Transcript ISO/IEC 27001

Бричеева Н.Н.
Защита
информационных
систем
Менеджмент
информационной
безопасности
2. Основы и содержание ISO/IEC 27001
Некоторые факты об информационной безопасности ...
Достоверность
Ответственность
Информация
Сохранность
Прозрачность
ITданные
Доступность
Целостность
Конфиденциальность
2
• Информация в более широком
смысле, чем электронная
информация и ее носители
• Информационная безопасность
охватывает не только вопросы ИТбезопасности
• Безопасность означает больше,
чем просто конфиденциальность,
чаще на первый план выходят
вопросы доступности и целостности
• Управление в более широком
смысле, чем техническими
средствами и инструментами
2. Основы и содержание ISO/IEC 27001
Информационная безопасность – это…
Менеджмент
Технологии
20%
… 80 % Менеджмент
80%
ВОПРОС МЕНЕДЖМЕНТА ИЛИ
ТЕХНИЧЕСКИЙ ВОПРОС?
Информационная безопасность должна
рассматриваться как одно из направлений
менеджмента. Полагаться не только на
технических специалистов. Для обеспечения
безопасности бизнеса необходимо соединить
в один процесс менеджмент и техническую
часть работы.
3
Политика ИБ, процессы ИБ,
ответственность, осведомленность,
анализ рисков, непрерывность
бизнеса, др.
… 20 % Технологии
Системы, средства, архитектура, др.
2. Основы и содержание ISO/IEC 27001
Система
менеджмента основана
на
процессном
подходе
(ISO 9001)
Важнейший
инструмент
стандарта
ISO 27001
4
2. Основы и содержание ISO/IEC 27001
Стандарты серии ISO 27000
27000 – Prinzipien und Bezeichnungen
27001 – ISMS Anforderungen (Grundlage für Zertifizierung)
27002 – ISMS Code of Practice (entspricht ISO/IEC 17799:2005)
27003 – ISMS Implementierungs-Richtlinien (in Entwicklung)
27004 – ISMS Kennzahlen und Messmethoden (in Entwicklung)
27005 – ISMS Risk Management
27006 – Anforderungen an Zertifizierer
5
Шесть необходимых шагов для внедрения системы
менеджмента информационной безопасности
1
2
6
Внутренний
аудит.
Анализ мер
Запуск
основных
процессов
Диагностика.
Определение
политик и целей.
3
6
Определение
Области действия
и структуры СМИБ
Создание
реестра
активов
5
Выбор
и применение мер
по обработке
4
Управление
рисками
Шаг 1: Организационная структура и область действия
Всем спасибо!
Вышел закон о защите
персональных данных.
Надо учесть!
Много ошибок при работе
эл. почты! Настаиваю на
роверке!
Комитет по ИТ-безопасности
7
Каждый день фиксируем
попытки проникновения на
сервер! Нужно срочно
установить файерволы в
точках ….
Сейчас подробно опишем все
наши проблемы, просчитаем
риски и определим программу
снижения рисков!
Персонал не
знает правила
инф. безопасности!
У нас нет общей
концепции безопасности!
Как принимать персонал?
Шаг 2: Диагностика текущего состояния ИБ
8
3. Внедрение
Шаг 3: Создание реестра активов. Вариант 1
9
3. Внедрение
Шаг 3: Создание реестра активов. Вариант 2
5
7
9
КТ12: Дата утверждения
заказа-спецификации
КТ13: Дата формирования
технологической карты
КТ14: Дата формирования
плана заказов
Производственный
отдел
Цех
Руководство
Директор
3
Утверждение заказаспецификации
Заказспецифи
кация
утвержд
ен
Начальник
Формирование
технологической
карты
Расчет
себестои
мости
Технолог
ическая
карта
План
заказов
Формирование плана
заказов
Заявка на
выдачу
бумаги
Склад
Менеджер
Кладовщик
ISO 9001 = 10-30% ISO 27001
Начальник
Формирование
Графика работ на
смену
Задание
на
выполне
ние стор.
работ
Производственный
Сторонние
поставщики
отдел
Отдел снабжения
Приобретение
материалов
10
Цех
Начальник
Заявка на
приобретени
е
материалов
Заявка
9
Технолог
Информация
Формирование
по
заявки
стоимости
на расчет
услуг
(2ч.)
Выдача бумаги
График
работ на
смену
4
Шаг 3: Создание реестра активов. Вариант 3
11
3. Внедрение
Шаг 4: Управление рисками
1
3
5
7
3
9
15
21
Сложная методика =
финансовые потери предприятия
12
5
15
25
35
7
21
35
49
Очень
высокая
Низкий
Средний
Высокий
Очень
высокий
Высокая
Ущерб
Средняя
Низкая
Очень
низкая
Вероятность
9
27
45
63
3. Внедрение
Шаг 5: Выбор средств обеспечения безопасности
A.5 Политика информационной безопасности (1/2)
A.6 Общая организация информационной безопасности (2/11)
A.7 Управление активами (2/5)
A.8
Безопасность
и персонал
(3/9)
A.9
Физическая
безопасность
(2/13)
A.10
Управление
коммуникациями и
операциями (10/ 32)
A.11 Управление доступом (7/25)
A.12
Приобретение,
разработка и
поддержка
информсистем (6/16)
A.13 Управление инцидентами информационной безопасности (2/5)
A.14 Управление непрерывностью бизнеса (1/5)
A.15 Соответствие требованиям (3/10)
13
3. Внедрение
Шаг 5: Выбор средств и методика ИТ-Грундшутц
+ каталоги
14
3. Внедрение
Шаг 5: Выбор средств и методика ИТ-Грундшутц
Каталоги:
 Часть M. Модули. Описывает активы и действия по
внедрению СМИБ
 Часть Т. Угрозы. Подробное описание угроз,
использованных в Части М. Каталог угроз к
многочисленным активам.
