ISO/IEC 27001
Download
Report
Transcript ISO/IEC 27001
Бричеева Н.Н.
Защита
информационных
систем
Менеджмент
информационной
безопасности
2. Основы и содержание ISO/IEC 27001
Некоторые факты об информационной безопасности ...
Достоверность
Ответственность
Информация
Сохранность
Прозрачность
ITданные
Доступность
Целостность
Конфиденциальность
2
• Информация в более широком
смысле, чем электронная
информация и ее носители
• Информационная безопасность
охватывает не только вопросы ИТбезопасности
• Безопасность означает больше,
чем просто конфиденциальность,
чаще на первый план выходят
вопросы доступности и целостности
• Управление в более широком
смысле, чем техническими
средствами и инструментами
2. Основы и содержание ISO/IEC 27001
Информационная безопасность – это…
Менеджмент
Технологии
20%
… 80 % Менеджмент
80%
ВОПРОС МЕНЕДЖМЕНТА ИЛИ
ТЕХНИЧЕСКИЙ ВОПРОС?
Информационная безопасность должна
рассматриваться как одно из направлений
менеджмента. Полагаться не только на
технических специалистов. Для обеспечения
безопасности бизнеса необходимо соединить
в один процесс менеджмент и техническую
часть работы.
3
Политика ИБ, процессы ИБ,
ответственность, осведомленность,
анализ рисков, непрерывность
бизнеса, др.
… 20 % Технологии
Системы, средства, архитектура, др.
2. Основы и содержание ISO/IEC 27001
Система
менеджмента основана
на
процессном
подходе
(ISO 9001)
Важнейший
инструмент
стандарта
ISO 27001
4
2. Основы и содержание ISO/IEC 27001
Стандарты серии ISO 27000
27000 – Prinzipien und Bezeichnungen
27001 – ISMS Anforderungen (Grundlage für Zertifizierung)
27002 – ISMS Code of Practice (entspricht ISO/IEC 17799:2005)
27003 – ISMS Implementierungs-Richtlinien (in Entwicklung)
27004 – ISMS Kennzahlen und Messmethoden (in Entwicklung)
27005 – ISMS Risk Management
27006 – Anforderungen an Zertifizierer
5
Шесть необходимых шагов для внедрения системы
менеджмента информационной безопасности
1
2
6
Внутренний
аудит.
Анализ мер
Запуск
основных
процессов
Диагностика.
Определение
политик и целей.
3
6
Определение
Области действия
и структуры СМИБ
Создание
реестра
активов
5
Выбор
и применение мер
по обработке
4
Управление
рисками
Шаг 1: Организационная структура и область действия
Всем спасибо!
Вышел закон о защите
персональных данных.
Надо учесть!
Много ошибок при работе
эл. почты! Настаиваю на
роверке!
Комитет по ИТ-безопасности
7
Каждый день фиксируем
попытки проникновения на
сервер! Нужно срочно
установить файерволы в
точках ….
Сейчас подробно опишем все
наши проблемы, просчитаем
риски и определим программу
снижения рисков!
Персонал не
знает правила
инф. безопасности!
У нас нет общей
концепции безопасности!
Как принимать персонал?
Шаг 2: Диагностика текущего состояния ИБ
8
3. Внедрение
Шаг 3: Создание реестра активов. Вариант 1
9
3. Внедрение
Шаг 3: Создание реестра активов. Вариант 2
5
7
9
КТ12: Дата утверждения
заказа-спецификации
КТ13: Дата формирования
технологической карты
КТ14: Дата формирования
плана заказов
Производственный
отдел
Цех
Руководство
Директор
3
Утверждение заказаспецификации
Заказспецифи
кация
утвержд
ен
Начальник
Формирование
технологической
карты
Расчет
себестои
мости
Технолог
ическая
карта
План
заказов
Формирование плана
заказов
Заявка на
выдачу
бумаги
Склад
Менеджер
Кладовщик
ISO 9001 = 10-30% ISO 27001
Начальник
Формирование
Графика работ на
смену
Задание
на
выполне
ние стор.
