1 / 23

dea.ge

ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა. საქართველო, თბილისი 2012. www.dea.gov.ge. რა არის ინფორმაცია?. ინფორმაცია არის აქტივი, რომელსაც, სხვა აქტივების მსგავსად, გააჩნია გარკვეული ფასეულობა და მოითხოვს შესაბამის დაცვას.

taro
Download Presentation

dea.ge

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა საქართველო, თბილისი 2012 www.dea.gov.ge

  2. რა არის ინფორმაცია? • ინფორმაცია არის აქტივი, რომელსაც, სხვა აქტივების მსგავსად, გააჩნია გარკვეული ფასეულობა და მოითხოვს შესაბამის დაცვას. • ცოდნა ან მონაცემები, რომელიც გარკვეულ ფასეულობას წარმოადგენს

  3. ინფორმაციული ციკლი • შექმნა; • შენახვა; • დამუშავება; • გადაცემა; • გამოყენება (მიზნობრივად ან არამიზნობრივად); • დაზიანება; • დაკარგვა; • დატაცება; • განადგურება;

  4. ინფორმაციის ტიპები • ქაღალდზე ნაბეჭდი და ნაწერი; • ელექტრონულად შენახული; • ფოსტის ან ელექტრონული საშუალებებით გადაეცეს; • ნაჩვენები იყოს ვიდეოში; • ნაჩვენები / გამოქვეყნებული Web-ის მეშვეობით; • ზეპირსიტყვიერი რა სახითაც არ უნდა იყოს წარმოდგენილი, და რა სახითაც არ უნდა ინახებოდეს ან ხდებოდეს მისი გაზიარება, ინფორმაცია ყოველთვის საჭიროებს სათანადო დაცვას.

  5. რა არის ინფორმაციული უსაფრთხოება? • საფრთხეებისაგან დაცული მდგომარეობა • უსაფრთხოება მიიღწევა რამოდენიმე სტრატეგიით • ... ან მათი კომბინირებით • უსაფრთხოება პროცესია და არა პროდუქტი

  6. ინფორმაციული უსაფრთხოების კომპონენტები ორგანიზაციის პერსონალი ადამიანები ბიზნეს პროცესები პროცესები ორგანიზაციაში გამოყენებული ტექნოლოგია ტექნოლოგია

  7. ადამიანები • ინფორმაციასთან მომუშავე ან მასზე დამოკიდებული ადამიანები: • მფლობელები/ დამფუძნებლები • ხელმძღვანელობა • თანამშრომლები • ბიზნეს-პარტნიორები • მომსახურების მომწოდებლები • კონტრაქტორები • კლიენტები • მარეგულირებელი ორგანოები • და ა.შ…

  8. პროცესები • პროცესიწარმოადგენს „სამუშაო პრაქტიკას" ან მის მიმდინარეობას. პროცესი არის განმეორებადი ნაბიჯების ერთობლიობა გარკვეული მიზნის/ების მისაღწევად. • მომარაგება; • ფინანსები / აღრიცხვა / ბიუჯეტირება; • რისკების მართვა; • ჰელპდესკი / სერვისების მართვა; • წვდომის განსაზღვრა და მართვა; • მესამე მზარესთან ურთიერთობა; • სპეციფიური ორგანიზაციული პროცესები;

  9. ტექნოლოგია • ქსელური ინფრასტრუქტურა: • კაბელები, ხმოვანი ქსელი და მოწყობილობები; სერვერები და შენახვის მოწყობილობები; ოპერაციული სისტემები; საკომუნიკაციო მოწყობილობები, ინტრანეტი, დაშორებული წვდომის სერვისები, უსადენო კავშირგაბმულობა • პროგრამული უზრუნველყოფა: • ფინანსური სისტემები, საბუღალტრო, ინვენტარი, ადამიანური რესურსები, ანგარიშგება; • ფიზიკური უსაფრთხოების მოწყობილობები: • CCTV კამერები; გარემოებრივი - ტენიანობის, ვენტილაციის, კონდიცირების, ხანძარსაწინააღმდეგო; კვების წყაროები • მოწყობილობები: • კომპიუტერები; მსუბუქი ტექნიკა - ლეპტოპები, PDA, ტელეფონები; ციფრული კამერები, პრინტერები, სკანერები

  10. ინფორმაციული უსაფრთხოების მიზნები • იცავს ინფორმაციას გარკვეული საფრთხეებისაგან • უზრუნველყოფს ბიზნეს-უწყვეტობას • ახდენს ფინანსური დანაკარგების მინიმიზაციას • ინვესტიციის ოპტიმიზაცია • ზრდის შესაძლებლობებს ორგანიზაციის გადარჩენა / პროცესის წარმართვა დამოკიდებულია ინფორმაციულ უსაფრთხოებაზე

  11. ფაქტები • ინფორმაციული უსაფრთხოება არის “ორგანიზაციული ამოცანა” და არა“IT პრობლემა” • საფრთხეების 70%-ზე მეტი არის შიდა • დამნაშავეთა 60% ან მეტი არის ახალბედა • უდიდესი რისკი: ადამიანები • უდიდესი აქტივი: ადამიანები • სოციალური ინჯინერინგი არის ერთერტი მთავარი საფრთხე • 2/3-ზე მეტი ვერ პასუხობს “ხდებოდა / ხდება თუ არა ამჟამად ჩემი სისტემების კომპრომეტირება?”