 Часть S. Методы защиты. Описание методов защиты,
использованных в Части T. Каталог мероприятий по
снижению угроз.
15
3. Внедрение
Шаг 6: Внутренний аудит
Ваши правила
по ИБ?
Инструкция №..,
процедура в сети...
На что
жалуетесь?
16
Часто не работает…,
недавно был случай
3. Внедрение
Шаг 6: Анализ
а) Анализ результативности мероприятий по обработке риска
б) Анализ системы со стороны высшего руководства
17
3. Внедрение
Особенности внедрения
отдельных положений стандарта
ISO/IEC 27001 на предприятиях стран СНГ
18
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
А.8.1.2 Подбор и прием персонала
19
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.9. Физическая безопасность и безопасность окружения
Территория
Периметр
Оборудование
Основное
Особо важные
зоны
Зоны общего
доступа
20
Вспомогательное
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.10.10.4 Действия системного администратора
Действия системного
администратора и
системного оператора
должны записываться в
журнал
21
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.10.3.1 Менеджмент производительности
22
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.11.3.3 Политика чистого
рабочего стола и экрана
23
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.12.1 Приобретение информационных систем
24
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.13 Управление инцидентами информационной безопасности
Важно, чтобы ни
один инцидент не
остался
незамеченным!
25
Особенности внедрения ISO/IEC 27001 в СНГ
А.14 Тестирование планов обеспечения непрерывности бизнеса
26
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.15.1.2 Права интеллектуальной собственности
Соблюдение
«Закона о защите авторских и
смежных прав»
27
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.15.1.5 Предотвращение нецелевого использования
средств обработки информации
28
3. Внедрение
Тенденция спроса по основным потребителям услуг
50
45
40
35
30
25
20
15
10
5
0
Обучение
29
Консалтинг
Сертификация
Ответственность высшего руководства:
Высшее руководство принимает
на себя следующие риски:
Риск 1 = 10
Риск 2 = 17
Риск 3 = 25
 Причина 1
 Причина 2
 Причина 3
Генеральный директор …
Дата
30
Подпись
Организационная структура:
Информационная безопасность – выше, чем:
Служба ИТ
Служба делопроизводства
Первый
руководитель
31
Уполномоченный
по ИБ
Зам. директора
Служба ИТ
Служба
делопроизводства
Зам. директора
5. Ваши преимущества
Преимущества внедрения ISO 27001
$
Активы
Стоимость
активов
$
Риски
32
Величина
риска
$
Принятие
решения о мерах
по снижению
риска
Финансирование
ИБ
5. Ваши преимущества
Преимущества сертификации по ISO 27001
Act






Снижения стоимости системы безопасности
Информационные активы понятны для
менеджмента компании
Выявление основных угроз безопасности для
существующих бизнес-процессов
Эффективное управление системой в критичных
ситуациях
Демонстрация клиентам и партнерам
приверженность к информационной
безопасности
Международное признание и повышение
авторитета компании
Check
33
Plan
Do
5. Ваши преимущества
Знания и умения
Менеджмент информационной
безопасности
Защита информационных систем
Проводить сбор и анализ материалов организаций и
предприятий для принятия мер по обеспечению
информационной безопасности
Оценивать риски информационной безопасности
автоматизированной системы
Находить возможные каналы утечки сведений,
представляющих государственную, военную, служебную
или коммерческую тайну
Собирать и анализировать исходные данные для
проектирования защищенных информационных
технологий в автоматизированных системах сбора,
обработки, хранения и передачи информации,
вычислительных системах и компьютерных сетях
Оценивать актуальность, перспективность и значимость
объектов проектирования
Разрабатывать системы управления информационной
безопасностью автоматизированных систем
Участвовать в разработке новых средств автоматизации
контроля, схем аппаратуры контроля, моделей и систем
защиты информации
Применять законы в области обеспечения информационной
безопасности
34
5. Ваши преимущества
Знания и умения
Менеджмент информационной
безопасности
Разрабатывать и оформлять проектную и рабочую техническую
документацию согласно стандартам
Защита информационных систем
Составлять правила, положения, инструкции и другие организационнораспорядительные документы для управления информационной
безопасностью автоматизированных системСобирать и анализировать
исходные данные для проектирования защищенных информационных
технологий в автоматизированных системах сбора, обработки, хранения
и передачи информации, вычислительных системах и компьютерных
сетях
Разрабатывать предложения по совершенствованию и повышению
эффективности средств информационной безопасности
Разрабатывать системы управления информационной безопасностью
автоматизированных систем
Составлять правила, положения, инструкции и другие организационнораспорядительные документы для управления информационной
безопасностью
Проверять работоспособность и эффективность применяемых
программно-аппаратных, и технических средств защиты информации
35
Проверять работоспособность и эффективность применяемых
программно-аппаратных, и технических средств защиты информации
5. Ваши преимущества
Знания и умения
Менеджмент информационной
безопасности
Администрировать подсистемы информационной
безопасности объекта
Защита информационных систем
Администрировать подсистемы информационной
безопасности автоматизированных систем
Устанавливать, настраивать и обслуживать технические и
программно-аппаратные средства защиты информации
Изучать и обобщать опыт работы других учреждений в
области защиты информации
Организовывать работу коллектива с учётом требований
защиты информации
Восстанавливать работу систем защиты информации при
сбоях и внештатных ситуациях
Разрабатывать предложения по совершенствованию
системы управления информационной безопасностью
автоматизированной системы
Обеспечивать правовую защиту информации
Обследовать объекты защиты, проводить их аттестацию
36
Проводить мониторинг безопасности автоматизированной
системы