Transcript Система управління інформаційною безпекою

Програма впровадження cистеми
інформаційної безпеки відповідно до
стандарту
ISO/IEC 27001:2005
Київ, 2012
Наші консультанти
Заїка Анатолій Григорович
Досвідчений фахівець в банківській справі. Досвід роботи на
керівних посадах в банках більше 15 років та в страхуванні більше
5 років.
Автор спеціалізованих тренінгових програм з питань організації
системи внутрішнього контролю та внутрішнього аудиту,
управління ризиками в банках.
Учасник проектів по впровадженню інноваційних технологій в
банках та страхових компаніях.
 Тел.: 067-132-50-99 E-mail: А[email protected]
Колотенко Олександр Миколайович
З 2001 року - менеджер, сертифікований Європейською організацією
якості (EOQ).
З 2004 року - аудитор систем управління якістю.
З 2009 року - головний консультант Європейської організації якості.
В п'яти установах впроваджені з його участю системи менеджменту
якістю отримали сертифікати відповідності міжнародним
стандартам.
 Тел.: 099-038-19-94 E-mail: А[email protected]
Наші консультанти
Наша місія:
Ми хочемо стати надійним
партнером в сфері налагодження якісного
менеджменту підприємства при:

гармонізації існуючої системи інформаційної безпеки до вимог
міжнародного стандарту ISO/ IEC 27001:2005
Завдяки:





високій кваліфікації та відповідальності фахівців, задіяних в реалізації проектів
зорієнтованим на потреби замовника методам, технологіям новаторським підходам до
роботи;
комплексному розв'язанню питань в галузі управління, та формування довгострокових
партнерських стосунків;
поширенню знань та практичного досвіду серед працівників підприємства,
набутого консультантами в результаті впровадження та супроводження сертифікованих
систем.
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Складові Інформаційної безпеки
МЕНЕДЖМЕНТ чи ТЕХНІЧНЕ
ЗАБЕЗПЕЧЕННЯ?
0%
Технологии
20%
Менеджмент
80%
… 80 % Питання Менеджменту
1. Політика Інформаційної безпеки
2. Процеси інформаційної безпеки
3. Відповідальність, усвідомлення ризиків
4. Аналіз ризиків
5. Забезпечення безпрервності бізнесу
… 20 % Інформаційні технології
Інформаційна безпека
1.Повинна розглядатись як один з головних
напрямків менеджменту з залученням для його
реалізації як фахівців інформаціних технологій
(технічний аспект) так і фахівців що розуміються
на процесах життєдіяльності бізнесу
1. Системи (технічні рішення)
2. Засоби
3. Архітектура
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Сутність інформаційної безпеки
5
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Ситуація на ринку “хакерських” послуг
6
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Реальний стан інформаційної безпеки в Україні
Главные проблеммы IT
Тільки 11% всіх
відповідальних за IБ
вважають діяльність
безпечною.
Все значения в %, допускаются несколько вариантов ответов
Финансовіе фальсификации
Апаратная/програмная…
Саботаж
Спам
Хакер
Вирус
Небрежность*
Воровство данных
7
13
15
42 % декларують наявність
від 1 до 5 проблем безпеки.
32
41
49
65
78
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Реальний стан інформаційної безпеки в Україні
«…можна стверджувати, що у наших хакерів мотивація переважно економічна»
«В 2011 році кількість несанкціонованих втручань в роботу державних органів із-за
кордону збільшилась в порівнянні з 2010 роком в двічі.»
Віталій Хлівицький, Журнал Власть денег, №5, 2012р.
«По кількості хакерів на душу населення Україна та Росія лідирують у світі»
Дмитро Голубов, Журнал Власть денег, №5, 2012р.
Статистика ж несанкціонованих втручань в діяльність субєктів
господарювання в Україні….. відсутня.
8
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Суміжні стандарти серії ISO 27001
• 27000 – Вступ та основні визначення
• 27001 – Нормативи (основа для сертифікації)
• 27002 – Кодекс професійної етики (аналог ISO/IEC
17799:2005)
• 27003 – Керівництво по впровадженню (в стадії розробки)
• 27004 – Показники та методи вимірювання (в стадії
розробки)
• 27005 – Управління ризиками
• 27006 – Нормативи для органу сертифікації
• 27011 – Рекомендації для телекомунікаційних компаній
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Місце інформаційної безпеки в організаційній структурі
Інформаційна безпека – вище ніж:
Підрозділ інформаційних технологій
Підрозділ безпеки
Підрозділ документообороту чи продаж
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Крок для впровадження СУІБ
1
6
Моніторнг,
аналіз та
коригування заходів
Визначення цілі СУІБ
2
Експертний консалтинг.
Визначення реального
стану СУІБ
3
Інвентаризація
інформаційних
активів
Основні
процеси
5
Вибір заходів
по обробці ризиків
4
Управління
ризиками
Інформаційних
активів
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Вибір засобів забезпечення інформаційної безпеки
A.5 Політика інформаційної безпеки (1/2)*
A.6 Загальна організація Інформаційної безпеки (2/11)
A.7 Управління активами (2/5)
A.8
Безпека
та персонал
(3/9)
A.9
Физична
безпека
(2/13)
A.10
Управління
Комунікаціями та
операціями (10/ 32)
A.11 Управління доступом (7/25)
A.12
Придбання,
розробка та
підтримання
інформсистем (6/16)
A.13 Управління інцидентами інформаційноі безпеки (2/5)
A.14 Управління безперервністю бізнесу(1/5)
A.15 Відповідність вимогам(3/10)
* (основні цілі / вимоги)
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Ієрархічна піраміда методологічного забезпечення
інформаційної безпеки
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Класифікація документації СУІБ
1. Є обов”язковими для підготовки до
впровадження СУІБ
1.Адміністративні
документи
2. Документи
верхнього рівня
3.Документи середнього рівня
4.Документи нижнього рівня
2. Є основою функціонування СУІБ та
складаються з документів першої та
другої груп
3. Є технічними документами, які
спрямовані на опис способів реалізації
заходів безпеки
4. Є допоміжними документами, які
деталізують процедури інформаційної
безпеки
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Найбільш ефективний варіант впровадження:
Поетапна гармонізація існуючої системи інформаційної безпеки до вимог стандарту
Проведення комплексного обстеження (експертний консалтинг)
1 системи інформаційної безпеки
2
Планування робіт по вдосконаленню системи інформаційної
безпеки
3
Реалізація затверджених заходів по вдосконаленню системи
інформаційної безпеки
4 Супроводження системи інформаційної безпеки
15
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Перший етап
Проведення комплексного обстеження (експертний консалтинг) системи
інформаційної безпеки
16
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Результат першого етапу впровадження СУІБ
Визначення існуючого стану СУІБ на підприємстві
Неупереджена оцінка існуючої системи управління інформаційною
безпекою на відповідність стандарту ISO 27001:2005
Формування
в у персоналу розуміння що СУІБ це не програмноапаратний комплекс, а система менеджменту, в тому числі
інформаційною безпекою
Конкретні рекомендації
по вдосконаленню системи управління
інформаційною безпекою на підприємстві
Отримання зразків (шаблонів) внутрішніх нормативних документів для
забезпечення системи управління інформаційною безпекою на
підприємстві
17
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Орієнтовний перелік зразків (шаблонів) внутрішніх нормативних документів
для забезпечення системи управління інформаційною безпекою на підприємстві
Адміністративні документи
1.Наказ про розробку та впровадження СУІБ
2. Положення про комітет інформаційної безпеки
3.Посадові інструкції відповідальних за СУІБ осіб
Документи верхнього рівня
1.Політика інформаційної безпеки
2.Положення про управління інформаційними активами
3 Положення про впровадження планів безперервності
4. Положення щодо застосованості
5.Положення про управління інцидентами
6. Положення про управління операційними ризиками
Документи середнього рівня
1.Положення про управління персоналом
2. Положення про управління документацією
Документи нижнього рівня
1.Інструкція про організацію парольного захисту
2. Журнали реєстрації інцидентів
18
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Типова форма внутрішнього нормативного документу для забезпечення системи
управління інформаційною безпекою на підприємстві
19
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Другий етап впровадження СУІБ забезпечує:
процесний консалтинг системи інформаційної безпеки відповідно до вимог
стандарту ISO 27001:2005

