Transcript Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в
рамках жизненного цикла СУИБ
© 2008, Digital Security
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Эффективная СУИБ
Эффективная система управления информационной безопасностью — это работающие на
практике процедуры ИБ, удовлетворяющие следующим требованиям:
Регламентируют все аспекты обеспечения информационной безопасности
Разработаны с учетом результатов анализа информационных рисков
Регулярно пересматриваются и актуализируются
Полностью документированы
Четко определена область действия
Ведутся записи, свидетельствующие об их выполнении
Приводят к снижению количества инцидентов ИБ
© 2008, Digital Security
2
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Digital Security LifeCycle Management System
ERP решение для централизованного учета, хранения, анализа и обработки данных об информационной
системе компании с точки зрения их влияния на ее защищенность.
Основной функционал системы,
составляющий необходимую базу для разработки и управления
процедурами ИБ:
— Подробная инвентаризация и категорирование
информационных ресурсов
— Учет угроз и уязвимостей и управление
информационными рисками
— Централизованный документооборот в области ИБ
— Ведение подробной статистики инцидентов ИБ
— Оценка соответствия СУИБ требованиям стандартов
Результат внедрения
Наличие эффективного инструмента разработки, внедрения и управления всеми процедурами ИБ
© 2008, Digital Security
3
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Инвентаризация и категорирование информационных ресурсов
Построение гибкой и подробной модели ИС, позволяющей централизованно хранить все данные,
необходимые для принятия решений о требуемых мерах по защите информационных активов компании с
учетом их связей и особенностей.
Полная информация по каждому ресурсу ИС
© 2008, Digital Security
4
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Учет угроз и уязвимостей и управление информационными рисками
Ведение полного учета угроз и уязвимостей информационной системы, расчет размера ущерба, который
компания может понести в случае реализации уязвимостей с учетом их вероятности и мероприятий по их
закрытию.
Все аспекты, влияющие на защищенность ресурсов ИС:
пример представления данных об угрозах и уязвимостях канала связи
© 2008, Digital Security
5
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Централизованный документооборот в области ИБ
Организация единой базы документов, регламентирующих существующие и планируемые процедуры в
области информационной безопасности.
Документирование всех процедур в области ИБ
© 2008, Digital Security
6
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Ведение статистики инцидентов ИБ
Хранение и обработка данных по всем инцидентам, включая информацию обо всех пострадавших активах,
участниках и виновниках инцидента, причинах, его вызвавших, действиях по минимизации ущерба и
мероприятиях по предотвращению его повторного возникновения.
Полные данные об инцидентах ИБ
© 2008, Digital Security
7
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Оценка соответствия СУИБ требованиям стандарта
Анализ соответствия системы управления ИБ положениям международных, государственных и
корпоративных стандартов в области ИБ с учетом полноты выполнения требований и наличия
соответствующей документации по каждому положению. В DS LCM System предусмотрена работа с уже
встроенными стандартами по информационной безопасности, а также существует возможность создания
своих стандартов.
Оценка соответствия СУИБ требованиям стандартов
© 2008, Digital Security
8
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Архитектура системы
Серверная часть разработана на основе открытых стандартов и библиотеках:
Eclipse EMF, Eclipse Birt, Hibernate, Java6, GWT и другие
© 2008, Digital Security
9
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Результаты внедрения DS LifeCycle Management System
Доступная в любой момент времени подробная картина по каждому информационному
ресурсу компании:
— местонахождение и роль ресурса в информационной инфраструктуре
— уровень критичности ресурса с точки зрения ущерба, который может понести компания, в случае
реализации угроз конфиденциальности, целостности и доступности на данном ресурсе
— полный перечень пользователей, имеющих доступ к ресурсу с учетом вида и прав доступа
— все программные и физические угрозы и уязвимости ресурса, а также каналов связи, по которым
передаются данные с ресурса, с учетом критичности и вероятности реализации данных угроз и
уязвимостей
— все средства защиты, прямо или косвенно повышающие защищенность ресурса
— уровень риска ресурса на основе данных о его критичности и параметров существующих угроз и
уязвимостей, с учетом существующих средств защиты
© 2008, Digital Security
10
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Результаты внедрения DS LifeCycle Management System
Подробная статистика по всем зарегистрированным инцидентам информационной
безопасности:
— пострадавшие ресурсы и размер ущерба, который был нанесен компании
— участники и виновники инцидента
— статус и подробности расследования
— причина возникновения инцидента
Ведение подобной статистики позволяет проводить регулярную оценку эффективности существующей
системы управления ИБ в целом и конкретных контрмер в частности, оперативно устранять существующие
уязвимости и предотвращать их повторное возникновение.
© 2008, Digital Security
11
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Результаты внедрения DS LifeCycle Management System
Централизованное хранение и обработка документации системы управления ИБ
Документы СУИБ привязаны к существующим и планируемым процедурам в области информационной
безопасности, что гарантирует полноту документирования процедур и упрощает процесс проведения
регулярного аудита СУИБ, а также непосредственного управления информационной безопасностью
компании.
Наличие в компании удобного инструмента для проведения оценки соответствия системы
управления ИБ различным нормативным актам в области ИБ
Процесс анализа соответствия СУИБ требованиям международных, локальных и корпоративных стандартов в
области информационной безопасности интегрирован в общую структуру управления ИБ, благодаря чему
достигается:
— эффективная оценка полноты выполнения требований
— удобный и централизованный анализ критичности выполнения требований для поддержания
защищенности информационных активов компании
© 2008, Digital Security
12
Digital Security LifeCycle Management System
Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ
Digital Security
Digital Security — ведущая российская компания в области управления информационной безопасностью,
предлагающая полный комплекс услуг и решений в рамках жизненного цикла системы менеджмента
информационной безопасности.
Digital Security — поставщик услуг, а не конечных решений, что позволяет обеспечить объективность и
независимость оценок, выносимых при проведении анализа защищенности информационных систем, а также
оптимальное соотношение эффективности и стоимости рекомендаций, разрабатываемых для повышения
защищенности информационных ресурсов.
С 2002 года клиентами Digital Security стали более чем 5 000 компаний на всей территории России, стран СНГ
и Балтии. Со многими из них за это время сложились долгосрочные партнерские отношения.
© 2008, Digital Security
13