Системи за управление на информационната сигурност
Download
Report
Transcript Системи за управление на информационната сигурност
Тема 15:
Системи за управление на
информационната сигурност.
БДС ISO/IEC 27001:2006
1
Съдържание:
1. Увод
2. Цели на СУИС (или СУСИ) .
3. Какво включва разработването на СУИС?
4. Внедряване на СУИС .
5. Необходимост от СУИС.
6. Заключение.
2
1. Увод
Стандартът определя информационната
сигурност като:
запазване на конфиденциалността;
целостта и достъпността на информацията;
Освен това могат да бъдат включени и други
свойства, като:
автентичност;
невъзможност за отказ от авторство;
достоверност;
3
2. Цели на СУИС
да осигурят наличност на информацията;
да осигурят тайната (конфиденциалност информацията);
да осигурят защита на информацията;
да гарантират конфиденциалността и интегритета (цялостност)
на информационните активи на Организацията - внедрител;
да управляват надеждния достъп до тях;
да оптимизират използваните ресурси по съхраняването им;
да бъдат сертифицирани;
4
3. Какво включва разработването на
СУИС?
Стандартът ISO 27001 определя
процесите, които дават възможност на
бизнеса да определя, използва, променя,
контролира и поддържа ефективна система
на управление на информационната
сигурност
.
5
Определят се изискванията към:
разработването;
внедряването;
функционирането;
мониторинга;
анализа;
поддържането и усъвършенстването на
документираната система за управление на
информационната сигурност в контекста на
съществуващите за бизнеса рискове
3.1. Разработване на СУИС
Прилага се структурен подход, като се следват
следните стъпки на разработване:
Определяне обхвата на системата;
Определяне политиката за информационна
сигурност;
Дефиниране системен подход за оценка на риска;
Структуриране и оценка на информационните активи
и влиянието им върху информационната сигурност
(пряко и косвено);
7
Изготвяне оценка на риска за всеки информационен
актив;
Да се направи идентификация на възможните рискове
и избор на подход за третиране на риска;
Да се направи избор на подходящи контроли и цели
на контролите, които да се внедрят;
Да се разпише Декларация за приложимост, т.е.
документ, който определя целите на контрола, списъка
на приложимите контроли и обосновава
изключенията.
8
Политика за
сигурност
Организационна
сигурност
Съответствие
Управление на
непрекъснатостта
на бизнеса
Класифициранe
на активите и
контрол
Изграждане и
поддържане на
системата
Сигурност на
персонала
Контрол на
достъпа
Управление на
комуникациите
Сигурност на
физическо ниво
Схема на ISO / IEC 27001
9
4. Внедряване на СУИС
Внедряването се извършва на етапи, като могат да се
формулират осем етапа:
1 етап
Трябва да се разработи план за третиране на риска, като
се изготви документация към него, включително
планирани процеси и детайлни процедури;
10
2 етап
Да се изпълни плана за третиране на риска;
3 етап
Да се изпълнят планираните контроли;
4 етап
Да се използва методология за измерване на
изпълнението на контролите и ефективността;
5 етап
Включва провеждането на обучение на служителите
свързани със СУИС и оценката на резултатите;
11
6 етап
Да се внедри плана за третиране на риска и
планираните контроли;
7 етап
Включва тестване действията на контролите и одит на
системата;
8 етап
Внедряване на процедури и други контроли, които
дават възможност за навременно засичане и реакция на
инциденти със сигурността.
12
1. Обхват
5.1 Ангажираност на ръководството
2. Позоваване
5.2 Управление на ресурсите
3. Термини и дефиниции
5.2.1 Осигуряване на ресурси
4. Система за управление на
информационната сигурност (СУИС)
4.1 Общи изисквания
5.2.2 Обучение, осъзнатост,
компетентност
6. Вътрешни одити на СУИС
4.2 Създаване и управление на СУИС
7. Преглед от ръководството на СУИС
4.2.1 Създаване на СУИС
7.1. Общи изисквания
4.2.2 Внедряване и действие на СУИС
7.2. Входни данни
4.2.3 Наблюдение и преглед на СУИС
7.3. Изходни данни
4.2.4 Поддържане и подобрение на СУИС
8. Подобрение на СУИС
4.3 Изисквания към документацията
8.1. Непрекъснато подобряване
4.3.1 Общи положения
8.2. Коригиращи действия
4.3.2 Контрол на документите
8.3. Превантивни действия
4.3.3 Контрол на записите
5. Отговорност на ръководството
Обхват на стандарта
13
Организационни
Политика за
сигурност
Организационна
защита
Класификация и
контрол на активите
Контрол на достъпа
Съвместимост
Защита на
персонала
Развитие и
поддържане на
системи
Физическа защита и
защита на средата
Комуникации и
оперативен мениджмънт
Мениджмънт за
непрекъснатост на
бизнеса
Оперативни
Легенда
Организационен
аспект
Технически
аспект
Физически
аспект
14
Структура на десетте сфери на стандарта
Политиката за информационна сигурност е официален
документ за управленската стратегия по отношение на
сигурността и представлява рамка за:
Дефиниране на подходящо и уместно поведение;
Определяне базата за необходимите инструментални
средства;
Избор на подходящи контроли;
Дефиниране на необходимите процедури;
Изразява единно мнение по въпросите на сигурността;
Осигурява основа за действия в случай на
неподходящо поведение;
15