Інвентаризація інформаційних ресурсів (активів)

Оцінка інформаційних ресурсів (активів)

Визначення критичних ресурсів (активів) для бізнес - процесів

Наявність документації відповідно до вимог стандарту

Визначення заходів убезпечення інформаційних активів за напрямками

Вдосконалення та розробка необхідних методологічних документів
20
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Прогнозовані переваги, які отримає підприємство за результатами
другого етапу
Більша керованість критичними бізнес-процесами, щодо інформаційної
безпеки
Методологія оцінки інформаційних ресурсів (активів)
Інструмент ефективного планування витрат на створення адекватної
системи управління інформаційною безпекою
Додаткова мотивацію персоналу до підвищення рівня інформаційної
безпеки через його безпосередню участь у вдосконаленні системи
інформаційної безпеки
Підвищення рівня відповідальності у межах бізнес-процесів
Збалансоване
співвідношення
параметрів
обмеження
на
розповсюдження інформації та одночасного забезпечення прозорості
бізнес-процесів
Убезпечення від випадкових
співробітників
та усвідомлених протиправних дій
Зниження рівня ризиків
та фінансових загроз
21
Система управління інформаційною безпекою
відповідно до стандарту ISO 27001:2005
Результат другого етапу
 Отримана інформація про реальний обсяг та вартість інформаційних
активів
 Проведена оцінка ризику втрати інформаційних активів у грошовому
вимірі
Реалізовано дієвий інструмент для формування бюджету
інформаційної безпеки
22
Company Name
Впровадження систем менеджменту відповідно
до стандартів ISO 9001:2008 та ISO 27001:2005
Переваги залучення “зовнішніх” консультантів
“Ефективне рішення”:
Залучення професійних консультантів,
які володіють
Перелік реалізованих
проектів
значним досвідом в області:
- побудови систем менеджменту;
- систем інформаційної безпеки;
- описання бізнес-процесів.”
Олексій Білаш
Директор Департаменту
інформаційних технологій
Національного Банку України