Внедрение СУИБ, соответствующей ИСО 27001, в ИТ компании Алексей Евменков. Tieto

Содержание

Слайд 2

План презентации
Введение
Теория
Практика
Заключение

План презентации Введение Теория Практика Заключение

Слайд 3

Введение

Введение

Слайд 4

Термины и определения

ИБ = Информационная Безопасность (information security):
свойство информации сохранять конфиденциальность,

Термины и определения ИБ = Информационная Безопасность (information security): свойство информации сохранять
целостность и доступность. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
СУИБ = Система Управления Информационной Безопасностью:
часть общей системы менеджмента,
основанная на использовании методов оценки бизнес-рисков
для разработки, внедрения,функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. [Источник: ГОСТ Р ИСО/МЭК 27001:2006]
Альтернативное определение СУИБ:
Система, основанная на управлении бизнес-рисками
Для защиты активов (assets) выбираются и внедряются соответствующие защитные меры (security controls)

Слайд 5

Зачем необходима СУИБ?

Бизнес-риски срабатывают, а Вы о них даже не подозревали?
Ваши партнеры

Зачем необходима СУИБ? Бизнес-риски срабатывают, а Вы о них даже не подозревали?
не считают Вас вполне надежными?
Ваша внутренняя информация не всегда под контролем?
Ваши процессы не совсем зрелые в области ИБ?
Вы более пассивны чем проактивны в области ИБ?
У Вас воруют лаптопы?☺
Пора внедрять СУИБ !

Слайд 6

Преимущества сертифицированной СУИБ

Стандарт содержит разумную, выверенную последовательность действий, которую всегда можно подправить

Преимущества сертифицированной СУИБ Стандарт содержит разумную, выверенную последовательность действий, которую всегда можно
под собственные нужды
Один раз сертифицирован, признан везде!
Ежегодное подтверждение сертификата поддерживает тонус

Слайд 7

Основная причина сертификации СУИБ
Заказчик требует\повышение конкурентоспособности

Основная причина сертификации СУИБ Заказчик требует\повышение конкурентоспособности

Слайд 8

Сколько ИСО 27001 сертификатов в мире?

Сколько ИСО 27001 сертификатов в мире?

Слайд 9

Теория

Теория

Слайд 10

Семейство стандартов ИСО 27000

Семейство стандартов ИСО 27000

Слайд 11

Принципы ИСО 27001

Процессный подход
Цикл PDCA (Plan-Do-Check-Act)

Принципы ИСО 27001 Процессный подход Цикл PDCA (Plan-Do-Check-Act)

Слайд 12

Процессный подход

Процессный подход

Слайд 13

Процессный подход (пример)

Внутренний
Аудит

Вход:
Название отдела, - План, - Имена аудиторов и аудируемых, -

Процессный подход (пример) Внутренний Аудит Вход: Название отдела, - План, - Имена
Информация об отделе

Выход:
Отчет по аудиту
Список несоответствий
Всеобщее удовлетворение (satisfaction)☺

Управление: процедура
«Внутренний аудит»

Ресурсы:
Аудиторы
Аудируемые

Слайд 14

Цикл PDCA (пример)

Планирование Аудитов

Осуществление аудитов

Устранение несоответствий, планирование превентивных действий

Проверка на соответствие требованиям

Цикл PDCA (пример) Планирование Аудитов Осуществление аудитов Устранение несоответствий, планирование превентивных действий
ИБ

Слайд 15

Риски – центральная тема СУИБ

Мало кто знает, что ...
За год от падения

Риски – центральная тема СУИБ Мало кто знает, что ... За год
кокосов погибает в десятки раз больше людей, чем от акул
Часто мы боимся не то, что нужно
Мужчины поражаемы молнией в 4 раза более часто чем женщины
В жизни бывают странные закономерности
Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн.
Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их

Слайд 16

Риски – центральная тема СУИБ

Риски необходимо учитывать
Разные риски должны обрабатываться «по-разному»
СУИБ предоставляет

Риски – центральная тема СУИБ Риски необходимо учитывать Разные риски должны обрабатываться
набор инструментов по управлению рисками

Слайд 17

Управление рисками в СУИБ

Угроза - причина нежелательного инцидента, который может привести к

Управление рисками в СУИБ Угроза - причина нежелательного инцидента, который может привести
негативным последствиям для организации .
Уязвимость – недостаток нформационного ресурса или группы ресурсов, который способствует реализации угрозы.
Риск - комбинация вероятности срабатывания угрозы через уязвимость, с последующим уроном для активов организации
Защитная мера – действия по минимизации риска

Некто может пробраться в офис и украсть лаптоп

Нет системы доступа в офис
Отсутствуют кабели-замки для компьютеров

Некто проникнет в офис и украдет компьютер по причине отсутствия кабеля-замка

Внедрить в практику использование специальных кабелей-замков для всех портативных компьютеров