Дейност Информационна
Сигурност
Политики по
Информационна Сигурност
Контрол на системата за
Информационна Сигурност
Управление на
сигурността на критичните
приложения
Управление на
сигурността на
компютърните инсталации
Управление на сигурността на
комуникационната
инфраструктура
Управление на
изграждането на сигурни
информационни решения
16
Процес на управление на Сигурността
Видове политики
Политика за администритиране
Тя включва:
Физическа сигурност (вкл. Контрол на достъпа)
Политика за Log on
Мерки за гарантиране спазването на политиките
Отговорности и одит
Сигурност и надеждност на услугите
Политики за архивиране и възстановяване
Политики за управление на промените (инсталиране
или обновяване на софтуера и хардуера)
17
Политика за персонала
Тази политика регламентира правилната употреба
на компютърните системи с политики за:
паролите
ползване на софтуера
достъп до корпоративната мрежа
достъп до Интернет
ползване на електронна поща
ползване на преносими компютри
18
Мрежова политика
Мрежовата политика включва политика за:
Разпределени компютърни системи
Отдалечен достъп:
Достъп до ресурси на корпоративната мрежа отвън
Достъп до външни ресурси и мрежи
Настройка на:
Интернет защитна стена
Маршрутизатори
Системи за откриване на проникване
19
Други политики
Предпазване от вируси:
Използван антивирусен софтуер
Информиране при наличие на вируси
Честота на обновяване на сигнатурите
Политика за разработване на софтуера
Непрекъснатост на бизнес процесите:
Действия при бедствия
Действия при извънредни обстоятелства
20
Процедури за реализиране на политиките
Процедурите определят механизмите за
прилагане на политиките;
Процедурите посочват подробно действията, които
трябва да бъдат извършени при специфични събития;
Процедурите дават възможност за бърза справка в
случай на криза;
Процедурите са готови сценарии, помагащи да бъдат
елиминирани проблеми;
21
Процедура при инциденти по сигурността:
Екип за действие при инциденти
Процедура за действие при инцидент:
Откриване/засичане на инцидент (бърза оценка)
Незабавни действия (ограничаване на щетите)
Връзки с обществеността (журналистите питат)
Подробен анализ на ситуацията
Възстановяване – данни, услуги, системи
Последващ анализ (проследяване)
22
Процедура за управление на сигурността на
компютърните конфигурации
Тя определя:
Как да се тества и инсталира новия хардуер и софтуер?
Как да се документират промените в хардуера и
софтуера?
Кой трябва да бъде информиран, при промени в хардуера
и софтуера?
Кой има право да прави промени в конфигурацията на
софтуера и хардуера?
23
Процедура за архивиране
Тя определя:
Кои файлови системи ще се архивират?
Колко често да бъдат архивирани?
Колко често да бъдат сменяни носителите за
съхраняване на данни?
Къде и как се съхраняват архивите?
Как се документират носителите за
съхраняване на данни?
24
За риска
Включва се:
Оценка на риска и Управление на риска.
Оценката на риска включва:
Оценка на заплахите за въздействие върху информацията и
средствата за обработка на информацията и вероятността за
осъществяване на тези заплахи;
Оценка на уязвимостта на информацията и
средствата за обработка;
25
Управлението на риска вклюва:
идентифицирането на рисковете за
информационната сигурност и
постигане на приемлива цена за
отстраняването на риска или намаляването
им.
26
27
Модел на информационната сигурност
АНАЛИЗ НА РИСКА
ПЛАНИРАНЕ
БИЗНЕС РАЗВИТИЕ И
ВЪНШНИ ВЛИЯНИЯ
ПОЛИТИКА НА
ИНФОРМАЦИОННАТА СИГУРНОСТ
ОПЕРАТИВНИ МЕРКИ
ОДИТ И ОЦЕНКА
28
Европейски съюз
ИНВЕСТИЦИИ В ХОРАТА
Оперативна програма
“Административен капацитет”
5. Необходимост от СУИС
Необходимостта от създаването на СУИС произтича от:
Наличието на нормативни документи, насочени към
сигурността на информацията (Закон за защита на
класифицираната информация и Закон за защита на личните
данни);
Нарасналите изисквания на клиентите по отношение защита
на личните им данни;
Интересът на компаниите, опериращи в изострена конкурентна
среда, да защитят по адекватен начин информацията,
гарантираща запазването на пазарните позиции.
29
6. Заключение
Ако, всяка организация спази целите на СУИС, то тя
успешно ще защити своята информация, и ще бъде
сертифицирана.
Оценяването и сертифицирането на една СУИС в дадена
организация се извършва от акредитирана (обхватът на
акредитиране задължително включва горните проверки)
организация за оценяване и сертифициране на
криптографски модули и други продукти на ИТ по
общите критерии за информационна сигурност.
30
Сертифицирането на дадена организация по стандарта дава
следните предимства:
съвместимост с приетите правила за управление на риска;
по-добра защита на конфиденциалната информация на
компанията;
намаляване риска от кракерски атаки;
по-бързо и по-лесно възстановяване след атаки;
използване на структурирана методология за сигурност, която е
получила международно признание;
нараснало доверие между партньорите;
потенциални по-ниски премии за застраховки от компютърни
рискове;
подобрени защитени практики и съвместимост със законите
разпоредбите за защита на информацията.
и
31