работ
Производственный
Сторонние
поставщики
отдел
Отдел снабжения
Приобретение
материалов
10
Цех
Начальник
Заявка на
приобретени
е
материалов
Заявка
9
Технолог
Информация
Формирование
по
заявки
стоимости
на расчет
услуг
(2ч.)
Выдача бумаги
График
работ на
смену
4
Шаг 3: Создание реестра активов. Вариант 3
11
3. Внедрение
Шаг 4: Управление рисками
1
3
5
7
3
9
15
21
Сложная методика =
финансовые потери предприятия
12
5
15
25
35
7
21
35
49
Очень
высокая
Низкий
Средний
Высокий
Очень
высокий
Высокая
Ущерб
Средняя
Низкая
Очень
низкая
Вероятность
9
27
45
63
3. Внедрение
Шаг 5: Выбор средств обеспечения безопасности
A.5 Политика информационной безопасности (1/2)
A.6 Общая организация информационной безопасности (2/11)
A.7 Управление активами (2/5)
A.8
Безопасность
и персонал
(3/9)
A.9
Физическая
безопасность
(2/13)
A.10
Управление
коммуникациями и
операциями (10/ 32)
A.11 Управление доступом (7/25)
A.12
Приобретение,
разработка и
поддержка
информсистем (6/16)
A.13 Управление инцидентами информационной безопасности (2/5)
A.14 Управление непрерывностью бизнеса (1/5)
A.15 Соответствие требованиям (3/10)
13
3. Внедрение
Шаг 5: Выбор средств и методика ИТ-Грундшутц
+ каталоги
14
3. Внедрение
Шаг 5: Выбор средств и методика ИТ-Грундшутц
Каталоги:
Часть M. Модули. Описывает активы и действия по
внедрению СМИБ
Часть Т. Угрозы. Подробное описание угроз,
использованных в Части М. Каталог угроз к
многочисленным активам.
Часть S. Методы защиты. Описание методов защиты,
использованных в Части T. Каталог мероприятий по
снижению угроз.
15
3. Внедрение
Шаг 6: Внутренний аудит
Ваши правила
по ИБ?
Инструкция №..,
процедура в сети...
На что
жалуетесь?
16
Часто не работает…,
недавно был случай
3. Внедрение
Шаг 6: Анализ
а) Анализ результативности мероприятий по обработке риска
б) Анализ системы со стороны высшего руководства
17
3. Внедрение
Особенности внедрения
отдельных положений стандарта
ISO/IEC 27001 на предприятиях стран СНГ
18
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
А.8.1.2 Подбор и прием персонала
19
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.9. Физическая безопасность и безопасность окружения
Территория
Периметр
Оборудование
Основное
Особо важные
зоны
Зоны общего
доступа
20
Вспомогательное
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.10.10.4 Действия системного администратора
Действия системного
администратора и
системного оператора
должны записываться в
журнал
21
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.10.3.1 Менеджмент производительности
22
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.11.3.3 Политика чистого
рабочего стола и экрана
23
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.12.1 Приобретение информационных систем
24
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.13 Управление инцидентами информационной безопасности
Важно, чтобы ни
один инцидент не
остался
незамеченным!
