3.1.Увод

1. ТЕМА 3. Система за управление на информационната сигурност (СУИС)3.1. Увод3.2. Цели на СУИС.3.3. Етапи за внедряването на СУИС във фирмата (организацията).3.4. Ползи от СУИС.3.5. Необходимост от СУИС.

2. 3.1.Увод ISO 17799 (списък с препоръчани контроли) издаден през 1999 г. и служещ за сертификация на СУИС. След него BS7799-2:2002 е британския стандрат, а ISO/IEC 27001:2005 е актуализираната версия на стандарта на ISO за интегрирани системи и включва: ИТ, техники за сигурност, практически код за управление на информационната сигурност. В него се включват управлението на ИС и за доставчици и партньори, при аутсорсинга, мобилни устройства и безжични комуникации.

3. Определения За дефиниция на понятието “стандарт”, се възприема предложената от международната организация по стандартизация ISO: “Стандартите са документирани договорености, съдържащи технически спецификации или други прецизни критерии, които трябва да бъдат използвани последователно, като правила, ръководства или дефиниции на характеристики, с цел да осигуряват необходимата реализация на предназначението на материали, продукти, процеси и услуги”.

4. 3.2. Цели на СУИС: • осигуряване на наличност на информацията; • осигуряване на тайната (конфиденциалност на информацията); • осигуряване на информационна защита.

5. 3.2. Цели на СУИС (продължение): Всяка СУИС е взаимосвързана съвкупност от организационна структура, политики по сигурността, дейности по планирането, отговорности, процеси, процедури, практики и ресурси, разработени подходящо за конкретна дейност и характера на информационните активи на конкретна организация.

6. Етапи за разработване на СУИС във фирмата (организацията). • 3.1. Разработване на СУИС Прилага се структурния подход: • Определяне на обхвата на системата; • Определяне на политиката за информационна сигурност; • Дефиниране системен подход за оценка на риска; • Структуриране и оценка на информационните активи и влиянието им върху информационната сигурност (пряко и косвено); • Оценка на риска за всеки информационен актив; • Идентификация на възможните рискове и избор на подход за третиране на риска; • Избор на подходящи контроли и цели на контролите, които да се внедрят; • Декларация за приложимост, т.е. документ, който определя целите на контрола, списъка на приложимите контроли и обосновава изключенията.

7. Внедряване на СУИС. Извършва се на пет етапа: 1 етап. Разработване на план за третиране на риска, изготвяне на документацията към него, включително планирани процеси и детайлни процедури; 2 етап. Провеждане на обучение на служителите свързани със СУИС и оценката на резултатите;

8. 3 етап. Внедряване на плана за третиране на риска и планираните контроли; 4 етап. Тестване действията на контролите и одит на системата; 5 етап. Внедряване на процедури и други контроли, които дават възможност за навременно засичане и реакция на инциденти със сигурността.

9. ХАРМОНИЗАЦИЯ СИЗИСКВАНИЯТА НА ЕВРОПЕЙСКИЯ СЪЮЗНА ПОЛИТИКАТА В ОБЛАСТТА НА ИНФОРМАЦИОННАТА СИГУРНОСТ .

10. Информационната сигурност е необходима, защото: 1. Информационните системи и информацията, която съдържат са от жизнена важност за обществото и бизнеса 2. Важни решения се основават на информация съхранявана и получавана по електронен път 3. Рискове по отношение на информацията: • Природни бедствия • Повреди на оборудване • Умишлени или случайни действия на хора

11. Нарастване на инцидентите и на уязвимите места

12. Стандарти за информационна сигурност • ISO/IEC 17799 (BS 7799-2 : 2002) - новото издание на BS 7799 Part 2 е хармонизиран с другите стандарти за управление на системи (ISO 9001:2000 andISO 14001:1996). • ISO/IEC 15408 - Common Criteria(CC) Standard- стандартът ISO/IEC 15408 дефинира следните ключови елементи: • Protection Profile(PP); • Security Targets (STs); • Target Of Evaluation (TOE); • Evaluation Assurance Levels (EALs).

14. Основни цели на стандарта ISO/IEC 17799-2005 (BS 7799-2): “Information technology – Code of practice for information security management” Британският стандарт BS 7799-2, впоследствие прераснал в международния стандарт ISO/IEC 17799, е отговор на повика на индустрията, правителствените сфери, бизнеса и търговията за създаване на обща рамкова регламентация, която да позволи на организационните структури да разработват, прилагат и оценяват ефективни процедури (практики) за управление на информационната сигурност.

