1 / 36

Бричеева Н.Н.

Бричеева Н.Н. Некоторые факты об информационной безопасности. 2. Основы и содержание ISO/IEC 2700 1. Достоверность. Информация в более широком смысле, чем электронная информация и ее носители Информационная безопасность охватывает не только вопросы ИТ-безопасности

reuben
Download Presentation

Бричеева Н.Н.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Бричеева Н.Н.

  2. Некоторые факты об информационной безопасности ... 2. Основы и содержание ISO/IEC 27001 Достоверность • Информацияв более широком смысле, чем электронная информация и ее носители • Информационная безопасностьохватывает не только вопросы ИТ-безопасности • Безопасностьозначает больше, чем просто конфиденциальность, чаще на первый план выходят вопросы доступности и целостности • Управлениев более широком смысле, чем техническими средствами и инструментами Ответственность Информация Сохранность Прозрачность IT-данные Доступность Целостность Конфиденциальность

  3. 2. Основы и содержание ISO/IEC 27001 Информационная безопасность – это… … 80 % Менеджмент Политика ИБ, процессы ИБ,ответственность, осведомленность, анализ рисков, непрерывность бизнеса, др. … 20 % Технологии Системы, средства, архитектура, др. ВОПРОС МЕНЕДЖМЕНТА ИЛИ ТЕХНИЧЕСКИЙ ВОПРОС? Информационная безопасность должна рассматриваться как одно из направлений менеджмента. Полагаться не только на технических специалистов. Для обеспечения безопасности бизнеса необходимо соединить в один процесс менеджмент и техническую часть работы.

  4. 2. Основы и содержание ISO/IEC 27001 Система менеджмен-та основана на процессном подходе (ISO 9001) Важнейший инструмент стандарта ISO 27001

  5. 2. Основы и содержание ISO/IEC 27001 Стандарты серии ISO 27000

  6. Шесть необходимых шагов для внедрения системы менеджмента информационной безопасности Определение Области действия и структуры СМИБ 1 Внутренний аудит. Анализ мер 6 Запуск основных процессов Диагностика. Определение политик и целей. 2 Выбор и применение мер по обработке 5 Создание реестра активов 3 Управление рисками 4

  7. Шаг1: Организационная структура и область действия Всем спасибо! Сейчас подробно опишем все наши проблемы, просчитаем риски и определим программу снижения рисков! Каждый день фиксируем попытки проникновения на сервер! Нужно срочно установить файерволы в точках …. Вышел закон о защите персональных данных. Надо учесть! Персонал не знает правила инф. безо-пасности! У нас нет общей концепции безопасности! Как принимать персонал? Много ошибок при работе эл. почты! Настаиваю на роверке! Комитет по ИТ-безопасности

  8. Шаг2: Диагностика текущего состояния ИБ

  9. Шаг3: Создание реестра активов. Вариант 1 3. Внедрение

  10. 3. Внедрение Шаг3: Создание реестра активов. Вариант 2 ISO 9001 = 10-30% ISO 27001

  11. Шаг3: Создание реестра активов. Вариант 3

  12. Шаг4: Управление рисками 3. Внедрение Сложная методика = финансовые потери предприятия

  13. A.5 Политика информационной безопасности (1/2) A.6 Общая организация информационной безопасности (2/11) A.7 Управление активами (2/5) A.8 Безопасность иперсонал (3/9) A.9 Физическая безопасность (2/13) A.10 Управление коммуникациями и операциями (10/ 32) A.12 Приобретение, разработка и поддержка информсистем (6/16) A.11 Управление доступом (7/25) A.13 Управление инцидентами информационной безопасности (2/5) A.14 Управление непрерывностью бизнеса (1/5) A.15 Соответствие требованиям (3/10) Шаг 5: Выбор средств обеспечения безопасности 3. Внедрение

  14. Шаг 5: Выбор средств и методика ИТ-Грундшутц 3. Внедрение + каталоги

  15. Шаг 5: Выбор средств и методика ИТ-Грундшутц 3. Внедрение • Каталоги: • Часть M. Модули. Описывает активы и действия по внедрению СМИБ • Часть Т. Угрозы. Подробное описание угроз, использованных в Части М. Каталог угроз к многочисленным активам. • Часть S. Методы защиты. Описание методов защиты, использованных в Части T. Каталог мероприятий по снижению угроз.

  16. Шаг6: Внутренний аудит 3. Внедрение Инструкция №.., процедура в сети... Ваши правила по ИБ? Часто не работает…, недавно был случай На что жалуетесь?

  17. Шаг6: Анализ 3. Внедрение а) Анализ результативности мероприятий по обработке риска б) Анализ системы со стороны высшего руководства

  18. 3. Внедрение Особенности внедрения отдельных положений стандарта ISO/IEC 27001 на предприятиях стран СНГ

  19. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ А.8.1.2 Подбор и прием персонала

  20. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.9. Физическая безопасность и безопасность окружения

  21. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.10.10.4 Действия системного администратора Действия системного администратора и системного оператора должны записываться в журнал

  22. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.10.3.1 Менеджмент производительности

  23. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.11.3.3 Политика чистого рабочего стола и экрана

  24. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.12.1 Приобретение информационных систем

  25. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.13Управление инцидентами информационной безопасности Важно, чтобы ни один инцидент не остался незамеченным!

  26. Особенности внедрения ISO/IEC 27001 в СНГ А.14 Тестирование планов обеспечения непрерывности бизнеса

  27. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.15.1.2 Права интеллектуальной собственности Соблюдение «Закона о защите авторских и смежных прав»

  28. 3. Внедрение Особенности внедрения ISO/IEC 27001 в СНГ A.15.1.5 Предотвращение нецелевого использования средств обработки информации

  29. 3. Внедрение Тенденция спроса по основным потребителям услуг

  30. Ответственность высшего руководства: Высшее руководство принимает на себя следующие риски: Риск 1 = 10  Причина 1 Риск 2 = 17 Причина 2 Риск 3 = 25 Причина 3 Генеральный директор … Дата Подпись

  31. Организационная структура: Информационная безопасность – выше, чем: Служба ИТ Служба делопроизводства

  32. Преимущества внедрения ISO 27001 $ $ Активы Стоимость активов Принятие решения о мерах по снижению риска Финансирование ИБ $ Риски Величина риска 5. Ваши преимущества

  33. Преимущества сертификации по ISO 27001 5. Ваши преимущества • Снижения стоимости системы безопасности • Информационные активы понятныдля менеджмента компании • Выявлениеосновных угроз безопасности для существующих бизнес-процессов • Эффективное управление системой в критичных ситуациях • Демонстрацияклиентам и партнерам приверженность к информационной безопасности • Международное признание и повышение авторитета компании

  34. Знания и умения 5. Ваши преимущества

  35. Знания и умения 5. Ваши преимущества

  36. Знания и умения 5. Ваши преимущества

More Related