Transcript Презентация
Информационна сигурност в бизнес среда ISO 27001/ISO 27002 Значимост за клиента Значимост за клиента S(X) = X + <новопридобити_знания> Проактивност Цвят на очите Пол Име Др. X Информационнен поток x v(x) a(x) S(x) Инициализация x v(x) a(x) S(x) Верификация x v(x) a(x) S(x) Риск x v(x) a(x) S(x) Информация x v(x) a(x) S(x) Информационна сигурност Генерализация Диверсификация Информация = стока Информация = стока Колко „струваме“? x versus a(x) v(x) versus a(x) a(x) versus a(x) 2015, 5 ян. 02:42 Развитие на серията ISO 27000 ISO 27000 BS 7799-2 ISO 27001 PD 0003 BS 7799-1 1993 1995 ISO 27002 ISO 17799 1999 2000 2005 2007 2009 Серията ISO 27000 ISO 27000 Общ преглед и речник ISO 27006 Изисквания към сертифициращите органи ISO 27001 Изисквания ISO 27002 Кодекс на добра практика ISO 27033 Мрежова сигурност ISO 27034 Сигурност на приложенията ISO 27003 Ръководство за внедряване ISO 27004 Измервания ISO 27007 Указания за одит ISO 27005 Управление на риска ISO 27002 / ISO 27001 Приложение А Отдели / Наредби / Стандарти • Нарастване обема на информация • Нарастване потока на информация • Нарастване на употребата на публични мрежи • Усъвършенстване на атаките • Разширение на законови норми и стандарти Подкрепа от ръководството Осигуряване на ресурси за внедряване и поддръжка (човешки, финансови, време) Индустриални изисквания Пазарно предимство IT отдел Отдел по организация и документация Оценка на риска и определяне на допустимите нива на риск Ръководство Политика за сигурност и ясна комуникация към персонала за нуждата от нейното спазване Определяне на ролите и отговорности те в обхвата на СУИС Дефиниране на обхвата Законодателство и регулация Юридически съвет Съответствие с правни изисквания • Местни закони • Държавни закони • Международни споразумения Ръководство Съответствие със стандарти и договорености • Индустриални стандарти • Задължения по договореност Технически съвет Съображения за одит на информационните системи • Контрол за одит • Защита на инструментите за одит • Защита от неправомерен достъп Подход за анализ на риска Вреда при загубване Конфиденциалност Информацията е достъпна само за оторизиран персонал Цялостност Запазване точността и пълнотата на информацията Достъпност Оторизиран персонал има достъп до информацията при нужда ниска средна висока Ограничено въздействие Значително въздействие Критично въздействие Ограничено въздействие Значително въздействие Критично въздействие Ограничено въздействие Значително въздействие Критично въздействие Анализ на риска, специфичен за индустрията ISO/IEC 13335 Управление на сигурността на информационните и комуникационните технологии • Поставяне на цели за понижаване на риска • Определяне на допустимото ниво на риска • Оценка на възможностите за третиране на риска Създаване на инвентар на активите Актив Бележки Собстве ник Местонахо ждение Цена на замяната Проектни планове Краткосро чни планове CEO CEO PC висока Данни за персонал а Базов актив HR отдел Локален сървър S12 средна IT отдел Локален сървър S2 средна Email сървър Сигурност (CIA) Рисково обобщение Рискова стойност Контроли Оценка на контролите Описване на всички важни активи на фирмата, физически и данни 2005 г. – собственик = отговорник Сигурност (CIA – Confidentiality, Integrity, Availability) – Конфиденциалност, Цялостност, Достъпност Идентифициране на риска Актив Бележки Собстве ник Местонахо ждение Цена на замяната Сигурност (CIA) Рисково обобщение Рискова стойност Контроли Заплахи Проектни планове Краткосро CEO чни планове Актив CEO PC Данни за персонал а Базов актив HR отдел Локален сървър S12 средна IT отдел Локален сървър S2 средна Email сървър висока C: висока I: висока Уязвимости A: средна Ценна за външни лица C: висока Закон за I: средна защита на Вероятност/Честота A: ниска личните данни C: висока I: висока A: висока Ценна за външни лица Риск Оценка на контролите Оценка на риска • Стойност на актива • Вероятност и честота на заплахата/уязвимостта • Щети от риска върху фирмата, нейните клиенти и партньори Актив Бележки Собстве ник Местонахо ждение Цена на замяната Сигурност (CIA) Рисково обобщение Рискова стойност Проектни планове Краткосро чни планове CEO CEO PC висока C: висока I: висока A: средна Ценна за външни лица висока Данни за персонал а Базов актив HR отдел Локален сървър S12 средна C: висока I: средна A: ниска Закон за защита на личните данни средна IT отдел Локален сървър S2 средна C: висока I: висока A: висока Ценна за външни лица висока Email сървър Контроли Оценка на контролите Приложими цели и контроли Актив Бележки Проектни планове Данни за персонал а Email сървър Собстве Местонахо Риск ждение ник Цена на замяната Сигурност (CIA) Краткосро CEO CEO PC чни Приемане на риска планове висока C: висока I: висока A: средна Ценна за висока 5.1.1 външни Контроли вече в употреба лица Базов Фирмен HR фирма активПрехвърляне съвет на риска средна C: висока I: средна A: ниска Закон за средна прехвърл защита на Приложения ено ISO 27001 А личните данни средна C: висока I: висока A: висока Ценна заISO 27002 висока външни лица Снижаване на риска чрез IT отдел Локален контроли сървър S2 Рисково Рискова Контроли обобщение стойност Контроли (Прил. А) 5.1.1 Оценка на контролите Политика и процедури за контрол на риска Роли на персонала Политика на действие Отговорности Контрол Правилно внедряване Процедура по следване Записи Поддръжка Наблюдение на СУИС • Вътрешни одити • Мнение на заинтересовани страни • Предложения за продукти и процедури • Документи за нарушение • Нови/неотразени уязвимости и заплахи • Проследявания на предишни одити • Организационни промени, засягащи СУИС • Препоръки за подобрение Моделът PDCA при ISO 27001 Планиране (Plan) Усъвършенстване (Act) Реализация (Do) Проверка (Check) КРАЙ Презентация по курсов проект „Значимост и осъществяване на информационна сигурност в бизнес среда“ Мария Йотова, Фак.№24684 Мирослав Димитров, Фак.№24798 Презентация и курсов проект достъпни на HTTP://WWW.ZIKSM.COM