15. Структура на десетте сфери на стандарта

16. ISO/IEC 15408 - Common Criteria(CC) StandardОценка и сертифициране Различните видове продукти на ИТ се оценяват за съответствие на одобрен на международно ниво набор от критерии за информационна сигурност, като се проверява дали: • изискванията към продукта са дефинирани коректно; • изискванията са приложени коректно; • процесът на разработване и документиране на продукта отговаря на определени изисквания;

17. Оценка и сертифициране Оценяването се извършва от акредитирана (обхватът на акредитиране задължително включва горните проверки) организация за оценяване и сертифициране на криптографски модули и други продукти на ИТ по общите критерии за информационна сигурност”

18. Модел на информационната сигурност

19. Политиката за информационна сигурност (ПИС) • ПИС е официален документ за управленската стратегия по отношение на сигурността и представлява рамка за: • Дефиниране на подходящо и уместно поведение; • Определяне базата за необходимите инструментални средства; • Избор на подходящи контроли; • Дефиниране на необходимите процедури. • Изразява единно мнение по въпросите на сигурността; • Осигурява основа за действия в случай на неподходящо поведение;

20. Процес на управление на Сигурността

21. Цели на политиката за сигурност • Дефинира мястото на политиката за сигурност по отношение на мисията и целите на организацията • Установява в организацията общи правила за поведение съобразени с необходимото ниво на сигурност • Предоставя рамка за разработка и внедряване на процедури • Определя общи правила за действие при нарушаване на сигурността

22. Изисквания към политиката • Да има ясен ангажимент от страна на висшето ръководство • Целите и дейностите по сигурността трябва да бъдат базирани на бизнес цели и изисквания • Да има ясно виждане относно рисковете за сигурността на активите и нивото на сигурност в организацията • Да мотивира всички мениджъри и служители да спазват изискванията за сигурност • Да дава насоки за прилагане на политиката за сигурност на всички служители и външни изпълнители

23. Политика за администриране • Физическа сигурност (вкл. Контрол на достъпа) • Политика за Log on • Мерки за гарантиране спазването на политиките • Отговорности и одит • Сигурност и надеждност на услугите: • Политики за архивиране и възстановяване • Политики за управление на промените (инсталиране или обновяване на софтуера и хардуера)

24. Политика за персонала Регламентира правилната употреба на компютърните системи с политики за: • паролите • ползване на софтуера • достъп до корпоративната мрежа • достъп до Интернет • ползване на електронна поща • ползване на преносими компютри

25. Мрежовата политика включва политика за: • Разпределени компютърни системи • Отдалечен достъп: • Достъп до ресурси на корпоративната мрежа отвън • Достъп до външни ресурси и мрежи • Настройка на: • Интернет защитна стена • Маршрутизатори • Системи за откриване на проникване • Ползване на телефонни мрежи

26. Други политики • Предпазване от вируси: • Използван антивирусен софтуер • Информиране при наличие на вируси • Честота на обновяване на сигнатурите • Политика за разработване на софтуера • Непрекъснатост на бизнеспроцесите: • Действия при бедствия • Действия при извънредни обстоятелства

27. Процедури - реализиране на политиките • Процедурите определят механизмите за прилагане на политиките • Процедурите посочват подробно действията, които трябва да бъдат извършени при специфични събития • Процедурите дават възможност за бърза справка в случай на криза • Процедурите са готови сценарии, помагащи да бъдат елиминирани проблеми

28. Процедура при инциденти по сигурността • Екип за действие при инциденти • Процедура за действие при инцидент: • Откриване/засичане на инцидент (бърза оценка) • Незабавни действия (ограничаване на щетите) • Връзки с обществеността (журналистите питат) • Подробен анализ на ситуацията • Възстановяване – данни, услуги, системи • Последващ анализ (проследяване)

29. Процедурата за управление сигурността на компютърните конфигурации определя: • Как да се тества и инсталира новия хардуер и софтуер? • Как да се документират промените в хардуера и софтуера? • Кой трябва да бъде информиран, при промени в хардуера и софтуера? • Кой има право да прави промени в конфигурацията на софтуера и хардуера?

30. Процедурата за архивиране определя • Кои файлови системи ще се архивират? • Колко често да бъдат архивирани? • Колко често да бъдат сменяни носителите за съхраняване на данни? • Къде и как се съхраняват архивите? • Как се документират носителите за съхраняване на данни.

31. Класификация и контрол на активите • Извършва се пълна инвентаризация на информационните активи • Всеки информационен актив има стопанин • Информационните активи се класифицират по отношение на потребността от тях, приоритетите и степента на защита

32. Анализ на риска • Оценка на риска • Оценка на заплахите за въздействие върху информацията и средствата за обработка на информацията и вероятността за осъществяване на тези заплахи • Оценка на уязвимостта на информацията и средствата за обработка

33. Управление на риска • Идентифициране на рисковете за информационната сигурност и постигане на приемлива цена за отстраняването или намаляването им

34. ISO/IEC 17799 (BS 7799-2 : 2002) - новото издание на BS 7799 Part 2 е хармонизиран с другите стандарти за управление на системи (ISO 9001:2000 andISO 14001:1996). • ISO/IEC 15408 - Common Criteria(CC) Standard- стандартът ISO/IEC 15408 дефинира следните ключови елементи: • Protection Profile(PP); • Security Targets (STs); • Target Of Evaluation (TOE); • Evaluation Assurance Levels (EALs).