оценочному уровню доверия (ОУД) к реализации требований по защите; - сертификация по классу межсетевого экранирования; - оценка соответствия требованиям к системам обнаружения вторжений и т.д.

  9. Обратная связь Начальник отдела ИБ ОАО «СО ЕЭС» andrey.kondratenko@gmail.com Кондратенко Андрей Александрович

More Related