  12. ინფორმაციის მახასიათებლები ISO 27001 განსაზღვრავს ინფორმაციულ ისაფრთხოებას როგორც ინფორმაციის კონფიდენციალურობის, მთლიანობის და ხელმისაწვდომობის შენარჩუნება და დაცვა • კონფიდენციალურობა • მთლიანობა • ხელმისაწვდომობა მახასიათებლები იმისა, რომ ინფორმაცია არ არის ხელმისაწვდომი არაავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის; აქტივის სიზუსტის და სრულყოფილების დაცვის მახასიათებელი თვისება; ავტორიზებული სუბიექტის მიერ მოთხოვნის შესაბამისად ხელმისაწვდომობისა და გამოყენებადობის მახასიათებლები;

  13. უსაფრთხოების რისკები • ფინანსური • რეპუტაციული • ინტელექტუალური საკუთრების დაკარგვა • საკანონმდებლო შეუსაბამობა (პერსონალური მონაცემერი, ინფორმაციული უსაფრთხოება) • კლიენტების ნდობა • საქმიანობის წყვეტა

  14. რა არის რისკი? რისკი: ალბათობა იმისა, რომ საფრთხე ისარგებლებს აქტივის სისუსტით და მიაყენებს მას ზიანს. საფრთხე: ნებისმიერი ქმედება ან მოვლენა, რამელმაც შესაძლოა ორგანიზაციას,მის IT სისტემებს, ქსელს ზიანი მიაყენოს სისუსტე: ორგანიზაციული სისუსტე, რომელიც შესაძლოა აღმოჩენილი იყოს საფრთხის მიერ

  15. დამოკიდებულება რისკებს, სისუსტეებსა და საფრთხეებს შორის სარგებლობს საფრთხე სისუსტე ზრდის ზრდის ასუსტებს იცავს კონტროლის მექანიზმები ინფორმაციული აქტივები რისკები ამცირებს ზრდის გვკარნახობს გააჩნია უზრუნველყოფილია აქტივის ფასეულობა მოთხოვნები

  16. საფრთხეები • თანამშრომლები • გარე მხარეები • უსაფრთხოების საკითხებში დაბალი ინფორმირებულობა • ქსელების და განაწილებული კომპიუტერების ზრდა • ჰაკერების ხელსაწყოების და ვირუსების სირთულისა და ეფექტურობის ზრდა • ბუნებრივი მოვლენები, მაგ. ხანძარი, წყალდიდობა, მიწისძვრა

  17. დილემა როგორ მოვაგვარო ინფორმაციულ უსაფრთხოებასთან დაკავშირებული ყველა საკითხი?

  18. ISO 27K • მოიცავს ყველა ტიპის ორგანიზაციას (მაგ. კომერციულ ორგანიზაციებს, სამთავრობო უწყებებს, არასამთავრობო ორგანიზაციებს). • სტანდარტი განსაზღვრავს იუმს-ის ჩამოყალიბების, დანერგვის, ფუნქციონიონირების, მონიტორინგის, განხილვის, მხარდაჭერის და გაუმჯობესების დოკუმენტირებულ მოთხოვნებს ორგანიზაციაში არსებული ზოგადი ბიზნეს-რისკების გათვალისწინებით. • იუმს-ის დანუშნულებაა ინფორმაციული აქტივების დამცავი, ადეკვატური და პროპორციული უსაფრთხოების კონტროლის მექანიზმების დანერგვა.

  19. ISO 27K თვისებები • Plan, Do, Check, Act (PDCA) პროცესისადმი მიდგომა და მოდელი • პროცესზე დამოკიდებული მიდგომა • პროცესების მუდმივი გაუმჯობესება • მოიცავს ინფორმაციულ უსაფრთხოებას, და არა მხოლოდIT უსაფრთხოებას • ითვალისწინებს ადამიანებს, პროცესებს, ტექნოლოგიებს • 11 თემა, 39 კონტროლის მიზანი, 133 კონტროლის მექანიზმი

  20. PDCA მიდგომა

  21. თემები ინფორმაციული უსაფრთხოების პოლიტიკა შესაბამისობა ინფორმაციული უსაფრთხოების ორგანიზება ბიზნეს უწყვეტობის მართვა აქტივების მართვა მთლიანობა კონფიდენციალურობა ინფორმაცია ადამიანური რესურსების უსაფრთხოება ინციდენტების მართვა ხელმისაწვდომობა ფიზიკური უსაფრთხოება დამუშავება და მხარდაჭერა წვდომის კონტროლი კომუნიკაციები და საოპერაციო მართვა

  22. მონაცემთა გაცვლის სააგენტო • ინფორმაციული უსაფრთხოების დაგეგმვა და კონსალტინგი • დანერგვის წინა და შემდგომი მიმოხილვა • ინფორმაციული უსაფრთხოების სტანდარტთან და ინფორმაციული უსაფრთხოების შესახებ კანონთან შესაბამისობის მიმოხილვა / აუდიტი მონაცემთა გაცვლის სააგენტო - თქვენი მეგზური ინფორმაციული უსაფრთხოების დარგში

  23. გმადლობთ ყურადღებისათვის ?

More Related