Слайд 18

Управление рисками в СУИБ

Управление рисками в СУИБ

Слайд 19

Процесс оценки рисков

Активы

Уязвимости

Угрозы

Вероятности

Риски

Категоризация
рисков

x

=

Определение
ценности Активов

Процесс оценки рисков Активы Уязвимости Угрозы Вероятности Риски Категоризация рисков x = Определение ценности Активов

Слайд 20

Список защитных мер (ИСО 27002)

Список защитных мер (ИСО 27002)

Слайд 21

Практика

Практика

Слайд 22

Вызовы при создании СУИБ

Необходимость в установлении специфических процессов
Например, измерение эффективности защитных мер,

Вызовы при создании СУИБ Необходимость в установлении специфических процессов Например, измерение эффективности
аудиты по безопасности
Создание комплекта документации
Шаблоны, практики, собственно сам документооборот
Необходимость в автоматизация процессов
Например, управление рисков очень трудоемко без автоматизации
Организационные аспекты
Ответственные за политики, тренинг персонала, как получить «вовлеченность менежмента» (management commitment)
Сложный процесс сертификации

Слайд 23

Схема функционирования СУИБ

Схема функционирования СУИБ

Слайд 24

Пример определения угроз и уязвимостей

Фильтрация по доступным активам
Определение списка угроз для выделенного

Пример определения угроз и уязвимостей Фильтрация по доступным активам Определение списка угроз
актива
Определение уязвимостей, посредством которых данная угроза может реализоваться

Слайд 25

Пример оценки рисков

Пример оценки рисков

Слайд 26

Отчеты

Стандарт требует некоторые обязательные отчеты
Например план по обработке рисков (Risk Treatment Plan)
Положение

Отчеты Стандарт требует некоторые обязательные отчеты Например план по обработке рисков (Risk
о применимости (Statement of Applicability)
Важно динамическая генерация отчетов
Доступ к любой информации в базе

Слайд 27

ISMS Portal

Необходимо создать «единую точку входа» для всех сотрудников организации
Автоматизированный документооборот (версионность,

ISMS Portal Необходимо создать «единую точку входа» для всех сотрудников организации Автоматизированный документооборот (версионность, workflows)
workflows)

Слайд 28

ISMS Portal - реализация

ISMS Portal - реализация

Слайд 29

ISMS Portal - примеры

Документация
Записи
Тренинги
Метрики
Аудиты
И т.д.
Управление инцидентами

ISMS Portal - примеры Документация Записи Тренинги Метрики Аудиты И т.д. Управление инцидентами

Слайд 30

ISMS Portal - примеры

Аудиты
Записи об аудите
Несоответствия
Экзамены и оценка тренинга
Линки, объявления, календари,

ISMS Portal - примеры Аудиты Записи об аудите Несоответствия Экзамены и оценка
задачи и многое другое.

Слайд 31

Inventory DB

Детальное управление активами
Оперативное отслеживание статуса активов
Возможность настройки под любые типы активов

Inventory DB Детальное управление активами Оперативное отслеживание статуса активов Возможность настройки под любые типы активов

Слайд 32

Inventory DB - реализация

Inventory DB - реализация

Слайд 33

Inventory DB - реализация

Inventory DB - реализация

Слайд 34

Заключение

Заключение

Слайд 35

ИБ и разработка ПО

Целый раздел защитных мер стандарта посвящен «правильной разработке ПО»:

ИБ и разработка ПО Целый раздел защитных мер стандарта посвящен «правильной разработке
«Разработка, внедрение и обслуживание информационных систем»
В целом содержит здравые рекомендации по разработке
Например «проверка достоверности входных данных», «целостность сообщений»
На практике все выливается финансовые возможности Ваши\заказчика
Также важен профессионализм Ваших разработчиков
Правила хорошего программирования покрывают большинство требований стандарта

Слайд 36

Процесс сертификации

Тема для отдельного разговора (выбор сертифицирующего органа, общение с консалтерами, внутренняя

Процесс сертификации Тема для отдельного разговора (выбор сертифицирующего органа, общение с консалтерами,
организация)
Некоторые рекомендации:
Требует серьезного подхода, детального планирования, «вовлеченности руководства»
При отсутствии собственных специалистов по безопасности, проходивших сертификацию – рекомендуется нанять организацию – консалтера
Тренинги – основа работающей на практике СУИБ; также формально закрывает многие требования стандарта

Слайд 37

Процесс сертификации

Процесс сертификации
Имя файла: Внедрение-СУИБ,-соответствующей-ИСО-27001,-в-ИТ-компании-Алексей-Евменков.-Tieto.pptx
Количество просмотров: 1018
Количество скачиваний: 8