25
Особенности внедрения ISO/IEC 27001 в СНГ
А.14 Тестирование планов обеспечения непрерывности бизнеса
26
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.15.1.2 Права интеллектуальной собственности
Соблюдение
«Закона о защите авторских и
смежных прав»
27
3. Внедрение
Особенности внедрения ISO/IEC 27001 в СНГ
A.15.1.5 Предотвращение нецелевого использования
средств обработки информации
28
3. Внедрение
Тенденция спроса по основным потребителям услуг
50
45
40
35
30
25
20
15
10
5
0
Обучение
29
Консалтинг
Сертификация
Ответственность высшего руководства:
Высшее руководство принимает
на себя следующие риски:
Риск 1 = 10
Риск 2 = 17
Риск 3 = 25
Причина 1
Причина 2
Причина 3
Генеральный директор …
Дата
30
Подпись
Организационная структура:
Информационная безопасность – выше, чем:
Служба ИТ
Служба делопроизводства
Первый
руководитель
31
Уполномоченный
по ИБ
Зам. директора
Служба ИТ
Служба
делопроизводства
Зам. директора
5. Ваши преимущества
Преимущества внедрения ISO 27001
$
Активы
Стоимость
активов
$
Риски
32
Величина
риска
$
Принятие
решения о мерах
по снижению
риска
Финансирование
ИБ
5. Ваши преимущества
Преимущества сертификации по ISO 27001
Act
Снижения стоимости системы безопасности
Информационные активы понятны для
менеджмента компании
Выявление основных угроз безопасности для
существующих бизнес-процессов
Эффективное управление системой в критичных
ситуациях
Демонстрация клиентам и партнерам
приверженность к информационной
безопасности
Международное признание и повышение
авторитета компании
Check
33
Plan
Do
5. Ваши преимущества
Знания и умения
Менеджмент информационной
безопасности
Защита информационных систем
Проводить сбор и анализ материалов организаций и
предприятий для принятия мер по обеспечению
информационной безопасности
Оценивать риски информационной безопасности
автоматизированной системы
Находить возможные каналы утечки сведений,
представляющих государственную, военную, служебную
или коммерческую тайну
Собирать и анализировать исходные данные для
проектирования защищенных информационных
технологий в автоматизированных системах сбора,
обработки, хранения и передачи информации,
вычислительных системах и компьютерных сетях
Оценивать актуальность, перспективность и значимость
объектов проектирования
Разрабатывать системы управления информационной
безопасностью автоматизированных систем
Участвовать в разработке новых средств автоматизации
контроля, схем аппаратуры контроля, моделей и систем
защиты информации
Применять законы в области обеспечения информационной
безопасности
34
5. Ваши преимущества
Знания и умения
Менеджмент информационной
безопасности
Разрабатывать и оформлять проектную и рабочую техническую
документацию согласно стандартам
Защита информационных систем
Составлять правила, положения, инструкции и другие организационнораспорядительные документы для управления информационной
безопасностью автоматизированных системСобирать и анализировать
исходные данные для проектирования защищенных информационных
технологий в автоматизированных системах сбора, обработки, хранения
и передачи информации, вычислительных системах и компьютерных
сетях
Разрабатывать предложения по совершенствованию и повышению
эффективности средств информационной безопасности
Разрабатывать системы управления информационной безопасностью
автоматизированных систем
Составлять правила, положения, инструкции и другие организационнораспорядительные документы для управления информационной
безопасностью
Проверять работоспособность и эффективность применяемых
программно-аппаратных, и технических средств защиты информации
35
Проверять работоспособность и эффективность применяемых
программно-аппаратных, и технических средств защиты информации
5. Ваши преимущества
Знания и умения
Менеджмент информационной
безопасности
Администрировать подсистемы информационной
безопасности объекта
Защита информационных систем
Администрировать подсистемы информационной
безопасности автоматизированных систем
Устанавливать, настраивать и обслуживать технические и
программно-аппаратные средства защиты информации
Изучать и обобщать опыт работы других учреждений в
области защиты информации
Организовывать работу коллектива с учётом требований
защиты информации
Восстанавливать работу систем защиты информации при
сбоях и внештатных ситуациях
Разрабатывать предложения по совершенствованию
системы управления информационной безопасностью
автоматизированной системы
Обеспечивать правовую защиту информации
Обследовать объекты защиты, проводить их аттестацию
36
Проводить мониторинг безопасности автоматизированной
системы